給中小商業(yè)銀行信息安全建設(shè)的三點(diǎn)建議.docx

導(dǎo)讀調(diào)查顯示，大多數(shù)中小商業(yè)銀行信息系統(tǒng)建設(shè)都存在滯后問題，系統(tǒng)運(yùn)行、網(wǎng)絡(luò)安全、數(shù)據(jù)集中、系統(tǒng)設(shè)計(jì)、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險(xiǎn)正逐漸暴露在我們的面前，形成了一定的安全隱患。 隨著我國(guó)銀行業(yè)信息系統(tǒng)建設(shè)持續(xù)發(fā)展，核心業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行、自助終端、銀行卡等具有高科技含量的系統(tǒng)和設(shè)備被廣泛應(yīng)用，在提升金融服務(wù)效率和增加服務(wù)品種的同時(shí)，信息系統(tǒng)潛在的風(fēng)險(xiǎn)也逐漸顯現(xiàn)。調(diào)查顯示，大多數(shù)中小商業(yè)銀行信息系統(tǒng)建設(shè)都存在滯后問題，系統(tǒng)運(yùn)行、網(wǎng)絡(luò)安全、數(shù)據(jù)集中、系統(tǒng)設(shè)計(jì)、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險(xiǎn)正逐漸暴露在我們的面前，形成了一定的安全隱患。一、我國(guó)中小商業(yè)銀行信息安全現(xiàn)狀(一)建設(shè)趨規(guī)范：金融監(jiān)管延伸至信息化領(lǐng)地在我國(guó)金融業(yè)從傳統(tǒng)運(yùn)作模式向現(xiàn)代運(yùn)作模式轉(zhuǎn)變的背景下，金融監(jiān)管開始適應(yīng)金融業(yè)的信息化運(yùn)作模式，更加具體細(xì)致地與信息技術(shù)聯(lián)系在一起。2007年，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室頒布了信息安全等級(jí)保護(hù)管理辦法。2006年人民銀行出臺(tái)了關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見，2009年9月，人民銀行對(duì)全國(guó)66家銀行業(yè)金融機(jī)構(gòu)網(wǎng)銀系統(tǒng)安全進(jìn)行了現(xiàn)場(chǎng)檢查，并通過跟蹤整改，促進(jìn)各銀行提高對(duì)信息安全保障工作的重視程度，同月，人民銀行在銀行業(yè)信息安全通報(bào)會(huì)上表示，要將銀行信息安全納入考核。銀監(jiān)會(huì)制定的電子銀行業(yè)務(wù)管理辦法、電子銀行安全評(píng)估機(jī)構(gòu)業(yè)務(wù)資格認(rèn)定工作規(guī)程、電子銀行安全評(píng)估指引、商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引等法規(guī)制度相繼出臺(tái)，各商業(yè)銀行也大力推動(dòng)了IT審計(jì)的進(jìn)程。歸納起來看，這幾部法規(guī)強(qiáng)調(diào)了三個(gè)重點(diǎn)。一是關(guān)于銀行業(yè)金融機(jī)構(gòu)完善IT治理結(jié)構(gòu)方面，通過構(gòu)建和完善金融機(jī)構(gòu)內(nèi)與信息技術(shù)應(yīng)用有關(guān)的組織架構(gòu)及工作程序，有效地識(shí)別、度量、跟蹤和控制信息技術(shù)風(fēng)險(xiǎn)。二是規(guī)定了從事某些嚴(yán)重依賴信息技術(shù)的銀行業(yè)務(wù)的資質(zhì)。三是對(duì)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、管理，與國(guó)際銀行業(yè)的發(fā)展趨勢(shì)相一致。(二)發(fā)展有差距：中小商業(yè)銀行信息安全建設(shè)整體水平落后于股份制商業(yè)銀行近年來，我國(guó)各股份制商業(yè)銀行為了提高競(jìng)爭(zhēng)力，相繼對(duì)核心業(yè)務(wù)系統(tǒng)和后臺(tái)管理系統(tǒng)進(jìn)行了改造開發(fā)，信息化發(fā)展水平相對(duì)比較先進(jìn)，且信息安全體系較為健全。目前，大部分股份制銀行或是穩(wěn)健引進(jìn)國(guó)外核心業(yè)務(wù)系統(tǒng)，或是通過自身的研發(fā)力量，不斷地在原有系統(tǒng)基礎(chǔ)上，打造出更適合未來發(fā)展的新系統(tǒng)，以全面提升信息化建設(shè)水平為落腳點(diǎn)，在信息安全管理方面作出了令人矚目的成績(jī)。相比之下，中小商業(yè)銀行，特別是城市商業(yè)銀行、城信社、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及農(nóng)信社的信息化建設(shè)嚴(yán)重滯后于業(yè)務(wù)發(fā)展的需要，其信息安全管理亦存在較多隱患。