金融信息安全之路任重而道遠
來源:新金融? 作者:國家開發銀行信息科技局 章珂
?
由于銀行信息科技快速進步����,與之相隨而生的信息安全問題也變得越來越突出���,它成為了銀行的生存底線��,成為銀行信息化建設的第一要務。
?
近年來銀行業信息化建設蓬勃發展�,信息技術已經滲透到銀行的全過程����、全方位�,成為了銀行賴以生存和發展的核心因素。但是���,由于銀行信息科技快速進步,與之相隨而生的信息安全問題也變得越來越突出�,它成為了銀行的生存底線��,成為銀行信息化建設的第一要務。
面臨的挑戰
銀行業一直是信息化的領跑者之一�。近年來銀行業的信息化建設步伐加快���,在實現數據大集中后���,紛紛向著應用系統整合�、IT渠道拓寬和延伸���、快速響應業務產品變化等方向發展����,與此同時信息安全風險也日益嚴峻:
?一是,數據大集中帶來風險大集中�����,由于將分散在分支機構的應用系統和數據集中到總行部門��,大大提高了系統效率,但同時�����,也使銀行的信息安全風險同時集中到總行��,一旦出現問題��,比如系統故障、信息泄露�,都有可能是銀行全局性的風險����,有可能使整個銀行業務受到重創��。
二是��,網絡技術發展使信恩安全防護邊界拉長。近些年銀行廣泛采用網上銀行、電話銀行、手機銀行、ATM等,銀行的柜臺已經由一般網點延伸到普通的千家萬戶,延伸到人們的衣袋���,延伸到全國乃至全球的各個角落���。銀行業信息安全邊界也變得越來越發散���,越來越不確定�����,防范的戰線越來越漫長。
三是�,金融機構間互聯互通加劇了信息安全風險的行業傳導性��。信息技術快速發展�����,使金融機構之間的業務流轉和數據共享更加頻繁�����,業務效率更高,聯系更緊密����,這也同時增強了風險的傳導性����,局部出現的負面問題����,可能迅速傳導到其他相關機構,并且在傳導過程中有可能將負面影響顯著放大。
四是,銀行信息技術日新月異使信息安全技術復雜度大幅提高��。由于業務發展需要����,銀行的應用系統、基礎設施架構等不斷進行調整或重構�,所采用的網絡�����、服務器設備、基礎軟件等也不斷更新換代����,這要求信息安全工作必須對此能足夠應對�、動態調整��,否則信息安全水平難以持久保持。
外部環境變化的壓力
近些年���,銀行業信息安全所面臨的外部環境也發生了很大變化,主要體現在:
一是��,銀行日益成為經濟情報獲取的重要目標�。銀行是現代經濟的核心,隨著國際形勢變化和經濟競爭日趨激烈�����,各種政治或經濟集團必定會高度關注銀行�,特別是重要銀行的經營行為,從中掌握�、分析有價值的情報���。由于銀行高度信息化�,其IT系統自然成為情報獲取的主要手段�����,對IT系統進行攻擊�����,并且這種攻擊將呈現持續、高強度���、全方位的特點����。防御這樣的攻擊��,對銀行信息安全是一個全面考驗�����。
二是����,黑客技術泛濫,針對銀行信息系統的犯罪逐年增多�。目前黑客技術早已不再神秘�,各種自動化黑客工具在網上隨處可見�,實施黑客攻擊變得相對容易。這使得對銀行信息系統實施犯罪的人員�����,開始向沒有IT專業教育背景的人群擴散����,并且人數逐年增多。巨大的利益誘惑還使這些不法分子糾結成有組織的黑客團體�,集體對銀行信息系統進行攻擊�����,實施詐騙,盜取巨額資金�����。由于黑客技術變化多端�����,加之犯罪分子實施攻擊的頻度�、力度和持續性顯著增強�,使銀行信息安全在防詐騙、防盜取方面難度加大�。
三是,銀行業監督管理機構對銀行信息安全提出更高要求����。近年來���,銀行監管機構高度重視信息安全工作�����,人民銀行、銀監會先后發布許多有關金融、銀行信息安全方面的重要文件,進一步規范{艮行信息安全工作,指導和監督各相關機構不斷提高信息安全水平。例如�,人民銀行的《金融行業信息系統信息安全等級保護實施指引》�����、《關于進一步加強{艮行業金融機構信息安全保障工作的指導意見》等,中國銀監會的《商業銀行信息科技風險管理指引》���、《商業銀行數據中心監管指引》等,都是對銀行業信息安全提出更高更全面的要求���,落實這些要求需要做好更多扎實細致的工作。
全面展開的持久戰
?目前銀行業信息安全形勢嚴峻�,壓力巨大���。銀行信息安全工作不應再是“頭痛醫頭�、腳痛醫腳”���,也不應是“事件驅動��、亡羊補牢”��,更不應是“零打碎敲、小打小鬧”,特別要走出“先搞信息化�����、再談信息安全”的怪圈����。我們必須要將信息安全提升到銀行建設的戰略高度,將其作為銀行信息化的最重要內容,逐步將銀行信息安全工作推向一個更高的階段�。為此���,要在幾個方面采取對策:
一是���,要建立一整套銀行信息安全標準規范��。包括信息安全管理制度體系,網絡架構�、應用系統架構信息安全規范���,銀行重要信息系統信息安全防護技術標準����,系統運行����、維護信息安全操作準則、信息安全檢查標準等等。這一系列標準、規范���、;佳則等必須是完備的和超前的,并且隨著信息安全形勢的變化要不斷調整�����。
二是�����,要加大投入。信息安全建設是要付出成本的�����。包括對現有基礎設施��、應用系統的安全改造���,采購信息安全防護設備和服務��,使用先進的信息安全系統工具,設置信息安全專門崗位等等。這些投入是值得的�,因為一旦銀行在信息安全方面出現問題�,所造成的經濟和聲譽損失可能會無法估量�����。
三是���,要全行動員�����,一致行動。信息安全工作決不是銀行信息科技部門一家的事��,它必須是全行的統一工作�����,信息安全最后要落實到全行每一名員工��。此外,信息安全工作與銀行保密工作��、信息科技風險管理����、操作風險控制�����、稽核管理�����、安全保衛���、應急預案管理等都有交叉和銜接�,必須要多部門密切配合�。再者,信息安全工作是一個系統工程��,需要在統一規劃下��,分出輕重緩急�,有計劃地逐步推進��。而要做到這一點�����,必須要統—指揮全行各部門共同開展工作。
四是�,要持續加大監管力度和監管頻度�����。銀行信息安全工作不同于業務工作,若沒有事件或案件發生時往往感受不到巨大壓力�,工作容易被忽視�。對此就必須加大外部監管力度�,銀行監管部門通過政策���、制度���、法規指導各個銀行開展信息安全工作�����,通過持續的專項檢查督促各銀行將信息安全工作落到實處����。只有內部���、外部合力作用才能將銀行的信息安全工作做好�����、做扎實����。
總之���,目前銀行信息安全形勢嚴峻�����,面對著前所未有的挑戰�。如何應對這樣的挑戰是我們銀行從業者必須認真思考和努力實踐的大問題����。實際上��,很多銀行都已經充分認識到這一點���,并且著力展開相關工作�����。鑒于此,銀行信息安全工作必將進入一個新的階段���,達到一個新的更高水平����。
本文鏈接:http://www.lajishu.com/product/html/26.html轉載請注明���!
