银行业信息安全管理的现实挑战及对策

来源：《中国金融电脑》杂志

在银行业信息化新阶段，信息技术风险也自然成为金融机构操作风险的重要方面。银行业信息安全工作正面临比以往更严峻的形势，难度加大，挑战增多。

近年来，银行业信息化程度不断提高，信息科技风险日益成为影响金融行业稳健发展的重要因素。银行业不仅成为信息科技成果应用最快、最广的行业之一，同时也成为遭受信息科技风险影响最大的行业之一。各种针对银行业的终端监听、信息窃取、黑客入侵等行为屡见不鲜，本文针对目前我国银行业信息安全面临的问题进行分析，探讨适合我国国情的银行业信息安全风险防范措施和办法。

一、信息安全的五个特性

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，避免受到偶然的或者恶意的破坏、更改、泄露，系统可以连续、可靠、正常地运行，信息服务不中断。信息安全有保密性、完整性、可用性、可核查性、可靠性等五个特性。

（1）保密性：防止信息泄漏给非授权的用户、实体或者过程的特性。

（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。

（4）可核查性：对信息的传播及内容具有控制能力，访问控制即属于可控性。

（5）可靠性：即系统可靠性。

二、信息安全三个层面的风险

目前，银行业信息安全面临的风险主要表现在以下三个层面。

1．操作风险

巴塞尔委员会提出的《有效银行监管的核心原则》强调：最重大的操作风险在于内部控制及公司治理机制的失效。如银行交易员、信贷员或其他工作人员越权或从事职业道德不允许的或风险过高的业务。这在信息安全工作中主要表现在系统运行管理过程中，技术支持与生产运行未能严格区分，业务操作没有实现“双人复核”原则，缺乏岗位之间有效的制约机制等，为犯罪分子实施各种欺诈犯罪留下了隐患。比如在信贷业务审批管理流程中，信息系统授权、审批形同虚设，换人审核，未实现实质有效制约，最终造成坏账、呆账等严重后果。

2．技术风险

技术风险主要表现在计算机项目建设中，缺乏防范系统建设人员犯罪的安全制约机制，例如将安全核心软件如密钥生成技术完全交由外部承包商代为开发，对进入银行系统使用的计算机终端设备缺乏严格检测认证，致使一些存在安全隐患的电子终端进入金融机构等。某银行杭州分行曾经发生一起与银行卡交易处理相关的案件，作案人从银行卡交易前置平台获取加密数据，利用网上下载的解密软件进行批量解密，然后分批制作伪卡，从事盗窃客户资金的活动。

3．决策风险

决策风险主要表现在银行业高层对信息安全管理的重要性认识不够深入，重应用、轻管理。对金融产品创新应用投资往往决心大、行动快，而忽视了对保障系统安全所需要的安全资金投入；在项目建设中对产品业务风险的防范重视不够，缺乏科学决策，忽视了防范风险措施与计算机技术的紧密结合，结果在计算机系统建设和产品研发的初期就埋下了隐患，表现为在项目需求阶段未进行安全风险分析和评估、设计阶段未遵循安全性设计原则、投产前未进行足够强度的安全性测试。

此外，对防范金融计算机犯罪技术的前瞻性研究重视不够，防范手段和技术滞后，对潜在金融风险无法实现有效控制，近年来一些银行相继发生了网上银行动态密码器相关业务漏洞被犯罪分子巧加利用的案件，使有的客户蒙受巨额损失，充分暴露了银行业金融机构对所推广产品信息安全管理的疏漏，同时自身也蒙受了重大的声誉损失。

三、信息安全面临的挑战

在以综合业务系统整合、数据集中为主要特征的银行业信息化新阶段，信息技术风险也自然成为金融机构操作风险的重要方面。银行业信息安全工作正面临比以往更严峻的形势，银行业信息系统安全运行的难度加大，挑战增多。

