近年來�,隨著經(jīng)濟(jì)全球化不斷擴(kuò)展�,金融創(chuàng)新的廣度和深度不斷擴(kuò)展���,我國的金融業(yè)信息化工作得到快速發(fā)展�,規(guī)范��、方便、高效、安全的金融業(yè)信息化服務(wù)體系初步建成。與此同時,金融業(yè)對信息技術(shù)的依賴程度越來越大����,金融業(yè)信息安全保障難度持續(xù)加大,給我國金融業(yè)信息安全帶來新的更大的挑戰(zhàn)。如何應(yīng)對���,要求我們必須高度重視�。
一��、面臨的挑戰(zhàn)
目前���,金融業(yè)的業(yè)務(wù)開展更加依賴于信息技術(shù)的應(yīng)用,特別是以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個新的階段。因而,信息技術(shù)風(fēng)險也自然成為中國金融機(jī)構(gòu)操作風(fēng)險的重要方面�。金融業(yè)信息安全工作正面臨比以往更嚴(yán)峻的形勢,圍繞信息網(wǎng)絡(luò)空間的斗爭日趨尖銳���,境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速遞增趨勢,惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化局面,金融業(yè)信息系統(tǒng)安全運(yùn)行的難度加大,挑戰(zhàn)增多。
一是人民銀行的業(yè)務(wù)指導(dǎo)����、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。
與金融業(yè)信息化的高速發(fā)展相比���,金融業(yè)信息安全的指導(dǎo)�、監(jiān)管工作還需要進(jìn)一步加強(qiáng)�。國內(nèi)曾有專家明確提出�,在金融信息化�����、網(wǎng)絡(luò)化時代��,“信息資產(chǎn)風(fēng)險監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念��。”信息資產(chǎn)風(fēng)險指在信息化中��,信息資產(chǎn)的規(guī)劃�、設(shè)計、開發(fā)、生成�、存在�、運(yùn)用、服務(wù)����、管理、維護(hù)�����、監(jiān)管以及其他相關(guān)過程中產(chǎn)生的信用、市場�����、操作與業(yè)務(wù)風(fēng)險�。人民銀行在金融信息規(guī)劃、信息標(biāo)準(zhǔn)�����、信息安全等諸多方面承擔(dān)著重要職責(zé)�����,在2008奧運(yùn)年中發(fā)揮了重要���、積極的作用��。但總體來看��,人民銀行及其分支行對金融機(jī)構(gòu)信息安全工作的指導(dǎo)和監(jiān)管�,還處于初級階段�����,由于人民銀行分支機(jī)構(gòu)對各金融機(jī)構(gòu)信息安全缺乏指導(dǎo)�����、缺乏統(tǒng)一的監(jiān)管目標(biāo)�、缺乏完整的認(rèn)識,以及缺乏監(jiān)督管理的依據(jù)和標(biāo)準(zhǔn)��,從而導(dǎo)致監(jiān)管措施不到位,監(jiān)管手段缺失����,致使基層行監(jiān)管缺乏主動性����。
二是核心設(shè)備和技術(shù)依賴于國外,底層技術(shù)難以掌握,存在安全隱患�。
目前��,我國金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)中��,大量使用國外廠商生產(chǎn)的設(shè)備���,這些設(shè)備使用的操作系統(tǒng)、數(shù)據(jù)庫���、芯片也大多數(shù)是由國外廠商生產(chǎn)���。外方不可能提供設(shè)備的核心技術(shù)和專利,我方很難判斷設(shè)備是否存在“后門”����、“軟件陷阱”、“系統(tǒng)漏洞”���、“軟件炸彈”等安全漏洞��。據(jù)調(diào)查��,一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品�,都不可避免地存在一定的安全漏洞。這些漏洞可能是開發(fā)過程中有意預(yù)留����,也可能是無意疏忽造成的。特殊情況下���,特定安全漏洞可能被利用實施人侵�����,修改或破壞設(shè)備程序���,或從設(shè)備中竊取機(jī)密數(shù)據(jù)和信息。前一階段國外炒作的IC卡安全問題以及近年來出現(xiàn)的微軟“黑屏事件”�����,已經(jīng)為我們敲響了警鐘�。
三是境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速遞增趨勢,新技術(shù)的應(yīng)用使我們面臨更大的挑戰(zhàn)�����。
