管理与技术并重：信息安全需综合治理

信息安全是目前信息技术应用当中存在的普遍问题。随着信息技术的飞速发展和广泛应用，信息安全也由此前的专业领域和专业性问题演变为大众性问题。特别是随着互联网技术和产品的广泛普及和深入应用，信息安全问题迅速呈现在普通大众面前，日渐成为企业和个人日常工作和生活中需要关注的基本问题之一。近年来，银行业在信息安全方面投入了大量的精力，改善信息安全环境，提升信息安全能力，保障银行的安全运营。

一、信息安全管理的一般问题

        信息安全的主要目标是保障信息的保密性、完整性、可用性、可控制性、和不可否认性等方面。在信息安全管理上，必须遵守的一些基本原则包括：最小化原则，对于受保护的敏感信息，使用者仅被授予访问信息的最小权限；分权制衡原则，对所有权限进行适当划分，每个使用者只能被授予部分权限，并使其互相制约、互相监督、共同保证信息安全等。还有一些具体的原则，在工作中应根据实际需要予以采纳。

        由于计算机网络的普及，信息安全涉及整个网络体系及运营环境。狭义的信息安全是指以密码学为基础的信息技术及应用领域，广义的信息安全则还包含传统的计算机安全。本文中的信息安全指广义的信息安全，在不混淆的情况下也指狭义的信息安全。

        关于安全，环保部核与辐射安全监管司副司长汤搏在“核电安全的若干基本问题”中对相关的几个概念作了说明。他认为，风险是指可能发生的、会导致损失的问题，是尚未发生的灾害，提到风险要同时考虑后果的严重程度和可能性的大小。他认为，可以用风险大小来衡量安全水平是目前主流认为更合理的标准。因此，安全就是可接受的风险，是多种因素的平衡。同时，安全具有如下特性：永恒的、相对的、变化的。上述观点是合理的，本文认为，安全问题的永恒性、相对性和变化性是基本的事实。

        1．信息安全风险的来源

        信息安全风险来源很多，包括自然灾害和意外事故、使用不当、信息泄密等。概括来说，一般情况下，安全风险主要来源于技术和管理机制的缺陷。

        从技术方面看，风险主要来源于技术本身存在的缺冶和对技术的不正当使用。由于技术本身处于不断的发展和进步中，因此存在各种问题，这些问题在技术的持续发展过程中被不断克服，又会产生新的问题。在技术的应用中，如果对这些存在的技术问题没有充分认识，或没有正确地使用技术，就可能引起安全风险，导致信息安全事件的发生。对技术的不正当使用，则可能导致恶意的信息安全事件，这是信息安全领域面临的主要风险。

        对于技术风险，需要认识到信息安全问题是长期存在的，不存在终极解决方案，不可能一劳永逸地解决问题，正所谓“道高一尺，魔高一丈”，解决方案永远在发展之中。同时，信息安全的处理也处在不停的博弈之中，正如矛盾之争一样，永远处于攻防之中。

        从管理方面看，风险来源主要在于管理体制不健全和管理要求未落实。管理体制不健全，包括组织架构、职责分工、管理制度等不健全、不完善，还存在管理漏洞。管理要求未落实，则主要是执行问题，信息安全管理的各项要求未能真正得到落实，存在薄弱环节。例如，对于信息安全方面通行的标准规范、监管合规方面的要求、银行内控制度的要求等，没有落实到位、没有很好执行，从而带来了安全风险，甚至损失。

        2．信息安全风险的类别

        银行作为信息技术和产品的应用企业，广泛地使用了信息技术。信息安全则以银行的安全运营为中心，其风险也主要围绕安全运营为中心展开。

        银行的信息安全风险，主要表现为如下几个方面：

        一是生产安全风险。主要是保障银行生产系统持续运行、不间断服务所面临的风险，包 括生产系统的可靠性、可恢复性、连续性等高可用性方面的问题。集群部署、灾难恢复、应急机制等解决的主要是这方面的问题。

