浅谈银行业务系统信息安全的防护
摘要：银行业务系统发展至今，受到越来越多的安全威胁，各种帐户盗窃手段以及网络黑客攻击手段，使得银行业务系统的安全性逐渐难以得到保障。

本文主要从信息安全的定义、信息安全的表现以及如何对信息安全进行防护三个方面，简单地介绍了与银行业务系统信息安全的知识。

关键字：信息安全；口令；保密；威胁
随着信息技术的不断发展，银行业务由传统的纸质交易逐渐发展成为以电子化为主，纸质为辅的新型模式。

随之而来的网上银行，电子商务，手机银行等新的银行服务模式在最近几年也迅速发展。

信息技术的快速发展使银行对电子化的依赖不断加强，就在银行业务不断信息化的过程中，银行所面临的系统安全问题越来越多。

我们也有看到，近年来，一些不法分子运用高科技手段，非法盗窃他人帐户资金，非法修改帐户信息，给用户、银行和国家带来了不小的损失，这也对银行的声誉是一个负面影响。

因此，如何提高银行系统的信息安全性，最大限度制止此类不法活动的发生，成为银行业务系统首先应该考虑的问题。

首先我们应该了解什么叫信息安全。

关于其定义，没有一个统一的标准。

国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。

综合起来说，就是要保障电子信息的有效性。

”美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。

它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。

”
综合其定义，银行业务系统的信息安全主要表现在以下几个方面：
1、机密性
银行内部业务对客户及外界人员来说应该保持透明性。

只有在得到客户许可的条件下，其它人才能够荼得该客户的信息，否则银行业务人员无权将客户信息泄露给他人。

一旦业务信息被一些不法分子获取，就可能面临安全威胁，他们可能会通过网络，利用黑客技术攻击银行的服务器，修改业务信息，这样对银行和用户来说都是非常不利的。

要做到严格的保密性，就必须采取一些十分可靠有效的计算机防护技术和措施，以避免此类事件的发生。

2、完整性
这里主要是指业务数据的完整性，数据的完整性是指存储在业务系统中的用户资料和帐户信息及银行内部信息不受非法删改和破坏。

这就需要银行业务人员对数据进行分类整理，
有条不紊的按某一标准保存在相应的数据库中。

如果不能保证信息的完整性，那么银行将无法生存下去，因为任务一笔业务，都是在信息正确且充分的情况下才能顺利交易，否则就会出现一系列问题。

3、可用性
业务信息是否可用，决定着银行与客户之间的业务办理能否顺利进行。

因为，如果银行存储的该客户的信息并不是当前最新的信息，那么就存在信息的不对称，至于究竟是银行方面的差错还是客户方面的差错并不重要，重要的是当下这笔业务是办理不了了，因为数据已经失去其应有的效用，更严重的后果就是银行与客户打官司之类的。

举个最简单的例子，银行业务人员如果误将上次交易的金额填错，那么所存的数据就不具有可用性了，因为已经失去真实性了。

因此，保证银行业务系统信息的可用性是非常重要的。

4、不可抵赖性
信息记录着已成的交易痕迹，因此对于银行提供的正确信息，客户不能抵赖。

对于客户与银行进行的每笔交易，银行都有责任对它进行存档，以便日后核查。

当然这就对银行操作的正确性和数据的完整保存有了很高的要求，对不法分子的黑客入侵等要有强有力的防护措施，否则，不真实的记录照样会引起与客户之间的法律纠纷。

为了保障银行业务的持续有效进行，促进银行业务的发展，就必须要保证以上四个方面的有效性。

那么，应该如何对银行业务系统的信息安全进行防护呢？
首先，在选择银行业务的计算机操作系统时应该充分考虑其安全性、稳定性。

操作系统是一个最基本的应用平台，如果它的安全稳定性都做不好的话，对于在这个平台上进行的一系列操作都将存在安全隐患。

这就要求操作系统是一个较成熟的、不易感染病毒的且对于外界网络用户非法攻击能有超强的抵抗能力的系统。

类似如身份认证技术、数据日志备份技术、防火墙技术、系统漏洞检测技术、黑客跟踪技术等都应该有很成熟的技术保证。

其次，对银行业务操作人员的进行系统管理和培训是非常必要的。

操作员对日常业务的处理应该具有一定的职业素养。

比如，在与其它主机进行数据传输的时候，要谨记对所传数据进行打包、压缩、加密及容错性设计等。

这些操作都是作为一个称职的操作人员必备的意识。

银行要限制操作员的访问和操作权限，启用密码口令管理制度。

操作员登陆业务系统时每次都要输入口令码，口令码应该是动态的，而非长期不变的。

这样更能避免黑客窃取操作员的口令码而进行系统进行不法操作。

另外，操作人员对日常的账务处理要及时且规范，最好做到每日核查当天记录，每周归类交易记录，如果遇到账务差错，要及时向上级报告，以便及时发现、解决问题。

银行应该注重对员工的培训，对于主机操作人员，必须严格的培训
和考核，只有这样，才能确保操作人员具备熟练的操作技能及应变能力，才能保证系统能够正常运转。

最后，对于客户来说，应该积极配合银行的安全管理制度，比如，在取钱时应该时刻警惕自己的口令信息不要被泄露。

在进行网上银行交易时，也应该时刻注意自己的行为，对自己电脑的安全方面，也应该采取有效的防护措施。

总之，银行业务系统的信息安全需要银行和客户双方共同防护。

虽然以目前的信息防护技术来看，要保证信息高度安全还是比较困难的。

网络的不断发展，以及网络黑客技术的不断成熟，使得银行信息安全问题日益不容忽视。

因此，面对强大的威胁，银行业务系统为了继续发展，必须加大安全防护力度，加快安全防护措施的探究，尽量保证业务系统信息的高度安全。

参考文献：
黄颖辉银行业务系统的安全与技术实现《中国金融电脑》2001年第8期
宋玉长银行业务系统安全的3项注意《CSO沙龙》2004年9月20日第35期
初颖超银行业务系统的调优工作《金融电子化》2001年第1期
赵博引入P2DR安全管理模型加强银行计算机安全防范《中国金融电脑》2001年第3期。