陶良華

江西省農(nóng)村信用社聯(lián)合社信息科技部 江西 330039

0 前言

隨著銀行業(yè)對信息科技的高度依賴，銀行信息系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定。核心業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行、自助終端、銀行卡等具有高科技含量的系統(tǒng)和設(shè)備被廣泛應(yīng)用，各個銀行信息科技在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時，信息科技風(fēng)險管理卻相對顯得薄弱，其風(fēng)險的潛在性也隨著金融產(chǎn)品的增加而增大，風(fēng)險的復(fù)雜性也越來越強。

為加強銀行的信息科技風(fēng)險管理，提升信息科技風(fēng)險管理能力，銀監(jiān)會制定的《電子銀行業(yè)務(wù)管理辦法》、《電子銀行安全評估指引》、《銀行信息科技風(fēng)險管理指引》等法規(guī)制度相繼出臺，構(gòu)建和完善了銀行內(nèi)與信息技術(shù)應(yīng)用有關(guān)的組織架構(gòu)及工作程序，有效地識別、度量、跟蹤和控制信息技術(shù)風(fēng)險。

1 需求分析

銀行進行信息化建設(shè)起步較早，但傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護系統(tǒng)分別進行管理，各系統(tǒng)單獨保護，相互沖突和割裂，形成信息孤島，導(dǎo)致安全信息分散，互不相通，安全策略難以保持一致；此外，各安全系統(tǒng)單獨建設(shè)，造成分散、低水平重復(fù)投資，在建立長效機制方面也考慮較少，難以做到可持續(xù)運行、發(fā)展和完善。這種傳統(tǒng)的管理運行方式已成為許多安全隱患的根源，因此銀行信息系統(tǒng)對信息安全體系的建設(shè)既需要符合政策合規(guī)性管理的要求，又存在自身安全保障體系建設(shè)的需求。

同時，大多數(shù)銀行信息系統(tǒng)建設(shè)還存在滯后問題。系統(tǒng)設(shè)計、系統(tǒng)運行、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險正逐漸暴露在我們的面前，形成了一定的安全隱患。

2 銀行信息科技風(fēng)險管理

銀行應(yīng)從業(yè)務(wù)需求出發(fā)，遵從風(fēng)險管理的理念，在銀行信息技術(shù)戰(zhàn)略規(guī)劃的基礎(chǔ)上，借鑒國際最佳實踐經(jīng)驗，實現(xiàn)全面的信息科技風(fēng)險管理，實現(xiàn)以下的建設(shè)目標：(1)保障業(yè)務(wù)持續(xù)，促進業(yè)務(wù)發(fā)展；(2)保證信息的機密性、完整性和可用性(如圖1)。

圖1 銀行信息科技風(fēng)險管理體系框架圖

為了保障業(yè)務(wù)系統(tǒng)穩(wěn)定、安全運行，銀行應(yīng)加強信息科技風(fēng)險管理體系建設(shè)：一是完善組織體系建設(shè)，建立有效的信息科技治理機構(gòu)，明確權(quán)限，落實責(zé)任；二是實施風(fēng)險管理，識別整個信息系統(tǒng)的薄弱環(huán)節(jié)，區(qū)分業(yè)務(wù)風(fēng)險和信息科技風(fēng)險，制定出相應(yīng)的風(fēng)險防范辦法，加以落實并對結(jié)果進行檢查，建立起自身的風(fēng)險防范機制；三是加強信息科技管理，采用多種技術(shù)建立縱深防御體系，完善應(yīng)急響應(yīng)體系和業(yè)務(wù)連續(xù)性計劃，建立災(zāi)備恢復(fù)體系，規(guī)范日常信息系統(tǒng)運維流程。四是通過實施安全審計，做好信息系統(tǒng)的安全檢查工作。