1．系统缺陷

（1）系统自主可控能力不足

目前，在我国银行业信息系统和网络中，虽然防病毒、网络设备、安全设施用的国产软硬件比重越来越大，但核心软硬件设施还是以国外为主，大多来自于Cisco、IBM、Oracle等国际IT巨头。这种依赖导致我们的自主控制能力不足，核心关键领域还是依赖于国外厂家的产品和服务，用户缺乏判断设备是否存在“后门”、“软件陷阱”、“软件炸弹”等安全隐患的能力。“棱镜门”事件暴露了美国政府利用其掌握的高科技手段对别国实施监听和系统攻击，该事件的曝光对核心设备和系统主要来自于海外IT巨头的国内银行业信息安全管理层面提出了严重警告以及更高的防控要求。

（2）系统漏洞

互联网本身固有的技术机制存在缺陷。TCP/IP协议本身缺乏安全控制机制，建立在互联网络为基础的金融网络系统存在先天安全漏洞，易被病毒感染、被黑客入侵。典型案例就是2013年2月VISA、万事达卡、运通卡三家信用卡组织约800万张信用卡资料为黑客所盗取。针对网上银行（网上支付）的木马及其它攻击方式更是层出不穷。据统计，目前全球的黑客攻击事件，40%是针对金融系统的，在我国比例更高达60%以上。

（3）交易系统缺陷

按照我国相关信息安全标准，银行业金融机构的网上业务产品要达到三级以上安全标准，但目前大多数金融机构尤其是中小银行的安全状况都未达到这一要求，其自行开发、应用的网上交易系统安全防控措施不到位、抵御攻击能力弱、事件应急响应滞后、客户地址及邮箱等资源保护不力，暴露出系统虚假信息泛滥、账户密码被黑客破译、数据资料和交易指令被篡改、资金被盗取、股票债券基金等金融资产被盗卖等风险，信息的安全传递所要求的严格私密性、真实性、完整性、不可否认性等安全要素缺位。

2．交易监管滞后

目前，我国网络金融P2P、网络代客理财业务方兴未艾，与此同时相关监管经验严重不足，监管手段不全、技术落后、职责界定不清、网上业务内部审计流于形式，与网络银行业务的高速发展相比，其信息安全的指导、监管工作亟待加强。

3．数据大集中致使风险相对集中

目前，数据大集中已成为银行业金融机构业内潮流，随之而来的信息安全风险也急剧集中。一旦数据中心发生灾难，将导致一家金融机构的所有分支机构、营业网点和全部业务处理陷于停顿，或造成客户重要数据的丢失，不但影响业务正常进行，同时造成重大的声誉风险等灾难性后果。近年发生过数起不同银行数据中心故障造成的大范围业务中断的现象，造成了国际国内重大不利影响。

4．应急处置能力亟待提升

信息系统的集中以及数据爆炸式的增长使各金融机构的应急处置和灾难恢复面临空前的压力和挑战，近年来国内外银行业金融机构发生的重大事件表明，从恐怖袭击到网络攻击，从地质灾害到机房物理环境故障，都会造成严重的生产事件甚至是数据处理中心的瘫痪。银行业数据处理中心的网络中断或系统瘫痪不仅仅涉及到经济安全问题，甚至可能演变为更高的国家安全层面问题。

四、应对措施

根据《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》（即新“三定”方案）规定，人民银行的主要职责包含了组织制定银行业信息化发展规划、负责金融标准化的组织管理协调工作、指导银行业信息安全工作。在新形势下如何指导和协调银行业信息化建设和信息安全，也是人民银行尤其是其各级分支机构信息科技部门需要着重研究的课题。针对上述银行业信息安全面临的挑战，笔者提出以下几个方面的应对建议：

1．建立健全信息安全管理制度和机制

（1）建立健全信息安全管理体系

建立全辖银行业金融机构信息安全管理组织体系，健全信息安全管理制度，明确各机构专业部门、各相关岗位职能，做到按制度办事，避免“即兴发挥”。定期组织开展信息安全的非现场监测和现场检查，检查评价制度的执行情况，督促问题的整改，促进各机构做好信息安全风险防控工作。

