安全是金融行業(yè)永遠(yuǎn)的話題。金融信息系統(tǒng)外應(yīng)用系統(tǒng)相互牽連、使用對(duì)象多樣化、安全風(fēng)險(xiǎn)的多方位、信息可靠性、保密性要求高等特征構(gòu)成了金融系統(tǒng)的突出特點(diǎn)。

  國際金融危機(jī)以來，金融系統(tǒng)的風(fēng)險(xiǎn)控制和監(jiān)管被提到了前所未有的高度。如何利用信息技術(shù)的優(yōu)勢加強(qiáng)金融機(jī)構(gòu)的內(nèi)部控制，提高金融監(jiān)管和服務(wù)水平，防范和化解金融風(fēng)險(xiǎn)，促進(jìn)金融改革和創(chuàng)新，從而推動(dòng)我國經(jīng)濟(jì)社會(huì)的發(fā)展，是當(dāng)前我國金融業(yè)信息化建設(shè)面臨的重大問題。

安全體系全員參與

目前金融機(jī)構(gòu)已經(jīng)從傳統(tǒng)的資產(chǎn)負(fù)債經(jīng)營轉(zhuǎn)向風(fēng)險(xiǎn)經(jīng)營，一個(gè)完善的金融機(jī)構(gòu)必須構(gòu)建一個(gè)覆蓋業(yè)務(wù)各個(gè)維度的風(fēng)險(xiǎn)經(jīng)營管理體系。從小的方面來說，可以是一個(gè)較為完整的安全體系。

對(duì)于小范圍安全體系，在這里我們可以先看看巴塞爾Ⅱ協(xié)議，流動(dòng)性風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)，已經(jīng)覆蓋了金融機(jī)構(gòu)運(yùn)營的各個(gè)角度和維度。

對(duì)于信息風(fēng)險(xiǎn)（安全）我們可以從操作風(fēng)險(xiǎn)的角度來審視，由于目前IT應(yīng)用已經(jīng)涉及到金融的各個(gè)業(yè)務(wù)和辦公領(lǐng)域，對(duì)于IT帶來的風(fēng)險(xiǎn)管理已經(jīng)是金融運(yùn)營不可切割的一部分。所以，我們認(rèn)為對(duì)于金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理體系（或安全體系）應(yīng)該是一個(gè)從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過程。

不管從巴塞爾Ⅱ協(xié)議，還是我國商業(yè)銀行風(fēng)險(xiǎn)指引都要求我國銀行構(gòu)建一個(gè)完整的風(fēng)險(xiǎn)管理體系。我們認(rèn)為信息科技安全體系應(yīng)該是一個(gè)從需求、設(shè)計(jì)、上線、運(yùn)維到下線，一個(gè)全生命周期的風(fēng)險(xiǎn)（安全）管理體系，涉及與各環(huán)境相關(guān)的業(yè)務(wù)部門和科技部門。通常來說7分管理3分技術(shù)，在這里強(qiáng)調(diào)一下管理的重要性，我們認(rèn)為管理不僅僅是人員、崗位、角色的管理，也包含著策略和流程。如下圖所示：

故而我們建議對(duì)于金融信息科技風(fēng)險(xiǎn)管理（安全管理）體系的目標(biāo)是圍繞業(yè)務(wù)發(fā)展，緊密結(jié)合業(yè)務(wù)發(fā)展戰(zhàn)略，利用科技手段構(gòu)建風(fēng)險(xiǎn)防范平臺(tái)，鍛造精細(xì)風(fēng)險(xiǎn)管理能力，深化風(fēng)險(xiǎn)防范建設(shè)，為促進(jìn)金融機(jī)構(gòu)發(fā)展提供可靠保障。

圍繞目標(biāo)在金融機(jī)構(gòu)的各個(gè)部門從方針政策、人員到策略、流程直至技術(shù)防控措施全方位、全視角構(gòu)建風(fēng)險(xiǎn)管理體系（安全體系）。

隨著技術(shù)的發(fā)展和業(yè)務(wù)的擴(kuò)展，銀行的核心業(yè)務(wù)系統(tǒng)和后臺(tái)管理系統(tǒng)要進(jìn)行不斷的升級(jí)換代，在此基礎(chǔ)上的安全防御系統(tǒng)也要調(diào)整配合。

