银行业信息安全管理的现实挑战及对策

　　（2）严格执行信息安全的报告机制和应急协调机制
　　2010年起，中国人民银行、工信部、公安部、安全部、电监会五部委建立了跨部委的应急协调工作预案。2011年，中国人民银行在副省级以上城市建立了区域的信息安全应急协调机制。这种全国性的制度安排和属地化管理相结合，实际上构成应急协调机制、保障机制。各金融机构在信息安全事件发生、发展、善后等不同阶段，要及时向人民银行报告相关情况，便于人民银行组织协调进行应急处置，尽量避免造成社会因恐慌引发群体性事件。

　　（3）建立安全可控的生产运行维护机制
　　目前，金融机构联网的系统规模、范围越趋庞大，服务对象也越趋多面立体化，依赖人力进行监控已力不从心。需要建立覆盖全辖的自动化监控体系，达到监控系统比用户先发现问题，中心机构比分支机构先发现问题的目的。
　　
　　自动化监控系统应包括网络自动监控、应用系统自动监控、物理环境智能化监控等方面。为了提高自动化监控系统的相应速度，应尽可能采取可视化界面设计，告警信息能够声光提示。以缺乏网络监控的系统为例，网络连接都采用主备两条线路，当一条线路中断自动切换到另一条线路时，虽然业务未受影响，但单点故障的问题却被掩盖，直到另一条线路因为故障使得网络全部中断时问题才暴露，而通过自动化监控就能早期发现问题和及时响应。
　　
　　监控对象的指标标准化是自动化监控的基础，监控阀值的设置合理与否是用好监控系统的关键，阀值过低会产生大量的错误告警信息，设置过高则会漏报故障。监控指标的优化提升是信息网络和系统健壮性的重要依据，是运行维护技术体系的核心内容。自动化监控系统的实施范围要逐步从网络监控扩大到应用监控和物理环境监控，不但要包括传统的各种系统资源使用率，还要注意增加交易量、交易进度、数据状态等内容，能够及时发现物理运行环境和交易处理流程方面出现的异常情况。

　　2．将信息安全风险管理纳入各经营主体的全面风险管理体系

　　防范和化解信息安全风险是一项综合性、长期性的工作。人民银行对信息安全管理的要求是：信息安全管理的底线是，绝对不允许发生系统性和区域性的风险。银监会对信息安全的明确看法是：IT风险是惟一可以在一瞬间让整个银行陷入瘫痪的风险。银行业金融机构应高度重视信息安全管理工作，将信息安全风险管理纳入本机构的全面风险管理体系，搭建业务部门和技术部门协同配合的信息安全管理平台。

　　3．进一步提高系统自主创新能力
　　
　　监管机构应协调督促金融机构，加强系统自主创新，加大对国产软硬件采购力度，努力减少和降低一些关键领域的对外技术依赖。对采购或使用的信息技术和产品，能自主的就要尽其所能推进自主，不能自主的，也必须保障其可知可控，要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。对确需引进的技术和产品实行市场准入制度，并邀请权威机构对其产品进行安全风险和实效性评估。

　　4．强化金融交易监管

　　（1）加快网络金融安全立法进程
　　网络金融近来风生水起，相对而言我国网络金融监管立法滞后。网络金融安全关乎国计民生、经济安全，因此，其安全立法进程刻不容缓，应成立对应的网络金融安全管理部门，研究制定金融安全政策和标准，规范、指导和约束网络金融的安全发展，打击网络金融犯罪，维护金融机构及各交易方的合法权益，保障我国网络金融业务健康、规范、有序地发展。

　　（2）加强金融服务指导和行业监管
　　商业银行应建立跨部门的银行业信息安全协调机制以及重点时期的安保工作机制，强化信息安全手段和队伍建设，加强信息安全检测和准入制度，实施信息安全等级保护，建立信息资产风险评估体系，提高信息安全水平，保障金融稳定和经济发展。人民银行分支机构应加强对辖内银行业金融机构的制度指导，尤其是在核心业务系统建设、灾备建设和信息安全方面指明正确方向，借鉴成功经验，规避重大风险。

