【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《金融机构信息安全体系研究》,欢迎阅读!
金融机构信息安全体系研究
作者:步怀津
来源:《现代企业文化·下旬刊》 2018年第11期
摘 要 伴随着金融电子化需求的日益迫切和信息技术的日新月异,金融机构传统金融业务与新兴互联网技术正在经历密切的融合,这种融合促进了金融机构的金融模式创新和服务渠道转型,但同时也带来了严峻的信息安全威胁挑战,本文通过目前金融机构信息安全管理的现状加以分析,对金融机构未来信息安全的发展目标以及策略进行研究。
关键词 金融机构 信息安全 电子化
一、概述
随着全球化不断扩展,创新的广度和深度不断扩展,金融行业信息化工作得到快速发展,规范、方便、高效、安全的金融业信息化服务体系初步建成。与此同时,金融行业对信息技术的依赖程度越来越大,特别是以综合业务系统整合、数据集中为主要特征的金融行业信息化发展到一个新的阶段。因而,信息技术风险也自然成为金融行业操作风险的重要方面。金融行业信息安全工作正面临比以往更严峻的形势,金融行业信息系统安全运行的难度持续加大,安全保障难度持续加大,给金融行业信息安全带来新的更大的挑战。
二、金融机构信息安全存在的问题
金融机构信息安全系统的建设是一个庞大复杂的工程,大部分工作牵扯到业务管理水平和信息安全技术,目前无论从系统管理的角度还是从安全技术水平的角度,金融机构信息安全方面都存在着较多问题,下面从这两个方面展开论述
(一)从业务管理的角度看金融机构信息安全存在的问题
1. 对信息安全的认识不到位,信息安全的意识观念薄弱。金融机构业的信息安全问题,首先是意识和观念的问题。无论是管理层还是底层员工,能认识到信息安全的重要性,熟悉信息安全的基本内容和具体工作要求是非常重要的。人们往往认为信息安全的核心安全性取决于核心技术,其实这种思想是错误的,信息安全首先取决于基本规范的实施和安全手段的应用。
2. 重视信息安全产品的投入而忽视管理投入,应急预案不完备。信息安全投入不完全是安全产品和工具的投入,还应包括操作流程、应急处理机制策略等方面的投入,还必须配套与安全产品有相适应的过程管理机制。建立合理的流程管理机制需要投入,这些投入与安全体系的完整性有着紧密的联系。应急预案的覆盖范围必须足够广,制定规范性、系统性应急预案并进行实践检验,部分应急预案的制定与金融机构实际工作情况没有关联,侧重于应急预案的形式,而不注重应急演练实践检验,极少有金融机构机构做到模拟真实场景进行应急演练和评估风险。
3. 金融机构缺少信息安全管理的复合型人才。金融管理离不开管理方面的人才,金融企业信息安全管理需要复合型人才,这种复合型人才必须熟悉计算机和网络技术,又要懂金融机构业务流程和信息安全风险防范知识。目前,这种复合型人才还比较少。各大金融机构的信息安全专业技术人员大部分都是毕业于计算机或相关专业,他们对计算机专业知识相对比较了解,但是对金融机构业务的工作流程和信息系统潜在威胁的把握还不够。
(二)从专业技术角度看金融机构信息安全存在的问题
1. 系统架构日趋复杂考验自主可控能力。国内金融机构网络基础设施和核心业务系统长期依赖国外厂商的技术和设备,国外IT 厂商的大型机、小型机、数据库、存储设备等在国内金融机构中处于垄断地位。以IOE 为代表,IOE 指以IBM 小型机、Oracle 数据库和EMC 存储设备为代表的IT 基础体系,这三个海外巨头从软硬件上垄断了金融数据库领域,尤其是大型金额金融机构,大都采用IOE 架构的数据库,高度依赖海外三巨头的设备,一方面极大地增加了IT 成本;另一方则带来巨大的数据安全隐患,在金融行业,去IOE 进展却并不顺利,依然是IBM、Oracle和EMC 三巨头构成的数据架构在主导,这并不是金融行业不想去IOE,而是因为将IOE 架构替换成新的解决方案成本实在是太高了,这么多年的IT 均是基于IOE 而建设的,形成了巨大的依赖性,不能说不用就不用。这更从层面反映了金融行业去IOE 的迫在眉睫。