(三)防范多漏洞：中小商業(yè)銀行信息安全隱患驟增中小型金融機(jī)構(gòu)信息系統(tǒng)眾多安全環(huán)節(jié)都存在漏洞，首先是核心數(shù)據(jù)的安全沒有保障，表現(xiàn)在：第一，核心計(jì)算機(jī)機(jī)房的建設(shè)符合標(biāo)準(zhǔn)的不多，在選址、供電、機(jī)房的建設(shè)標(biāo)準(zhǔn)、機(jī)房的安保措施都或多或少存在問題。第二，沒有能力建設(shè)自身的異地備份中心，所有的數(shù)據(jù)存在于一個(gè)點(diǎn)上，如果發(fā)生極端情況，后果將是災(zāi)難性的。其次，在建設(shè)過程中，因?yàn)闆]有統(tǒng)籌考慮，對(duì)于系統(tǒng)安全部分的硬件設(shè)施、軟件設(shè)計(jì)模塊缺乏，造成諸如審計(jì)、保密、數(shù)據(jù)傳輸中的完整性、數(shù)據(jù)正確性、對(duì)外來攻擊的預(yù)防等安全措施弱化或缺失。再次，在系統(tǒng)投入生產(chǎn)后的運(yùn)維周期，主要依靠系統(tǒng)承包商，自身的能力不足以做好運(yùn)維工作，人力風(fēng)險(xiǎn)明顯。二、中小商業(yè)銀行信息安全風(fēng)險(xiǎn)分析(一)IT外包風(fēng)險(xiǎn)-忽略業(yè)務(wù)連續(xù)性的無奈選擇在國(guó)內(nèi)中小銀行IT外包迅速發(fā)展的同時(shí)，也面臨諸多風(fēng)險(xiǎn)。一是市場(chǎng)風(fēng)險(xiǎn)。中國(guó)的IT服務(wù)市場(chǎng)仍不夠成熟，一旦IT外包后，商業(yè)銀行需要借助外包商的力量規(guī)避市場(chǎng)需求變化的風(fēng)險(xiǎn)，且銀行也不可能輕易涉入外包商的經(jīng)營(yíng)管理工作中，對(duì)中小銀行而言，市場(chǎng)的不確定性很大。二是技術(shù)風(fēng)險(xiǎn)。外包商研發(fā)能力與銀行現(xiàn)有的技術(shù)不匹配.就會(huì)嚴(yán)重阻礙銀行的信息化進(jìn)程;外包商采用的新技術(shù)不夠成熟，將危及整個(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的穩(wěn)定性和安全性。三是交易風(fēng)險(xiǎn)。由于外包市場(chǎng)的不成熟，服務(wù)標(biāo)準(zhǔn)的不完善，交易雙方市場(chǎng)信息的不對(duì)稱，商業(yè)銀行在價(jià)格、質(zhì)量、時(shí)間等方面承擔(dān)一定的風(fēng)險(xiǎn)。四是戰(zhàn)略風(fēng)險(xiǎn)。易造成核心信息外泄。(二)災(zāi)備恢復(fù)風(fēng)險(xiǎn)-效益與成本之間的兩難選擇災(zāi)備中心的運(yùn)營(yíng)是構(gòu)建業(yè)務(wù)連續(xù)管理體系非常重要的一環(huán)。一個(gè)運(yùn)行良好、作用有效的災(zāi)難備份與恢復(fù)體系建設(shè)不僅涉及IT、業(yè)務(wù)、財(cái)務(wù)、后勤保障等部門，還需獲得消防、電力和電信行業(yè)等相關(guān)部門、單位的支持，以確保相應(yīng)的配套資源。2005年以來，為應(yīng)對(duì)因數(shù)據(jù)大集中而帶來的技術(shù)風(fēng)險(xiǎn)集中，以工商銀行為代表的國(guó)有商業(yè)銀行采取了自建災(zāi)備中心的措施，多數(shù)全國(guó)性股份制商業(yè)銀行也基本完成了災(zāi)備中心建設(shè)。但出于成本考慮，中小商業(yè)銀行的災(zāi)備建設(shè)還未出現(xiàn)良好的“中國(guó)模式”。中國(guó)的中小商業(yè)銀行，特別是城市商業(yè)銀行在系統(tǒng)災(zāi)難備份方面幾乎是空白。(三)信息安全認(rèn)識(shí)偏差產(chǎn)生的風(fēng)險(xiǎn)-運(yùn)行機(jī)制不健全的產(chǎn)物與國(guó)有商業(yè)銀行及股份制銀行相比，我國(guó)中小商業(yè)銀行的信息化進(jìn)程起步較晚，對(duì)隨之而來的信息安全問題一定程度上存在認(rèn)識(shí)偏差。以咸陽中小商業(yè)銀行為例，大部分對(duì)于信息安全與網(wǎng)絡(luò)安全的區(qū)別認(rèn)識(shí)不清，僅重視安全工具投資而忽視管理投資，大多信息安全工作不成體系。在當(dāng)前信息化由局部化應(yīng)用向一體化應(yīng)用演變、信息管理由分散化向集中化過度的背景下，這種由認(rèn)識(shí)偏差而產(chǎn)生的風(fēng)險(xiǎn)極易導(dǎo)致信息化建設(shè)重復(fù)投資、管理無序，由此而帶來的信息安全隱患亦隨著信息化進(jìn)程的加速而倍增。