導(dǎo)語(yǔ)：金融信息化服務(wù)創(chuàng)新基礎(chǔ)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

論文摘要:闡述了金融信息化、信息安全的重要意義和保障信息系統(tǒng)中信息安全的常規(guī)技術(shù)，分析了我國(guó)在金融信息化進(jìn)程中和金融信息系統(tǒng)的建設(shè)過(guò)程中存在的問(wèn)題，指出了今后發(fā)展的方向。

論文關(guān)鍵詞:金融信息系統(tǒng)金融信息化信息安全安全模型

1.我國(guó)金融信息化的產(chǎn)生和發(fā)展

中國(guó)的金融電子化建設(shè)開(kāi)始于20世紀(jì)70年代，在80年代中期，由中國(guó)人民銀行牽頭成立了金融系統(tǒng)電子化領(lǐng)導(dǎo)小組，經(jīng)過(guò)大量的調(diào)查研究，制定了金融電子化建設(shè)規(guī)劃和遠(yuǎn)期發(fā)展目標(biāo);‘六五’做準(zhǔn)備，‘七五’打基礎(chǔ)，‘八五’上規(guī)模，‘九五’基本實(shí)現(xiàn)電子化。在最近的二三十年，我國(guó)的金融電子化建設(shè)經(jīng)歷了重要的、具有歷史意義的四個(gè)發(fā)展階段:第一階段，大約70年代末到80年代，銀行的儲(chǔ)蓄、對(duì)公等業(yè)務(wù)以計(jì)算機(jī)處理代替手工操作;第二階段，大約從80年代到90年代中，逐步完成銀行業(yè)務(wù)的聯(lián)網(wǎng)處理;第三階段，大約從90年代初到90年代末，實(shí)現(xiàn)全國(guó)范圍的銀行計(jì)算機(jī)處理聯(lián)網(wǎng)，互聯(lián)互通，支付清算和業(yè)務(wù)管理、辦公逐步實(shí)現(xiàn)計(jì)算機(jī)處理;第四階段，從現(xiàn)在開(kāi)始，完成業(yè)務(wù)的集中處理，利用互聯(lián)網(wǎng)技術(shù)與環(huán)境，加快金融創(chuàng)新，逐步開(kāi)拓網(wǎng)上金融服務(wù)，包括網(wǎng)上銀行、網(wǎng)上支付等。科學(xué)技術(shù)是第一生產(chǎn)力。當(dāng)人類(lèi)走進(jìn)21世紀(jì)時(shí)，步入了以網(wǎng)絡(luò)、信息技術(shù)為特征的知識(shí)經(jīng)濟(jì)時(shí)代。在這一發(fā)展機(jī)遇面前，我國(guó)金融業(yè)也同時(shí)面臨著加入世界貿(mào)易組織后更廣闊的市場(chǎng)和來(lái)自發(fā)達(dá)國(guó)家同行業(yè)更嚴(yán)竣的競(jìng)爭(zhēng)壓力。金融信息化是我國(guó)金融業(yè)的必然選擇。金融行業(yè)是國(guó)民經(jīng)濟(jì)的重要組成部分，是現(xiàn)代市場(chǎng)經(jīng)濟(jì)的核心，金融信息化是國(guó)家信息化中至關(guān)重要的、不可缺少的一環(huán)。金融信息化既是金融業(yè)本身為提高其競(jìng)爭(zhēng)能力、降低經(jīng)營(yíng)成本、提高服務(wù)質(zhì)量以應(yīng)對(duì)日益激烈的市場(chǎng)競(jìng)爭(zhēng)的內(nèi)在要求，同時(shí)也是悅務(wù)、海關(guān)、貿(mào)易和電子商務(wù)等國(guó)民經(jīng)濟(jì)信息化的基礎(chǔ)。金融信息化不僅實(shí)現(xiàn)了業(yè)務(wù)處理自動(dòng)化和辦公自動(dòng)化、經(jīng)營(yíng)網(wǎng)絡(luò)化，更進(jìn)一步為監(jiān)管電子化、管理和決策的科學(xué)化提供強(qiáng)有力的支持，同時(shí)也是金融服務(wù)創(chuàng)新、制度創(chuàng)新堅(jiān)實(shí)的技術(shù)基礎(chǔ)。

