銀行業信息安全管理的現實挑戰及對策

來源：《中國金融電腦》雜誌

在銀行業信息化新階段，信息技術風險也自然成爲金融機構操作風險的重要方面。銀行業信息安全工作正面臨比以往更嚴峻的形勢，難度加大，挑戰增多。

近年來，銀行業信息化程度不斷提高，信息科技風險日益成爲影響金融行業穩健發展的重要因素。銀行業不僅成爲信息科技成果應用最快、最廣的行業之一，同時也成爲遭受信息科技風險影響最大的行業之一。各種針對銀行業的終端監聽、信息竊取、黑客入侵等行爲屢見不鮮，本文針對目前我國銀行業信息安全面臨的問題進行分析，探討適合我國國情的銀行業信息安全風險防範措施和辦法。

一、信息安全的五個特性

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，避免受到偶然的或者惡意的破壞、更改、泄露，系統可以連續、可靠、正常地運行，信息服務不中斷。信息安全有保密性、完整性、可用性、可覈查性、可靠性等五個特性。

（1）保密性：防止信息泄漏給非授權的用戶、實體或者過程的特性。

（2）完整性：數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

（3）可用性：可被授權實體訪問並按需求使用的特性，即當需要時應能存取所需的信息。

（4）可覈查性：對信息的傳播及內容具有控制能力，訪問控制即屬於可控性。

（5）可靠性：即系統可靠性。

二、信息安全三個層面的風險

目前，銀行業信息安全面臨的風險主要表現在以下三個層面。

1．操作風險

巴塞爾委員會提出的《有效銀行監管的核心原則》強調：最重大的操作風險在於內部控制及公司治理機制的失效。如銀行交易員、信貸員或其他工作人員越權或從事職業道德不允許的或風險過高的業務。這在信息安全工作中主要表現在系統運行管理過程中，技術支持與生產運行未能嚴格區分，業務操作沒有實現“雙人複覈”原則，缺乏崗位之間有效的制約機制等，爲犯罪分子實施各種欺詐犯罪留下了隱患。比如在信貸業務審批管理流程中，信息系統授權、審批形同虛設，換人審覈，未實現實質有效制約，最終造成壞賬、呆賬等嚴重後果。

2．技術風險

技術風險主要表現在計算機項目建設中，缺乏防範系統建設人員犯罪的安全制約機制，例如將安全核心軟件如密鑰生成技術完全交由外部承包商代爲開發，對進入銀行系統使用的計算機終端設備缺乏嚴格檢測認證，致使一些存在安全隱患的電子終端進入金融機構等。某銀行杭州分行曾經發生一起與銀行卡交易處理相關的案件，作案人從銀行卡交易前置平臺獲取加密數據，利用網上下載的解密軟件進行批量解密，然後分批製作僞卡，從事盜竊客戶資金的活動。

3．決策風險

決策風險主要表現在銀行業高層對信息安全管理的重要性認識不夠深入，重應用、輕管理。對金融產品創新應用投資往往決心大、行動快，而忽視了對保障系統安全所需要的安全資金投入；在項目建設中對產品業務風險的防範重視不夠，缺乏科學決策，忽視了防範風險措施與計算機技術的緊密結合，結果在計算機系統建設和產品研發的初期就埋下了隱患，表現爲在項目需求階段未進行安全風險分析和評估、設計階段未遵循安全性設計原則、投產前未進行足夠強度的安全性測試。

此外，對防範金融計算機犯罪技術的前瞻性研究重視不夠，防範手段和技術滯後，對潛在金融風險無法實現有效控制，近年來一些銀行相繼發生了網上銀行動態密碼器相關業務漏洞被犯罪分子巧加利用的案件，使有的客戶蒙受鉅額損失，充分暴露了銀行業金融機構對所推廣產品信息安全管理的疏漏，同時自身也蒙受了重大的聲譽損失。

三、信息安全面臨的挑戰

在以綜合業務系統整合、數據集中爲主要特徵的銀行業信息化新階段，信息技術風險也自然成爲金融機構操作風險的重要方面。銀行業信息安全工作正面臨比以往更嚴峻的形勢，銀行業信息系統安全運行的難度加大，挑戰增多。

