论文部分内容阅读
[摘要]建立起我国较为完善的公共信用体系,进而规范并促进社会经济活动,是一项社会、经济意义深远且关系到管理体制创新、政府职能转变、法制建设规范等方面规模浩大的系统工程。公共信用信息的保护虽然是一个法律问题,但是客体是公共信用信息系统保护的技术层次内容。分析公共信用信息系统存在的安全威胁,并提出保护公共信用信息系统安全的具体策略和措施。
[关键词]信用信息 系统 安全 保护
中图分类号:G31 文献标识码;A 文章编号:1671—7597(2009)1010073—01
一、引言
目前企业和个人的公共信用信息的主要使用者是金融机构,通过专线与商业银行等金融机构总部相连(即一口接入),并通过商业银行的内联网系统将终端延伸到商业银行分支机构信贷人员的业务柜台,实现了企业和个人信用信息定期由各金融机构流入企业和个人征信系统,汇总后金融机构实时共享的功能。目前,企业和个人征信系统的信息来源主要是商业银行等金融机构,收录的信息包括企业和个人的基本信息、在金融机构的借款、担保等信贷信息,以及企业主要财务指标。自企业和个人征信系统建设以来,人民银行一直都在与相关部门积极协商,扩大数据采集范围,提升系统功能。
二、公共信用信息系统概述
(一)个人信用信息。从信用信息内容来看,个人信用信息结构主要涉及到四个方面的内容,一是个人的身份信息,包括姓名、住址、电话、社会保障号码及征信机构赋予的个人代码;二是个人的信用记录,包括信用卡、消费贷款、住房抵押贷款、分期付款、租赁等信用交易及其付账记录,既包括正面信息,也包括拖欠、收账等负面信息;三是公共记录信息,如涉及个人财产、犯罪的法院判决记录、个人破产信息、欠税信息等;四是查询信息,这是根据美国《公平信用报告法》要求设置的,用于记录和监督个人信用信息的使用者及其使用目的,以保障个人信用信息的使用符合法律规定的用途,避免个人的权益受到不必要的侵害。
(二)企业信用信息。企业信用信息数据库结构包括了三个组成部分,九类信息内容。第一部分主要是企业的基本信息,分为三类,一类是包括企业名称、地址、电话及邓氏编码(Data Universal Numbering System)的身份信息;第二类自然状况信息,如企业的规模、雇员人数、业务范围、年销售收入等;第三类是组织信息,包括企业的总部、主要投资者、分支机构及企业的部门结构等。第二部分数据主要涉及企业的信用记录和状况,一是企业的财务状况,包括企业的资产负债表、各种收益率、发展趋势和信用等级评定情况;二是企业的付款和银行记录,主要包括企业各种应付账款情况、付款记录与特点、银行开户及贷款情况等;三是法院及其他公共信息,包括诉讼、判决等法院记录、欠税情况、破产记录以及企业在政府的登记注册信息。第三部分主要是关于企业经营管理活动方面的信息,如企业高级管理人员的情况、主要业务领域、品牌等。
(三)信用信息系统的安全问题。在现代社会中,信息是人类最宝贵的资源,以数据库为核心的信息系统在人们的社会生活中起着越来越重要的作用,信息安全也日益成为关系企业成败、战争胜负乃至国家根本利益的重要问题,越来越引起人们的广泛重视。
公共信用信息数据库面临的安全威胁主要有:软件和硬件环境出现意外,如磁盘损坏,系统崩溃等;计算机病毒可能造成系统崩溃,进而破坏数据;对数据库的不正确访问,引起数据库中数据的错误;为了某种目的,故意破坏数据库;未经授权非法访问数据库信息。窃取其中的数据;未经授权非法修改数据库中的数据,使其数据失去真实性;通过网络对数据库的访问遭到侦听;通过网络对数据库进行各种非法存取;通过网络破坏数据库系统的完整性、可用性;对网络数据库进行拒绝式服务攻击等等。对于重要部门或敏感领域的数据,面临更多威胁,需要更复杂的操作才能保证数据的安全性,此时,就需要进行一些专门的安全性方法设计,来进一步加强这些网络数据库的安全性。
三、保证公共信用信息系统安全的策略
