陶良华
江西省农村信用社联合社信息科技部 江西 330039
随着银行业对信息科技的高度依赖,银行信息系统的安全性、可靠性和有效性直接关系到整个银行业的安全和国家金融体系的稳定。核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用,各个银行信息科技在设备规模和技术水平不断提高的同时,信息科技风险管理却相对显得薄弱,其风险的潜在性也随着金融产品的增加而增大,风险的复杂性也越来越强。
为加强银行的信息科技风险管理,提升信息科技风险管理能力,银监会制定的《电子银行业务管理办法》、《电子银行安全评估指引》、《银行信息科技风险管理指引》等法规制度相继出台,构建和完善了银行内与信息技术应用有关的组织架构及工作程序,有效地识别、度量、跟踪和控制信息技术风险。
银行进行信息化建设起步较早,但传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别进行管理,各系统单独保护,相互冲突和割裂,形成信息孤岛,导致安全信息分散,互不相通,安全策略难以保持一致;此外,各安全系统单独建设,造成分散、低水平重复投资,在建立长效机制方面也考虑较少,难以做到可持续运行、发展和完善。这种传统的管理运行方式已成为许多安全隐患的根源,因此银行信息系统对信息安全体系的建设既需要符合政策合规性管理的要求,又存在自身安全保障体系建设的需求。
同时,大多数银行信息系统建设还存在滞后问题。系统设计、系统运行、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
银行应从业务需求出发,遵从风险管理的理念,在银行信息技术战略规划的基础上,借鉴国际最佳实践经验,实现全面的信息科技风险管理,实现以下的建设目标:(1)保障业务持续,促进业务发展;(2)保证信息的机密性、完整性和可用性(如图1)。
图1 银行信息科技风险管理体系框架图
为了保障业务系统稳定、安全运行,银行应加强信息科技风险管理体系建设:一是完善组织体系建设,建立有效的信息科技治理机构,明确权限,落实责任;二是实施风险管理,识别整个信息系统的薄弱环节,区分业务风险和信息科技风险,制定出相应的风险防范办法,加以落实并对结果进行检查,建立起自身的风险防范机制;三是加强信息科技管理,采用多种技术建立纵深防御体系,完善应急响应体系和业务连续性计划,建立灾备恢复体系,规范日常信息系统运维流程。四是通过实施安全审计,做好信息系统的安全检查工作。
银行信息安全保障体系的建设是一个体系化的工程,涉及信息安全策略体系、信息安全管理体系、信息安全技术体系、信息安全运作体系四个部分。其中信息安全策略体系是核心内容,覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则;安全管理体系是安全工作的管理和实施体系,监督各种安全工作的开展,协调银行各部门在安全实施中的分工和合作,保证安全目标的实现;安全运作体系是对安全生命周期中各个安全环节的要求,包括安全工程管理机制,安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等;安全技术体系是对实现银行信息安全的具体措施,银行安全安全策略、安全管理、安全运维必须依托相应的技术手段方可执行,技术体系包括了身份认证、访问控制、加密、防恶意代码、安全加固、监控、日志审计和备份恢复,是银行安全保障体系的重要支撑(如图2)。
根据银行信息科技风险管理的需要,参照近年来信息安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC 27002:2005和ISO/IEC TR 13335系列标准以及IT治理相关理论,结合银行业的特点和信息化现状,建设信息安全保障体系,为银行信息系统的平稳运行和业务的持续开展提供强有力的保障,提升信息科技风险防范和响应能力。
(1) 根据信息安全级别,将网络划分为不同的逻辑安全域,对每个域和整个网络进行物理或逻辑分区,通过部署系列安全产品实现网络内容过滤、逻辑访问控制、入侵检测、网络监控、记录活动日志等。
(2) 部署安全管理中心(SOC)对网络设备、安全设备、服务器等产生的日志进行收集分析,监控各系统的安全状态,产生的各类 IT运维及安全事件通过工单管理模块分派处理事件的责任人,实现全网风险的有效管理。
图2 信息安全保障体系建设图
(3) 为了确定信息科技中存在隐患的区域,评价信息科技风险对银行业务的潜在影响并确定风险防范措施及所需资源的优先级别,应定期进行信息科技风险的全面识别与评估,对信息科技风险管理工作中存在的问题提出有效整改措施,建立信息科技风险管理策略和评估流程。
网络安全风险在信息时代的今天愈加凸显,需要引起更多的关注和重视,也将在未来面对更多的挑战。本文从宏观的角度对银行业的信息安全体系建设做了详细的介绍,希望能为大家的信息安全保障和管理工作提供一些新的思路。
[1] 商业银行信息科技风险管理指引.
[2] 商业银行数据中心监管指引.
[3] ISO 27002:2005信息安全管理体系实施指南.
[4] 李东卫.商业银行信息科技风险的分析与对策.中国银行业监督管理委员会阳泉监管分局.
[5] 唐磊.商业银行信息科技风险现状与管理策略分析.中国工商银行股份有限公司苏州分行信息科技部.
[6] 张倩,张云志,祁妙.关于商业银行信息科技风险的调查与思考.