2. 金融机构面临多样化的网络攻击形式。目前金融机构面临的最主要的网络威胁是资金盗窃、数据泄露以及系统服务中断。具体到攻击模式,金融机构由于数据资产附加值高,大量的网络黑客主要利用计算机软件系统的漏洞来入侵信息系统,入侵方法高明且多种多样,并且入侵手段更新速度也很快,从而使现有的计算机系统安全产品很难及时做出相应的预防,进而导致计算机网络经常遭到网络黑客的侵入。而且案例中反映出攻击者已不仅仅依靠单纯的技术手段,还表现出周密的侦察组织能力以及对金融业务流程的熟悉,甚至还出现内部技术人员参与协作的情况。
3. 灾备措施欠缺和基础设施故障。金融的灾难备份和恢复能力存在欠缺,金融机构的灾备系统类型比较单一,覆盖面还较小,尤其缺乏系统的灾难恢复方案。正因为这些情况的存在,导致了各种各样的自然灾害发生后,无法立刻启动应急预案并快速切换到备份系统,所以才会出现长达数小时的信息服务中断。计算机基础设施可以说是任何计算机系统安全运行的保障,当基础设施出现故障后,势必会造成信息服务的中断,同时这种情况的发生是不可预知的。
三、金融机构信息安全风险的应对策略与建议
外部威胁环境的变化、监管合规要求的提高以及自身业务系统架构的复杂化都要求金融机构在信息安全体系发展建设中进行多方位转型,以实现整体的安全自主可控。基于上述信息安全问题的分析可以知,构建一套可行的金融机构信息系统安全保障体系和方法,加强防范信息安全风险势在必行,因此,应做好以下方面的工作。
1.安全管理应突出“以人为本”,常抓不懈。人是信息系统的拥有者、管理者和使用者,据统计,只有20% ~ 30% 的信息安全事件是因为纯黑客入侵或其他外部原因造成,另外70% ~ 80% 都存在内部员工的疏忽或有意泄漏。金融机构在落实信息安全管理制度时,应将人员管理作为安全管理的核心。一是明确权责,根据内部人员开发、维护、管理职责和级别的不同进行权限分配,规范操作流程,避免修改删除自操作日志等情况;二是在外包项目中要加强对第三方人员的操作监控,对于核心数据读取和计算场景,增加数据同态加解密、数据脱敏等机制;三是强化日常运维、应急响应、安全专家等专设小组的职能定位和能力建设,打造立体化的信息安全管理队伍。2. 充分运用新技术应对新安全问题。金融机构必须充分预判和挖掘大数据、云计算、移动互联网等新技术存在的信息安全风险,确保新技术的应用不会造成重大客户信息泄露和资金损失。同时,金融机构还应该意识到新技术可以提升信息安全保障能力的另一面,积极研究大数据、云计算、人工智能等在信息安全态势感知、信息安全威胁情报分析、信息安全策略集中管控等方面的应用,推动信息安全防御和信息安全事件响应工作向着纵深化、智能化、快速化的方向发展。
3. 借力业界成熟标准,务实开展信息安全建设实践。金融机构在信息安全能力建设过程中,应充分参考ISO27001、GB/T22080、COBIT 等业界成熟标准。企业应用借鉴标准要与企业风险容忍度、管理理念及管控流程相结合。充分理解这些标准的框架、理念、方法和思路,灵活运用,构筑自身的信息安全管理体系;将自身管理流程与这些标准的具体控制要求进行对照,通
过对流程进行优化、重组,将这些控制要求转化为建行信息安全管理的内在控制要求,并形成制度标准正式发布,固化实施,确保信息安全控制要求有效落地。
四、结语
银监会在《中国金融机构业信息科技十三五发展规划监管指导意见》中关于信息安全提出了以下要求:“银行业金融机构要积极贯彻落实国家网络与信息安全政策,把信息安全工作提高到企业发展的战略性高度统筹考虑,着力健全信息安全管理体系,加强信息安全技术防护,提升关键信息基础设施的安全保障水平,确保风险可控。”从指导意见中,我们可以看出,未来金融机构信息安全工作将是一个长效机制,将以开放、弹性、安全、高效为重点目标实施,这也是未来金融机构需要长期探索的一个重要任务。
参考文献:
[1] 浅谈金融科技时代商业银行信息安全风险管理. 北京:中国金融电脑报,2017.
[2] 银信息安全技术与管理体系. 北京: 机械工业出版社,2015.
[3] 金融机构数据中心基础设施建设及运维管理. 北京: 机械出版社,2015.
本文来源:https://www.wddqxz.cn/4b58e30fb62acfc789eb172ded630b1c59ee9bfe.html