2金觸信息系統(tǒng)的安全

安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展，信息越來(lái)越向上集中，規(guī)模越來(lái)越大，金融業(yè)對(duì)它的依賴(lài)性不斷增加的同時(shí)，金融信息化系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機(jī)構(gòu)的生存和經(jīng)營(yíng)的成敗，所以，應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣，看作是金融機(jī)構(gòu)的生命。金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問(wèn)題，它與我國(guó)的經(jīng)濟(jì)安全、社會(huì)安全和國(guó)家安全緊密相連，是保障金融業(yè)穩(wěn)定發(fā)展、增強(qiáng)競(jìng)爭(zhēng)力和生存能力的重要組成部分，金融信息系統(tǒng)的安全已成為我國(guó)金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問(wèn)題。

據(jù)英國(guó)PA咨詢(xún)集團(tuán)公司調(diào)查，在20世紀(jì)末的5年中，電腦詐騙每年使英國(guó)銀行損失40-50億英鎊，美國(guó)每年因計(jì)算機(jī)犯罪造成銀行損失也多達(dá)55億美元，德國(guó)銀行每年因此損失約50億美元。在我國(guó)，自從1986年7月發(fā)生首例金融計(jì)算機(jī)犯罪以來(lái)，發(fā)案率逐年上升，給銀行造成了巨大的損失。僅1997,1998兩年，四家國(guó)有商業(yè)銀行就發(fā)生了141起計(jì)算機(jī)犯罪案件，涉案人員166人，涉案金額16129萬(wàn)元，造成經(jīng)濟(jì)損失5853萬(wàn)元。朱銘基同志在揚(yáng)州發(fā)生的一起利用遙控發(fā)射裝置浸入銀行電腦系統(tǒng)，盜取巨款的案件報(bào)告上批示:“這是一個(gè)信號(hào)，我們的銀行家要抓電腦技術(shù)，不能落在犯罪分子的后面’。

2.1信息系統(tǒng)面臨的威脅和攻擊手段

信息安全從技術(shù)上講，有如下幾方面的含義:保密性、完整性、可用性、真實(shí)性、不可抵賴(lài)性、可控性。金融信息系統(tǒng)是一個(gè)網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)，它處理的對(duì)象是信息。信息資源具有先天的脆弱性，系統(tǒng)中存儲(chǔ)的信息密度極高，信息的可訪(fǎng)問(wèn)性、信息的聚生性、系統(tǒng)工作時(shí)產(chǎn)生電磁輻射、磁性介質(zhì)的剩磁效應(yīng)等都使系統(tǒng)中的信息面臨著安全風(fēng)險(xiǎn)。概括而言，金融信息系統(tǒng)面的威協(xié)主要有三種形式:通信過(guò)程中面臨的威協(xié)、存儲(chǔ)過(guò)程中面臨的威脅和處理過(guò)程中面臨的威協(xié)。對(duì)金融信息系統(tǒng)的攻擊手段主要有竊取、推斷絨分析(屬于被動(dòng)攻擊)、冒充、墓改、重放和病毒(屬于主動(dòng)攻擊)。

2.2信息安全技術(shù)

2.2.1密碼技術(shù)。密碼技術(shù)是信息安全技術(shù)的核心。要保證信息系統(tǒng)中信息的保密性，使用密碼對(duì)其加密是最有效的辦法;要保證信息的完整性同樣可以使用密碼技術(shù)實(shí)施數(shù)字簽名，進(jìn)行身份認(rèn)證，通過(guò)對(duì)信息進(jìn)行完整性校驗(yàn)來(lái)實(shí)現(xiàn);保障信息系統(tǒng)和信息為授權(quán)者所用，利用密碼進(jìn)行系統(tǒng)登錄管理，存取授權(quán)管理是有效的辦法;保證電子信息系統(tǒng)的可控性也可以有效地利用密碼和密鑰管理來(lái)實(shí)施。