金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對勢力���、不法分子進(jìn)行攻擊�、破壞和恐怖活動的重點(diǎn)目標(biāo)。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊�����,整體信息安全形勢嚴(yán)峻�����。2009年國防科技大學(xué)的一項研究表明����,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵人��,其中銀行���、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)�����。
2005年6月18日�����,被稱為有史以來最嚴(yán)重的信息安全案件在美國爆發(fā)���,萬事達(dá)���、VISA和美國運(yùn)通公司的主要服務(wù)商的數(shù)據(jù)處理中心網(wǎng)絡(luò)被黑客程序侵人,導(dǎo)致4000萬個賬戶信息被黑客截獲�����,使客戶資金處于十分危險的狀態(tài)��。
由此可見���,基于開放性網(wǎng)絡(luò)的金融服務(wù)對我國金融信息安全工作提出嚴(yán)峻的挑戰(zhàn)��。
四是數(shù)據(jù)大集中的同時����,也使技術(shù)風(fēng)險相對集中�����。
伴隨著數(shù)據(jù)大集中的實現(xiàn)����,風(fēng)險也相對集中.一旦數(shù)據(jù)中心發(fā)生災(zāi)難����,將導(dǎo)致金融業(yè)的所有分支機(jī)構(gòu)�����、營業(yè)網(wǎng)點(diǎn)和全部的業(yè)務(wù)處理停頓����,或造成客戶重要數(shù)據(jù)的丟失,其后果不堪設(shè)想���。
近年來���,國內(nèi)外金融機(jī)構(gòu)因為信息技術(shù)系統(tǒng)故障導(dǎo)致大面積����、較長時問業(yè)務(wù)中斷的事件時有發(fā)生。2006年����,日本花旗銀行出現(xiàn)交易系統(tǒng)故障���,5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃或交易后未作月結(jié)記錄,造成該行的重大聲譽(yù)損失��。
信息系統(tǒng)潛在的風(fēng)險已引起金融業(yè)的高度重視��,如何保障后數(shù)據(jù)大集中時代金融業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行�,是需要整個金融業(yè)深入研究的課題。
五是我國金融業(yè)的災(zāi)難處理能力有待加強(qiáng)����。
據(jù)人民銀行在2009年對21家全國性商業(yè)銀行災(zāi)備中心建設(shè)情況的調(diào)查顯示,僅有3家建立了同城和異地災(zāi)備中心�����,9家建立了同城災(zāi)備中心�,6家建立了異地災(zāi)備中心,尚有3家沒有建立災(zāi)備中心�。返觀國外同業(yè).多數(shù)國外銀行已經(jīng)做到了分行一級的災(zāi)難備份與恢復(fù)。這表明�,我國金融業(yè)災(zāi)備中心建設(shè)同國外相比存在較大差距。
此外����,國內(nèi)金融機(jī)構(gòu)的現(xiàn)有災(zāi)難備份中心布局不合理����,過度集中在北京����、上海兩地,一旦發(fā)生區(qū)域性重大災(zāi)難��,將對我國金融業(yè)整體運(yùn)行狀況帶來極大危害�,并造成過高的重建成本。
二����、應(yīng)對措施
按照《國務(wù)院辦公廳關(guān)于印發(fā)中國人民銀行主要職責(zé)內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定的通知》(新“三定”方案) 規(guī)定,人民銀行的主要職責(zé)之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃���,負(fù)責(zé)金融標(biāo)準(zhǔn)化的組織管理協(xié)調(diào)工作��,指導(dǎo)金融業(yè)信息安全工作����。
在新形勢下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建設(shè)和信息安全,是人民銀行尤其是人民銀行分支機(jī)構(gòu)需要認(rèn)真思考的問題���。
金融業(yè)信息系統(tǒng)的安全是防范和化解金融風(fēng)險的重要組成部分��,要依靠法律�、管理機(jī)制、技術(shù)保障等多方面相互配合����,形成一個完整的安全保障體系。
一是加強(qiáng)金融服務(wù)指導(dǎo)和行業(yè)監(jiān)管����。