3 銀行信息安全保障體系建設(shè)方案

銀行信息安全保障體系的建設(shè)是一個體系化的工程，涉及信息安全策略體系、信息安全管理體系、信息安全技術(shù)體系、信息安全運作體系四個部分。其中信息安全策略體系是核心內(nèi)容，覆蓋信息安全工作的各個方面，對管理、技術(shù)、運維體系中的各種安全控制措施和機制的部署提出目標和原則；安全管理體系是安全工作的管理和實施體系，監(jiān)督各種安全工作的開展，協(xié)調(diào)銀行各部門在安全實施中的分工和合作，保證安全目標的實現(xiàn)；安全運作體系是對安全生命周期中各個安全環(huán)節(jié)的要求，包括安全工程管理機制，安全預(yù)警機制、定期的安全風(fēng)險識別和控制機制、應(yīng)急響應(yīng)機制和定期的安全培訓(xùn)機制等；安全技術(shù)體系是對實現(xiàn)銀行信息安全的具體措施，銀行安全安全策略、安全管理、安全運維必須依托相應(yīng)的技術(shù)手段方可執(zhí)行，技術(shù)體系包括了身份認證、訪問控制、加密、防惡意代碼、安全加固、監(jiān)控、日志審計和備份恢復(fù)，是銀行安全保障體系的重要支撐(如圖2)。

根據(jù)銀行信息科技風(fēng)險管理的需要，參照近年來信息安全領(lǐng)域出現(xiàn)的信息系統(tǒng)安全保障理論模型和技術(shù)框架(如IATF等)、信息安全管理標準ISO/IEC 27002：2005和ISO/IEC TR 13335系列標準以及IT治理相關(guān)理論，結(jié)合銀行業(yè)的特點和信息化現(xiàn)狀，建設(shè)信息安全保障體系，為銀行信息系統(tǒng)的平穩(wěn)運行和業(yè)務(wù)的持續(xù)開展提供強有力的保障，提升信息科技風(fēng)險防范和響應(yīng)能力。

(1) 根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域，對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)，通過部署系列安全產(chǎn)品實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、入侵檢測、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

(2) 部署安全管理中心(SOC)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等產(chǎn)生的日志進行收集分析，監(jiān)控各系統(tǒng)的安全狀態(tài)，產(chǎn)生的各類 IT運維及安全事件通過工單管理模塊分派處理事件的責(zé)任人，實現(xiàn)全網(wǎng)風(fēng)險的有效管理。

圖2 信息安全保障體系建設(shè)圖

(3) 為了確定信息科技中存在隱患的區(qū)域，評價信息科技風(fēng)險對銀行業(yè)務(wù)的潛在影響并確定風(fēng)險防范措施及所需資源的優(yōu)先級別，應(yīng)定期進行信息科技風(fēng)險的全面識別與評估，對信息科技風(fēng)險管理工作中存在的問題提出有效整改措施，建立信息科技風(fēng)險管理策略和評估流程。

4 總結(jié)

網(wǎng)絡(luò)安全風(fēng)險在信息時代的今天愈加凸顯，需要引起更多的關(guān)注和重視，也將在未來面對更多的挑戰(zhàn)。本文從宏觀的角度對銀行業(yè)的信息安全體系建設(shè)做了詳細的介紹，希望能為大家的信息安全保障和管理工作提供一些新的思路。

[1] 商業(yè)銀行信息科技風(fēng)險管理指引.

[2] 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引.

[3] ISO 27002:2005信息安全管理體系實施指南.

[4] 李東衛(wèi).商業(yè)銀行信息科技風(fēng)險的分析與對策.中國銀行業(yè)監(jiān)督管理委員會陽泉監(jiān)管分局.

[5] 唐磊.商業(yè)銀行信息科技風(fēng)險現(xiàn)狀與管理策略分析.中國工商銀行股份有限公司蘇州分行信息科技部.

[6] 張倩,張云志,祁妙.關(guān)于商業(yè)銀行信息科技風(fēng)險的調(diào)查與思考.