1949年Shannon發(fā)表了《保密系統(tǒng)的通信理論》，引起了密碼學(xué)的一場(chǎng)革命，從而使密碼真正成為一門(mén)科學(xué)。密碼學(xué)(Crypto-graphy)是通信技術(shù)、計(jì)算機(jī)技術(shù)和應(yīng)用數(shù)學(xué)之間的邊緣學(xué)科，數(shù)學(xué)和計(jì)算機(jī)科學(xué)是其重要的工具，涉及到數(shù)論、信息論、算法復(fù)雜性理論等學(xué)科分支。保密系統(tǒng)的Shannon模型如圖l所示。

70年代中期，在安全保密研究中出現(xiàn)了兩個(gè)引人注目的事件:一是D}ffe和Hellman發(fā)表了《密碼學(xué)的新方向》，沖破人們長(zhǎng)期以來(lái)一直沿用的單鑰體制，提出一種嶄新的密碼體制，即公開(kāi)密碼體制。該體制可使發(fā)信者和收信者之間無(wú)須事先交換密鑰就可建立起保密通信。二是美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS)于1977年正式公布實(shí)施了美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)。公開(kāi)密碼體制的出現(xiàn)是現(xiàn)代密碼學(xué)研究的一項(xiàng)重大突破，它的主要優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)開(kāi)放性的使用環(huán)境，密鑰管理相對(duì)簡(jiǎn)單，可以方便、安全地實(shí)現(xiàn)數(shù)字簽名和認(rèn)證。對(duì)稱(chēng)密碼體制下比較著名的算法有IBM公司開(kāi)發(fā)的DES算法及其各種變形(如Tri討eDES等)、歐洲的IDEA算法、LOKI,RCA,RCS等;公開(kāi)密碼體制下比較著名的算法有RSA算法、背包密碼,Diffe一Hellman}ElGamal算法等等。與通信安全保密相比，計(jì)算機(jī)安全保密具有更廣泛的內(nèi)容，涉及計(jì)算機(jī)硬件、軟件以及所處理數(shù)據(jù)等的安全和保密。除了沿用通信安全保密的理論、方法和技術(shù)外，計(jì)算機(jī)安全保密有自己獨(dú)特的內(nèi)容，并構(gòu)成自己的研究體系。在計(jì)算機(jī)安全保密研究中，主體(subject)和客體(object)是兩個(gè)重要概念，保護(hù)客體的安全、限制主體的權(quán)限構(gòu)成了存取控制的主題。信息系統(tǒng)的安全保密相對(duì)于通信安全保密和計(jì)算機(jī)安全保密而言處在一個(gè)更高的層次，它涵蓋了通信安全保密和計(jì)算機(jī)安全保密的所有內(nèi)容，把整個(gè)系統(tǒng)的安全保密作為其目標(biāo)。金融信息系統(tǒng)因其自身高機(jī)密性和高風(fēng)險(xiǎn)性的特點(diǎn)，不同于一般的信息系統(tǒng)，而類(lèi)似于軍事系統(tǒng)，有極高的安全保密需求。

