導(dǎo)語(yǔ)：金融業(yè)信息安全的競(jìng)爭(zhēng)與策略一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

近年來(lái)，隨著經(jīng)濟(jì)全球化不斷擴(kuò)展，金融創(chuàng)新的廣度和深度不斷擴(kuò)展，我國(guó)的金融業(yè)信息化工作得到快速發(fā)展，規(guī)范、方便、高效、安全的金融業(yè)信息化服務(wù)體系初步建成。與此同時(shí)，金融業(yè)對(duì)信息技術(shù)的依賴程度越來(lái)越大，金融業(yè)信息安全保障難度持續(xù)加大，給我國(guó)金融業(yè)信息安全帶來(lái)新的更大的挑戰(zhàn)。如何應(yīng)對(duì)，要求我們必須高度重視。

一、面臨的挑戰(zhàn)

目前，金融業(yè)的業(yè)務(wù)開(kāi)展更加依賴于信息技術(shù)的應(yīng)用，特別是以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個(gè)新的階段。因而，信息技術(shù)風(fēng)險(xiǎn)也自然成為中國(guó)金融機(jī)構(gòu)操作風(fēng)險(xiǎn)的重要方面。金融業(yè)信息安全工作正面臨比以往更嚴(yán)峻的形勢(shì)，圍繞信息網(wǎng)絡(luò)空間的斗爭(zhēng)日趨尖銳，境內(nèi)外網(wǎng)絡(luò)違法犯罪活動(dòng)呈快速遞增趨勢(shì)，惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化局面，金融業(yè)信息系統(tǒng)安全運(yùn)行的難度加大，挑戰(zhàn)增多。

一是人民銀行的業(yè)務(wù)指導(dǎo)、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。

與金融業(yè)信息化的高速發(fā)展相比，金融業(yè)信息安全的指導(dǎo)、監(jiān)管工作還需要進(jìn)一步加強(qiáng)。國(guó)內(nèi)曾有專家明確提出，在金融信息化、網(wǎng)絡(luò)化時(shí)代，“信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念?！毙畔①Y產(chǎn)風(fēng)險(xiǎn)指在信息化中，信息資產(chǎn)的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、生成、存在、運(yùn)用、服務(wù)、管理、維護(hù)、監(jiān)管以及其他相關(guān)過(guò)程中產(chǎn)生的信用、市場(chǎng)、操作與業(yè)務(wù)風(fēng)險(xiǎn)。人民銀行在金融信息規(guī)劃、信息標(biāo)準(zhǔn)、信息安全等諸多方面承擔(dān)著重要職責(zé)，在2008奧運(yùn)年中發(fā)揮了重要、積極的作用。但總體來(lái)看，人民銀行及其分支行對(duì)金融機(jī)構(gòu)信息安全工作的指導(dǎo)和監(jiān)管，還處于初級(jí)階段，由于人民銀行分支機(jī)構(gòu)對(duì)各金融機(jī)構(gòu)信息安全缺乏指導(dǎo)、缺乏統(tǒng)一的監(jiān)管目標(biāo)、缺乏完整的認(rèn)識(shí)，以及缺乏監(jiān)督管理的依據(jù)和標(biāo)準(zhǔn)，從而導(dǎo)致監(jiān)管措施不到位，監(jiān)管手段缺失，致使基層行監(jiān)管缺乏主動(dòng)性。

二是核心設(shè)備和技術(shù)依賴于國(guó)外，底層技術(shù)難以掌握，存在安全隱患。

目前，我國(guó)金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)中，大量使用國(guó)外廠商生產(chǎn)的設(shè)備，這些設(shè)備使用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、芯片也大多數(shù)是由國(guó)外廠商生產(chǎn)。外方不可能提供設(shè)備的核心技術(shù)和專利，我方很難判斷設(shè)備是否存在“后門”、“軟件陷阱”、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞。據(jù)調(diào)查，一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品，都不可避免地存在一定的安全漏洞。這些漏洞可能是開(kāi)發(fā)過(guò)程中有意預(yù)留，也可能是無(wú)意疏忽造成的。特殊情況下，特定安全漏洞可能被利用實(shí)施人侵，修改或破壞設(shè)備程序，或從設(shè)備中竊取機(jī)密數(shù)據(jù)和信息。前一階段國(guó)外炒作的IC卡安全問(wèn)題以及近年來(lái)出現(xiàn)的微軟“黑屏事件”，已經(jīng)為我們敲響了警鐘。

三是境內(nèi)外網(wǎng)絡(luò)違法犯罪活動(dòng)呈快速遞增趨勢(shì)，新技術(shù)的應(yīng)用使我們面臨更大的挑戰(zhàn)。