        二是信息安全风险。主要是对敏感信息、重要交易的安全保护所面临的风险，包括敏感信息和重要交易的保密性、可访问性、防抵赖性等方面的问题。加密、电子签名、身份认证、访问控制等解决的主要是这方面的问题。

        除此之外，还有一些相关的风险，如外包风险等，也是信息安全管理中必须考虑的重要方面。例如，外包的集中度、外包公司的运营情况等，都可能带来信息安全问题，需要重视。

        3．信息安全管理的一般考虑

        如前文所言，信息安全管理中涉及管理与技术等方面，各有其作用，两者相辅相成，不可偏废。

        一是信息安全管理方面，主要有：依法合规，信息安全管理要依法合规进行，这应该作为指导思想，指导整个信息安全管理体系的建立和工作开展；国家法律、政策法规、内控制度，从不同层面遵循并建立、健全制度体系，作为各项工作的依据；制定、落实规章制度，根据各项要求，结合信息安全管理的实际需要，制定并落实信息安全的规章制度；检查、整改、完善规章制度，通过对各项工作的检查及整改，不断完善规章制度，改进信息安全管理。

        二是信息安全技术方面，主要有：制定、实施信息安全支持体系，制定统筹全局的信息安全系统的方案并逐步实施，建立起信息安全的技术保障体系及专业队伍；系统建设、标准规范，加强信息安全系统建设，同时要遵循国际国内和企业自己的各项信息安全技术标准和规范，满足信息安全的要求改进、完善信息安全系统能力，信息安全技术在不断发展中，新的信息安全产品和技术不断出现，因此系统需要不断改进、完善，以提高信息安全保障能力；提高信息安全技术水平，信息安全技术的发展日新月异，因此应不断吸收新的信息安全技术、培养信息安全人才队伍。

        三是安全可控。安全可控既是国家战略，也是企业维护信息安全所需。银行在制定信息安全策略时必须认真研究并有效实施。

        四是合理性。这是银行在制定并实施信息安全策略时需要考虑的重要问题。信息安全是银行运营所必需，但要做好保障需要综合考虑多种因素，例如利益、代价、方便性、安全性等不同方面各种矛盾的平衡，并合理实施。

        以上所述四个方面，是银行在信息安全管理方面需要兼顾的几个主要问题。当然，由于信息安全涉及面广，因此实际工作中还有许多相关问题需要研究处理，这里不再赘述。

        从上面的说明可以看出，无论是管理方面，还是技术方面，都存在信息安全方面的风险，工作实践中也发现来自两方面的问题均存在。信息安全问题的发生，既有管理方面的原因，也有技术方面的原因。有些问题主要来自管理方面的疏漏，有些问题则主要源于技术本身的缺陷和恶意攻击。

        4．信息安全管理中存在的问题

        从目前的信息安全管理实践中可以看到业界存在重技术、轻管理的现象。由于信息技术的飞速发展和广泛应用，先进技术以其出色的能力在信息安全领域发挥了巨大作用，以至于很多人产生了技术万能的错觉，似乎信息安全技术可以解决一切问题。在实际工作中，经常会出现重技术、轻管理的情况，过分强调技术的作用，而忽视了管理的作用，以致很多银行、公司信息安全管理措施不完善、落实不到位，存在信息安全风险。

        我们认为，信息安全风险对于技术的应用来说，是一个永远存在的问题，没有绝对安全的信息系统。任何信息安全技术，只能提高信息安全的保障能力，降低风险发生的概率，但是不能完全消除安全风险。因此，在重视信息安全技术应用的同时，必须重视信息安全的管理。两者是相辅相成的，不可偏废。我们在工作实践中也看到，由于管理疏漏所导致的安全风险，在很多机构中都不同程度地存在，甚至导致发生重大信息安全事件。

