• 快捷搜索
  • 全站搜索

银行业信息安全管理的现实挑战及对策

2014-09-15 12:00:58作者:中国工商银行股份有限公司江苏省分行 朱文生 陈笃编辑:金融咨询网
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面。银行业信息安全工作正面临比以往更严峻的形势,难度加大,挑战增多。

近年来,银行业信息化程度不断提高,信息科技风险日益成为影响金融行业稳健发展的重要因素。银行业不仅成为信息科技成果应用最快、最广的行业之一,同时也成为遭受信息科技风险影响最大的行业之一。各种针对银行业的终端监听、信息窃取、黑客入侵等行为屡见不鲜,本文针对目前我国银行业信息安全面临的问题进行分析,探讨适合我国国情的银行业信息安全风险防范措施和办法。

一、信息安全的五个特性

  信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,避免受到偶然的或者恶意的破坏、更改、泄露,系统可以连续、可靠、正常地运行,信息服务不中断。信息安全有保密性、完整性、可用性、可核查性、可靠性等五个特性。

  (1)保密性:防止信息泄漏给非授权的用户、实体或者过程的特性。

  (2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

  (3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。

  (4)可核查性:对信息的传播及内容具有控制能力,访问控制即属于可控性。

  (5)可靠性:即系统可靠性。

二、信息安全三个层面的风险

  目前,银行业信息安全面临的风险主要表现在以下三个层面。

  1.操作风险

  巴塞尔委员会提出的《有效银行监管的核心原则》强调:最重大的操作风险在于内部控制及公司治理机制的失效。如银行交易员、信贷员或其他工作人员越权或从事职业道德不允许的或风险过高的业务。这在信息安全工作中主要表现在系统运行管理过程中,技术支持与生产运行未能严格区分,业务操作没有实现“双人复核”原则,缺乏岗位之间有效的制约机制等,为犯罪分子实施各种欺诈犯罪留下了隐患。比如在信贷业务审批管理流程中,信息系统授权、审批形同虚设,换人审核,未实现实质有效制约,最终造成坏账、呆账等严重后果。

  2.技术风险

  技术风险主要表现在计算机项目建设中,缺乏防范系统建设人员犯罪的安全制约机制,例如将安全核心软件如密钥生成技术完全交由外部承包商代为开发,对进入银行系统使用的计算机终端设备缺乏严格检测认证,致使一些存在安全隐患的电子终端进入金融机构等。某银行杭州分行曾经发生一起与银行卡交易处理相关的案件,作案人从银行卡交易前置平台获取加密数据,利用网上下载的解密软件进行批量解密,然后分批制作伪卡,从事盗窃客户资金的活动。

  3.决策风险

  决策风险主要表现在银行业高层对信息安全管理的重要性认识不够深入,重应用、轻管理。对金融产品创新应用投资往往决心大、行动快,而忽视了对保障系统安全所需要的安全资金投入;在项目建设中对产品业务风险的防范重视不够,缺乏科学决策,忽视了防范风险措施与计算机技术的紧密结合,结果在计算机系统建设和产品研发的初期就埋下了隐患,表现为在项目需求阶段未进行安全风险分析和评估、设计阶段未遵循安全性设计原则、投产前未进行足够强度的安全性测试。

  此外,对防范金融计算机犯罪技术的前瞻性研究重视不够,防范手段和技术滞后,对潜在金融风险无法实现有效控制,近年来一些银行相继发生了网上银行动态密码器相关业务漏洞被犯罪分子巧加利用的案件,使有的客户蒙受巨额损失,充分暴露了银行业金融机构对所推广产品信息安全管理的疏漏,同时自身也蒙受了重大的声誉损失。

三、信息安全面临的挑战

  在以综合业务系统整合、数据集中为主要特征的银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面。银行业信息安全工作正面临比以往更严峻的形势,银行业信息系统安全运行的难度加大,挑战增多。

