金融業信息安全的競爭與策略

導語：金融業信息安全的競爭與策略一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

近年來，隨著經濟全球化不斷擴展，金融創新的廣度和深度不斷擴展，我國的金融業信息化工作得到快速發展，規范、方便、高效、安全的金融業信息化服務體系初步建成。與此同時，金融業對信息技術的依賴程度越來越大，金融業信息安全保障難度持續加大，給我國金融業信息安全帶來新的更大的挑戰。如何應對，要求我們必須高度重視。

一、面臨的挑戰

目前，金融業的業務開展更加依賴于信息技術的應用，特別是以綜合業務系統整合、數據集中為主要特征的金融業信息化發展到一個新的階段。因而，信息技術風險也自然成為中國金融機構操作風險的重要方面。金融業信息安全工作正面臨比以往更嚴峻的形勢，圍繞信息網絡空間的斗爭日趨尖銳，境內外網絡違法犯罪活動呈快速遞增趨勢，惡意代碼和網絡攻擊呈多樣化局面，金融業信息系統安全運行的難度加大，挑戰增多。

一是人民銀行的業務指導、監督管理滯后于金融業信息化發展。

與金融業信息化的高速發展相比，金融業信息安全的指導、監管工作還需要進一步加強。國內曾有專家明確提出，在金融信息化、網絡化時代，“信息資產風險監管是現代金融監管體系的核心理念?！毙畔①Y產風險指在信息化中，信息資產的規劃、設計、開發、生成、存在、運用、服務、管理、維護、監管以及其他相關過程中產生的信用、市場、操作與業務風險。人民銀行在金融信息規劃、信息標準、信息安全等諸多方面承擔著重要職責，在2008奧運年中發揮了重要、積極的作用。但總體來看，人民銀行及其分支行對金融機構信息安全工作的指導和監管，還處于初級階段，由于人民銀行分支機構對各金融機構信息安全缺乏指導、缺乏統一的監管目標、缺乏完整的認識，以及缺乏監督管理的依據和標準，從而導致監管措施不到位，監管手段缺失，致使基層行監管缺乏主動性。

二是核心設備和技術依賴于國外，底層技術難以掌握，存在安全隱患。

目前，我國金融業信息系統和網絡中，大量使用國外廠商生產的設備，這些設備使用的操作系統、數據庫、芯片也大多數是由國外廠商生產。外方不可能提供設備的核心技術和專利，我方很難判斷設備是否存在“后門”、“軟件陷阱”、“系統漏洞”、“軟件炸彈”等安全漏洞。據調查，一些重要網絡系統中使用的信息技術產品，都不可避免地存在一定的安全漏洞。這些漏洞可能是開發過程中有意預留，也可能是無意疏忽造成的。特殊情況下，特定安全漏洞可能被利用實施人侵，修改或破壞設備程序，或從設備中竊取機密數據和信息。前一階段國外炒作的IC卡安全問題以及近年來出現的微軟“黑屏事件”，已經為我們敲響了警鐘。

三是境內外網絡違法犯罪活動呈快速遞增趨勢，新技術的應用使我們面臨更大的挑戰。

金融業信息網絡和重要信息系統正成為敵對勢力、不法分子進行攻擊、破壞和恐怖活動的重點目標。金融業信息系統已經遭受到多次攻擊，整體信息安全形勢嚴峻。2009年國防科技大學的一項研究表明，我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵人，其中銀行、金融和證券機構是攻擊重點。

2005年6月18日，被稱為有史以來最嚴重的信息安全案件在美國爆發，萬事達、VISA和美國運通公司的主要服務商的數據處理中心網絡被黑客程序侵人，導致4000萬個賬戶信息被黑客截獲，使客戶資金處于十分危險的狀態。

由此可見，基于開放性網絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰。

四是數據大集中的同時，也使技術風險相對集中。

伴隨著數據大集中的實現，風險也相對集中.一旦數據中心發生災難，將導致金融業的所有分支機構、營業網點和全部的業務處理停頓，或造成客戶重要數據的丟失，其后果不堪設想。

近年來，國內外金融機構因為信息技術系統故障導致大面積、較長時問業務中斷的事件時有發生。2006年，日本花旗銀行出現交易系統故障，5天內約27．5萬筆公用事業繳費遭重復扣劃或交易后未作月結記錄，造成該行的重大聲譽損失。

信息系統潛在的風險已引起金融業的高度重視，如何保障后數據大集中時代金融業信息系統安全穩定運行，是需要整個金融業深入研究的課題。

五是我國金融業的災難處理能力有待加強。

據人民銀行在2009年對21家全國性商業銀行災備中心建設情況的調查顯示，僅有3家建立了同城和異地災備中心，9家建立了同城災備中心，6家建立了異地災備中心，尚有3家沒有建立災備中心。返觀國外同業．多數國外銀行已經做到了分行一級的災難備份與恢復。這表明，我國金融業災備中心建設同國外相比存在較大差距。

此外，國內金融機構的現有災難備份中心布局不合理，過度集中在北京、上海兩地，一旦發生區域性重大災難，將對我國金融業整體運行狀況帶來極大危害，并造成過高的重建成本。

二、應對措施

按照《國務院辦公廳關于印發中國人民銀行主要職責內設機構和人員編制規定的通知》(新“三定”方案)規定，人民銀行的主要職責之一是組織制定金融業信息化發展規劃，負責金融標準化的組織管理協調工作，指導金融業信息安全工作。