建立完善安全严密的信息存储、管理、流转机制。
1,确保网络系统的安全。网络系统的安全是数据库安全的第一道屏障,网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。
2,确保操作系统的安全。操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。操作系统的安全控制方法主要是采用隔离控制、访问控制、信息加密和审计跟踪。主要安全技术有操作系统安全策略、安全管理策略、数据安全等。
3,数据库管理系统的安全。因为数据库的结构与其它系统不同,拥有各种特权的用户共享,同时又不能超出给定的范围。它对安全的需求范围更广,除了对计算机、外部设备、联机网络和通信设备进行物理保护外,还必须采取其它安全措施有效地防止非法访问或盗用敏感数据,保证数据的完整性和一致性。
4,安装网络防病毒墙。网络上的病毒仍很猖獗,应在网络的内外出口处或各个子网出口处安装网络防病毒墙,在服务器上安装网络版杀毒软件,部署在线杀毒平台,同时在边沿交换机上配置常见病毒端口访问控制列表,建立网络防病毒体系,控制病毒在网络上的传播。
5,建立合理、高效且灵活的权限体系。通过多层次的权限验证机制,没有相应权限的用户无法修改或访问有关的信息,充分保障了数据安全和个人隐私。同时建立完备的安全日志审计,为每个用户建立独立的操作日志,高权限的管理员可以随时发现问题,也可作为日后查询的依据。
6,对系统定期进行安全备份。一般对整个系统每月进行一次备份,对新增或修改过的数据每周进行一次各份,最好做到自动备份。
四、总结
目前,中国人民银行、商务部等部门在相应的范围内制定了信用信息共享、保护的政策文件,但法律效力层次不高,保护内容尚不全面。除了信用信息保护的法律问题外,存在的一个问题就是信用信息保护的手段和方法上的不足,通过计算机存储和在网络上传播的信用信息也面临着很大的威胁。网络传播的信息保护是一个时刻变化的、动态的过程,本文提出的几种措施虽然在一定程度上可以保护信息的安全,但是随着技术的发展,还需要有新的保护措施不断提出来。
[关键词]信用信息 系统 安全 保护
中图分类号:G31 文献标识码;A 文章编号:1671—7597(2009)1010073—01
一、引言
目前企业和个人的公共信用信息的主要使用者是金融机构,通过专线与商业银行等金融机构总部相连(即一口接入),并通过商业银行的内联网系统将终端延伸到商业银行分支机构信贷人员的业务柜台,实现了企业和个人信用信息定期由各金融机构流入企业和个人征信系统,汇总后金融机构实时共享的功能。目前,企业和个人征信系统的信息来源主要是商业银行等金融机构,收录的信息包括企业和个人的基本信息、在金融机构的借款、担保等信贷信息,以及企业主要财务指标。自企业和个人征信系统建设以来,人民银行一直都在与相关部门积极协商,扩大数据采集范围,提升系统功能。
二、公共信用信息系统概述
(一)个人信用信息。从信用信息内容来看,个人信用信息结构主要涉及到四个方面的内容,一是个人的身份信息,包括姓名、住址、电话、社会保障号码及征信机构赋予的个人代码;二是个人的信用记录,包括信用卡、消费贷款、住房抵押贷款、分期付款、租赁等信用交易及其付账记录,既包括正面信息,也包括拖欠、收账等负面信息;三是公共记录信息,如涉及个人财产、犯罪的法院判决记录、个人破产信息、欠税信息等;四是查询信息,这是根据美国《公平信用报告法》要求设置的,用于记录和监督个人信用信息的使用者及其使用目的,以保障个人信用信息的使用符合法律规定的用途,避免个人的权益受到不必要的侵害。