2.2.2訪(fǎng)問(wèn)控制技術(shù)。限制主體的權(quán)限，防止非授權(quán)主體對(duì)客體的越權(quán)訪(fǎng)問(wèn)是訪(fǎng)問(wèn)控制的主要內(nèi)容。存取控制的研究?jī)?nèi)容涉及到存取控制模型、存取控制策略、存取控制機(jī)制、存取控制的實(shí)現(xiàn)等。存取控制是建立在用戶(hù)識(shí)別的基礎(chǔ)上的，系統(tǒng)通過(guò)唯一標(biāo)識(shí)符驗(yàn)證用戶(hù)的合法性.決定是否允許用戶(hù)進(jìn)入系統(tǒng)。認(rèn)證總是要求用戶(hù)提供足夠能證明他身份的特殊信息，這些信息是保密的，可以采用單向加密算法加密后保存在系統(tǒng)中?？诹顧C(jī)制是一種簡(jiǎn)便易行的認(rèn)證手段，但比較脆弱。生物技術(shù)是一種比較有前途的方法，如視網(wǎng)膜、指紋等，但限于技術(shù)條件，目前還不能廣泛采用。信息系統(tǒng)中存在大量的主體和客體。主體與客體關(guān)系如何表示，主體對(duì)客體的存取權(quán)限如何獲取，是存取控制研究中的兩個(gè)基本問(wèn)題。系統(tǒng)中所有主體與客體之間的相互關(guān)系構(gòu)成存取控制數(shù)據(jù)庫(kù)。主體、客體、存取控制數(shù)據(jù)庫(kù)、存取控制策略之間的關(guān)系構(gòu)成存取控制基本模型。

存歇控制策略決定存取控制的水平。存取控制策略研究權(quán)限分配原則、方法和約束。等級(jí)授權(quán)方式是最常見(jiàn)的權(quán)力分配方式，根據(jù)權(quán)力分配細(xì)則，由安全專(zhuān)家根據(jù)一定的制度和規(guī)范制定。

權(quán)力分配原則則涉及一些譽(yù)遍適用的存取陀制策略:。.最小授權(quán)策略(leastprivilegepolicy)，即只給主體授予執(zhí)行任務(wù)所必須的最小僅力;b.最小泄露策略(leaseexposurepolicy)，按需知(needtoknow)原則給主體完成任務(wù)所必須知道的那部分保密信息，得到信息的主體要承擔(dān)信息保護(hù)的責(zé)任;;c.多級(jí)安全策略(multilevelsecuritypolicy)，將主體和客體都進(jìn)行分級(jí)，除了對(duì)主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限進(jìn)行規(guī)定外，還對(duì)主體對(duì)客體促使信息的流向加以控制。存取控制模型如圖2所示。

自主訪(fǎng)問(wèn)控制(DAC)是一種最替扁的訪(fǎng)問(wèn)控制方式，在自主訪(fǎng)問(wèn)控制下，用戶(hù)可以按自己的意愿對(duì)系統(tǒng)參數(shù)進(jìn)行適當(dāng)?shù)男薷模詻Q定哪些用戶(hù)可以存取其文件。自主訪(fǎng)問(wèn)控制是安全操作系統(tǒng)需要具有的最基本的訪(fǎng)問(wèn)控制機(jī)制，對(duì)于軍事魷金融系統(tǒng)，它的訪(fǎng)問(wèn)控制能力尚嫌不足。自主訪(fǎng)問(wèn)控制不能抵御特洛伊木馬、電子欺騙(Spoof),黑客(Hacker)的攻擊。這樣就產(chǎn)生了強(qiáng)制訪(fǎng)問(wèn)控制(MAC)。

所謂強(qiáng)制訪(fǎng)問(wèn)控制，就是系統(tǒng)中主體和客體的安全屬性(存即類(lèi))是由系統(tǒng)安全管理員按照嚴(yán)格的規(guī)則進(jìn)行分配的，用戶(hù)和用戶(hù)程序不能修改系統(tǒng)中確定的安全屬性，就是客體的所有者也不能修改。強(qiáng)制訪(fǎng)問(wèn)控制增強(qiáng)了系統(tǒng)的安全性。金融信息系統(tǒng)是一個(gè)網(wǎng)絡(luò)信息系統(tǒng)，為了保證其安全性，有必要提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制手段。防火墻技術(shù)就是一種用于加強(qiáng)網(wǎng)絡(luò)間的訪(fǎng)問(wèn)控制，防止外部用戶(hù)非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的資源不被破壞，避免內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取的系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻實(shí)際上是一種訪(fǎng)問(wèn)控制規(guī)則，它無(wú)法完全保護(hù)系統(tǒng)免受來(lái)自外部網(wǎng)絡(luò)的攻擊，另外，它對(duì)來(lái)自系統(tǒng)內(nèi)部的攻擊無(wú)能為力。