我們應(yīng)該從2個(gè)角度去看待這樣的工作：

1.       全生命周期的配合

風(fēng)險(xiǎn)防控是對(duì)IT系統(tǒng)全生命周期的管理。不是單獨(dú)的一個(gè)環(huán)節(jié)。由于業(yè)務(wù)發(fā)展需要，對(duì)銀行IT系統(tǒng)不斷更新和換代這是正常的。這樣需要IT風(fēng)險(xiǎn)管理也是要?jiǎng)討B(tài)、同步跟進(jìn)系統(tǒng)建設(shè)。

2.       PDCA,即使IT系統(tǒng)不進(jìn)行更新和換代，由于漏洞的發(fā)現(xiàn)和黑客技術(shù)的更新，同樣也需要風(fēng)險(xiǎn)管理的及時(shí)跟進(jìn)。

所以說IT風(fēng)險(xiǎn)管理比IT系統(tǒng)更新?lián)Q代更需要敏捷性。

對(duì)于一個(gè)良好的銀行機(jī)構(gòu)不僅需要IT風(fēng)險(xiǎn)管理的同步更新，同時(shí)也需要風(fēng)險(xiǎn)管控部門及時(shí)對(duì)風(fēng)險(xiǎn)撥備進(jìn)行更新。

將新技術(shù)納入風(fēng)險(xiǎn)防控體系

在這個(gè)競爭激烈的年代，銀行必須通過不斷的業(yè)務(wù)創(chuàng)新來發(fā)展自己的業(yè)務(wù)，那么對(duì)于現(xiàn)在不斷發(fā)展的技術(shù)來說，是金融創(chuàng)新的輔助手段和工具，諸如：internet、3G、云計(jì)算、SOA等技術(shù)，這些新技術(shù)的應(yīng)用給銀行機(jī)構(gòu)帶來了業(yè)務(wù)的增長，同時(shí)也帶來了相應(yīng)的風(fēng)險(xiǎn)。我們應(yīng)該采取積極創(chuàng)取，謹(jǐn)慎對(duì)待的態(tài)度。

銀行是一個(gè)經(jīng)營風(fēng)險(xiǎn)的機(jī)構(gòu)，積極進(jìn)取、穩(wěn)健經(jīng)營是一個(gè)銀行機(jī)構(gòu)經(jīng)營的宗旨�？萍紕�(chuàng)新帶動(dòng)業(yè)務(wù)創(chuàng)新也是新一代金融機(jī)構(gòu)發(fā)展的另外一個(gè)口號(hào)和宗旨。故而銀行機(jī)構(gòu)在采用新技術(shù)時(shí)會(huì)積極并且穩(wěn)健。

對(duì)于銀行來說，既要對(duì)新技術(shù)的出現(xiàn)采取積極的態(tài)度和精神去跟進(jìn)，同時(shí)也要通過不同緯度去審視新技術(shù)帶來的安全隱患和風(fēng)險(xiǎn)。

我們認(rèn)為，任何一項(xiàng)技術(shù)的采用和使用都是因其業(yè)務(wù)發(fā)展的需要。機(jī)遇永遠(yuǎn)與風(fēng)險(xiǎn)并存，故此我們建議在采用一項(xiàng)新技術(shù)之前要進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)評(píng)議，并且有相應(yīng)的流程去審議這些新技術(shù)的采用。對(duì)于任何新技術(shù)的采用可以建立完整的風(fēng)險(xiǎn)防控機(jī)制，并納入到風(fēng)險(xiǎn)防控體系中。

亡羊補(bǔ)牢，未為晚也

中小型金融機(jī)構(gòu)信息系統(tǒng)眾多環(huán)節(jié)都存在漏洞，在建設(shè)過程中因?yàn)闆]有統(tǒng)籌考慮，對(duì)于系統(tǒng)安全建設(shè)部分中的硬件設(shè)施、軟件設(shè)計(jì)模塊缺乏，造成諸如審計(jì)、保密、數(shù)據(jù)傳輸中的完整性、數(shù)據(jù)正確性、對(duì)外來攻擊的預(yù)防等安全措施弱化或缺失。

對(duì)于中、小金融系統(tǒng)來說，在其IT系統(tǒng)建設(shè)過程中如果沒有進(jìn)行統(tǒng)籌考慮，只考慮了業(yè)務(wù)功能性要求，對(duì)風(fēng)險(xiǎn)和安全控制沒有進(jìn)行安排和規(guī)劃，會(huì)導(dǎo)致目前的運(yùn)行中出現(xiàn)各類相應(yīng)的隱患和問題。