　　（3）建立跨部门的现代化银行业信息安全管理网络
　　应研究建立跨部门的高效银行业信息安全管理网络，真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。在正确评估我国金融网络现状的基础上，借鉴国外的网络安全管理模式，尽快建立适应我国银行业信息化建设和发展实际的高速、安全和先进的网络框架。同时促进各家金融机构完善信息安全内控机制，保障信息系统运行安全。现代银行业高度依赖信息技术，必须充分认识到银行业信息安全对整体业务和金融体系乃至国民经济体系的影响，牢固树立风险防范意识。

　　5．加强金融机构灾备技术体系建设

　　（1）合理规划和优化调整灾备中心（数据中心）整体布局。根据国家信息安全战略要求，新建灾备中心（数据中心）要按照“适度分散原则”选址，以抵御自然灾害、战争破坏。

　　（2）推动金融机构灾备技术架构从“两地三中心”向“多中心互备运行”发展，降低数据大集中带来的风险，提高灾备资源的可用性。

　　（3）建立灾备中心检测认证技术体系，以多种方式促进小型、微型金融机构加大灾备设施建设力度，提高银行业金融机构灾备建设的整体水平。

6．坚持优先恢复系统对外服务原则

　　（1）改进交易的处理流程
　　系统中断的种类和交易处理的场景是难以穷尽的，金融机构应该从提高业务连续性的角度，去设计和实现替代的流程与数据处理的方式。包括手工交换数据、手工补录数据、交易流程路径变换等方法作为替代服务，最终目的是业务中断时间大大短于系统恢复时间，也是衡量一个事件处理是否成功的重要指标。

　　（2）加强业务连续性管理
　　想要在特殊时期短时间内恢复业务运行，有赖于远程灾备中心的数据备份，快速恢复业务运营。为了达到“最快恢复生产”目标，商业银行还需做好以下工作：

　　一是建立业务连续性管理制度。建立业务连续性管理制度，规范机构内的管理流程，明确各级机构、部门在体系中的职责。制定专业的突发事件应急预案，做到预案的标准化、流程化，一旦发生突发事件，员工能够按照预案进行业务恢复。

　　二是加强业务连续性日常管理。定期组织各层次的培训，组织业务连续性演练，必须组织业务级的演练而不仅是IT演练，通过演练检验各业务部门以及机构内外的联动，优化和改进业务连续性管理工作。

　　三是明确业务连续性牵头管理部门。因为业务连续性管理对于及时恢复系统对外服务十分重要，且涉及多个部门，因此，业务连续性管理需要专门的部门来牵头组织，督促各相关部门定期开展检查和评价。这一职责一般是由内部审计或承担内部审计职责的部门承担。

　　（3）缩短系统恢复时间
　　当出现信息系统中断事件时，如果初步判断无法在短时间内恢复系统，应优先考虑隔离故障设备，切换至热备、替代的系统，或者果断启动应急预案，以控制事态的进一步发展。应采取各种可能的举措来缩短系统恢复的时间，尽快恢复系统的对外服务是最重要的。

7．加紧人才培养

　　银行业金融机构要培养一批既掌握计算机枝术、网络技术、通信技术，又掌握金融实务和管理知识的复合型高级技术和管理人才。要通过不间断的培训教育，让全体从业人员了解网络技术安全缺陷，充分认识潜在的网络安全隐患，提高信息安全管理意识，掌握必要的信息安全管理技术。

　　信息安全管理工作是一项复杂的系统工程，需要决策层、管理层、技术层通力配合，从安全制度建设和技术手段方面着手，加强信息安全意识的教育和培训，增强自我保护意识，采取综合的防范措施，并不断改进和完善安全管理机制。要自始至终强化安全防范意识，采取全面、可行的安全防护措施，把信息安全风险降低到最低程度。银行业信息安全事关国家经济金融稳定大局，要未雨绸缪，加快建立完备的安全防护体系，积极应对未来挑战。

（文章来源：《中国金融电脑》杂志）

首页 上一页 1 2

扫码即可手机
阅读转发此文