1．系統缺陷

（1）系統自主可控能力不足

目前，在我國銀行業信息系統和網絡中，雖然防病毒、網絡設備、安全設施用的國產軟硬件比重越來越大，但核心軟硬件設施還是以國外爲主，大多來自於Cisco、IBM、Oracle等國際IT巨頭。這種依賴導致我們的自主控制能力不足，核心關鍵領域還是依賴於國外廠家的產品和服務，用戶缺乏判斷設備是否存在“後門”、“軟件陷阱”、“軟件炸彈”等安全隱患的能力。“棱鏡門”事件暴露了美國政府利用其掌握的高科技手段對別國實施監聽和系統攻擊，該事件的曝光對核心設備和系統主要來自於海外IT巨頭的國內銀行業信息安全管理層面提出了嚴重警告以及更高的防控要求。

（2）系統漏洞

互聯網本身固有的技術機制存在缺陷。TCP/IP協議本身缺乏安全控制機制，建立在互聯網絡爲基礎的金融網絡系統存在先天安全漏洞，易被病毒感染、被黑客入侵。典型案例就是2013年2月VISA、萬事達卡、運通卡三家信用卡組織約800萬張信用卡資料爲黑客所盜取。針對網上銀行（網上支付）的木馬及其它攻擊方式更是層出不窮。據統計，目前全球的黑客攻擊事件，40%是針對金融系統的，在我國比例更高達60%以上。

（3）交易系統缺陷

按照我國相關信息安全標準，銀行業金融機構的網上業務產品要達到三級以上安全標準，但目前大多數金融機構尤其是中小銀行的安全狀況都未達到這一要求，其自行開發、應用的網上交易系統安全防控措施不到位、抵禦攻擊能力弱、事件應急響應滯後、客戶地址及郵箱等資源保護不力，暴露出系統虛假信息氾濫、賬戶密碼被黑客破譯、數據資料和交易指令被篡改、資金被盜取、股票債券基金等金融資產被盜賣等風險，信息的安全傳遞所要求的嚴格私密性、真實性、完整性、不可否認性等安全要素缺位。

2．交易監管滯後

目前，我國網絡金融P2P、網絡代客理財業務方興未艾，與此同時相關監管經驗嚴重不足，監管手段不全、技術落後、職責界定不清、網上業務內部審計流於形式，與網絡銀行業務的高速發展相比，其信息安全的指導、監管工作亟待加強。

3．數據大集中致使風險相對集中

目前，數據大集中已成爲銀行業金融機構業內潮流，隨之而來的信息安全風險也急劇集中。一旦數據中心發生災難，將導致一家金融機構的所有分支機構、營業網點和全部業務處理陷於停頓，或造成客戶重要數據的丟失，不但影響業務正常進行，同時造成重大的聲譽風險等災難性後果。近年發生過數起不同銀行數據中心故障造成的大範圍業務中斷的現象，造成了國際國內重大不利影響。

4．應急處置能力亟待提升

信息系統的集中以及數據爆炸式的增長使各金融機構的應急處置和災難恢復面臨空前的壓力和挑戰，近年來國內外銀行業金融機構發生的重大事件表明，從恐怖襲擊到網絡攻擊，從地質災害到機房物理環境故障，都會造成嚴重的生產事件甚至是數據處理中心的癱瘓。銀行業數據處理中心的網絡中斷或系統癱瘓不僅僅涉及到經濟安全問題，甚至可能演變爲更高的國家安全層面問題。

四、應對措施

根據《國務院辦公廳關於印發中國人民銀行主要職責內設機構和人員編制規定的通知》（即新“三定”方案）規定，人民銀行的主要職責包含了組織制定銀行業信息化發展規劃、負責金融標準化的組織管理協調工作、指導銀行業信息安全工作。在新形勢下如何指導和協調銀行業信息化建設和信息安全，也是人民銀行尤其是其各級分支機構信息科技部門需要着重研究的課題。針對上述銀行業信息安全面臨的挑戰，筆者提出以下幾個方面的應對建議：