信息科技風(fēng)險(xiǎn)，是一個(gè)動(dòng)態(tài)的過程，并且對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、管理和控制這樣的過程也是一個(gè)動(dòng)態(tài)的過程。所謂“亡羊補(bǔ)牢，未為晚也，”對(duì)于信息科技風(fēng)險(xiǎn)管理是一個(gè)非常明智的選擇。

前文我們說過了信息科技風(fēng)險(xiǎn)管理的目的和宗旨，在這里我想說的是，信息科技風(fēng)險(xiǎn)管理對(duì)于金融機(jī)構(gòu)不分大小，也不分先進(jìn)和落后，對(duì)于任何一個(gè)金融機(jī)構(gòu)都適用，只不過因?yàn)橹小⑿〗鹑跈C(jī)構(gòu)由于人才儲(chǔ)備少、建設(shè)經(jīng)驗(yàn)缺乏不能著急獨(dú)立完成信息科技風(fēng)險(xiǎn)管理體系的建設(shè)，而是采用外部專業(yè)機(jī)構(gòu)來輔助完成而已。如工商銀行、建設(shè)銀行及興業(yè)銀行、廈門銀行等。

對(duì)此，我們認(rèn)為中、小金融機(jī)構(gòu)現(xiàn)在應(yīng)審時(shí)度勢，跟進(jìn)自己的業(yè)務(wù)特點(diǎn)，結(jié)合行業(yè)的標(biāo)桿經(jīng)驗(yàn)，聘請(qǐng)有經(jīng)驗(yàn)的外部機(jī)構(gòu)，盡早地搭建適合其業(yè)務(wù)發(fā)展特征的風(fēng)險(xiǎn)管理體系。

變被動(dòng)為主動(dòng)

   目前網(wǎng)上攻擊以黑客竊取核心數(shù)據(jù)為目的，在數(shù)據(jù)越來越重要的今天，網(wǎng)上安全日益嚴(yán)峻。面對(duì)日益猖獗的網(wǎng)絡(luò)攻擊，銀行在發(fā)展其網(wǎng)銀業(yè)務(wù)的同時(shí)，更加不應(yīng)該放松的是網(wǎng)銀風(fēng)險(xiǎn)防控。

我們認(rèn)為應(yīng)該積極主動(dòng)建立健全網(wǎng)銀風(fēng)險(xiǎn)防控（安全）措施，從風(fēng)險(xiǎn)威脅源、路徑和目標(biāo)做好相應(yīng)的措施和流程。

IT系統(tǒng)基架于網(wǎng)絡(luò)上就變成網(wǎng)絡(luò)應(yīng)用，網(wǎng)銀系統(tǒng)正是這樣的一個(gè)系統(tǒng)。對(duì)于任何一個(gè)網(wǎng)絡(luò)應(yīng)用都是端對(duì)端的應(yīng)用，那么對(duì)于安全問題也同樣演變成一個(gè)端對(duì)端的問題，故而我們?cè)谒伎季W(wǎng)銀安全的時(shí)候，不僅考慮到客戶端和服務(wù)端的安全問題，更要全面的思考，其中包括：客戶端、服務(wù)器端和整個(gè)的傳輸路徑等方面。

針對(duì)網(wǎng)銀安全，人民銀行于2009年下發(fā)了19#文件，著重強(qiáng)調(diào)了網(wǎng)銀各個(gè)環(huán)節(jié)的安全策略及控制措施。在此，我們強(qiáng)調(diào)指出，各家金融機(jī)構(gòu)不應(yīng)該只滿足《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范 》的基本要求，建議具有居安思危的意識(shí)和理念，滿足《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》增強(qiáng)性要求和更高的標(biāo)準(zhǔn)，同時(shí)也應(yīng)該做好網(wǎng)銀風(fēng)險(xiǎn)的撥備。值得注意的是不僅要被動(dòng)應(yīng)對(duì)安全檢查，也要加強(qiáng)主動(dòng)防范意識(shí)來應(yīng)對(duì)來自網(wǎng)絡(luò)的攻擊。

標(biāo)簽： 安全 服務(wù)器 服務(wù)器端 機(jī) 金融 漏洞 數(shù)據(jù) 網(wǎng)絡(luò) 信息安全 信息化 信息技術(shù) 選擇 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。