三、我國(guó)中小商業(yè)銀行信息安全建設(shè)的戰(zhàn)略選擇相較國(guó)有商業(yè)銀行及股份制銀行，中小商業(yè)銀行在信息安全建設(shè)方面處于后來者的地位，在自籌資金有限，管理水平較低，硬件設(shè)備投入不夠的緊迫壓力下，為避免重復(fù)投資、無序管理，一個(gè)科學(xué)合理的規(guī)劃尤為重要。可預(yù)見的一段時(shí)期，我國(guó)中小商業(yè)銀行的總體目標(biāo)應(yīng)是：通過建立完善的信息安全管理制度和安全防御技術(shù)手段，構(gòu)建一個(gè)包括管理體系、組織體系與技術(shù)體系相結(jié)合的全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全防范體系，為金融業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的基礎(chǔ)保障。為實(shí)現(xiàn)上述目標(biāo)，我國(guó)中小商業(yè)銀行信息安全建設(shè)應(yīng)在戰(zhàn)略上作出以下策略選擇。(一)以確保信息安全建設(shè)的協(xié)調(diào)性、開放性和持續(xù)性為戰(zhàn)略重點(diǎn)進(jìn)行遠(yuǎn)期規(guī)劃中小商業(yè)銀行必須重視做好全面、系統(tǒng)的信息系統(tǒng)架構(gòu)，將安全融入整個(gè)信息系統(tǒng)生命周期中，通過借鑒其他銀行的成功經(jīng)驗(yàn)，明確階段性建設(shè)目標(biāo)，力爭(zhēng)在前期以最少的資金投入獲得高標(biāo)準(zhǔn)的信息服務(wù)和安全保障。中小商業(yè)銀行信息安全遠(yuǎn)期規(guī)劃的首要任務(wù)是組織行內(nèi)外力量，結(jié)合本行信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃和經(jīng)營(yíng)管理戰(zhàn)略，在充分把握金融信息技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上，全面分析銀行外部經(jīng)營(yíng)環(huán)境及內(nèi)部經(jīng)營(yíng)環(huán)境，立足現(xiàn)實(shí)的資源能力，對(duì)銀行信息安全建設(shè)的總體目標(biāo)、實(shí)施步驟、關(guān)鍵技術(shù)、相關(guān)規(guī)范、階段劃分及費(fèi)用評(píng)估進(jìn)行統(tǒng)籌安排。(二)以健全和完善IT安全治理機(jī)制為重點(diǎn)，提高信息安全的管理績(jī)效當(dāng)IT成為銀行業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，并在提供收益的同時(shí)帶來風(fēng)險(xiǎn)時(shí)，銀行對(duì)IT必須從管理走向治理。有效的IT安全治理需要解決三個(gè)方面的問題。首先是明確目標(biāo)。一是必須確保銀行IT安全治理與IT治理的目標(biāo)、內(nèi)容、步驟環(huán)環(huán)相扣，緊密銜接，并作為銀行公司治理整體的一部分和諧共存。二是明確IT治理的決策內(nèi)容，即IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、IT商業(yè)應(yīng)用及IT投資。三是根據(jù)自身實(shí)際情況制定IT安全治理計(jì)劃。其次是解決IT安全治理的組織性問題，關(guān)鍵是準(zhǔn)確定義銀行IT安全治理的角色和職責(zé)。最后是完善IT安全治理的控制機(jī)制。一是IT投資的控制機(jī)制。應(yīng)根據(jù)銀行IT安全管理的實(shí)際情況，針對(duì)薄弱環(huán)節(jié)，按安全級(jí)別進(jìn)行排序，優(yōu)先把資金投入到銀行急需的IT安全資源中。二是IT安全治理的監(jiān)控機(jī)制。(三)以加強(qiáng)IT風(fēng)險(xiǎn)管理為重點(diǎn)，全面構(gòu)筑信息安全保障體系一是加強(qiáng)組織管理體系建設(shè)，落實(shí)風(fēng)險(xiǎn)管理和安全運(yùn)行責(zé)任制。重點(diǎn)在發(fā)現(xiàn)整個(gè)信息系統(tǒng)的薄弱環(huán)節(jié)，區(qū)分業(yè)務(wù)風(fēng)險(xiǎn)和信息系統(tǒng)風(fēng)險(xiǎn)，制定出相應(yīng)的風(fēng)險(xiǎn)防范辦法加以落實(shí)并對(duì)結(jié)果進(jìn)行檢查，建立起自身的風(fēng)險(xiǎn)防范機(jī)制。二是加強(qiáng)信息安全保障體系建設(shè)，完善應(yīng)急反應(yīng)體系和商業(yè)銀行業(yè)務(wù)連續(xù)性計(jì)劃，加快建立災(zāi)備恢復(fù)體系，建設(shè)應(yīng)急儲(chǔ)備倉(cāng)庫(kù)，倉(cāng)庫(kù)