VPN(虛擬專(zhuān)用網(wǎng))是一種為處于不同地點(diǎn)的兩個(gè)分公司網(wǎng)絡(luò)通過(guò)不安全的公共網(wǎng)絡(luò)Inteme:建立可靠連接的技術(shù)。VPN所用的隧道技術(shù)就是用某種協(xié)議(如PPTP,IPsec等)建立雙方通信隧道，將內(nèi)部網(wǎng)所用協(xié)議和數(shù)據(jù)封裝在IP包中，對(duì)隧道中傳送的包進(jìn)行加密/解密。VPN能從很大程度上解決網(wǎng)絡(luò)面臨不安全因素的威脅，作為遠(yuǎn)程用戶(hù)利用公用網(wǎng)絡(luò)接入公司內(nèi)部網(wǎng)絡(luò)的較簡(jiǎn)單的一種接入技術(shù)，現(xiàn)在正越來(lái)越體現(xiàn)出其價(jià)值。

2.2.3漏洞掃描和入浸檢測(cè)技術(shù)。漏洞掃描與網(wǎng)絡(luò)安全評(píng)佑緊密相關(guān)，其主要目的是先于入浸者發(fā)現(xiàn)安全漏洞并及時(shí)彌補(bǔ)，從而進(jìn)行安全防護(hù)，是一種‘事前’(攻擊發(fā)生前)防護(hù)手段。由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜，一般利用工具來(lái)進(jìn)行漏洞檢查，針對(duì)網(wǎng)絡(luò)層、操作系統(tǒng)層、數(shù)據(jù)庫(kù)層、應(yīng)用系統(tǒng)層多個(gè)層面上進(jìn)行。因?yàn)榫W(wǎng)絡(luò)是動(dòng)態(tài)變化的，所以漏洞掃描與評(píng)沽應(yīng)該定期執(zhí)行;入侵檢測(cè)則是對(duì)網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控，檢查是否有來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的入浸。入浸檢測(cè)強(qiáng)調(diào)時(shí)間連續(xù)性，是一種事中.防護(hù)手段。網(wǎng)絡(luò)是動(dòng)態(tài)變化的，所以應(yīng)該不斷跟蹤分析黑客行為和手法，研究網(wǎng)絡(luò)和系統(tǒng)的安全漏洞，提高漏洞掃描水平和入浸位測(cè)水平。

2.2.4響應(yīng)和恢復(fù)技術(shù)。任何一個(gè)信息系統(tǒng)無(wú)論采取了多么先進(jìn)、復(fù)雜的安全技術(shù)，也不可能保證系統(tǒng)是絕對(duì)安全的，響應(yīng)和恢復(fù)技術(shù)就是在系統(tǒng)遭到入侵或破壞的時(shí)候，如何把損失降到最低程度，并在最短的時(shí)間內(nèi)將系統(tǒng)恢復(fù)正常。響應(yīng)和恢復(fù)技術(shù)是一種‘事后’防護(hù)手段。

2.2.5審計(jì)技術(shù)。審計(jì)類(lèi)似于飛機(jī)上的“黑匣子.，利用系統(tǒng)運(yùn)行日志，對(duì)系統(tǒng)進(jìn)行事故原因查詢(xún)、定位，為事故發(fā)生后的處理提供詳細(xì)可靠的依據(jù)戴支持，是一種‘事后’的補(bǔ)充防護(hù)手段。