（2）严格执行信息安全的报告机制和应急协调机制

2010年起，中国人民银行、工信部、公安部、安全部、电监会五部委建立了跨部委的应急协调工作预案。2011年，中国人民银行在副省级以上城市建立了区域的信息安全应急协调机制。这种全国性的制度安排和属地化管理相结合，实际上构成应急协调机制、保障机制。各金融机构在信息安全事件发生、发展、善后等不同阶段，要及时向人民银行报告相关情况，便于人民银行组织协调进行应急处置，尽量避免造成社会因恐慌引发群体性事件。

（3）建立安全可控的生产运行维护机制

目前，金融机构联网的系统规模、范围越趋庞大，服务对象也越趋多面立体化，依赖人力进行监控已力不从心。需要建立覆盖全辖的自动化监控体系，达到监控系统比用户先发现问题，中心机构比分支机构先发现问题的目的。

自动化监控系统应包括网络自动监控、应用系统自动监控、物理环境智能化监控等方面。为了提高自动化监控系统的相应速度，应尽可能采取可视化界面设计，告警信息能够声光提示。以缺乏网络监控的系统为例，网络连接都采用主备两条线路，当一条线路中断自动切换到另一条线路时，虽然业务未受影响，但单点故障的问题却被掩盖，直到另一条线路因为故障使得网络全部中断时问题才暴露，而通过自动化监控就能早期发现问题和及时响应。

监控对象的指标标准化是自动化监控的基础，监控阀值的设置合理与否是用好监控系统的关键，阀值过低会产生大量的错误告警信息，设置过高则会漏报故障。监控指标的优化提升是信息网络和系统健壮性的重要依据，是运行维护技术体系的核心内容。自动化监控系统的实施范围要逐步从网络监控扩大到应用监控和物理环境监控，不但要包括传统的各种系统资源使用率，还要注意增加交易量、交易进度、数据状态等内容，能够及时发现物理运行环境和交易处理流程方面出现的异常情况。

2．将信息安全风险管理纳入各经营主体的全面风险管理体系

防范和化解信息安全风险是一项综合性、长期性的工作。人民银行对信息安全管理的要求是：信息安全管理的底线是，绝对不允许发生系统性和区域性的风险。银监会对信息安全的明确看法是：IT风险是惟一可以在一瞬间让整个银行陷入瘫痪的风险。银行业金融机构应高度重视信息安全管理工作，将信息安全风险管理纳入本机构的全面风险管理体系，搭建业务部门和技术部门协同配合的信息安全管理平台。

3．进一步提高系统自主创新能力

监管机构应协调督促金融机构，加强系统自主创新，加大对国产软硬件采购力度，努力减少和降低一些关键领域的对外技术依赖。对采购或使用的信息技术和产品，能自主的就要尽其所能推进自主，不能自主的，也必须保障其可知可控，要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。对确需引进的技术和产品实行市场准入制度，并邀请权威机构对其产品进行安全风险和实效性评估。

4．强化金融交易监管

（1）加快网络金融安全立法进程

网络金融近来风生水起，相对而言我国网络金融监管立法滞后。网络金融安全关乎国计民生、经济安全，因此，其安全立法进程刻不容缓，应成立对应的网络金融安全管理部门，研究制定金融安全政策和标准，规范、指导和约束网络金融的安全发展，打击网络金融犯罪，维护金融机构及各交易方的合法权益，保障我国网络金融业务健康、规范、有序地发展。

（2）加强金融服务指导和行业监管

商业银行应建立跨部门的银行业信息安全协调机制以及重点时期的安保工作机制，强化信息安全手段和队伍建设，加强信息安全检测和准入制度，实施信息安全等级保护，建立信息资产风险评估体系，提高信息安全水平，保障金融稳定和经济发展。人民银行分支机构应加强对辖内银行业金融机构的制度指导，尤其是在核心业务系统建设、灾备建设和信息安全方面指明正确方向，借鉴成功经验，规避重大风险。

