銀行業應如何加強資訊安全保護

11月7日，全國人大常委會表決通過《中華人民共和國網絡安全法》，該法将于2017年6月1日起施行。

應該說，《網絡安全法》從起草到審議，與國内外網絡空間安全化、法制化的發展趨勢相吻合。從全球範圍看，目前已有70餘個國家相繼制定網絡安全戰略，網絡安全已逐漸成為影響全球宏觀經濟與政治穩定的重要因素。是以，相關法規的出台勢必将彌補我國參與國際網絡安全治理的短闆。

《網絡安全法》也必将對金融業特别是銀行業的發展産生深遠的影響。金融是經濟的核心，而銀行又是金融業的重中之重。銀行資訊安全是銀行業務開展的基礎，是銀行經營穩健運作的保障。在大資料時代，資料挖掘和分析的技術得到前所未有的發展，散落在門戶網站與社交網站的個人資訊都可通過二次利用被挖掘出個人的隐私資訊，一旦被非法利用，就可能對使用者造成難以估量的損失。銀行作為客戶資金和資訊的重要載體，保障客戶的網上交易安全和資訊安全責任重大。

未來銀行的核心競争力之一将是大資料能力，這已成為銀行業界的共識。對于銀行來講，隻有擁有強大的“大資料”處理能力，才能使銀行資料應用達到價值最大化。在銀行資訊化、網絡化時代，如何利用大資料的優勢加強銀行機構的内部控制，防範和化解敏感資料資訊洩密風險，是目前銀行業資訊安全關注的重點和難點。

沒有資料安全就沒有資訊安全，資料安全管理必須貫穿資料生命周期的全過程。大資料的應用存在運維風險和營運風險等，前者如資料丢失、資料洩露、資料非法篡改、資料整合過程中的資訊不對稱導緻錯誤決策等，後者如企業聲譽風險、資料被對手擷取後的經營風險等。是以，必須加強資料管控。

據了解，國内網絡犯罪案件呈現逐年上升的态勢，其中涉及金融業特别是銀行資訊安全方面的犯罪也不在少數。如，2014年2月支付寶員工在資訊系統的背景下載下傳了大量客戶資訊有償出售給其他電商公司;2016年相繼發生的攜程信用卡資訊洩露、小米社群使用者資訊洩露等事件中，出現了大量使用者資訊資料被盜，導緻使用者網絡銀行賬戶被入侵事件等。上述事件嚴重影響了金融消費者合法權益，也充分暴露出在網絡資訊安全領域有較大隐患，不容小觑。

從各家銀行内部看，目前無論從系統管理的角度還是從安全技術水準的角度，也都存在着不少的不足與問題：

從業務管理角度看，對資訊安全的認識不到位，資訊安全意識觀念薄弱;重視資訊安全産品的投入而忽視管理投入，應急預案不完備。同時，不少銀行缺少資訊安全管理的複合型人才。

從資訊技術角度看，部分銀行使用的軟體安全性較弱，系統漏洞較多，給業務系統帶來安全威脅，如計算機黑客的惡意入侵，盜取個人資訊和重要敏感資料。此外，還存在災備措施不完善等問題。

從環境變化角度看，業務由封閉走向開放，業務環境變化導緻新的安全問題。當線下交易走到線上進行，銀行面對更多的挑戰來自線上挑戰，有些挑戰前所未有，缺乏應對的經驗和能力。

《網絡安全法》共計七十多條，對網絡安全各方面事項行了全面規定，内容詳細，影響深遠。從宏觀層面看，此法的出台将解決長期困擾網絡安全工作的一些基礎性問題，有利于在一個較長時期内，統一社會各方的思想和行動。面對“網際網路 ”新态勢下的資訊安全挑戰，我國銀行業應主動适應市場、環境、技術的變化，充分借助《網絡安全法》即将出台的東風，建構一套切實可行的銀行資訊系統安全保障體系和方法，着力開創銀行資訊安全的新局面。

具體而言，下一步可以從以下幾個方面進行努力：

一是加強對《網絡安全法》的學習宣傳和教育訓練。認真做好相關專業人員的安全意識教育，而且常抓不懈。通過宣傳和教育訓練，提高所有參與管理的人員資訊安全和風險防範意識，關鍵是要重點培養資訊安全的業務骨幹。

二進推進資訊安全标準化體系建設。組織完善資料中心建設、資料存儲、網絡互連、安全加密、資料交換、安全認證、客戶服務方面标準的制定。對網上銀行、移動銀行、電子商務等創新産品和服務，制定與之相适應的标準和規範。

三是建立資訊安全應急管理機制。大型的銀行要積極建設“兩地三中心”，中小型銀行可以考慮選擇災難備份外包服務，使銀行具備抵禦火災、地震、暴雨等自然災害的能力，全面促進業務系統的連續性，着實增強銀行防範風險能力。

四是加強資訊安全複合型人才培養。在多管道培養人才的同時，還要與實踐相結合，在學習各類資訊安全知識和技術的前提下，組織參與教育訓練專業人員針對資訊安全制度進行實踐檢驗。此外，應從晉升、薪酬等方面對資訊安全人才進行激勵。

《網絡安全法》明确提出國家要對關鍵資訊基礎設施重點保護，要加強網絡安全資訊收集、分析等工作，采取措施防禦處置網絡安全風險和威脅等。鑒于大資料資源在網絡安全方面的戰略價值，針對大資料服務及大資料應用方面，還應采取相應措施：合理限制敏感和重要部門對社交網絡工具的使用，應避免、限制使用社交網絡工具作為日常辦公的通信工具;敏感和重要部門應謹慎使用第三方雲計算服務，特别是銀行應謹慎使用第三方雲服務，避免使用公共雲服務;嚴格監管、限制境外機構實施資料的跨境流動。

法律是維護國家穩定、金融發展的最強有力武器。相信随着《網絡安全法》的出台，銀行資訊安全工作将迎來更加美好燦爛的明天。

本文轉自d1net（轉載）