信息安全 金融业尚有硬仗要打 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://finance.sina.com.cn 2005年12月20日 09:20 金时网·金融时报 | |||||||||
FN记者 潘竑 近年来发生的一系列典型的网络攻击事件中,大多数集中在金融领域。今年夏秋,猖獗一时的银行卡短信诈骗事件,波及全国上百万人,涉案总额超过千万元。 相对于上述来自于外部的恶意攻击,银行内部的信息技术风险,同样也不容忽视。
为进一步增强银行业信息安全保障能力,有针对性地研究解决银行重要信息系统、银行卡和网上银行所面临的突出风险,11月25日,中国人民银行主持召开了全国银行业金融机构信息安全保障工作会议。本次会议不但明确了当前银行业信息安全保障的目标和任务,更是细化了种种信息安全防御的原则和措施。可以说,银行业已秣马厉兵,准备打一场防范信息技术风险,巩固运营安全的硬仗…… 信息技术风险不可小觑 我们看到,一方面,银行信息化的飞速发展,已经成为推动银行业务创新、体制创新乃至银行再造的重要推动力。另一方面,当银行对信息技术的依赖度越来越高之时,也使信息技术风险变得愈加突出,无形中成为银行业重大经营风险之一。特别是当前,我国银行信息化发展已全面进入以业务系统整合、数据大集中为特征的新阶段,银行卡、网上银行等依托信息技术的创新产品迅速发展,信息安全的全局性影响日益增强,由此,信息安全保障也面临着更加严峻的考验。 安全是银行取信于客户的关键,缺乏安全保障,将直接影响银行信誉,丧失客户信任,影响银行业务发展。更重要的是,解决不好信息安全问题,不但会给银行带来难以估量的经济、信誉损失,还会导致社会重要服务功能中断,严重影响国家经济的正常运转及社会稳定。 据一位权威人士介绍,多年来,我国银行业初步建立起“以人为本、以管理为核心、以技术为依托”的信息安全综合防御体系,较好地保障了信息系统的稳定安全运行。2000年至2004年期间,银行停机10分钟以上的重大事故次数逐年下降,事故造成的损失也趋于减少。但是,仍然存在不少亟待解决的问题。 首先,认识不到位,安全工作得不到应有的重视。一些银行对信息安全缺乏全面深入的认识,安全工作局限于个别部门和岗位,缺乏全员安全防范意识。安全工作缺乏系统规划和制度性保证,往往是出了问题才去弥补。 其次,缺乏与技术集约化相适应的管理体系。部分大集中后的数据中心很大程度上仍然沿用原来分散的生产管理模式,没有在管理体制及资源配置等方面实施相应的变革,造成责任落实不到位,误操作风险较大。 再次,无章可循、有章不循的问题仍然存在。部分现行技术法规和标准体系间,存在内容交叉、条块分割、流程割裂、边界定义不明确等突出问题。同一行为有多个行政实施主体,责任划分模糊不清,安全问责制无从落实。 最后,缺乏统一协调,应急能力不强。有的银行将专门的安全管理机构撤并到生产运营部门,有的银行应急预案缺乏定期演练,特别是各部门共同参与的全面演练和生产系统实战演练。 全方位构筑安全体系 解决信息安全问题,不只是银行机构科技部门的事,还需要领导重视,机制保障,依托法律法规,融合技术与管理,形成合力,全方位构筑安全体系。 要突出安全保障的重点,即防范重大系统的运行故障和保证银行卡、网上银行等新兴网络金融业务的信息安全。各银行应把防范重大系统的运行故障作为重中之重,切实采取措施,有效防范和控制系统性风险。 对于银行卡的信息风险防范,要完善银行卡账户信息和交易数据安全管理体系。对于网上银行的信息安全保障,可从以下几方面入手:一要制定和完善网上银行相关的技术标准和规范。二要大力推行电子认证方式,采用统一的数字证书标准,有效解决好跨行认证、交叉认证等问题。三要加强网上银行安全管理。 要建立健全与技术集约化相适应的集约化管理体系。从今年一些银行发生的重大停机事故来看,事件的起因固然是局部设备故障,问题的根源却在于对数据集中模式下“小故障导致大灾难、局部问题波及全局”的严重危害性估计不足,应对不力。 要科学制定安全策略。宏观策略上,通过规范信息系统建设,减少风险点,增强可控性。微观策略上,在系统开发阶段,合理规划方案,强化上线测试,先期降低或消除系统的脆弱性。此外,还要加快技术法规、标准和制度体系建设,实施信息系统生命周期安全管理标准和制度。大力推进信息安全风险评估。 有关人士强调,必须从保障银行业务持续运行的战略高度,重视和做好应急工作。要完善信息系统的备份设施建设,加快信息系统同城、异地灾难恢复系统建设步伐。要高度重视应急演练,已建立灾难备份系统的银行,在做好充分准备的情况下,每年至少要进行一次备份系统与生产系统的切换、运行演练。 理顺关系化解风险 解决信息安全问题要付出一定的成本,而解决不好,就会付出更大的代价。对此,有专家提出,要构建统一协调、强而有力的银行信息安全保障体系,需妥善处理好几方面关系。一是局部与整体的关系。银行体系各主体因站位角度不同,对信息安全的理解与把握程度也会各有不同。二是安全与发展的关系。银行应做到以安全保发展,在发展中求安全,既不能因为要发展而抛弃安全,也不能因为要安全而限制发展。三是正确处理好安全与投入的关系。安全技术的发展是无止境的,安全资源的投入也是无止境的。 信息安全保障的核心意义在于主动防范和化解风险,因此,安全保障工作要做在前面,积极防御,注重事前控制。这就要求银行必须尽快实现:从注重事后处理向注重事前预警的转变、从单项安全控制向综合安全控制的转变、从技术与管理割裂向技术与管理融合的转变。如此,才能构筑起立体化、多维度的安全防护体系,有效防范、控制和化解信息技术风险。 |