浅谈新形势下金融业信息安全面临的挑战与对策
发布时间:2015-07-04 20:12
近年来,随着经济全球化不断扩展,金融创新的广度和深度不断扩展,我国的金融业信息化工作得到快速发展,规范、方便、高效、安全的金融业信息化服务体系初步建成。与此同时,金融业对信息技术的依赖程度越来越大,金融业信息安全保障难度持续加大,给我国金融业信息安全带来新的更大的挑战。如何应对,要求我们必须高度重视。
一、面临的挑战
目前,金融业的业务开展更加依赖于信息技术的应用,特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而,信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。
一是人民银行的业务指导、监督管理滞后于金融业信息化发展。
与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。
二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的ic卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。
三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。
金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。
2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、visa和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。
由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。
四是数据大集中的同时,也使技术风险相对集中。
伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。
近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。
信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。
五是我国金融业的灾难处理能力有待加强。
据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。返观国外同业.多数国外银行已经做到了分行一级的灾难备份与恢复。这表明,我国金融业灾备中心建设同国外相比存在较大差距。
此外,国内金融机构的现有灾难备份中心布局不合理,过度集中在北京、上海两地,一旦发生区域性重大灾难,将对我国金融业整体运行状况带来极大危害,并造成过高的重建成本。
二、应对措施
按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案)规定,人民银行的主要职责之一是组织制定金融业信息化发展规划,负责金融标准化的组织管理协调工作,指导金融业信息安全工作。
在新形势下如何指导和协调金融业信息化建设和信息安全,是人民银行尤其是人民银行分支机构需要认真思考的问题。
金融业信息系统的安全是防范和化解金融风险的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系。
一是加强金融服务指导和行业监管。
应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制,强化信息安全手段和队伍建设,加强信息安全检测和准人制度,实施信息安全等级保护,建立信息资产风险评估体系,提高信息安全水平,保证金融稳定和经济发展。
人民银行分支机构应加强对中小金融机构的服务指导,尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导,帮助中小金融机构借鉴成功经验,规避风险,实现跨越式发展。
二是研究建立跨部门的现代化金融业信息安全管理网络。真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。
在正确评估我国金融网络现状的基础上,借鉴国外的组网模式,尽快建立适应我国金融业信息化建设和发展实际的高速、安全和先进的网络框架,在建设时要充分考虑到网络的兼容性和拓展性,为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,必须充分认识到金融业信息安全对整体业务和金融体系,乃至经济体系的影响,牢固树立风险防范意识,把信息科技作为风险管理的重要手段。
三是人民银行要协调督促金融机构,加强自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。
对采购或使用的信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,也须保证其可知可控,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。
对须引进的,实行市场准人制度,并引进权威机构对其产品进行风险、安全、实用等综合性评估。
对各地区一些科技水平还比较低的中小金融机构,要加大支持力度,加强行业内部的交流合作。针对目前金融业,特别是中小金融机构的信息系统的开发、建设和运维采用it外包的形式,应出台相应的政策、制度和措施,促进it外包健康快速发展,约定监管机制,规范服务商的服务标准和流程,使it外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。
四是建立健全信息安全管理制度,定期进行信息安全检查,加强网络安全攻击防范。
由于金融业的组织结构和业务运营方式,使网络必定要建成一个同internet和外部线路有较密切关系的结构,各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的,也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等,特别是在网络上运行关键业务时,网络安全问题更是要优先解决的问题。因此,应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进银行做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
五是增加业务持续动作能力,切实采取措施防范数据处理集中后的技术风险。
巴塞尔银行业监管委员会共同论坛2006年8月发布了《业务连续性高级原则》将业务连续性管理定义为,发生中断事件时,确保某些业务保持运行或在短时间内得到恢复的一整套办法,包括政策、标准和程序。
业务连续性管理的实施在组织上的保证至关重要。人民银行应指导金融业参照国外先进经验,专门成立业务连续性管理指导委员会,将业务部门、风险管理部门和it部门有关业务连续性的管理职责融于一处统筹管理。
目前,国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在it部门,远远不能适应业务连续性的需要,应当强调业务部门的参与,与it部门共同构建适应现代金融业发展需要的应急保障体系,确保运营安全。
三、结束语
信息安全工作是一个系统工程,需要决策层、管理层、技术层通力配合,从安全制度建设和技术手段方面着手,加强信息安全意识的教育和培训,增强自我保护意识,采取综合的防范措施,并不断改进和完善安全管理机制。要自始至终强化安全防范意识,采取全面、可行的安全防护措施,把安全风险降低到最小程度。金融业信息安全事关经济金融的稳定大局,责任重大,金融业要未雨绸缪,认真贯彻落实国家信息安全的工作要求,加快建立完备的安全防护体系,积极应对挑战。
人民银行应以科学发展观统领金融业信息化建设全局,充分发挥科技在履行央行职能中的支持、保障、指导、协调作用,全面推进金融业信息化建设,为促进我国经济平稳运行发挥重要作用。
一、面临的挑战