1．建立健全信息安全管理制度和機制

（1）建立健全信息安全管理體系

建立全轄銀行業金融機構信息安全管理組織體系，健全信息安全管理制度，明確各機構專業部門、各相關崗位職能，做到按制度辦事，避免“即興發揮”。定期組織開展信息安全的非現場監測和現場檢查，檢查評價制度的執行情況，督促問題的整改，促進各機構做好信息安全風險防控工作。

（2）嚴格執行信息安全的報告機制和應急協調機制

2010年起，中國人民銀行、工信部、公安部、安全部、電監會五部委建立了跨部委的應急協調工作預案。2011年，中國人民銀行在副省級以上城市建立了區域的信息安全應急協調機制。這種全國性的制度安排和屬地化管理相結合，實際上構成應急協調機制、保障機制。各金融機構在信息安全事件發生、發展、善後等不同階段，要及時向人民銀行報告相關情況，便於人民銀行組織協調進行應急處置，儘量避免造成社會因恐慌引發羣體性事件。

（3）建立安全可控的生產運行維護機制

目前，金融機構聯網的系統規模、範圍越趨龐大，服務對象也越趨多面立體化，依賴人力進行監控已力不從心。需要建立覆蓋全轄的自動化監控體系，達到監控系統比用戶先發現問題，中心機構比分支機構先發現問題的目的。

自動化監控系統應包括網絡自動監控、應用系統自動監控、物理環境智能化監控等方面。爲了提高自動化監控系統的相應速度，應儘可能採取可視化界面設計，告警信息能夠聲光提示。以缺乏網絡監控的系統爲例，網絡連接都採用主備兩條線路，當一條線路中斷自動切換到另一條線路時，雖然業務未受影響，但單點故障的問題卻被掩蓋，直到另一條線路因爲故障使得網絡全部中斷時問題才暴露，而通過自動化監控就能早期發現問題和及時響應。

監控對象的指標標準化是自動化監控的基礎，監控閥值的設置合理與否是用好監控系統的關鍵，閥值過低會產生大量的錯誤告警信息，設置過高則會漏報故障。監控指標的優化提升是信息網絡和系統健壯性的重要依據，是運行維護技術體系的核心內容。自動化監控系統的實施範圍要逐步從網絡監控擴大到應用監控和物理環境監控，不但要包括傳統的各種系統資源使用率，還要注意增加交易量、交易進度、數據狀態等內容，能夠及時發現物理運行環境和交易處理流程方面出現的異常情況。

2．將信息安全風險管理納入各經營主體的全面風險管理體系

防範和化解信息安全風險是一項綜合性、長期性的工作。人民銀行對信息安全管理的要求是：信息安全管理的底線是，絕對不允許發生系統性和區域性的風險。銀監會對信息安全的明確看法是：IT風險是惟一可以在一瞬間讓整個銀行陷入癱瘓的風險。銀行業金融機構應高度重視信息安全管理工作，將信息安全風險管理納入本機構的全面風險管理體系，搭建業務部門和技術部門協同配合的信息安全管理平臺。

3．進一步提高系統自主創新能力

監管機構應協調督促金融機構，加強系統自主創新，加大對國產軟硬件採購力度，努力減少和降低一些關鍵領域的對外技術依賴。對採購或使用的信息技術和產品，能自主的就要盡其所能推進自主，不能自主的，也必須保障其可知可控，要對信息技術產品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術”。對確需引進的技術和產品實行市場準入制度，並邀請權威機構對其產品進行安全風險和實效性評估。

4．強化金融交易監管

（1）加快網絡金融安全立法進程

網絡金融近來風生水起，相對而言我國網絡金融監管立法滯後。網絡金融安全關乎國計民生、經濟安全，因此，其安全立法進程刻不容緩，應成立對應的網絡金融安全管理部門，研究制定金融安全政策和標準，規範、指導和約束網絡金融的安全發展，打擊網絡金融犯罪，維護金融機構及各交易方的合法權益，保障我國網絡金融業務健康、規範、有序地發展。

（2）加強金融服務指導和行業監管

商業銀行應建立跨部門的銀行業信息安全協調機制以及重點時期的安保工作機制，強化信息安全手段和隊伍建設，加強信息安全檢測和準入制度，實施信息安全等級保護，建立信息資產風險評估體系，提高信息安全水平，保障金融穩定和經濟發展。人民銀行分支機構應加強對轄內銀行業金融機構的制度指導，尤其是在覈心業務系統建設、災備建設和信息安全方面指明正確方向，借鑑成功經驗，規避重大風險。