金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對(duì)勢(shì)力、不法分子進(jìn)行攻擊、破壞和恐怖活動(dòng)的重點(diǎn)目標(biāo)。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊，整體信息安全形勢(shì)嚴(yán)峻。2009年國(guó)防科技大學(xué)的一項(xiàng)研究表明，我國(guó)與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過(guò)境內(nèi)外黑客的攻擊或侵人，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

2005年6月18日，被稱為有史以來(lái)最嚴(yán)重的信息安全案件在美國(guó)爆發(fā)，萬(wàn)事達(dá)、VISA和美國(guó)運(yùn)通公司的主要服務(wù)商的數(shù)據(jù)處理中心網(wǎng)絡(luò)被黑客程序侵人，導(dǎo)致4000萬(wàn)個(gè)賬戶信息被黑客截獲，使客戶資金處于十分危險(xiǎn)的狀態(tài)。

由此可見(jiàn)，基于開(kāi)放性網(wǎng)絡(luò)的金融服務(wù)對(duì)我國(guó)金融信息安全工作提出嚴(yán)峻的挑戰(zhàn)。

四是數(shù)據(jù)大集中的同時(shí)，也使技術(shù)風(fēng)險(xiǎn)相對(duì)集中。

伴隨著數(shù)據(jù)大集中的實(shí)現(xiàn)，風(fēng)險(xiǎn)也相對(duì)集中.一旦數(shù)據(jù)中心發(fā)生災(zāi)難，將導(dǎo)致金融業(yè)的所有分支機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)和全部的業(yè)務(wù)處理停頓，或造成客戶重要數(shù)據(jù)的丟失，其后果不堪設(shè)想。

近年來(lái)，國(guó)內(nèi)外金融機(jī)構(gòu)因?yàn)樾畔⒓夹g(shù)系統(tǒng)故障導(dǎo)致大面積、較長(zhǎng)時(shí)問(wèn)業(yè)務(wù)中斷的事件時(shí)有發(fā)生。2006年，日本花旗銀行出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27．5萬(wàn)筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃或交易后未作月結(jié)記錄，造成該行的重大聲譽(yù)損失。

信息系統(tǒng)潛在的風(fēng)險(xiǎn)已引起金融業(yè)的高度重視，如何保障后數(shù)據(jù)大集中時(shí)代金融業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行，是需要整個(gè)金融業(yè)深入研究的課題。

五是我國(guó)金融業(yè)的災(zāi)難處理能力有待加強(qiáng)。

據(jù)人民銀行在2009年對(duì)21家全國(guó)性商業(yè)銀行災(zāi)備中心建設(shè)情況的調(diào)查顯示，僅有3家建立了同城和異地災(zāi)備中心，9家建立了同城災(zāi)備中心，6家建立了異地災(zāi)備中心，尚有3家沒(méi)有建立災(zāi)備中心。返觀國(guó)外同業(yè)．多數(shù)國(guó)外銀行已經(jīng)做到了分行一級(jí)的災(zāi)難備份與恢復(fù)。這表明，我國(guó)金融業(yè)災(zāi)備中心建設(shè)同國(guó)外相比存在較大差距。

此外，國(guó)內(nèi)金融機(jī)構(gòu)的現(xiàn)有災(zāi)難備份中心布局不合理，過(guò)度集中在北京、上海兩地，一旦發(fā)生區(qū)域性重大災(zāi)難，將對(duì)我國(guó)金融業(yè)整體運(yùn)行狀況帶來(lái)極大危害，并造成過(guò)高的重建成本。

二、應(yīng)對(duì)措施

按照《國(guó)務(wù)院辦公廳關(guān)于印發(fā)中國(guó)人民銀行主要職責(zé)內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定的通知》(新“三定”方案)規(guī)定，人民銀行的主要職責(zé)之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃，負(fù)責(zé)金融標(biāo)準(zhǔn)化的組織管理協(xié)調(diào)工作，指導(dǎo)金融業(yè)信息安全工作。

在新形勢(shì)下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建設(shè)和信息安全，是人民銀行尤其是人民銀行分支機(jī)構(gòu)需要認(rèn)真思考的問(wèn)題。

金融業(yè)信息系統(tǒng)的安全是防范和化解金融風(fēng)險(xiǎn)的重要組成部分，要依靠法律、管理機(jī)制、技術(shù)保障等多方面相互配合，形成一個(gè)完整的安全保障體系。

一是加強(qiáng)金融服務(wù)指導(dǎo)和行業(yè)監(jiān)管。

應(yīng)建立跨部門的金融業(yè)信息安全協(xié)調(diào)機(jī)制以及重點(diǎn)時(shí)期的安保工作機(jī)制，強(qiáng)化信息安全手段和隊(duì)伍建設(shè)，加強(qiáng)信息安全檢測(cè)和準(zhǔn)人制度，實(shí)施信息安全等級(jí)保護(hù)，建立信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估體系，提高信息安全水平，保證金融穩(wěn)定和經(jīng)濟(jì)發(fā)展。