2.2.6病毒防治技術(shù)。病毒防治技術(shù)是研究在網(wǎng)絡(luò)環(huán)境下，如何及時(shí)識(shí)別、發(fā)現(xiàn)病毒，如何強(qiáng)化系統(tǒng)對(duì)病毒的免疫能力，以及如何消滅病毒，減輕戴完全消除病毒對(duì)系統(tǒng)的危害。

2.3安全模型金融信息系統(tǒng)的安全是一個(gè)系統(tǒng)工程，不僅與信息系統(tǒng)的安全技術(shù)有關(guān)，同時(shí)也與國(guó)家的法律與法規(guī)、金融行業(yè)的管理及其制度建設(shè)幽切相關(guān)。安全技術(shù)在金融信息系統(tǒng)安全中起著重要的作用，但決不能過(guò)分依賴(lài)信息安全技術(shù)，安全技術(shù)只是信息系統(tǒng)安全的基礎(chǔ)，安全管理則是金融信息系統(tǒng)安全的關(guān)鍵。

在研究信息系統(tǒng)安全的過(guò)程中，人們建立了不同的信息系統(tǒng)安全模型。其中，P2DR充分考慮了信息系統(tǒng)隨時(shí)間而不斷改變的動(dòng)態(tài)性，建立在基于時(shí)間的安全理論之上，并且體現(xiàn)了閉環(huán)控制的思想，是具有代表性的信息系統(tǒng)安全模型(如圖3所示)。

P2DR是Policy(安全策略)、Protection(防護(hù))、Detection(檢測(cè))和Response晌應(yīng))的縮寫(xiě)。安全策略是P2DR安全模型的核心，所有的防護(hù)、檢測(cè)、晌應(yīng)都是依據(jù)安全策略實(shí)施的。保護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來(lái)實(shí)現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。在P2DR模型，檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)晌應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng)，來(lái)發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過(guò)循環(huán)反饋及時(shí)做出有效的晌應(yīng)。緊急晌應(yīng)在安全系統(tǒng)中占有最重要的地位，是解決安全潛在性最有效的辦法。從某種意義上講，安全問(wèn)題就是要解決緊急晌應(yīng)和異常處理問(wèn)題。要解決好緊急晌應(yīng)問(wèn)題，就要制汀好緊急晌應(yīng)的方案，做好緊急晌應(yīng)方案中的一切準(zhǔn)備工作。

P2DR模型有自己的理論體系，有數(shù)學(xué)模型作為其論述基礎(chǔ)—基于時(shí)間的安全理論。該理論認(rèn)為，信息安全相關(guān)的所有活動(dòng)都要消耗時(shí)間，因此可以用時(shí)間來(lái)衡里一個(gè)體系的安全性和安全能力。P2DR模型可以用一些典型的數(shù)學(xué)公式來(lái)表達(dá)安全的要求:

公式1:Pt>Dt+Rt

Pt代表系統(tǒng)的防護(hù)時(shí)間，續(xù)者理解為在安全措施保護(hù)下，黑客(入浸者)攻擊目標(biāo)所花費(fèi)的時(shí)間;Dt代表從入浸者開(kāi)始發(fā)動(dòng)入浸開(kāi)始，系統(tǒng)能夠檢測(cè)到入浸行為所花費(fèi)的時(shí)間;Rt代表從發(fā)現(xiàn)入浸行為開(kāi)始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間;那么，如果上述數(shù)學(xué)公式滿(mǎn)足—防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí)間，也就是在入浸者危害安全目標(biāo)之前就能夠被檢測(cè)到并及時(shí)處理。

