金融系統一直是安全威脅的高危地帶,典型案例就是2013年2月VISA、萬事達卡、運通卡三家信用卡組織約800萬張信用卡資料為黑客所盜取。針對網上銀行(網上支付)的木馬及其它攻擊方式更是層出不窮。據統計,目前全球的黑客攻擊事件,40%是針對金融系統的,在中國這個比例更高達60%以上。
按照我國相關信息安全標準,銀行業金融機構的網上業務產品要達到三級以上安全標準,但目前大多數金融機構尤其是中小銀行的安全狀況都未達到這一要求,其自行開發、應用的網上交易系統安全防控措施不到位、抵御攻擊能力弱、事件應急響應滯后、客戶地址及郵箱等資源保護不力,暴露出系統虛假信息泛濫、賬戶密碼被黑客破譯、數據資料和交易指令被篡改、資金被盜取、股票債券基金等金融資產被盜賣等風險,信息的安全傳遞所要求的嚴格私密性、真實性、完整性、不可否認性等安全要素缺位。
中國民生銀行資深安全專家李吉慧
針對銀行業信息安全面臨的挑戰,在ZDNet的采訪中,中國民生銀行資深安全專家李吉慧補充到,目前,數據大集中已成為銀行業金融機構業內潮流,隨之而來的信息安全風險也急劇集中。一旦數據中心發生災難,將導致一家金融機構的所有分支機構、營業網點和全部業務處理陷于停頓,或造成客戶重要數據的丟失,不但影響業務正常進行,同時造成重大的聲譽風險等災難性后果。近年發生過數起不同銀行數據中心故障造成的大范圍業務中斷的現象,造成了國際國內重大不利影響。
并且,目前在我國銀行業信息系統和網絡中,雖然防病毒、網絡設備、安全設施用的國產軟硬件比重越來越大,但核心軟硬件設施還是以國外為主,大多來自于Cisco、IBM、Oracle等國際IT巨頭。這種依賴導致我們的自主控制能力不足,核心關鍵領域還是依賴于國外廠家的產品和服務,用戶缺乏判斷設備是否存在“后門”、“軟件陷阱”、“軟件炸彈”等安全隱患的能力。
李吉慧指出,銀行業應對信息安全威脅首先要建立健全信息安全管理體系,并嚴格執行信息安全的報告機制和應急協調機制。
李吉慧重點從三個方面闡述了銀行應該做好的安全保障規劃:
建立安全可控的生產運行維護機制:自動化監控系統應包括網絡自動監控、應用系統自動監控、物理環境智能化監控等方面。為了提高自動化監控系統的相應速度,應盡可能采取可視化界面設計,告警信息能夠聲光提示。以缺乏網絡監控的系統為例,網絡連接都采用主備兩條線路,當一條線路中斷自動切換到另一條線路時,雖然業務未受影響,但單點故障的問題卻被掩蓋,直到另一條線路因為故障使得網絡全部中斷時問題才暴露,而通過自動化監控就能早期發現問題和及時響應。
進一步提高系統自主創新能力:監管機構應協調督促金融機構,加強系統自主創新,加大對國產軟硬件采購力度,減少和降低一些關鍵領域的對外技術依賴。對采購或使用的信息技術和產品,能自主的就要盡其所能推進自主,不能自主的,也必須保障其可知可控,要對信息技術產品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術”。對確需引進的技術和產品實行市場準入制度,并邀請權威機構對其產品進行安全風險和實效性評估。
加強業務連續性管理:想要在特殊時期短時間內恢復業務運行,有賴于遠程災備中心的數據備份,快速恢復業務運營。為了達到“最快恢復生產”目標,商業銀行還需做好以下工作:
一是建立業務連續性管理制度。建立業務連續性管理制度,規范機構內的管理流程,明確各級機構、部門在體系中的職責。制定專業的突發事件應急預案,做到預案的標準化、流程化,一旦發生突發事件,員工能夠按照預案進行業務恢復。
二是加強業務連續性日常管理。定期組織各層次的培訓,組織業務連續性演練,必須組織業務級的演練而不僅是IT演練,通過演練檢驗各業務部門以及機構內外的聯動,優化和改進業務連續性管理工作。
三是明確業務連續性牽頭管理部門。因為業務連續性管理對于及時恢復系統對外服務十分重要,且涉及多個部門,因此,業務連續性管理需要專門的部門(這一職責一般是由內部審計或承擔內部審計職責的部門承擔)來牽頭組織,督促各相關部門定期開展檢查和評價。
京公網安備 11010502049343號