（3）建立跨部門的現代化銀行業信息安全管理網絡

應研究建立跨部門的高效銀行業信息安全管理網絡，真正實現對金融機構信息安全風險的及時、動態、全面、連續的監管。在正確評估我國金融網絡現狀的基礎上，借鑑國外的網絡安全管理模式，儘快建立適應我國銀行業信息化建設和發展實際的高速、安全和先進的網絡框架。同時促進各家金融機構完善信息安全內控機制，保障信息系統運行安全。現代銀行業高度依賴信息技術，必須充分認識到銀行業信息安全對整體業務和金融體系乃至國民經濟體系的影響，牢固樹立風險防範意識。

5．加強金融機構災備技術體系建設

（1）合理規劃和優化調整災備中心（數據中心）整體佈局。根據國家信息安全戰略要求，新建災備中心（數據中心）要按照“適度分散原則”選址，以抵禦自然災害、戰爭破壞。

（2）推動金融機構災備技術架構從“兩地三中心”向“多中心互備運行”發展，降低數據大集中帶來的風險，提高災備資源的可用性。

（3）建立災備中心檢測認證技術體系，以多種方式促進小型、微型金融機構加大災備設施建設力度，提高銀行業金融機構災備建設的整體水平。

6．堅持優先恢復系統對外服務原則

（1）改進交易的處理流程

系統中斷的種類和交易處理的場景是難以窮盡的，金融機構應該從提高業務連續性的角度，去設計和實現替代的流程與數據處理的方式。包括手工交換數據、手工補錄數據、交易流程路徑變換等方法作爲替代服務，最終目的是業務中斷時間大大短於系統恢復時間，也是衡量一個事件處理是否成功的重要指標。

（2）加強業務連續性管理

想要在特殊時期短時間內恢復業務運行，有賴於遠程災備中心的數據備份，快速恢復業務運營。爲了達到“最快恢復生產”目標，商業銀行還需做好以下工作：

一是建立業務連續性管理制度。建立業務連續性管理制度，規範機構內的管理流程，明確各級機構、部門在體系中的職責。制定專業的突發事件應急預案，做到預案的標準化、流程化，一旦發生突發事件，員工能夠按照預案進行業務恢復。

二是加強業務連續性日常管理。定期組織各層次的培訓，組織業務連續性演練，必須組織業務級的演練而不僅是IT演練，通過演練檢驗各業務部門以及機構內外的聯動，優化和改進業務連續性管理工作。

三是明確業務連續性牽頭管理部門。因爲業務連續性管理對於及時恢復系統對外服務十分重要，且涉及多個部門，因此，業務連續性管理需要專門的部門來牽頭組織，督促各相關部門定期開展檢查和評價。這一職責一般是由內部審計或承擔內部審計職責的部門承擔。

（3）縮短系統恢復時間

當出現信息系統中斷事件時，如果初步判斷無法在短時間內恢復系統，應優先考慮隔離故障設備，切換至熱備、替代的系統，或者果斷啓動應急預案，以控制事態的進一步發展。應採取各種可能的舉措來縮短系統恢復的時間，儘快恢復系統的對外服務是最重要的。

7．加緊人才培養

銀行業金融機構要培養一批既掌握計算機枝術、網絡技術、通信技術，又掌握金融實務和管理知識的複合型高級技術和管理人才。要通過不間斷的培訓教育，讓全體從業人員瞭解網絡技術安全缺陷，充分認識潛在的網絡安全隱患，提高信息安全管理意識，掌握必要的信息安全管理技術。

信息安全管理工作是一項複雜的系統工程，需要決策層、管理層、技術層通力配合，從安全制度建設和技術手段方面着手，加強信息安全意識的教育和培訓，增強自我保護意識，採取綜合的防範措施，並不斷改進和完善安全管理機制。要自始至終強化安全防範意識，採取全面、可行的安全防護措施，把信息安全風險降低到最低程度。銀行業信息安全事關國家經濟金融穩定大局，要未雨綢繆，加快建立完備的安全防護體系，積極應對未來挑戰。