銀行信息安全
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
銀行信息安全是指銀行信息系統的硬體、軟體及其數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
銀行信息安全[1]
銀行加強信息安全的主要目的就是為了保障信息化的持續穩定發展,信息安全不僅屬於技術問題,也屬於管理問題。從信息技術層面來看,當前我們使用的很多操作系統存在一定的安全漏洞,開發商會針對發現的漏洞設計相應的補丁程式,這就需要定期更新系統。例如,運用主機熱備份以及災難備份的方式,可以有效保障信息的安全運行。同時一些軟體開放人員在編程設計過程中留有“後門”,如果這些“後門”被不法分子知道,就會將該部分作為攻擊目標,進而影響到信息系統的安全。當前大部分的黑客攻擊等都是由於系統“漏洞”引起的,因此銀行在應用軟體過程中應該儘量避免留有“漏洞”。此外,隨著我國信息化技術的不斷發展,信息系統的安全管理也被納入國家的重點項目中。
與世界上的部分發達國家相比,我國的信息安全管理工作起步較晚,但是發展較快,並且對系統風險認識的不斷深化促進了信息安全管理的發展。對於銀行而言,信息安全是至關重要的問題,這是因為任何一個環節出現問題,都會對整個系統的發展帶來影響,甚至導致全局性的失誤。例如,銀行傳統的信貸、櫃臺等業務已經有多年的信息安全管理經驗,而信用卡作為一種新型的業務,它連接了多個方面的利益關係,其中涉及到發卡行、特約商戶以及持卡人之間的關係,因此信息安全就成為重中之重在銀行開展各項業務過程中,信息和數據是基礎。此外,從客戶的角度來看,銀行在給客戶提供服務時,必須保障提供信息的準確性、可靠性與安全性。由此可見,銀行加強信息安全管理是十分必要的。
銀行信息安全的問題[2]
對銀行業信息安全來講,首要的問題是觀念和意識的問題。從管理層到員工,能否意識到信息安全的重要性,知曉信息安全的基本內涵和在業務工作中的具體體現是很重要的,目前銀行的管理層對信息安全的重要性是重視的,但對信息安全到底指的是什麼知道的並不是很多,因此主要工作還是落到了口頭上。在信息安全上,由於其技術壁壘的原因,容易形成自下而上的推動力,缺乏聯動性和群眾性。信息安全的基礎至關重要,大部分的核心安全效果並不取決於核心技術,而取決於基本規範的落實和常見的安全手段的應用。比如說密碼的周期性修改和長度的最小設定就是最簡單的安全設施,但員工在執行密碼設定時嫌麻煩,執行得不好。信息安全觀念的缺乏也是銀行安全意識淡薄的重要原因。
應該說,這幾年銀行在網路安全和主機系統上的安全投資還是不少的,但也存在一些問題。首先,許多人認為信息安全就是網路安全,最多認為是電腦的安全,因此把安全防範的責任壓在網路上,使網路系統相當複雜,在信息高速公路上設置各種關卡,漫無目的地圍追堵截,最終的結果卻是事倍功半。事實上從根本上來講,真正確保的是信息,要防範的也是信息,因此防護源頭是最重要的,也就是金融信息本身的採集、存儲、處理、分析、增值的安全是最重要的。在應用程式安全、主機操作系統安全、存儲安全、管理安全以及人力資源安全等方面下大功夫,盲目依賴網路安全是舍本取末。
(3)重視工具投資而忽視管理投資。
網路的安全投資不完全是安全產品和工具的投資,還應包括策略、操作流程和應急處理機制等方面的投資。安全產品和工具的使用應有相應配套的流程管理機制,否則報警無人處理,入侵無人響應,效果並不好。但是要建立合理的流程管理機制也同樣需要投資,如流程資訊投資等等,這些投資和整個安全系統的完整性息息相關。但在目前的銀行信息安全建設中,這方面的投入還不是很多,整個安全的思路還局限在技術層面上。
(4)銀行的應用軟體很薄弱。
銀行的應用軟體是整個信息的載體,軟體的安全質量是非常重要的,目前銀行業的軟體開發體系,包括軟體開發生命周期和項目管理體系比較註重功能、速度和市場,而較少優先考慮安全。現在發現那麼多安全的漏洞,包括技術和管理上的漏洞,其主要 問題出在軟體生產的質量上。銀行的核心應用軟體大多都是銀行自行開發,由於技術、管理以及實效等方面的原因,安全問題如果在軟體設計和開發中未認真考慮,其後果是難以想象的。
(5)銀行的信息數據管理存在安全漏洞。
大型銀行的應用系統大多應用在主機上,操作系統也相對封閉,其信息的儲存相對安全。但是各銀行的信息管理數據在管理上存在較大的風險,這些數據包括各種核心的業務報表、客戶關係數據、辦公電子功能、風險控制信息等等,這些信息在系統上通過開放的IP網路傳送,由於系統的安全漏洞較多,病毒容易侵入,管理信息的損失有時候比業務數據的損失後果更嚴重。這些數據的安全性尚未引起足夠的重視,很少有銀行考慮採用安全操作系統,安全文件系統也很少在管理信息技術傳輸前進行加密。這方面意識不強,技術關註不夠,投入不多,也將可能給銀行帶來損失。
(6)災難防範是當務之急。
隨著數據的大集中,安全風險也集中了,一個數據中心往往管幾個甚至十幾個的金融信息處理,直接關係到網點的正常營業,不管是軟體、主機或者網路出現問題,都會對社會產生很大的負面影響。另外各種災難發生,包括可能發生的恐怖活動都可能導致數據中心不能正常工作,甚至金融信息的損失。如何從災難的角度進行信息安全設計,如何在投資和信息安全上取得平衡,均是一個不能迴避的問題。