公式2:Et=Dt+Rt，如果Pt=0

公式2的前提是假設(shè)防護(hù)時(shí)間為0。這種假設(shè)對(duì)WebServer這樣的系統(tǒng)可以成立。Dt代表從入浸者破壞了安全目標(biāo)系統(tǒng)開(kāi)始，系統(tǒng)能夠檢測(cè)到破壞行為所花費(fèi)的時(shí)間。Rt代表從發(fā)現(xiàn)遭到破壞開(kāi)始，系統(tǒng)能夠做出足夠的晌應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間。那么，Dt與Rt的和就是該安全目標(biāo)系統(tǒng)的暴露時(shí)間Et針對(duì)于需要保護(hù)的安全目標(biāo)，如果Et越小系統(tǒng)就越安全。

通過(guò)上面兩個(gè)公式的描述，實(shí)際上給出了安全一個(gè)全新的定義:‘及時(shí)的檢測(cè)和晌應(yīng)就是安全，“及時(shí)的檢測(cè)和恢復(fù)就是安全.P2DR模型闡述了這樣一個(gè)結(jié)論:安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和晌應(yīng)時(shí)間。

3發(fā)展、深化金融信息化建設(shè).保障信息安全

雖然我國(guó)在金融信息化進(jìn)程中取得了巨大的進(jìn)步，但在發(fā)展中還是難以避免地存在一些問(wèn)題。分析這些問(wèn)題，既有助于這些問(wèn)題的解決，同時(shí)也對(duì)今后的發(fā)展有借鑒意義。我國(guó)金融信息化發(fā)展過(guò)程中缺乏統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，各大銀行處于各自為戰(zhàn)的狀態(tài)，為各行互連、互通、資潦共享造成了障礙;重視硬件建設(shè)，對(duì)應(yīng)用軟件開(kāi)發(fā)和人才培養(yǎng)重視不夠，不能充分利用寶貴的信息資源(如金融風(fēng)險(xiǎn)管理、決策支持系統(tǒng)等)，有些軟件由于對(duì)發(fā)展速度佑計(jì)不足，已經(jīng)不能適應(yīng)當(dāng)前的業(yè)務(wù)需要;在金融機(jī)構(gòu)內(nèi)部，安全組織、管理制度和內(nèi)控制度不夠健全和配套，造成一些新型服務(wù)項(xiàng)目在技術(shù)上可行，卻因管理跟不上而無(wú)法開(kāi)展;安全意識(shí)比較淡薄，不能落實(shí)到實(shí)際行動(dòng)中;市場(chǎng)開(kāi)發(fā)力度和創(chuàng)新意識(shí)不足，沒(méi)有充分利用好現(xiàn)有系統(tǒng)。

總結(jié)經(jīng)驗(yàn)，我們必須認(rèn)識(shí)到金融信息化進(jìn)程是發(fā)展的、動(dòng)態(tài)的和不斷深化的。為保證我國(guó)金融信息化建設(shè)健康發(fā)展，應(yīng)盡快確定今后若干年內(nèi)我國(guó)金融信息化的宏觀發(fā)展方向，制定我國(guó)金融信息化發(fā)展戰(zhàn)略;盡快建立我國(guó)金融信息化標(biāo)準(zhǔn)和規(guī)范，避免以前銀行卡建設(shè)中走過(guò)的彎路;追蹤和研究信息安全關(guān)鍵技術(shù)(密碼芯片、加密算法和病毒防治技術(shù)等)，發(fā)展我國(guó)自己的信息安全產(chǎn)業(yè);在摘好“大集中’的前提下，充分挖掘和利用寶貴的信息資源，建立金融風(fēng)險(xiǎn)管理系統(tǒng)和科學(xué)決策支持系統(tǒng)，提高金融業(yè)經(jīng)營(yíng)管理水平;深化金融信息系統(tǒng)建設(shè)，進(jìn)一步開(kāi)拓思路，搞好金融服務(wù)創(chuàng)新和金融制度創(chuàng)新，迎接金融開(kāi)放帶來(lái)的挑戰(zhàn);加強(qiáng)安全組織管理建設(shè)，倍養(yǎng)信息安全人才.保障金融信息系統(tǒng)安全。