(二)企业信用信息。企业信用信息数据库结构包括了三个组成部分,九类信息内容。第一部分主要是企业的基本信息,分为三类,一类是包括企业名称、地址、电话及邓氏编码(Data Universal Numbering System)的身份信息;第二类自然状况信息,如企业的规模、雇员人数、业务范围、年销售收入等;第三类是组织信息,包括企业的总部、主要投资者、分支机构及企业的部门结构等。第二部分数据主要涉及企业的信用记录和状况,一是企业的财务状况,包括企业的资产负债表、各种收益率、发展趋势和信用等级评定情况;二是企业的付款和银行记录,主要包括企业各种应付账款情况、付款记录与特点、银行开户及贷款情况等;三是法院及其他公共信息,包括诉讼、判决等法院记录、欠税情况、破产记录以及企业在政府的登记注册信息。第三部分主要是关于企业经营管理活动方面的信息,如企业高级管理人员的情况、主要业务领域、品牌等。
(三)信用信息系统的安全问题。在现代社会中,信息是人类最宝贵的资源,以数据库为核心的信息系统在人们的社会生活中起着越来越重要的作用,信息安全也日益成为关系企业成败、战争胜负乃至国家根本利益的重要问题,越来越引起人们的广泛重视。
公共信用信息数据库面临的安全威胁主要有:软件和硬件环境出现意外,如磁盘损坏,系统崩溃等;计算机病毒可能造成系统崩溃,进而破坏数据;对数据库的不正确访问,引起数据库中数据的错误;为了某种目的,故意破坏数据库;未经授权非法访问数据库信息。窃取其中的数据;未经授权非法修改数据库中的数据,使其数据失去真实性;通过网络对数据库的访问遭到侦听;通过网络对数据库进行各种非法存取;通过网络破坏数据库系统的完整性、可用性;对网络数据库进行拒绝式服务攻击等等。对于重要部门或敏感领域的数据,面临更多威胁,需要更复杂的操作才能保证数据的安全性,此时,就需要进行一些专门的安全性方法设计,来进一步加强这些网络数据库的安全性。
三、保证公共信用信息系统安全的策略
建立完善安全严密的信息存储、管理、流转机制。
1,确保网络系统的安全。网络系统的安全是数据库安全的第一道屏障,网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。
2,确保操作系统的安全。操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。操作系统的安全控制方法主要是采用隔离控制、访问控制、信息加密和审计跟踪。主要安全技术有操作系统安全策略、安全管理策略、数据安全等。
3,数据库管理系统的安全。因为数据库的结构与其它系统不同,拥有各种特权的用户共享,同时又不能超出给定的范围。它对安全的需求范围更广,除了对计算机、外部设备、联机网络和通信设备进行物理保护外,还必须采取其它安全措施有效地防止非法访问或盗用敏感数据,保证数据的完整性和一致性。
4,安装网络防病毒墙。网络上的病毒仍很猖獗,应在网络的内外出口处或各个子网出口处安装网络防病毒墙,在服务器上安装网络版杀毒软件,部署在线杀毒平台,同时在边沿交换机上配置常见病毒端口访问控制列表,建立网络防病毒体系,控制病毒在网络上的传播。
5,建立合理、高效且灵活的权限体系。通过多层次的权限验证机制,没有相应权限的用户无法修改或访问有关的信息,充分保障了数据安全和个人隐私。同时建立完备的安全日志审计,为每个用户建立独立的操作日志,高权限的管理员可以随时发现问题,也可作为日后查询的依据。
6,对系统定期进行安全备份。一般对整个系统每月进行一次备份,对新增或修改过的数据每周进行一次各份,最好做到自动备份。
四、总结
目前,中国人民银行、商务部等部门在相应的范围内制定了信用信息共享、保护的政策文件,但法律效力层次不高,保护内容尚不全面。除了信用信息保护的法律问题外,存在的一个问题就是信用信息保护的手段和方法上的不足,通过计算机存储和在网络上传播的信用信息也面临着很大的威胁。网络传播的信息保护是一个时刻变化的、动态的过程,本文提出的几种措施虽然在一定程度上可以保护信息的安全,但是随着技术的发展,还需要有新的保护措施不断提出来。