金融领域信息安全主要包括以下几方面：一是网络安全。金融领域与网络密不可分，网络银行、手机银行、在线支付等金融活动对网络安全提出了更高要求。二是保密性。金融领域数据往往涉及姓名、身份、账号、款项出入等信息，直接关系金融用户运转、交易，具有更高的保密性要求。三是交易完整性。金融交易过程中任意一个环节一旦被攻破，将直接造成资金损失。四是实时性。证券等金融行业的交易与市场变化时刻相关，对实时性提出了更高要求。

     一、我国金融领域信息安全发展现状

    （一）对金融领域信息安全的重视程度不断加深

    信息安全已经成为制约金融领域信息化、网络化进一步深入的瓶颈，为此，我国加大对金融领域信息安全的重视程度。2013年8月22日，国家发改委发布《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，决定在国家信息安全专项中重点对金融领域面临的信息安全实际需要进行支持。此外，《通知》还规定金融领域采用的产品应应具有较高的安全性，不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等国家标准中3级的相关要求。专项重点支持金融信息安全领域内的金融领域智能入侵检测产品、面向电子银行的Web漏洞扫描产品等。

    （二）银行卡、芯片等信息安全检测工作不断开展

    为加强金融领域信息安全，加快推进金融领域安全IC卡和密码相关关键产品的产业化，提升金融领域信息安全专业化服务水平，根据《国家发展改革委办公厅关于组织实施2012年金融领域安全IC卡和密码应用专项有关事项的通知》（发改办高技[2012]3096号）的有关要求，有关单位在2013年开展了银行卡、芯片相关专项测评工作，重点对POS、ATM、PIN输入设备（PED）、加密PIN模块（EPP）和个人支付终端等五类产品进行终端硬件、物理安全、逻辑安全测评。

    （三）金融领域信息安全宣传力度不断加大

    金融领域信息安全事关国计民生，广大互联网用户对金融领域信息安全问题缺乏了解，有必要加大宣传力度，提高网民的信息安全意识。在人民银行科技司、人民银行支付结算司、公安部网络安全保卫局、银监会科技监管部、银监会创新监管部的指导下，2013年成为“中国电子银行联合宣传年”。该活动是由中国金融认证中心联合近50家银行举办的，目的是提升大众信息安全意识，推动网上银行健康发展。

    二、我国金融领域信息安全工作存在的主要问题

    我国金融领域信息化起步较晚，近年来我国金融领域网络犯罪事件频频发生，金融领域存在的诸多信息安全问题值得重视。

    （一）金融领域网络犯罪行为频发

    自1996年我国首例利用网络实施金融犯罪案件发生后，我国涉及网络的金融犯罪频频发生。趋势科技和清华大学信息与网络安全实验室联合发布的《中国互联网信息安全地下产业链调查报告》显示，2011年我国涉及银行网银账户盗刷和支付账户盗窃的受害者就超过54万人，预计损失在21亿元以上。2013年初趋势科技与中国反钓鱼网站联盟共同发布的《2012年中国金融行业网络威胁报告》显示，2012年2月至9月期间共发现4636个针对金融行业的钓鱼网站，其中98.72%的网站来自海外，大大增加了安全监管的难度。

    （二）金融领域信息系统和产品存在安全隐患

    我国金融领域信息系统和产品存在的安全隐患威胁我国金融安全。2013年5月，360互联网安全中心曝出多个“超级网银”被黑客利用的案例。“超级网银”在设计之初存在安全隐患，在用一个网银账户关联不同银行账户的过程中存在严重漏洞，黑客能够藉此取得“授权”，转走用户网银中的资金。2013年6月23日，中国工商银行系统升级引发故障，导致其全国范围内的银行系统瘫痪3小时，ATM机取款、柜面取款、网银等多项业务无法办理。据透露，此次故障的原因由某款国外服务器的缺陷引发。

    三、金融领域面临的信息安全挑战

    （一）传统互联网威胁向金融领域辐射

    金融领域应用的信息系统、产品等在设计之初，并未充分考虑信息安全需求。随着电子商务的快速发展，在线支付、在线结算等金融业务与互联网的结合日益紧密，病毒、木马等传统互联网威胁已经危及金融领域安全。此外，金融领域的信息系统相当于网络上的银行，吸引了更多网络犯罪分子的觊觎。赛门铁克2013年初发布的《揭露金融木马的世界》白皮书显示，2012年全球范围内600多家金融机构都遭受过网银木马的攻击。以近年来肆虐的宙斯木马病毒为例，其在过去五年中造成的全球性损失估计超过1亿美元。尽管当前金融领域网络安全技术已有很大改进，但当前采用的安全措施仍然不足以防范传统互联网威胁。

    （三）虚拟货币成为犯罪分子洗钱的新渠道

    随着网络经济的活跃，比特币等虚拟货币与实体货币之间已经建立起了某种兑换关系，这也为洗钱等传统金融犯罪活动提供了新渠道。比特币交易可以完全以匿名的方式进行，一旦交易完成就可以随时轻松销号。犯罪分子将非法所得兑换成虚拟货币，能够有效切断资金追踪链条。2013年5月，美国在线支付服务公司Liberty Reserve因涉嫌从事大规模在线洗钱交易而被关闭。根据美国检察官的指控，该公司为犯罪分子提供各类违法服务，包括洗钱、毒品交易、窃取身份信息等。据报道，犯罪分子曾通过Liberty Reserve，将窃自27个国家自动取款机上的4500万美元“洗白”。

 
    （二）金融领域成为高级可持续威胁的目标
  高级可持续性威胁（APT）是针对特定目标的复杂且多方位的网络威胁，此类威胁目的性极强，一旦成功危害很大。作为“高价值”目标，我国金融行业自2012年起不断出现APT攻击事件。例如，2013年3月，中国区网络安全监测实验室（ChinaRTL）监控到一起针对金融行业的高级可持续威胁，此威胁可存活一年以上时间，会持续地从受害者的计算机系统中搜集文档类型文件并上传到远端服务器。高级持续性威胁攻击者往往会持续不断地渗透并窃取金融企业的敏感数据，部分恶意程序潜伏周期甚至长达数年，严重威胁我国金融领域安全。
 
 

(责任编辑：紫叶)