  1.系统缺陷

  (1)系统自主可控能力不足
  目前,在我国银行业信息系统和网络中,虽然防病毒、网络设备、安全设施用的国产软硬件比重越来越大,但核心软硬件设施还是以国外为主,大多来自于Cisco、IBM、Oracle等国际IT巨头。这种依赖导致我们的自主控制能力不足,核心关键领域还是依赖于国外厂家的产品和服务,用户缺乏判断设备是否存在“后门”、“软件陷阱”、“软件炸弹”等安全隐患的能力。“棱镜门”事件暴露了美国政府利用其掌握的高科技手段对别国实施监听和系统攻击,该事件的曝光对核心设备和系统主要来自于海外IT巨头的国内银行业信息安全管理层面提出了严重警告以及更高的防控要求。

  (2)系统漏洞
  互联网本身固有的技术机制存在缺陷。TCP/IP协议本身缺乏安全控制机制,建立在互联网络为基础的金融网络系统存在先天安全漏洞,易被病毒感染、被黑客入侵。典型案例就是2013年2月VISA、万事达卡、运通卡三家信用卡组织约800万张信用卡资料为黑客所盗取。针对网上银行(网上支付)的木马及其它攻击方式更是层出不穷。据统计,目前全球的黑客攻击事件,40%是针对金融系统的,在我国比例更高达60%以上。

  (3)交易系统缺陷
  按照我国相关信息安全标准,银行业金融机构的网上业务产品要达到三级以上安全标准,但目前大多数金融机构尤其是中小银行的安全状况都未达到这一要求,其自行开发、应用的网上交易系统安全防控措施不到位、抵御攻击能力弱、事件应急响应滞后、客户地址及邮箱等资源保护不力,暴露出系统虚假信息泛滥、账户密码被黑客破译、数据资料和交易指令被篡改、资金被盗取、股票债券基金等金融资产被盗卖等风险,信息的安全传递所要求的严格私密性、真实性、完整性、不可否认性等安全要素缺位。

  2.交易监管滞后

  目前,我国网络金融P2P、网络代客理财业务方兴未艾,与此同时相关监管经验严重不足,监管手段不全、技术落后、职责界定不清、网上业务内部审计流于形式,与网络银行业务的高速发展相比,其信息安全的指导、监管工作亟待加强。

  3.数据大集中致使风险相对集中

  目前,数据大集中已成为银行业金融机构业内潮流,随之而来的信息安全风险也急剧集中。一旦数据中心发生灾难,将导致一家金融机构的所有分支机构、营业网点和全部业务处理陷于停顿,或造成客户重要数据的丢失,不但影响业务正常进行,同时造成重大的声誉风险等灾难性后果。近年发生过数起不同银行数据中心故障造成的大范围业务中断的现象,造成了国际国内重大不利影响。

  4.应急处置能力亟待提升

  信息系统的集中以及数据爆炸式的增长使各金融机构的应急处置和灾难恢复面临空前的压力和挑战,近年来国内外银行业金融机构发生的重大事件表明,从恐怖袭击到网络攻击,从地质灾害到机房物理环境故障,都会造成严重的生产事件甚至是数据处理中心的瘫痪。银行业数据处理中心的网络中断或系统瘫痪不仅仅涉及到经济安全问题,甚至可能演变为更高的国家安全层面问题。

四、应对措施

  根据《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(即新“三定”方案)规定,人民银行的主要职责包含了组织制定银行业信息化发展规划、负责金融标准化的组织管理协调工作、指导银行业信息安全工作。在新形势下如何指导和协调银行业信息化建设和信息安全,也是人民银行尤其是其各级分支机构信息科技部门需要着重研究的课题。针对上述银行业信息安全面临的挑战,笔者提出以下几个方面的应对建议:

  1.建立健全信息安全管理制度和机制

  (1)建立健全信息安全管理体系
  建立全辖银行业金融机构信息安全管理组织体系,健全信息安全管理制度,明确各机构专业部门、各相关岗位职能,做到按制度办事,避免“即兴发挥”。定期组织开展信息安全的非现场监测和现场检查,检查评价制度的执行情况,督促问题的整改,促进各机构做好信息安全风险防控工作。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章