應(yīng)建立跨部門的金融業(yè)信息安全協(xié)調(diào)機(jī)制以及重點(diǎn)時期的安保工作機(jī)制,強(qiáng)化信息安全手段和隊伍建設(shè)�,加強(qiáng)信息安全檢測和準(zhǔn)人制度,實施信息安全等級保護(hù)�����,建立信息資產(chǎn)風(fēng)險評估體系�����,提高信息安全水平���,保證金融穩(wěn)定和經(jīng)濟(jì)發(fā)展��。
人民銀行分支機(jī)構(gòu)應(yīng)加強(qiáng)對中小金融機(jī)構(gòu)的服務(wù)指導(dǎo)���,尤其是在核心業(yè)務(wù)系統(tǒng)建設(shè)��、災(zāi)備建設(shè)和信息安全方面給予具體指導(dǎo),幫助中小金融機(jī)構(gòu)借鑒成功經(jīng)驗���,規(guī)避風(fēng)險�����,實現(xiàn)跨越式發(fā)展。
各級人民銀行��,應(yīng)牽頭成立金融業(yè)信息安全領(lǐng)導(dǎo)小組����,并建立和完善信息安全通報制度��、報告制度和聯(lián)席會議制度���,建立健全一個運(yùn)轉(zhuǎn)靈活���、反應(yīng)靈敏的信息安全應(yīng)急處理協(xié)調(diào)機(jī)制���,隨時處置和協(xié)調(diào)金融機(jī)構(gòu)安全事件����,以迅速應(yīng)對突發(fā)事件的發(fā)生���,降低或消除金融機(jī)構(gòu)網(wǎng)絡(luò)和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。
二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡(luò)��。真正實現(xiàn)對金融機(jī)構(gòu)信息安全風(fēng)險的及時�、動態(tài)��、全面����、連續(xù)的監(jiān)管。
在正確評估我國金融網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上�����,借鑒國外的組網(wǎng)模式,盡快建立適應(yīng)我國金融業(yè)信息化建設(shè)和發(fā)展實際的高速�����、安全和先進(jìn)的網(wǎng)絡(luò)框架�,在建設(shè)時要充分考慮到網(wǎng)絡(luò)的兼容性和拓展性,為下一步與各金融業(yè)的網(wǎng)絡(luò)互聯(lián)做準(zhǔn)備��。同時促進(jìn)各家金融機(jī)構(gòu)完善內(nèi)控機(jī)制����,保障運(yùn)行安全。現(xiàn)代金融業(yè)高度依賴信息技術(shù)�,必須充分認(rèn)識到金融業(yè)信息安全對整體業(yè)務(wù)和金融體系,乃至經(jīng)濟(jì)體系的影響��,牢固樹立風(fēng)險防范意識�,把信息科技作為風(fēng)險管理的重要手段。
三是人民銀行要協(xié)調(diào)督促金融機(jī)構(gòu)�����,加強(qiáng)自主創(chuàng)新����,加大對國產(chǎn)軟硬件采購力度���,努力減少和降低一些關(guān)鍵領(lǐng)域的對外技術(shù)依賴�����。
對采購或使用的信息技術(shù)和產(chǎn)品����,能自主的就要千方百計地推進(jìn)自主,不能自主的���,也須保證其可知可控����,也就是說����,要對信息技術(shù)產(chǎn)品的風(fēng)險和隱患、漏洞和問題做到“心中有底��、手中有招���、控制有術(shù)”�����。
對須引進(jìn)的�����,實行市場準(zhǔn)人制度��,并引進(jìn)權(quán)威機(jī)構(gòu)對其產(chǎn)品進(jìn)行風(fēng)險���、安全、實用等綜合性評估���。
對各地區(qū)一些科技水平還比較低的中小金融機(jī)構(gòu)���,要加大支持力度,加強(qiáng)行業(yè)內(nèi)部的交流合作��。針對目前金融業(yè)��,特別是中小金融機(jī)構(gòu)的信息系統(tǒng)的開發(fā)����、建設(shè)和運(yùn)維采用IT外包的形式�,應(yīng)出臺相應(yīng)的政策�、制度和措施,促進(jìn)IT外包健康快速發(fā)展���,約定監(jiān)管機(jī)制��,規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程,使IT外包以服務(wù)行為的公司化��、強(qiáng)大的配套支持能力��、靈活的外包服務(wù)方式成為金融機(jī)構(gòu)快速發(fā)展的可行之道��。
四是建立健全信息安全管理制度�����,定期進(jìn)行信息安全檢查��,加強(qiáng)網(wǎng)絡(luò)安全攻擊防范��。
