近年來�,隨著經(jīng)濟全球化不斷擴展,金融創(chuàng)新的廣度和深度不斷擴展�����,我國的金融業(yè)信息化工作得到快速發(fā)展�����,規(guī)范��、方便��、高效�、安全的金融業(yè)信息化服務體系初步建成。與此同時�,金融業(yè)對信息技術(shù)的依賴程度越來越大,金融業(yè)信息安全保障難度持續(xù)加大�,給我國金融業(yè)信息安全帶來新的更大的挑戰(zhàn)。如何應對�,要求我們必須高度重視。
一�、面臨的挑戰(zhàn)
目前,金融業(yè)的業(yè)務開展更加依賴于信息技術(shù)的應用��,特別是以綜合業(yè)務系統(tǒng)整合�、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個新的階段�。因而�����,信息技術(shù)風險也自然成為中國金融機構(gòu)操作風險的重要方面��。金融業(yè)信息安全工作正面臨比以往更嚴峻的形勢�,圍繞信息網(wǎng)絡空間的斗爭日趨尖銳�����,境內(nèi)外網(wǎng)絡違法犯罪活動呈快速遞增趨勢�����,惡意代碼和網(wǎng)絡攻擊呈多樣化局面�����,金融業(yè)信息系統(tǒng)安全運行的難度加大�,挑戰(zhàn)增多。
一是人民銀行的業(yè)務指導�、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。
與金融業(yè)信息化的高速發(fā)展相比��,金融業(yè)信息安全的指導、監(jiān)管工作還需要進一步加強��。國內(nèi)曾有專家明確提出�����,在金融信息化�、網(wǎng)絡化時代,“信息資產(chǎn)風險監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念�。”信息資產(chǎn)風險指在信息化中,信息資產(chǎn)的規(guī)劃�����、設計�����、開發(fā)�、生成、存在��、運用�����、服務、管理�、維護、監(jiān)管以及其他相關(guān)過程中產(chǎn)生的信用�、市場、操作與業(yè)務風險�。人民銀行在金融信息規(guī)劃�、信息標準、信息安全等諸多方面承擔著重要職責�,在2008奧運年中發(fā)揮了重要、積極的作用�。但總體來看,人民銀行及其分支行對金融機構(gòu)信息安全工作的指導和監(jiān)管�,還處于初級階段,由于人民銀行分支機構(gòu)對各金融機構(gòu)信息安全缺乏指導�、缺乏統(tǒng)一的監(jiān)管目標、缺乏完整的認識����,以及缺乏監(jiān)督管理的依據(jù)和標準,從而導致監(jiān)管措施不到位����,監(jiān)管手段缺失,致使基層行監(jiān)管缺乏主動性�。
二是核心設備和技術(shù)依賴于國外����,底層技術(shù)難以掌握�,存在安全隱患。
目前�,我國金融業(yè)信息系統(tǒng)和網(wǎng)絡中,大量使用國外廠商生產(chǎn)的設備�,這些設備使用的操作系統(tǒng)、數(shù)據(jù)庫����、芯片也大多數(shù)是由國外廠商生產(chǎn)。外方不可能提供設備的核心技術(shù)和專利����,我方很難判斷設備是否存在“后門”、“軟件陷阱”�、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞�。據(jù)調(diào)查,一些重要網(wǎng)絡系統(tǒng)中使用的信息技術(shù)產(chǎn)品�,都不可避免地存在一定的安全漏洞。這些漏洞可能是開發(fā)過程中有意預留�����,也可能是無意疏忽造成的。特殊情況下�,特定安全漏洞可能被利用實施人侵,修改或破壞設備程序����,或從設備中竊取機密數(shù)據(jù)和信息。前一階段國外炒作的IC卡安全問題以及近年來出現(xiàn)的微軟“黑屏事件”����,已經(jīng)為我們敲響了警鐘�����。
三是境內(nèi)外網(wǎng)絡違法犯罪活動呈快速遞增趨勢����,新技術(shù)的應用使我們面臨更大的挑戰(zhàn)。
金融業(yè)信息網(wǎng)絡和重要信息系統(tǒng)正成為敵對勢力�、不法分子進行攻擊、破壞和恐怖活動的重點目標�����。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊�����,整體信息安全形勢嚴峻。2009年國防科技大學的一項研究表明����,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵人,其中銀行�����、金融和證券機構(gòu)是攻擊重點�����。
2005年6月18日�,被稱為有史以來最嚴重的信息安全案件在美國爆發(fā),萬事達����、VISA和美國運通公司的主要服務商的數(shù)據(jù)處理中心網(wǎng)絡被黑客程序侵人,導致4000萬個賬戶信息被黑客截獲����,使客戶資金處于十分危險的狀態(tài)。
由此可見,基于開放性網(wǎng)絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰(zhàn)�。
