信息安全 金融業尚有硬仗要打

　　FN記者 潘竑

　　近年來發生的一系列典型的網絡攻擊事件中，大多數集中在金融領域。今年夏秋，猖獗一時的銀行卡短信詐騙事件，波及全國上百萬人，涉案總額超過千萬元。

　　相對于上述來自于外部的惡意攻擊，銀行內部的信息技術風險，同樣也不容忽視。

　　為進一步增強銀行業信息安全保障能力，有針對性地研究解決銀行重要信息系統、銀行卡和網上銀行所面臨的突出風險，11月25日，中國人民銀行主持召開了全國銀行業金融機構信息安全保障工作會議。本次會議不但明確了當前銀行業信息安全保障的目標和任務，更是細化了種種信息安全防御的原則和措施。可以說，銀行業已秣馬厲兵，準備打一場防范信息技術風險，鞏固運營安全的硬仗……

　　信息技術風險不可小覷

　　我們看到，一方面，銀行

　　安全是銀行取信于客戶的關鍵，缺乏安全保障，將直接影響銀行信譽，喪失客戶信任，影響銀行業務發展。更重要的是，解決不好信息安全問題，不但會給銀行帶來難以估量的經濟、信譽損失，還會導致社會重要服務功能中斷，嚴重影響國家經濟的正常運轉及社會穩定。

　　據一位權威人士介紹，多年來，我國銀行業初步建立起“以人為本、以管理為核心、以技術為依托”的信息安全綜合防御體系，較好地保障了信息系統的穩定安全運行。2000年至2004年期間，銀行停機10分鐘以上的重大事故次數逐年下降，事故造成的損失也趨于減少。但是，仍然存在不少亟待解決的問題。

　　首先，認識不到位，安全工作得不到應有的重視。一些銀行對信息安全缺乏全面深入的認識，安全工作局限于個別部門和崗位，缺乏全員安全防范意識。安全工作缺乏系統規劃和制度性保證，往往是出了問題才去彌補。

　　其次，缺乏與技術集約化相適應的管理體系。部分大集中后的數據中心很大程度上仍然沿用原來分散的生產管理模式，沒有在管理體制及資源配置等方面實施相應的變革，造成責任落實不到位，誤操作風險較大。

　　再次，無章可循、有章不循的問題仍然存在。部分現行技術法規和標準體系間，存在內容交叉、條塊分割、流程割裂、邊界定義不明確等突出問題。同一行為有多個行政實施主體，責任劃分模糊不清，安全問責制無從落實。

　　最后，缺乏統一協調，應急能力不強。有的銀行將專門的安全管理機構撤并到生產運營部門，有的銀行應急預案缺乏定期演練，特別是各部門共同參與的全面演練和生產系統實戰演練。

　　全方位構筑安全體系

　　解決信息安全問題，不只是銀行機構科技部門的事，還需要領導重視，機制保障，依托法律法規，融合技術與管理，形成合力，全方位構筑安全體系。

　　要突出安全保障的重點，即防范重大系統的運行故障和保證銀行卡、網上銀行等新興網絡金融業務的信息安全。各銀行應把防范重大系統的運行故障作為重中之重，切實采取措施，有效防范和控制系統性風險。

　　對于銀行卡的信息風險防范，要完善銀行卡賬戶信息和交易數據安全管理體系。對于網上銀行的信息安全保障，可從以下幾方面入手：一要制定和完善網上銀行相關的技術標準和規范。二要大力推行電子認證方式，采用統一的數字證書標準，有效解決好跨行認證、交叉認證等問題。三要加強網上銀行安全管理。

　　要建立健全與技術集約化相適應的集約化管理體系。從今年一些銀行發生的重大停機事故來看，事件的起因固然是局部設備故障，問題的根源卻在于對數據集中模式下“小故障導致大災難、局部問題波及全局”的嚴重危害性估計不足，應對不力。

　　要科學制定安全策略。宏觀策略上，通過規范信息系統建設，減少風險點，增強可控性。微觀策略上，在系統開發階段，合理規劃方案，強化上線測試，先期降低或消除系統的脆弱性。此外，還要加快技術法規、標準和制度體系建設，實施信息系統生命周期安全管理標準和制度。大力推進信息安全風險評估。

　　有關人士強調，必須從保障銀行業務持續運行的戰略高度，重視和做好應急工作。要完善信息系統的備份設施建設，加快信息系統同城、異地災難恢復系統建設步伐。要高度重視應急演練，已建立災難備份系統的銀行，在做好充分準備的情況下，每年至少要進行一次備份系統與生產系統的切換、運行演練。

　　理順關系化解風險

　　解決信息安全問題要付出一定的成本，而解決不好，就會付出更大的代價。對此，有專家提出，要構建統一協調、強而有力的銀行信息安全保障體系，需妥善處理好幾方面關系。一是局部與整體的關系。銀行體系各主體因站位角度不同，對信息安全的理解與把握程度也會各有不同。二是安全與發展的關系。銀行應做到以安全保發展，在發展中求安全，既不能因為要發展而拋棄安全，也不能因為要安全而限制發展。三是正確處理好安全與投入的關系。安全技術的發展是無止境的，安全資源的投入也是無止境的。

　　信息安全保障的核心意義在于主動防范和化解風險，因此，安全保障工作要做在前面，積極防御，注重事前控制。這就要求銀行必須盡快實現：從注重事后處理向注重事前預警的轉變、從單項安全控制向綜合安全控制的轉變、從技術與管理割裂向技術與管理融合的轉變。如此，才能構筑起立體化、多維度的安全防護體系，有效防范、控制和化解信息技術風險。