人民銀行分支機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)中小金融機(jī)構(gòu)的服務(wù)指導(dǎo)，尤其是在核心業(yè)務(wù)系統(tǒng)建設(shè)、災(zāi)備建設(shè)和信息安全方面給予具體指導(dǎo)，幫助中小金融機(jī)構(gòu)借鑒成功經(jīng)驗(yàn)，規(guī)避風(fēng)險(xiǎn)，實(shí)現(xiàn)跨越式發(fā)展。

各級(jí)人民銀行，應(yīng)牽頭成立金融業(yè)信息安全領(lǐng)導(dǎo)小組，并建立和完善信息安全通報(bào)制度、報(bào)告制度和聯(lián)席會(huì)議制度，建立健全一個(gè)運(yùn)轉(zhuǎn)靈活、反應(yīng)靈敏的信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，隨時(shí)處置和協(xié)調(diào)金融機(jī)構(gòu)安全事件，以迅速應(yīng)對(duì)突發(fā)事件的發(fā)生，降低或消除金融機(jī)構(gòu)網(wǎng)絡(luò)和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。

二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡(luò)。真正實(shí)現(xiàn)對(duì)金融機(jī)構(gòu)信息安全風(fēng)險(xiǎn)的及時(shí)、動(dòng)態(tài)、全面、連續(xù)的監(jiān)管。

在正確評(píng)估我國(guó)金融網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上，借鑒國(guó)外的組網(wǎng)模式，盡快建立適應(yīng)我國(guó)金融業(yè)信息化建設(shè)和發(fā)展實(shí)際的高速、安全和先進(jìn)的網(wǎng)絡(luò)框架，在建設(shè)時(shí)要充分考慮到網(wǎng)絡(luò)的兼容性和拓展性，為下一步與各金融業(yè)的網(wǎng)絡(luò)互聯(lián)做準(zhǔn)備。同時(shí)促進(jìn)各家金融機(jī)構(gòu)完善內(nèi)控機(jī)制，保障運(yùn)行安全。現(xiàn)代金融業(yè)高度依賴信息技術(shù)，必須充分認(rèn)識(shí)到金融業(yè)信息安全對(duì)整體業(yè)務(wù)和金融體系，乃至經(jīng)濟(jì)體系的影響，牢固樹(shù)立風(fēng)險(xiǎn)防范意識(shí)，把信息科技作為風(fēng)險(xiǎn)管理的重要手段。

三是人民銀行要協(xié)調(diào)督促金融機(jī)構(gòu)，加強(qiáng)自主創(chuàng)新，加大對(duì)國(guó)產(chǎn)軟硬件采購(gòu)力度，努力減少和降低一些關(guān)鍵領(lǐng)域的對(duì)外技術(shù)依賴。

對(duì)采購(gòu)或使用的信息技術(shù)和產(chǎn)品，能自主的就要千方百計(jì)地推進(jìn)自主，不能自主的，也須保證其可知可控，也就是說(shuō)，要對(duì)信息技術(shù)產(chǎn)品的風(fēng)險(xiǎn)和隱患、漏洞和問(wèn)題做到“心中有底、手中有招、控制有術(shù)”。

對(duì)須引進(jìn)的，實(shí)行市場(chǎng)準(zhǔn)人制度，并引進(jìn)權(quán)威機(jī)構(gòu)對(duì)其產(chǎn)品進(jìn)行風(fēng)險(xiǎn)、安全、實(shí)用等綜合性評(píng)估。

對(duì)各地區(qū)一些科技水平還比較低的中小金融機(jī)構(gòu)，要加大支持力度，加強(qiáng)行業(yè)內(nèi)部的交流合作。針對(duì)目前金融業(yè)，特別是中小金融機(jī)構(gòu)的信息系統(tǒng)的開(kāi)發(fā)、建設(shè)和運(yùn)維采用IT外包的形式，應(yīng)出臺(tái)相應(yīng)的政策、制度和措施，促進(jìn)IT外包健康快速發(fā)展，約定監(jiān)管機(jī)制，規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程，使IT外包以服務(wù)行為的公司化、強(qiáng)大的配套支持能力、靈活的外包服務(wù)方式成為金融機(jī)構(gòu)快速發(fā)展的可行之道。