目前,金融业的业务开展更加依赖于信息技术的应用,特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而,信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。
一是人民银行的业务指导、监督管理滞后于金融业信息化发展。
与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。
二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的ic卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。
三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。
金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。
2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、visa和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。
由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。
四是数据大集中的同时,也使技术风险相对集中。
伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。
近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。
信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。
五是我国金融业的灾难处理能力有待加强。
据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。返观国外同业.多数国外银行已经做到了分行一级的灾难备份与恢复。这表明,我国金融业灾备中心建设同国外相比存在较大差距。
此外,国内金融机构的现有灾难备份中心布局不合理,过度集中在北京、上海两地,一旦发生区域性重大灾难,将对我国金融业整体运行状况带来极大危害,并造成过高的重建成本。
二、应对措施
按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案)规定,人民银行的主要职责之一是组织制定金融业信息化发展规划,负责金融标准化的组织管理协调工作,指导金融业信息安全工作。
在新形势下如何指导和协调金融业信息化建设和信息安全,是人民银行尤其是人民银行分支机构需要认真思考的问题。
金融业信息系统的安全是防范和化解金融风险的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系。
一是加强金融服务指导和行业监管。
应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制,强化信息安全手段和队伍建设,加强信息安全检测和准人制度,实施信息安全等级保护,建立信息资产风险评估体系,提高信息安全水平,保证金融稳定和经济发展。
人民银行分支机构应加强对中小金融机构的服务指导,尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导,帮助中小金融机构借鉴成功经验,规避风险,实现跨越式发展。
各级人民银行,应牵头成立金融业信息安全领导小组,并建立和完善信息安全通报制度、报告制度和联席会议制度,建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制,随时处置和协调金融机构安全事件,以迅速应对突发事件的发生,降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。
二是研究建立跨部门的现代化金融业信息安全管理网络。真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。
在正确评估我国金融网络现状的基础上,借鉴国外的组网模式,尽快建立适应我国金融业信息化建设和发展实际的高速、安全和先进的网络框架,在建设时要充分考虑到网络的兼容性和拓展性,为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,必须充分认识到金融业信息安全对整体业务和金融体系,乃至经济体系的影响,牢固树立风险防范意识,把信息科技作为风险管理的重要手段。
三是人民银行要协调督促金融机构,加强自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。
对采购或使用的信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,也须保证其可知可控,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。
对须引进的,实行市场准人制度,并引进权威机构对其产品进行风险、安全、实用等综合性评估。
对各地区一些科技水平还比较低的中小金融机构,要加大支持力度,加强行业内部的交流合作。针对目前金融业,特别是中小金融机构的信息系统的开发、建设和运维采用it外包的形式,应出台相应的政策、制度和措施,促进it外包健康快速发展,约定监管机制,规范服务商的服务标准和流程,使it外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。
四是建立健全信息安全管理制度,定期进行信息安全检查,加强网络安全攻击防范。
由于金融业的组织结构和业务运营方式,使网络必定要建成一个同internet和外部线路有较密切关系的结构,各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的,也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等,特别是在网络上运行关键业务时,网络安全问题更是要优先解决的问题。因此,应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进银行做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
五是增加业务持续动作能力,切实采取措施防范数据处理集中后的技术风险。
巴塞尔银行业监管委员会共同论坛2006年8月发布了《业务连续性高级原则》将业务连续性管理定义为,发生中断事件时,确保某些业务保持运行或在短时间内得到恢复的一整套办法,包括政策、标准和程序。
业务连续性管理的实施在组织上的保证至关重要。人民银行应指导金融业参照国外先进经验,专门成立业务连续性管理指导委员会,将业务部门、风险管理部门和it部门有关业务连续性的管理职责融于一处统筹管理。
目前,国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在it部门,远远不能适应业务连续性的需要,应当强调业务部门的参与,与it部门共同构建适应现代金融业发展需要的应急保障体系,确保运营安全。
三、结束语
信息安全工作是一个系统工程,需要决策层、管理层、技术层通力配合,从安全制度建设和技术手段方面着手,加强信息安全意识的教育和培训,增强自我保护意识,采取综合的防范措施,并不断改进和完善安全管理机制。要自始至终强化安全防范意识,采取全面、可行的安全防护措施,把安全风险降低到最小程度。金融业信息安全事关经济金融的稳定大局,责任重大,金融业要未雨绸缪,认真贯彻落实国家信息安全的工作要求,加快建立完备的安全防护体系,积极应对挑战。
人民银行应以科学发展观统领金融业信息化建设全局,充分发挥科技在履行央行职能中的支持、保障、指导、协调作用,全面推进金融业信息化建设,为促进我国经济平稳运行发挥重要作用。
上一篇:虚拟经济与金融市场的若干问题研究