由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務(wù)運(yùn)營方式�����,使網(wǎng)絡(luò)必定要建成一個同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu),各種網(wǎng)絡(luò)訪問上的安全問題也隨之產(chǎn)生�����。金融網(wǎng)絡(luò)系統(tǒng)面臨的攻擊有來自內(nèi)部的��,也有來自外部的��。攻擊的后果將造成信息失密��、信息遭篡改���、身份遭假冒和偽造等�,特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時���,網(wǎng)絡(luò)安全問題更是要優(yōu)先解決的問題���。因此,應(yīng)通過建立健全信息安全制度���、定期組織信息安全非現(xiàn)場和現(xiàn)場檢查等方式�����,促進(jìn)銀行做好系統(tǒng)加固工作����,充分利用各種安全產(chǎn)品強(qiáng)化網(wǎng)絡(luò)安全防范,加強(qiáng)移動存儲介質(zhì)管理�����,做好安全日志分析�����、預(yù)警和監(jiān)測工作�����,防止植入木馬導(dǎo)致信息泄漏和來自內(nèi)部的安全威脅�。
五是增加業(yè)務(wù)持續(xù)動作能力����,切實采取措施防范數(shù)據(jù)處理集中后的技術(shù)風(fēng)險。
巴塞爾銀行業(yè)監(jiān)管委員會共同論壇2006年8月發(fā)布了《業(yè)務(wù)連續(xù)性高級原則》將業(yè)務(wù)連續(xù)性管理定義為����,發(fā)生中斷事件時��,確保某些業(yè)務(wù)保持運(yùn)行或在短時間內(nèi)得到恢復(fù)的一整套辦法���,包括政策、標(biāo)準(zhǔn)和程序�。
業(yè)務(wù)連續(xù)性管理的實施在組織上的保證至關(guān)重要。人民銀行應(yīng)指導(dǎo)金融業(yè)參照國外先進(jìn)經(jīng)驗����,專門成立業(yè)務(wù)連續(xù)性管理指導(dǎo)委員會,將業(yè)務(wù)部門��、風(fēng)險管理部門和IT部門有關(guān)業(yè)務(wù)連續(xù)性的管理職責(zé)融于一處統(tǒng)籌管理�。
目前,國內(nèi)銀行災(zāi)難備份和業(yè)務(wù)連續(xù)性管理主要集中在系統(tǒng)故障�����、人員操作�、機(jī)房維護(hù)和短時間電力中斷等情況。在防范自然災(zāi)害�、重大疫情和恐怖襲擊等方面的應(yīng)對管理還需加強(qiáng)。一是要強(qiáng)涮“突發(fā)”與“應(yīng)急”。由于災(zāi)害事件的不確定性����,應(yīng)急管理與保障工作必須建立在高強(qiáng)度的實戰(zhàn)性基礎(chǔ)上,使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急”的要求����。二是要擴(kuò)大應(yīng)急預(yù)案本身的覆蓋范圍。我國金融業(yè)災(zāi)難備份及業(yè)務(wù)連續(xù)性管理主要集中在IT部門����,遠(yuǎn)遠(yuǎn)不能適應(yīng)業(yè)務(wù)連續(xù)性的需要,應(yīng)當(dāng)強(qiáng)調(diào)業(yè)務(wù)部門的參與�����,與IT部門共同構(gòu)建適應(yīng)現(xiàn)代金融業(yè)發(fā)展需要的應(yīng)急保障體系�,確保運(yùn)營安全。
三�����、結(jié)束語
信息安全工作是一個系統(tǒng)工程�,需要決策層���、管理層���、技術(shù)層通力配合����,從安全制度建設(shè)和技術(shù)手段方面著手���,加強(qiáng)信息安全意識的教育和培訓(xùn)�,增強(qiáng)自我保護(hù)意識�����,采取綜合的防范措施�,并不斷改進(jìn)和完善安全管理機(jī)制。要自始至終強(qiáng)化安全防范意識����,采取全面、可行的安全防護(hù)措施����,把安全風(fēng)險降低到最小程度。金融業(yè)信息安全事關(guān)經(jīng)濟(jì)金融的穩(wěn)定大局����,責(zé)任重大���,金融業(yè)要未雨綢繆,認(rèn)真貫徹落實國家信息安全的工作要求�,加快建立完備的安全防護(hù)體系,積極應(yīng)對挑戰(zhàn)�。
人民銀行應(yīng)以科學(xué)發(fā)展觀統(tǒng)領(lǐng)金融業(yè)信息化建設(shè)全局,充分發(fā)揮科技在履行央行職能中的支持��、保障�、指導(dǎo)、協(xié)調(diào)作用����,全面推進(jìn)金融業(yè)信息化建設(shè),為促進(jìn)我國經(jīng)濟(jì)平穩(wěn)運(yùn)行發(fā)揮重要作用����。