四是數(shù)據(jù)大集中的同時,也使技術(shù)風險相對集中����。
伴隨著數(shù)據(jù)大集中的實現(xiàn),風險也相對集中.一旦數(shù)據(jù)中心發(fā)生災難����,將導致金融業(yè)的所有分支機構(gòu)、營業(yè)網(wǎng)點和全部的業(yè)務處理停頓����,或造成客戶重要數(shù)據(jù)的丟失,其后果不堪設想�����。
近年來����,國內(nèi)外金融機構(gòu)因為信息技術(shù)系統(tǒng)故障導致大面積����、較長時問業(yè)務中斷的事件時有發(fā)生。2006年,日本花旗銀行出現(xiàn)交易系統(tǒng)故障����,5天內(nèi)約27.5萬筆公用事業(yè)繳費遭重復扣劃或交易后未作月結(jié)記錄,造成該行的重大聲譽損失����。
信息系統(tǒng)潛在的風險已引起金融業(yè)的高度重視,如何保障后數(shù)據(jù)大集中時代金融業(yè)信息系統(tǒng)安全穩(wěn)定運行�����,是需要整個金融業(yè)深入研究的課題�����。
五是我國金融業(yè)的災難處理能力有待加強�。
據(jù)人民銀行在2009年對21家全國性商業(yè)銀行災備中心建設情況的調(diào)查顯示,僅有3家建立了同城和異地災備中心����,9家建立了同城災備中心,6家建立了異地災備中心�����,尚有3家沒有建立災備中心。返觀國外同業(yè).多數(shù)國外銀行已經(jīng)做到了分行一級的災難備份與恢復�。這表明,我國金融業(yè)災備中心建設同國外相比存在較大差距�。
此外,國內(nèi)金融機構(gòu)的現(xiàn)有災難備份中心布局不合理����,過度集中在北京、上海兩地�,一旦發(fā)生區(qū)域性重大災難,將對我國金融業(yè)整體運行狀況帶來極大危害����,并造成過高的重建成本。
二�、應對措施
按照《國務院辦公廳關(guān)于印發(fā)中國人民銀行主要職責內(nèi)設機構(gòu)和人員編制規(guī)定的通知》(新“三定”方案) 規(guī)定,人民銀行的主要職責之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃����,負責金融標準化的組織管理協(xié)調(diào)工作�,指導金融業(yè)信息安全工作。
在新形勢下如何指導和協(xié)調(diào)金融業(yè)信息化建設和信息安全����,是人民銀行尤其是人民銀行分支機構(gòu)需要認真思考的問題。
金融業(yè)信息系統(tǒng)的安全是防范和化解金融風險的重要組成部分,要依靠法律�、管理機制、技術(shù)保障等多方面相互配合�,形成一個完整的安全保障體系。
一是加強金融服務指導和行業(yè)監(jiān)管�。
應建立跨部門的金融業(yè)信息安全協(xié)調(diào)機制以及重點時期的安保工作機制,強化信息安全手段和隊伍建設�����,加強信息安全檢測和準人制度�����,實施信息安全等級保護�����,建立信息資產(chǎn)風險評估體系�����,提高信息安全水平����,保證金融穩(wěn)定和經(jīng)濟發(fā)展����。
人民銀行分支機構(gòu)應加強對中小金融機構(gòu)的服務指導�,尤其是在核心業(yè)務系統(tǒng)建設、災備建設和信息安全方面給予具體指導�,幫助中小金融機構(gòu)借鑒成功經(jīng)驗,規(guī)避風險�,實現(xiàn)跨越式發(fā)展。
各級人民銀行�����,應牽頭成立金融業(yè)信息安全領導小組�����,并建立和完善信息安全通報制度�����、報告制度和聯(lián)席會議制度�����,建立健全一個運轉(zhuǎn)靈活�����、反應靈敏的信息安全應急處理協(xié)調(diào)機制�,隨時處置和協(xié)調(diào)金融機構(gòu)安全事件,以迅速應對突發(fā)事件的發(fā)生�����,降低或消除金融機構(gòu)網(wǎng)絡和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失�。
二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡。真正實現(xiàn)對金融機構(gòu)信息安全風險的及時�、動態(tài)、全面����、連續(xù)的監(jiān)管。
在正確評估我國金融網(wǎng)絡現(xiàn)狀的基礎上�����,借鑒國外的組網(wǎng)模式�����,盡快建立適應我國金融業(yè)信息化建設和發(fā)展實際的高速����、安全和先進的網(wǎng)絡框架����,在建設時要充分考慮到網(wǎng)絡的兼容性和拓展性�����,為下一步與各金融業(yè)的網(wǎng)絡互聯(lián)做準備�����。同時促進各家金融機構(gòu)完善內(nèi)控機制����,保障運行安全。現(xiàn)代金融業(yè)高度依賴信息技術(shù)����,必須充分認識到金融業(yè)信息安全對整體業(yè)務和金融體系,乃至經(jīng)濟體系的影響�,牢固樹立風險防范意識,把信息科技作為風險管理的重要手段����。
