金融咨询网近期会进行系统维护,短暂的等待是为了更稳定的服务,感谢您的支持。
  • 快捷搜索
  • 全站搜索
位置:首页 > 科技 > 金融安全

区域银行如何应对安全风险

2010-10-06 13:28:12作者:北京农村商业银行信息技术部副总经理 陈扬宁编辑:
信息安全、 农商银行
北京农村商业银行近年来在信息安全方面发展的经验和教训,可以给其他面临类似问题的银行带来一定的借鉴作用。

近年来,金融监管机构对银行业加大监管力度,逐步出台了有关加强银行业的金融机构信息安全保障工作的一些指导意见。从制度到实际行动,逐渐加深了对银行业信息安全的监管,同时对银行业的信息安全提出了更高的要求。

        区域银行信息安全建设整体水平相对落后于股份制商业银行,股份制商业银行经过核心系统、后台管理系统的改造和开发,信息化发展水平相对比较高,同时信息安全体系相对比较健全。而区域银行不仅整体信息化投入建设落后于股份制银行,而且还落后于自身业务的发展。值得庆幸的是,很多区域银行已经意识到这一点,在逐渐加大信息化投入。

信息安全存在挑战
        随着区域银行业务的发展,安全隐患逐步开始出现。比如原有机房的选址。安保措施、供电等跟不上业务的发展,有些银行缺乏异地灾难备份中心。其次区域银行对信息安全的意识存在缺失,比如对诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。

        同时,对于未来的业务发展缺乏规划。网上银行业务,有些区域银行的网银知名度不高、应用少,所以很少有人关注这方面的安全问题。但是随着业务的发展,银行知名度得到提高,则需要提高电子渠道的安全意识。

        在运行维护方面,由于区域性银行相对技术管理能力不足,目前较多依靠系统承包商,人力风险明显。综上所述,我认为区域银行在安全方面和股份制银行相比差距还是比较明显的。

持续优化改进
        从整个信息安全的风险发展趋势来看,随着业务的开放化,网银、电子银行等业务渠道对互联网逐步开放,对整个信息安全的管理、技术控制提出了更高的要求。还有一些关于互联网访问终端的无意识信息泄露,造成攻击等,都可能对整个区域银行的发展带来安全隐患。
同时,对网络的攻击开始成熟化,有大量的自动化攻击工具可以在互联网上下载,造成整个攻击的成本逐渐下降。因此,银行遭受的攻击越来越多,手段和方法也明显增加,对信息安全的要求也越来越多。

        除此之外,软件的多样化使漏洞数量超过了操作系统,系统补丁该如何设置?内部员工、第三方人员所掌握的信息权限如何设定?区域银行面临的安全挑战越来越复杂。

        所以,区域银行对于信息安全建设的关注点和趋势也在发生变化。传统的基于网络的防护依然是基础,但是关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。

        高效的信息管理、安全的信息管理已经成为区域银行需要密切关注的问题。其次区域银行也开始重视评价信息安全风险,关注信息安全的监控和综合分析。随着危险不断地变化,使区域银行在安全方面的投入更加注重长期性,而不是短期的一次性投入,因此以技术平台支撑的合规管理工作正在逐渐受到重视。

        最后,业务的发展对系统和数据的高可靠性要求不断提高,安全威胁的破坏性越来越大,区域银行需要在系统和数据的可控性方面不断优化和改进。

以信息为核心制定规划
        基于以上问题,北京农商行制定了信息安全总体规划思路。

        首先规划的出发点是以信息为核心,包括信息的分类、分级、归档、审计、内容安全、保密等,都是以信息为核心的,也包括下面IT的基础架构层面以及上面的业务层面。

        规划原则首先要做到整体规划应该能够应对变化,整个信息安全建设规划要有相对完整全面的框架,以应对当前安全威胁的变化趋势,因为安全威胁也在不断发生变化,动态发展。

        其次,整体规划要致力于现有能力的提升,在现有的信息安全基础上来完善IT基础架构的安全建设、优化、调整和挖掘潜力,提升整体信息安全的保障能力。

        第三,要着重信息重点防范,以信息安全治理为工作目标,防范有意无意的数据泄露,作为今后的工作重点,北京农商行已经加强了信息安全防范的意识。

        整体规划的目标要达到三点要求。第一,以安全治理为方针,对信息安全环境不断治理和完善,注重不断治理发展的长期性。第二,以信息安全为核心,因为安全规划的最终目的是保障银行业务,业务的关键内容就是围绕业务的各种数据和信息,因此信息安全是一切的核心和前提。第三,以可管理的IT架构为基础,不可管理的IT架构本身就是一个不安全的隐患,因此在制定IT架构时首先要基于可管理性。其次支撑IT系统的基础架构和设施应该是可以量化管理的、可流程化的管理目标,来提升安全支撑和保障的能力,因此北京农商行的整体规划以一个方针、一个核心为基础。

        北京农商行信息安全框架是建立在三大支柱体系上的,包括运维体系、管理体系和基础安全体系。

        首先要注意信息安全的风险管控、法规遵从落实,相关的法律法规从2005年开始完善,现在则更加细化。安全体系的建设以信息安全为核心,以IT的基础架构为基础,目的就是安全的治理。最上层是安全治理,包含了安全的监控、合规管理、审计管理、IT资产服务管理等内容,这是一个长期持续性的工作目标,依赖于三大支柱技术体系的支撑作用。其中最核心的就是信息安全,包括数据内容、数据安全、操作的安全、还涉及数据传输的保护、内容安全、泄露防护等技术手段。

        基础架构安全是整个设计核心的基础,包括在整个IT系统中承载信息和软硬件系统设备的管理;其次范围要涵盖各方面的专业性、结构性和管理性等各方面的内容,是整个安全建设的关键和基础。

三阶段分步实施
        在整体规划制定完毕后,开始规划实施路线图。阶段性实施以安全治理为方针,信息安全为核心,以管理的IT基础架构为基础,分为三个具体阶段执行。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章