四是建立健全信息安全管理制度，定期進(jìn)行信息安全檢查，加強(qiáng)網(wǎng)絡(luò)安全攻擊防范。

由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務(wù)運(yùn)營(yíng)方式，使網(wǎng)絡(luò)必定要建成一個(gè)同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu)，各種網(wǎng)絡(luò)訪問(wèn)上的安全問(wèn)題也隨之產(chǎn)生。金融網(wǎng)絡(luò)系統(tǒng)面臨的攻擊有來(lái)自內(nèi)部的，也有來(lái)自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí)，網(wǎng)絡(luò)安全問(wèn)題更是要優(yōu)先解決的問(wèn)題。因此，應(yīng)通過(guò)建立健全信息安全制度、定期組織信息安全非現(xiàn)場(chǎng)和現(xiàn)場(chǎng)檢查等方式，促進(jìn)銀行做好系統(tǒng)加固工作，充分利用各種安全產(chǎn)品強(qiáng)化網(wǎng)絡(luò)安全防范，加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理，做好安全日志分析、預(yù)警和監(jiān)測(cè)工作，防止植入木馬導(dǎo)致信息泄漏和來(lái)自內(nèi)部的安全威脅。

五是增加業(yè)務(wù)持續(xù)動(dòng)作能力，切實(shí)采取措施防范數(shù)據(jù)處理集中后的技術(shù)風(fēng)險(xiǎn)。

巴塞爾銀行業(yè)監(jiān)管委員會(huì)共同論壇2006年8月了《業(yè)務(wù)連續(xù)性高級(jí)原則》將業(yè)務(wù)連續(xù)性管理定義為，發(fā)生中斷事件時(shí)，確保某些業(yè)務(wù)保持運(yùn)行或在短時(shí)間內(nèi)得到恢復(fù)的一整套辦法，包括政策、標(biāo)準(zhǔn)和程序。

業(yè)務(wù)連續(xù)性管理的實(shí)施在組織上的保證至關(guān)重要。人民銀行應(yīng)指導(dǎo)金融業(yè)參照國(guó)外先進(jìn)經(jīng)驗(yàn)，專門成立業(yè)務(wù)連續(xù)性管理指導(dǎo)委員會(huì)，將業(yè)務(wù)部門、風(fēng)險(xiǎn)管理部門和IT部門有關(guān)業(yè)務(wù)連續(xù)性的管理職責(zé)融于一處統(tǒng)籌管理。

目前，國(guó)內(nèi)銀行災(zāi)難備份和業(yè)務(wù)連續(xù)性管理主要集中在系統(tǒng)故障、人員操作、機(jī)房維護(hù)和短時(shí)間電力中斷等情況。在防范自然災(zāi)害、重大疫情和恐怖襲擊等方面的應(yīng)對(duì)管理還需加強(qiáng)。一是要強(qiáng)涮“突發(fā)”與“應(yīng)急”。由于災(zāi)害事件的不確定性，應(yīng)急管理與保障工作必須建立在高強(qiáng)度的實(shí)戰(zhàn)性基礎(chǔ)上，使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急”的要求。二是要擴(kuò)大應(yīng)急預(yù)案本身的覆蓋范圍。我國(guó)金融業(yè)災(zāi)難備份及業(yè)務(wù)連續(xù)性管理主要集中在IT部門，遠(yuǎn)遠(yuǎn)不能適應(yīng)業(yè)務(wù)連續(xù)性的需要，應(yīng)當(dāng)強(qiáng)調(diào)業(yè)務(wù)部門的參與，與IT部門共同構(gòu)建適應(yīng)現(xiàn)代金融業(yè)發(fā)展需要的應(yīng)急保障體系，確保運(yùn)營(yíng)安全。

三、結(jié)束語(yǔ)

信息安全工作是一個(gè)系統(tǒng)工程，需要決策層、管理層、技術(shù)層通力配合，從安全制度建設(shè)和技術(shù)手段方面著手，加強(qiáng)信息安全意識(shí)的教育和培訓(xùn)，增強(qiáng)自我保護(hù)意識(shí)，采取綜合的防范措施，并不斷改進(jìn)和完善安全管理機(jī)制。要自始至終強(qiáng)化安全防范意識(shí)，采取全面、可行的安全防護(hù)措施，把安全風(fēng)險(xiǎn)降低到最小程度。金融業(yè)信息安全事關(guān)經(jīng)濟(jì)金融的穩(wěn)定大局，責(zé)任重大，金融業(yè)要未雨綢繆，認(rèn)真貫徹落實(shí)國(guó)家信息安全的工作要求，加快建立完備的安全防護(hù)體系，積極應(yīng)對(duì)挑戰(zhàn)。

人民銀行應(yīng)以科學(xué)發(fā)展觀統(tǒng)領(lǐng)金融業(yè)信息化建設(shè)全局，充分發(fā)揮科技在履行央行職能中的支持、保障、指導(dǎo)、協(xié)調(diào)作用，全面推進(jìn)金融業(yè)信息化建設(shè)，為促進(jìn)我國(guó)經(jīng)濟(jì)平穩(wěn)運(yùn)行發(fā)揮重要作用。