（3）建立跨部门的现代化银行业信息安全管理网络

应研究建立跨部门的高效银行业信息安全管理网络，真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。在正确评估我国金融网络现状的基础上，借鉴国外的网络安全管理模式，尽快建立适应我国银行业信息化建设和发展实际的高速、安全和先进的网络框架。同时促进各家金融机构完善信息安全内控机制，保障信息系统运行安全。现代银行业高度依赖信息技术，必须充分认识到银行业信息安全对整体业务和金融体系乃至国民经济体系的影响，牢固树立风险防范意识。

5．加强金融机构灾备技术体系建设

（1）合理规划和优化调整灾备中心（数据中心）整体布局。根据国家信息安全战略要求，新建灾备中心（数据中心）要按照“适度分散原则”选址，以抵御自然灾害、战争破坏。

（2）推动金融机构灾备技术架构从“两地三中心”向“多中心互备运行”发展，降低数据大集中带来的风险，提高灾备资源的可用性。

（3）建立灾备中心检测认证技术体系，以多种方式促进小型、微型金融机构加大灾备设施建设力度，提高银行业金融机构灾备建设的整体水平。

6．坚持优先恢复系统对外服务原则

（1）改进交易的处理流程

系统中断的种类和交易处理的场景是难以穷尽的，金融机构应该从提高业务连续性的角度，去设计和实现替代的流程与数据处理的方式。包括手工交换数据、手工补录数据、交易流程路径变换等方法作为替代服务，最终目的是业务中断时间大大短于系统恢复时间，也是衡量一个事件处理是否成功的重要指标。

（2）加强业务连续性管理

想要在特殊时期短时间内恢复业务运行，有赖于远程灾备中心的数据备份，快速恢复业务运营。为了达到“最快恢复生产”目标，商业银行还需做好以下工作：

一是建立业务连续性管理制度。建立业务连续性管理制度，规范机构内的管理流程，明确各级机构、部门在体系中的职责。制定专业的突发事件应急预案，做到预案的标准化、流程化，一旦发生突发事件，员工能够按照预案进行业务恢复。

二是加强业务连续性日常管理。定期组织各层次的培训，组织业务连续性演练，必须组织业务级的演练而不仅是IT演练，通过演练检验各业务部门以及机构内外的联动，优化和改进业务连续性管理工作。

三是明确业务连续性牵头管理部门。因为业务连续性管理对于及时恢复系统对外服务十分重要，且涉及多个部门，因此，业务连续性管理需要专门的部门来牵头组织，督促各相关部门定期开展检查和评价。这一职责一般是由内部审计或承担内部审计职责的部门承担。

（3）缩短系统恢复时间

当出现信息系统中断事件时，如果初步判断无法在短时间内恢复系统，应优先考虑隔离故障设备，切换至热备、替代的系统，或者果断启动应急预案，以控制事态的进一步发展。应采取各种可能的举措来缩短系统恢复的时间，尽快恢复系统的对外服务是最重要的。

7．加紧人才培养

银行业金融机构要培养一批既掌握计算机枝术、网络技术、通信技术，又掌握金融实务和管理知识的复合型高级技术和管理人才。要通过不间断的培训教育，让全体从业人员了解网络技术安全缺陷，充分认识潜在的网络安全隐患，提高信息安全管理意识，掌握必要的信息安全管理技术。

信息安全管理工作是一项复杂的系统工程，需要决策层、管理层、技术层通力配合，从安全制度建设和技术手段方面着手，加强信息安全意识的教育和培训，增强自我保护意识，采取综合的防范措施，并不断改进和完善安全管理机制。要自始至终强化安全防范意识，采取全面、可行的安全防护措施，把信息安全风险降低到最低程度。银行业信息安全事关国家经济金融稳定大局，要未雨绸缪，加快建立完备的安全防护体系，积极应对未来挑战。