在新形勢下如何指導和協調金融業信息化建設和信息安全，是人民銀行尤其是人民銀行分支機構需要認真思考的問題。

金融業信息系統的安全是防范和化解金融風險的重要組成部分，要依靠法律、管理機制、技術保障等多方面相互配合，形成一個完整的安全保障體系。

一是加強金融服務指導和行業監管。

應建立跨部門的金融業信息安全協調機制以及重點時期的安保工作機制，強化信息安全手段和隊伍建設，加強信息安全檢測和準人制度，實施信息安全等級保護，建立信息資產風險評估體系，提高信息安全水平，保證金融穩定和經濟發展。

人民銀行分支機構應加強對中小金融機構的服務指導，尤其是在核心業務系統建設、災備建設和信息安全方面給予具體指導，幫助中小金融機構借鑒成功經驗，規避風險，實現跨越式發展。

各級人民銀行，應牽頭成立金融業信息安全領導小組，并建立和完善信息安全通報制度、報告制度和聯席會議制度，建立健全一個運轉靈活、反應靈敏的信息安全應急處理協調機制，隨時處置和協調金融機構安全事件，以迅速應對突發事件的發生，降低或消除金融機構網絡和主要信息系統因出現重大事件造成的損失。

二是研究建立跨部門的現代化金融業信息安全管理網絡。真正實現對金融機構信息安全風險的及時、動態、全面、連續的監管。

在正確評估我國金融網絡現狀的基礎上，借鑒國外的組網模式，盡快建立適應我國金融業信息化建設和發展實際的高速、安全和先進的網絡框架，在建設時要充分考慮到網絡的兼容性和拓展性，為下一步與各金融業的網絡互聯做準備。同時促進各家金融機構完善內控機制，保障運行安全?，F代金融業高度依賴信息技術，必須充分認識到金融業信息安全對整體業務和金融體系，乃至經濟體系的影響，牢固樹立風險防范意識，把信息科技作為風險管理的重要手段。

三是人民銀行要協調督促金融機構，加強自主創新，加大對國產軟硬件采購力度，努力減少和降低一些關鍵領域的對外技術依賴。

對采購或使用的信息技術和產品，能自主的就要千方百計地推進自主，不能自主的，也須保證其可知可控，也就是說，要對信息技術產品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術”。

對須引進的，實行市場準人制度，并引進權威機構對其產品進行風險、安全、實用等綜合性評估。

對各地區一些科技水平還比較低的中小金融機構，要加大支持力度，加強行業內部的交流合作。針對目前金融業，特別是中小金融機構的信息系統的開發、建設和運維采用IT外包的形式，應出臺相應的政策、制度和措施，促進IT外包健康快速發展，約定監管機制，規范服務商的服務標準和流程，使IT外包以服務行為的公司化、強大的配套支持能力、靈活的外包服務方式成為金融機構快速發展的可行之道。

四是建立健全信息安全管理制度，定期進行信息安全檢查，加強網絡安全攻擊防范。

由于金融業的組織結構和業務運營方式，使網絡必定要建成一個同Internet和外部線路有較密切關系的結構，各種網絡訪問上的安全問題也隨之產生。金融網絡系統面臨的攻擊有來自內部的，也有來自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等，特別是在網絡上運行關鍵業務時，網絡安全問題更是要優先解決的問題。因此，應通過建立健全信息安全制度、定期組織信息安全非現場和現場檢查等方式，促進銀行做好系統加固工作，充分利用各種安全產品強化網絡安全防范，加強移動存儲介質管理，做好安全日志分析、預警和監測工作，防止植入木馬導致信息泄漏和來自內部的安全威脅。

五是增加業務持續動作能力，切實采取措施防范數據處理集中后的技術風險。

巴塞爾銀行業監管委員會共同論壇2006年8月了《業務連續性高級原則》將業務連續性管理定義為，發生中斷事件時，確保某些業務保持運行或在短時間內得到恢復的一整套辦法，包括政策、標準和程序。

業務連續性管理的實施在組織上的保證至關重要。人民銀行應指導金融業參照國外先進經驗，專門成立業務連續性管理指導委員會，將業務部門、風險管理部門和IT部門有關業務連續性的管理職責融于一處統籌管理。

目前，國內銀行災難備份和業務連續性管理主要集中在系統故障、人員操作、機房維護和短時間電力中斷等情況。在防范自然災害、重大疫情和恐怖襲擊等方面的應對管理還需加強。一是要強涮“突發”與“應急”。由于災害事件的不確定性，應急管理與保障工作必須建立在高強度的實戰性基礎上，使災難應急管理真正適應“應急”的要求。二是要擴大應急預案本身的覆蓋范圍。我國金融業災難備份及業務連續性管理主要集中在IT部門，遠遠不能適應業務連續性的需要，應當強調業務部門的參與，與IT部門共同構建適應現代金融業發展需要的應急保障體系，確保運營安全。

三、結束語

信息安全工作是一個系統工程，需要決策層、管理層、技術層通力配合，從安全制度建設和技術手段方面著手，加強信息安全意識的教育和培訓，增強自我保護意識，采取綜合的防范措施，并不斷改進和完善安全管理機制。要自始至終強化安全防范意識，采取全面、可行的安全防護措施，把安全風險降低到最小程度。金融業信息安全事關經濟金融的穩定大局，責任重大，金融業要未雨綢繆，認真貫徹落實國家信息安全的工作要求，加快建立完備的安全防護體系，積極應對挑戰。

人民銀行應以科學發展觀統領金融業信息化建設全局，充分發揮科技在履行央行職能中的支持、保障、指導、協調作用，全面推進金融業信息化建設，為促進我國經濟平穩運行發揮重要作用。