三是人民銀行要協(xié)調(diào)督促金融機構(gòu)�,加強自主創(chuàng)新����,加大對國產(chǎn)軟硬件采購力度�����,努力減少和降低一些關(guān)鍵領域的對外技術(shù)依賴�。
對采購或使用的信息技術(shù)和產(chǎn)品,能自主的就要千方百計地推進自主�,不能自主的,也須保證其可知可控�,也就是說,要對信息技術(shù)產(chǎn)品的風險和隱患�、漏洞和問題做到“心中有底、手中有招����、控制有術(shù)”。
對須引進的�,實行市場準人制度,并引進權(quán)威機構(gòu)對其產(chǎn)品進行風險����、安全�、實用等綜合性評估�。
對各地區(qū)一些科技水平還比較低的中小金融機構(gòu),要加大支持力度�,加強行業(yè)內(nèi)部的交流合作。針對目前金融業(yè)�,特別是中小金融機構(gòu)的信息系統(tǒng)的開發(fā)、建設和運維采用IT外包的形式�,應出臺相應的政策、制度和措施����,促進IT外包健康快速發(fā)展,約定監(jiān)管機制�,規(guī)范服務商的服務標準和流程,使IT外包以服務行為的公司化�����、強大的配套支持能力�����、靈活的外包服務方式成為金融機構(gòu)快速發(fā)展的可行之道����。
四是建立健全信息安全管理制度�,定期進行信息安全檢查����,加強網(wǎng)絡安全攻擊防范。
由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務運營方式����,使網(wǎng)絡必定要建成一個同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu)�����,各種網(wǎng)絡訪問上的安全問題也隨之產(chǎn)生�。金融網(wǎng)絡系統(tǒng)面臨的攻擊有來自內(nèi)部的,也有來自外部的�。攻擊的后果將造成信息失密、信息遭篡改����、身份遭假冒和偽造等,特別是在網(wǎng)絡上運行關(guān)鍵業(yè)務時�����,網(wǎng)絡安全問題更是要優(yōu)先解決的問題。因此����,應通過建立健全信息安全制度、定期組織信息安全非現(xiàn)場和現(xiàn)場檢查等方式����,促進銀行做好系統(tǒng)加固工作,充分利用各種安全產(chǎn)品強化網(wǎng)絡安全防范�,加強移動存儲介質(zhì)管理,做好安全日志分析����、預警和監(jiān)測工作,防止植入木馬導致信息泄漏和來自內(nèi)部的安全威脅�。
五是增加業(yè)務持續(xù)動作能力,切實采取措施防范數(shù)據(jù)處理集中后的技術(shù)風險����。
巴塞爾銀行業(yè)監(jiān)管委員會共同論壇2006年8月發(fā)布了《業(yè)務連續(xù)性高級原則》將業(yè)務連續(xù)性管理定義為,發(fā)生中斷事件時�,確保某些業(yè)務保持運行或在短時間內(nèi)得到恢復的一整套辦法,包括政策�����、標準和程序。
業(yè)務連續(xù)性管理的實施在組織上的保證至關(guān)重要����。人民銀行應指導金融業(yè)參照國外先進經(jīng)驗,專門成立業(yè)務連續(xù)性管理指導委員會����,將業(yè)務部門、風險管理部門和IT部門有關(guān)業(yè)務連續(xù)性的管理職責融于一處統(tǒng)籌管理����。
目前�����,國內(nèi)銀行災難備份和業(yè)務連續(xù)性管理主要集中在系統(tǒng)故障�����、人員操作�、機房維護和短時間電力中斷等情況。在防范自然災害����、重大疫情和恐怖襲擊等方面的應對管理還需加強�����。一是要強涮“突發(fā)”與“應急”�。由于災害事件的不確定性�����,應急管理與保障工作必須建立在高強度的實戰(zhàn)性基礎上�,使災難應急管理真正適應“應急”的要求。二是要擴大應急預案本身的覆蓋范圍����。我國金融業(yè)災難備份及業(yè)務連續(xù)性管理主要集中在IT部門,遠遠不能適應業(yè)務連續(xù)性的需要����,應當強調(diào)業(yè)務部門的參與,與IT部門共同構(gòu)建適應現(xiàn)代金融業(yè)發(fā)展需要的應急保障體系�����,確保運營安全�����。
三、結(jié)束語
信息安全工作是一個系統(tǒng)工程�,需要決策層、管理層�、技術(shù)層通力配合,從安全制度建設和技術(shù)手段方面著手�����,加強信息安全意識的教育和培訓�,增強自我保護意識,采取綜合的防范措施�,并不斷改進和完善安全管理機制。要自始至終強化安全防范意識�����,采取全面�、可行的安全防護措施�����,把安全風險降低到最小程度�。金融業(yè)信息安全事關(guān)經(jīng)濟金融的穩(wěn)定大局,責任重大�����,金融業(yè)要未雨綢繆,認真貫徹落實國家信息安全的工作要求�,加快建立完備的安全防護體系,積極應對挑戰(zhàn)�����。
人民銀行應以科學發(fā)展觀統(tǒng)領金融業(yè)信息化建設全局�����,充分發(fā)揮科技在履行央行職能中的支持�、保障、指導�、協(xié)調(diào)作用,全面推進金融業(yè)信息化建設�,為促進我國經(jīng)濟平穩(wěn)運行發(fā)揮重要作用。
