• 快捷搜索
  • 全站搜索

金融信息安全之路任重而道远

2012-11-22 12:55:33作者:国家开发银行信息科技局 章珂编辑:
由于银行信息科技快速进步,与之相随而生的信息安全问题也变得越来越突出,它成为了银行的生存底线,成为银行信息化建设的第一要务。

近年来银行业信息化建设蓬勃发展,信息技术已经渗透到银行的全过程、全方位,成为了银行赖以生存和发展的核心因素。但是,由于银行信息科技快速进步,与之相随而生的信息安全问题也变得越来越突出,它成为了银行的生存底线,成为银行信息化建设的第一要务。

面临的挑战
        银行业一直是信息化的领跑者之一。近年来银行业的信息化建设步伐加快,在实现数据大集中后,纷纷向着应用系统整合、IT渠道拓宽和延伸、快速响应业务产品变化等方向发展,与此同时信息安全风险也日益严峻:

        一是,数据大集中带来风险大集中,由于将分散在分支机构的应用系统和数据集中到总行部门,大大提高了系统效率,但同时,也使银行的信息安全风险同时集中到总行,一旦出现问题,比如系统故障、信息泄露,都有可能是银行全局性的风险,有可能使整个银行业务受到重创。

        二是,网络技术发展使信恩安全防护边界拉长。近些年银行广泛采用网上银行、电话银行、手机银行、ATM等,银行的柜台已经由一般网点延伸到普通的千家万户,延伸到人们的衣袋,延伸到全国乃至全球的各个角落。银行业信息安全边界也变得越来越发散,越来越不确定,防范的战线越来越漫长。

        三是,金融机构间互联互通加剧了信息安全风险的行业传导性。信息技术快速发展,使金融机构之间的业务流转和数据共享更加频繁,业务效率更高,联系更紧密,这也同时增强了风险的传导性,局部出现的负面问题,可能迅速传导到其他相关机构,并且在传导过程中有可能将负面影响显著放大。

        四是,银行信息技术日新月异使信息安全技术复杂度大幅提高。由于业务发展需要,银行的应用系统、基础设施架构等不断进行调整或重构,所采用的网络、服务器设备、基础软件等也不断更新换代,这要求信息安全工作必须对此能足够应对、动态调整,否则信息安全水平难以持久保持。

外部环境变化的压力
        近些年,银行业信息安全所面临的外部环境也发生了很大变化,主要体现在:

        一是,银行日益成为经济情报获取的重要目标。银行是现代经济的核心,随着国际形势变化和经济竞争日趋激烈,各种政治或经济集团必定会高度关注银行,特别是重要银行的经营行为,从中掌握、分析有价值的情报。由于银行高度信息化,其IT系统自然成为情报获取的主要手段,对IT系统进行攻击,并且这种攻击将呈现持续、高强度、全方位的特点。防御这样的攻击,对银行信息安全是一个全面考验。

        二是,黑客技术泛滥,针对银行信息系统的犯罪逐年增多。目前黑客技术早已不再神秘,各种自动化黑客工具在网上随处可见,实施黑客攻击变得相对容易。这使得对银行信息系统实施犯罪的人员,开始向没有IT专业教育背景的人群扩散,并且人数逐年增多。巨大的利益诱惑还使这些不法分子纠结成有组织的黑客团体,集体对银行信息系统进行攻击,实施诈骗,盗取巨额资金。由于黑客技术变化多端,加之犯罪分子实施攻击的频度、力度和持续性显著增强,使银行信息安全在防诈骗、防盗取方面难度加大。

        三是,银行业监督管理机构对银行信息安全提出更高要求。近年来,银行监管机构高度重视信息安全工作,人民银行、银监会先后发布许多有关金融、银行信息安全方面的重要文件,进一步规范{艮行信息安全工作,指导和监督各相关机构不断提高信息安全水平。例如,人民银行的《金融行业信息系统信息安全等级保护实施指引》、《关于进一步加强{艮行业金融机构信息安全保障工作的指导意见》等,中国银监会的《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》等,都是对银行业信息安全提出更高更全面的要求,落实这些要求需要做好更多扎实细致的工作。

全面展开的持久战
        目前银行业信息安全形势严峻,压力巨大。银行信息安全工作不应再是“头痛医头、脚痛医脚”,也不应是“事件驱动、亡羊补牢”,更不应是“零打碎敲、小打小闹”,特别要走出“先搞信息化、再谈信息安全”的怪圈。我们必须要将信息安全提升到银行建设的战略高度,将其作为银行信息化的最重要内容,逐步将银行信息安全工作推向一个更高的阶段。为此,要在几个方面采取对策:

        一是,要建立一整套银行信息安全标准规范。包括信息安全管理制度体系,网络架构、应用系统架构信息安全规范,银行重要信息系统信息安全防护技术标准,系统运行、维护信息安全操作准则、信息安全检查标准等等。这一系列标准、规范、;佳则等必须是完备的和超前的,并且随着信息安全形势的变化要不断调整。

        二是,要加大投入。信息安全建设是要付出成本的。包括对现有基础设施、应用系统的安全改造,采购信息安全防护设备和服务,使用先进的信息安全系统工具,设置信息安全专门岗位等等。这些投入是值得的,因为一旦银行在信息安全方面出现问题,所造成的经济和声誉损失可能会无法估量。

        三是,要全行动员,一致行动。信息安全工作决不是银行信息科技部门一家的事,它必须是全行的统一工作,信息安全最后要落实到全行每一名员工。此外,信息安全工作与银行保密工作、信息科技风险管理、操作风险控制、稽核管理、安全保卫、应急预案管理等都有交叉和衔接,必须要多部门密切配合。再者,信息安全工作是一个系统工程,需要在统一规划下,分出轻重缓急,有计划地逐步推进。而要做到这一点,必须要统—指挥全行各部门共同开展工作。

        四是,要持续加大监管力度和监管频度。银行信息安全工作不同于业务工作,若没有事件或案件发生时往往感受不到巨大压力,工作容易被忽视。对此就必须加大外部监管力度,银行监管部门通过政策、制度、法规指导各个银行开展信息安全工作,通过持续的专项检查督促各银行将信息安全工作落到实处。只有内部、外部合力作用才能将银行的信息安全工作做好、做扎实。

        总之,目前银行信息安全形势严峻,面对着前所未有的挑战。如何应对这样的挑战是我们银行从业者必须认真思考和努力实践的大问题。实际上,很多银行都已经充分认识到这一点,并且着力展开相关工作。鉴于此,银行信息安全工作必将进入一个新的阶段,达到一个新的更高水平。

(文章来源:新金融)
 

扫码即可手机
阅读转发此文

本文评论

相关文章

新闻科技
提升应用质量 增强“虚拟工行”竞争力

怎样提高银行业整体的信息安全保障实力和用户的风险意识才是解决网银安全的根本途径,而如何确保高应用质量、高安全性的银行IT系

选型招投标
中国人民银行征信中心运维信息安全技术加固配套服务

科技金融安全
保险企业信息安全管理框架体系的构建

信息安全保障体系应从信息安全组织、信息安全管理、信息安全运行、信息安全技术和信息安全监督五个方面建立闭环控制的信息安全管

科技金融安全
信息安全管理从软件开发开始

要想快速弥补商业银行软件开发的安全管理短板,就要在充分借鉴行业先进经验的基础上,结合我国银行目前的科技水平,以及银行软件

科技运维管理
移动智能终端:能否尽在“掌握”

在日益注重信息安全和用户数据安全的今天,当银行业站在移动智能终端应用服务的大门口,显然是更加成熟了,希望对业务模式“移动