科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道专家谈:金融行业的信息安全服务在实践

专家谈:金融行业的信息安全服务在实践

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

围绕目标在金融机构的各个部门从方针政策、人员到策略、流程直至技术防控措施全方位、全视角构建风险管理体系(安全体系)。对于银行来说,既要对新技术的出现采取积极的态度和精神去跟进,同时也要通过不同纬度去审视新技术带来的安全隐患和风险。

作者:王子 来源:赛迪网 2010年10月18日

关键字: 安全

  • 评论
  • 分享微博
  • 分享邮件

  【赛迪网-IT技术讯】安全是金融行业永远的话题。金融信息系统外应用系统相互牵连、使用对象多样化、安全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。

  国际金融危机以来,金融系统的风险控制和监管被提到了前所未有的高度。如何利用信息技术的优势加强金融机构的内部控制,提高金融监管和服务水平,防范和化解金融风险,促进金融改革和创新,从而推动我国经济社会的发展,是当前我国金融业信息化建设面临的重大问题。

  安全体系全员参与

  目前金融机构已经从传统的资产负债经营转向风险经营,一个完善的金融机构必须构建一个覆盖业务各个维度的风险经营管理体系。从小的方面来说,可以是一个较为完整的安全体系。

  对于小范围安全体系,在这里我们可以先看看巴塞尔Ⅱ协议,流动性风险、市场风险和操作风险,已经覆盖了金融机构运营的各个角度和维度。

  对于信息风险(安全)我们可以从操作风险的角度来审视,由于目前IT应用已经涉及到金融的各个业务和办公领域,对于IT带来的风险管理已经是金融运营不可切割的一部分。所以,我们认为对于金融机构的风险管理体系(或安全体系)应该是一个从业务部门到技术部门都必须参与控制的过程。

  不管从巴塞尔Ⅱ协议,还是我国商业银行风险指引都要求我国银行构建一个完整的风险管理体系。我们认为信息科技安全体系应该是一个从需求、设计、上线、运维到下线,一个全生命周期的风险(安全)管理体系,涉及与各环境相关的业务部门和科技部门。通常来说7分管理3分技术,在这里强调一下管理的重要性,我们认为管理不仅仅是人员、岗位、角色的管理,也包含着策略和流程。如下图所示:

  故而我们建议对于金融信息科技风险管理(安全管理)体系的目标是围绕业务发展,紧密结合业务发展战略,利用科技手段构建风险防范平台,锻造精细风险管理能力,深化风险防范建设,为促进金融机构发展提供可靠保障。

  围绕目标在金融机构的各个部门从方针政策、人员到策略、流程直至技术防控措施全方位、全视角构建风险管理体系(安全体系)。

  随着技术的发展和业务的扩展,银行的核心业务系统和后台管理系统要进行不断的升级换代,在此基础上的安全防御系统也要调整配合。

  我们应该从2个角度去看待这样的工作:

  1.全生命周期的配合

  风险防控是对IT系统全生命周期的管理。不是单独的一个环节。由于业务发展需要,对银行IT系统不断更新和换代这是正常的。这样需要IT风险管理也是要动态、同步跟进系统建设。

  2.PDCA,即使IT系统不进行更新和换代,由于漏洞的发现和黑客技术的更新,同样也需要风险管理的及时跟进。

  所以说IT风险管理比IT系统更新换代更需要敏捷性。

  对于一个良好的银行机构不仅需要IT风险管理的同步更新,同时也需要风险管控部门及时对风险拨备进行更新。

  将新技术纳入风险防控体系

  在这个竞争激烈的年代,银行必须通过不断的业务创新来发展自己的业务,那么对于现在不断发展的技术来说,是金融创新的辅助手段和工具,诸如:internet、3G、云计算、SOA等技术,这些新技术的应用给银行机构带来了业务的增长,同时也带来了相应的风险。我们应该采取积极创取,谨慎对待的态度。

  银行是一个经营风险的机构,积极进取、稳健经营是一个银行机构经营的宗旨。科技创新带动业务创新也是新一代金融机构发展的另外一个口号和宗旨。故而银行机构在采用新技术时会积极并且稳健。

  对于银行来说,既要对新技术的出现采取积极的态度和精神去跟进,同时也要通过不同纬度去审视新技术带来的安全隐患和风险。

  我们认为,任何一项技术的采用和使用都是因其业务发展的需要。机遇永远与风险并存,故此我们建议在采用一项新技术之前要进行严格的风险评议,并且有相应的流程去审议这些新技术的采用。对于任何新技术的采用可以建立完整的风险防控机制,并纳入到风险防控体系中。

  亡羊补牢,未为晚也

  中小型金融机构信息系统众多环节都存在漏洞,在建设过程中因为没有统筹考虑,对于系统安全建设部分中的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。

  对于中、小金融系统来说,在其IT系统建设过程中如果没有进行统筹考虑,只考虑了业务功能性要求,对风险和安全控制没有进行安排和规划,会导致目前的运行中出现各类相应的隐患和问题。

  信息科技风险,是一个动态的过程,并且对信息科技风险的识别、管理和控制这样的过程也是一个动态的过程。所谓“亡羊补牢,未为晚也,”对于信息科技风险管理是一个非常明智的选择。

  前文我们说过了信息科技风险管理的目的和宗旨,在这里我想说的是,信息科技风险管理对于金融机构不分大小,也不分先进和落后,对于任何一个金融机构都适用,只不过因为中、小金融机构由于人才储备少、建设经验缺乏不能着急独立完成信息科技风险管理体系的建设,而是采用外部专业机构来辅助完成而已。如工商银行、建设银行及兴业银行、厦门银行等。

  对此,我们认为中、小金融机构现在应审时度势,跟进自己的业务特点,结合行业的标杆经验,聘请有经验的外部机构,尽早地搭建适合其业务发展特征的风险管理体系。

  变被动为主动

  目前网上攻击以黑客窃取核心数据为目的,在数据越来越重要的今天,网上安全日益严峻。面对日益猖獗的网络攻击,银行在发展其网银业务的同时,更加不应该放松的是网银风险防控。

  我们认为应该积极主动建立健全网银风险防控(安全)措施,从风险威胁源、路径和目标做好相应的措施和流程。

  IT系统基架于网络上就变成网络应用,网银系统正是这样的一个系统。对于任何一个网络应用都是端对端的应用,那么对于安全问题也同样演变成一个端对端的问题,故而我们在思考网银安全的时候,不仅考虑到客户端和服务端的安全问题,更要全面的思考,其中包括:客户端、服务器端和整个的传输路径等方面。

  针对网银安全,人民银行于2009年下发了19#文件,着重强调了网银各个环节的安全策略及控制措施。在此,我们强调指出,各家金融机构不应该只满足《网上银行系统信息安全通用规范 》的基本要求,建议具有居安思危的意识和理念,满足《网上银行系统信息安全通用规范》增强性要求和更高的标准,同时也应该做好网银风险的拨备。值得注意的是不仅要被动应对安全检查,也要加强主动防范意识来应对来自网络的攻击。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章