银行信息安全
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
银行信息安全是指银行信息系统的硬件、软件及其数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
银行信息安全[1]
银行加强信息安全的主要目的就是为了保障信息化的持续稳定发展,信息安全不仅属于技术问题,也属于管理问题。从信息技术层面来看,当前我们使用的很多操作系统存在一定的安全漏洞,开发商会针对发现的漏洞设计相应的补丁程序,这就需要定期更新系统。例如,运用主机热备份以及灾难备份的方式,可以有效保障信息的安全运行。同时一些软件开放人员在编程设计过程中留有“后门”,如果这些“后门”被不法分子知道,就会将该部分作为攻击目标,进而影响到信息系统的安全。当前大部分的黑客攻击等都是由于系统“漏洞”引起的,因此银行在应用软件过程中应该尽量避免留有“漏洞”。此外,随着我国信息化技术的不断发展,信息系统的安全管理也被纳入国家的重点项目中。
与世界上的部分发达国家相比,我国的信息安全管理工作起步较晚,但是发展较快,并且对系统风险认识的不断深化促进了信息安全管理的发展。对于银行而言,信息安全是至关重要的问题,这是因为任何一个环节出现问题,都会对整个系统的发展带来影响,甚至导致全局性的失误。例如,银行传统的信贷、柜台等业务已经有多年的信息安全管理经验,而信用卡作为一种新型的业务,它连接了多个方面的利益关系,其中涉及到发卡行、特约商户以及持卡人之间的关系,因此信息安全就成为重中之重在银行开展各项业务过程中,信息和数据是基础。此外,从客户的角度来看,银行在给客户提供服务时,必须保障提供信息的准确性、可靠性与安全性。由此可见,银行加强信息安全管理是十分必要的。
银行信息安全的问题[2]
对银行业信息安全来讲,首要的问题是观念和意识的问题。从管理层到员工,能否意识到信息安全的重要性,知晓信息安全的基本内涵和在业务工作中的具体体现是很重要的,目前银行的管理层对信息安全的重要性是重视的,但对信息安全到底指的是什么知道的并不是很多,因此主要工作还是落到了口头上。在信息安全上,由于其技术壁垒的原因,容易形成自下而上的推动力,缺乏联动性和群众性。信息安全的基础至关重要,大部分的核心安全效果并不取决于核心技术,而取决于基本规范的落实和常见的安全手段的应用。比如说密码的周期性修改和长度的最小设定就是最简单的安全设施,但员工在执行密码设定时嫌麻烦,执行得不好。信息安全观念的缺乏也是银行安全意识淡薄的重要原因。
应该说,这几年银行在网络安全和主机系统上的安全投资还是不少的,但也存在一些问题。首先,许多人认为信息安全就是网络安全,最多认为是计算机的安全,因此把安全防范的责任压在网络上,使网络系统相当复杂,在信息高速公路上设置各种关卡,漫无目的地围追堵截,最终的结果却是事倍功半。事实上从根本上来讲,真正确保的是信息,要防范的也是信息,因此防护源头是最重要的,也就是金融信息本身的采集、存储、处理、分析、增值的安全是最重要的。在应用程序安全、主机操作系统安全、存储安全、管理安全以及人力资源安全等方面下大功夫,盲目依赖网络安全是舍本取末。
(3)重视工具投资而忽视管理投资。
网络的安全投资不完全是安全产品和工具的投资,还应包括策略、操作流程和应急处理机制等方面的投资。安全产品和工具的使用应有相应配套的流程管理机制,否则报警无人处理,入侵无人响应,效果并不好。但是要建立合理的流程管理机制也同样需要投资,如流程资讯投资等等,这些投资和整个安全系统的完整性息息相关。但在目前的银行信息安全建设中,这方面的投入还不是很多,整个安全的思路还局限在技术层面上。
(4)银行的应用软件很薄弱。
银行的应用软件是整个信息的载体,软件的安全质量是非常重要的,目前银行业的软件开发体系,包括软件开发生命周期和项目管理体系比较注重功能、速度和市场,而较少优先考虑安全。现在发现那么多安全的漏洞,包括技术和管理上的漏洞,其主要 问题出在软件生产的质量上。银行的核心应用软件大多都是银行自行开发,由于技术、管理以及实效等方面的原因,安全问题如果在软件设计和开发中未认真考虑,其后果是难以想象的。
(5)银行的信息数据管理存在安全漏洞。
大型银行的应用系统大多应用在主机上,操作系统也相对封闭,其信息的储存相对安全。但是各银行的信息管理数据在管理上存在较大的风险,这些数据包括各种核心的业务报表、客户关系数据、办公电子功能、风险控制信息等等,这些信息在系统上通过开放的IP网络传送,由于系统的安全漏洞较多,病毒容易侵入,管理信息的损失有时候比业务数据的损失后果更严重。这些数据的安全性尚未引起足够的重视,很少有银行考虑采用安全操作系统,安全文件系统也很少在管理信息技术传输前进行加密。这方面意识不强,技术关注不够,投入不多,也将可能给银行带来损失。
(6)灾难防范是当务之急。
随着数据的大集中,安全风险也集中了,一个数据中心往往管几个甚至十几个的金融信息处理,直接关系到网点的正常营业,不管是软件、主机或者网络出现问题,都会对社会产生很大的负面影响。另外各种灾难发生,包括可能发生的恐怖活动都可能导致数据中心不能正常工作,甚至金融信息的损失。如何从灾难的角度进行信息安全设计,如何在投资和信息安全上取得平衡,均是一个不能回避的问题。