二、银行的信息安全管理实践

        银行作为金融服务行业的重要机构，对信息技术的采用一直非常重视，对信息安全也极其关注，亦投入大量资源提高信息安全水平。

        1．银行的信息系统环境

        由于历史的原因，银行的信息系统环境存在大型机体系、小型机体系、PC服务器体系等不同的架构体系。大中型银行较早实现信息化，采用了IBM大型机的结构和小型机架构相结合，核心应用系统也主要构建在该体系架构下。中小型银行由于成本投入的考虑，主要构建在小型机和PC服务器的体系架构下，因此应用系统主要围绕小型机环境和PC服务器环境进行建设。近年来由于互联网应用的发展及互联网金融的异军突起，以及X86架构的低成本，大中型银行也纷纷引进X86架构及相关技术，并以此为基础构建新的开放式体系架构及云计算架构，开发相应的应用系统。同时，银行还建立了覆盖全部分支机构(本地区、境内和世界主要国家或地区)的网络，提供信息系统运行的基础环境。

        从系统架构看，大型机、小型机架构属于封闭的系统架构，主要应用是传统的银行应用，信息安全问题相对较小些。基于X86架构的体系则是开放式架构，以提供互联网服务的应用系统为主。由于这类架构的开放性，其面临的信息安全问题更加突出，风险更大。特别是随着移动互联应用的推广，其安全风险更是无处不在。

        2．银行的信息安全问题

        银行作为信息技术的应用单位，信息安全一直是其关注的重点领域。银行的信息安全问题包括了通常的生产安全、信息安全等方面，既涉及信息安全的管理，也涉及信息安全技术的应用。从管理角度看，涉及信息安全的治理、信息安全在信息系统的开发、测试、运行、维护等全生命周期中的管理，业务连续性管理，外包管理，内外部审计等方面。从技术角度看，既涉及系统的安全运行，包括机房环境、网络环境、数据备份、高可用性及灾备体系建设等，也包括信息的安全保密，包括敏感信息的处理(存储、使用、传输)、身份认证、信息的访问控制、密码策略、交易的防抵赖等。

        3．中国银行的信息安全管理

        中国银行作为一家全球化服务的银行，连续多年入选“全球系统重要性银行(G—SIBs)"，为国内外客户提供全方位的金融服务。中国银行在信息化建设过程中，非常重视信息安全管理，建立了完善的治理结构，构建了相应的安全技术支撑体系，有力地保障了金融服务的安全。

        (1) 信息安全管理体系。信息安全风险已经纳入总行统一的风险管理体系内，是总行风险管理委员会关注的重要内容。中国银行的信息安全管理体系以总行信息科技部为牵头管理机构，内设负责全行信息安全管理的部门，在直属单位、分支机构设立相应的信息安全管理部门。总行信息科技部负责落实各项监管要求、制定信息安全制度及规范、组织信息安全基础设施建设、检查全行信息安全工作的执行情况并推动工作改进。同时，风险管理部、稽核部、相关内控部门分别从集团风险管理、稽核检查、内控管理等不同角度对信息科技风险和信息安全进行管理和检查，确保信息安全工作的可控性、合规性、有效性等。此外，还引入外部机构对信息系统的安全、合规性进行审计，以帮助系统改进。

        (2 信息安全技术体系。基础设施上，建立了包括防火墙、DMZ区等安全隔离及安全传输、实时监控等机制在内的网络安全体系，建立了重要系统“两地三中心”(同城备份、异地灾备)的灾难恢复体系。应用体系上，建立了统一安全认证平台，提供包括动态口令、数字证书多种手段在内的身份认证服务，以及系统之间的互信认证，建立了电子银行交易的事中监控系统，建立了针对不同应用系统需要的、嵌入到各应用系统和业务处理流程中的各种信息安全保障手段。

        总行引入了ISO9001、CMMI、ISO2700l、ISO20000等各项规范，进一步加强安全运行管理和软件研发全生命周期的信息安全管理。在加强海外系统建设及全球化服务过程中，中国银行针对海外监管机构的不同要求和技术问题进行专题研究和攻关，实行差异化的解决方案，有效地解决了系统建设中的技术问题，为业务发展和全球化服务提供了有力的安全保障。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文