金融系統一直是安全威脅的高危地帶,典型案例就是2013年2月visa、萬事達卡、運通卡三家信用卡組織約800萬張信用卡資料為黑客所盜取。針對網上銀行(網上支付)的木馬及其它攻擊方式更是層出不窮。據統計,目前全球的黑客攻擊事件,40%是針對金融系統的,在中國這個比例更高達60%以上。
按照我國相關資訊安全标準,銀行業金融機構的網上業務産品要達到三級以上安全标準,但目前大多數金融機構尤其是中小銀行的安全狀況都未達到這一要求,其自行開發、應用的網上交易系統安全防控措施不到位、抵禦攻擊能力弱、事件應急響應滞後、客戶位址及郵箱等資源保護不力,暴露出系統虛假資訊泛濫、賬戶密碼被黑客破譯、資料資料和交易指令被篡改、資金被盜取、股票債券基金等金融資産被盜賣等風險,資訊的安全傳遞所要求的嚴格私密性、真實性、完整性、不可否認性等安全要素缺位。
中國民生銀行資深安全專家李吉慧
針對銀行業資訊安全面臨的挑戰,在zdnet的采訪中,中國民生銀行資深安全專家李吉慧補充到,目前,資料大集中已成為銀行業金融機構業内潮流,随之而來的資訊安全風險也急劇集中。一旦資料中心發生災難,将導緻一家金融機構的所有分支機構、營業網點和全部業務處理陷于停頓,或造成客戶重要資料的丢失,不但影響業務正常進行,同時造成重大的聲譽風險等災難性後果。近年發生過數起不同銀行資料中心故障造成的大範圍業務中斷的現象,造成了國際國内重大不利影響。
并且,目前在我國銀行業資訊系統和網絡中,雖然防病毒、網絡裝置、安全設施用的國産軟硬體比重越來越大,但核心軟硬體設施還是以國外為主,大多來自于cisco、ibm、oracle等國際it巨頭。這種依賴導緻我們的自主要制能力不足,核心關鍵領域還是依賴于國外廠家的産品和服務,使用者缺乏判斷裝置是否存在“後門”、“軟體陷阱”、“軟體炸彈”等安全隐患的能力。
李吉慧指出,銀行業應對資訊安全威脅首先要建立健全資訊安全管理體系,并嚴格執行資訊安全的報告機制和應急協調機制。
李吉慧重點從三個方面闡述了銀行應該做好的安全保障規劃:
建立安全可控的生産運作維護機制:自動化監控系統應包括網絡自動監控、應用系統自動監控、實體環境智能化監控等方面。為了提高自動化監控系統的相應速度,應盡可能采取可視化界面設計,告警資訊能夠聲光提示。以缺乏網絡監控的系統為例,網絡連接配接都采用主備兩條線路,當一條線路中斷自動切換到另一條線路時,雖然業務未受影響,但單點故障的問題卻被掩蓋,直到另一條線路因為故障使得網絡全部中斷時問題才暴露,而通過自動化監控就能早期發現問題和及時響應。
進一步提高系統自主創新能力:監管機構應協調督促金融機構,加強系統自主創新,加大對國産軟硬體采購力度,減少和降低一些關鍵領域的對外技術依賴。對采購或使用的資訊技術和産品,能自主的就要盡其所能推進自主,不能自主的,也必須保障其可知可控,要對資訊技術産品的風險和隐患、漏洞和問題做到“心中有底、手中有招、控制有術”。對确需引進的技術和産品實行市場準入制度,并邀請權威機構對其産品進行安全風險和實效性評估。
加強業務連續性管理:想要在特殊時期短時間内恢複業務運作,有賴于遠端災備中心的資料備份,快速恢複業務營運。為了達到“最快恢複生産”目标,商業銀行還需做好以下工作:
一是建立業務連續性管理制度。建立業務連續性管理制度,規範機構内的管理流程,明确各級機構、部門在體系中的職責。制定專業的突發事件應急預案,做到預案的标準化、流程化,一旦發生突發事件,員工能夠按照預案進行業務恢複。
二是加強業務連續性日常管理。定期組織各層次的教育訓練,組織業務連續性演練,必須組織業務級的演練而不僅是it演練,通過演練檢驗各業務部門以及機構内外的關聯,優化和改進業務連續性管理工作。
三是明确業務連續性牽頭管理部門。因為業務連續性管理對于及時恢複系統對外服務十分重要,且涉及多個部門,是以,業務連續性管理需要專門的部門(這一職責一般是由内部審計或承擔内部審計職責的部門承擔)來牽頭組織,督促各相關部門定期開展檢查和評價。
原文釋出時間為:2015年4月30日
本文作者:陳廣成
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。