銀行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

1、銀行業(yè)信息化現(xiàn)狀21 世紀(jì)的今天，信息技術(shù)的發(fā)展完全改變了人們傳統(tǒng)的生活方式和生活觀念， 在以網(wǎng)絡(luò)應(yīng)用為核心的數(shù)字化時(shí)代到來(lái)之際， 金融界率先引進(jìn)了電子信息和網(wǎng)絡(luò)技術(shù)， 計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)不僅深入了金融企業(yè)的內(nèi)部管理體系，也使我們?cè)谧⑷脬y行卡、網(wǎng)上交易等業(yè)務(wù)中，越來(lái)越多的享受到了信息化所帶來(lái)的高效和便利。 網(wǎng)絡(luò)銀行的出現(xiàn)， 使得銀行客戶在任何地方和任何時(shí)候都能得到銀行的服務(wù)， 它拓展了銀行的業(yè)務(wù)發(fā)展空間，使用因特網(wǎng)進(jìn)行的商務(wù)活動(dòng)突破了時(shí)間與空間的限制。目前，全球發(fā)達(dá)國(guó)家大約有85%的主要銀行已經(jīng)建有自己的業(yè)務(wù)網(wǎng)站， 中國(guó)銀行 ,%) 界實(shí)現(xiàn)銀行機(jī)構(gòu)信譽(yù)化的進(jìn)程也在不斷地加快， 可以說(shuō)開(kāi)拓?cái)?shù)字

2、化、 網(wǎng)絡(luò)化的電子金融業(yè)業(yè)務(wù)， 已經(jīng)成為國(guó)內(nèi)金融界發(fā)展的戰(zhàn)略重點(diǎn)。據(jù)報(bào)道，中國(guó)銀行業(yè)金融電子化建設(shè)已經(jīng)具有相當(dāng)?shù)囊?guī)模，計(jì)算機(jī)和通信網(wǎng)絡(luò)在銀行已經(jīng)得到普遍的應(yīng)用，銀行系統(tǒng)的存款貸款、代理、 結(jié)算，ATM， 信用卡同城清算， 已經(jīng)基本實(shí)現(xiàn)了計(jì)算機(jī)和網(wǎng)絡(luò)化，據(jù)不完全統(tǒng)計(jì)， 中國(guó)銀行、中國(guó)交通銀行， 計(jì)算機(jī)化已經(jīng)達(dá)到了 100%，中國(guó)建設(shè)銀行達(dá)到了90%以上，中國(guó)交通銀行達(dá)到了85%以上，農(nóng)業(yè)銀行也達(dá)到了80%以上。我國(guó)金融業(yè)擁有世界先進(jìn)水平的大型計(jì)算機(jī)、小型計(jì)算機(jī)、PC服務(wù)器、 刀片服務(wù)器等各類計(jì)算機(jī), 建立了覆蓋全國(guó)的網(wǎng)絡(luò)通信系統(tǒng) , 開(kāi)發(fā)了大量金融信息和業(yè)務(wù)處理系統(tǒng), 形成了比較完整的金融信息基

3、礎(chǔ)設(shè)施體系。 數(shù)據(jù)集中工程基本完成。以國(guó)有商業(yè)銀行為代表的各金融機(jī)構(gòu)實(shí)現(xiàn)了業(yè)務(wù)數(shù)據(jù)的集中處理, 統(tǒng)一、 規(guī)范了業(yè)務(wù)操作流程, 重新設(shè)計(jì)了營(yíng)運(yùn)流程。建立了集中式的數(shù)據(jù)中心, 有效提高了數(shù)據(jù)處理能力和整體可靠性 , 為管理信息系統(tǒng)提供了基礎(chǔ)數(shù)據(jù), 為下一步實(shí)現(xiàn)經(jīng)營(yíng)集約化、 管理 信息化、決策智能化奠定了基礎(chǔ)。 核心業(yè)務(wù)系統(tǒng)成功投產(chǎn)。以數(shù)據(jù)集中為依托 , 部分商業(yè)銀行研制開(kāi)發(fā)了涵蓋全行業(yè)務(wù)處理、經(jīng)營(yíng)管理、決策分析和服務(wù)渠道的全功能銀行業(yè)務(wù)系統(tǒng)。部分保險(xiǎn)公司陸續(xù)啟動(dòng)了“集中的財(cái)務(wù)系統(tǒng)”、“保險(xiǎn)數(shù)據(jù)倉(cāng)庫(kù)”、“集中的 IT 運(yùn)行平臺(tái)”、和“網(wǎng)絡(luò)安全系統(tǒng)”等信息化建設(shè)項(xiàng)目 , 提高了信息系統(tǒng)的整合應(yīng)用能力

4、, 為業(yè)務(wù)發(fā)展提供了有力的支撐。2 未來(lái)幾年我國(guó)銀行業(yè)信息化發(fā)展的趨勢(shì)1 .加強(qiáng) IT 治理 , 提高信息化管理水平。未來(lái)幾年, 銀行業(yè)要建立起適應(yīng)數(shù)據(jù)大集中技術(shù)環(huán)境和銀行組織變革要求的信息組織體系 , 合理配置科技資源, 努力構(gòu)建面向業(yè)務(wù)、服務(wù)導(dǎo)向、分工合理、協(xié)作緊密、運(yùn)作高效的專業(yè)信息化組織架構(gòu)。要建立 IT 戰(zhàn)略和計(jì)劃的流程, 保證 IT 戰(zhàn)略與企業(yè)戰(zhàn)略的一致性 ,確保 IT 技術(shù)投資決策符合本行遠(yuǎn)景。建立統(tǒng)一的項(xiàng)目管控組織和制度流程 , 加強(qiáng)項(xiàng)目協(xié)調(diào)和管控, 加強(qiáng)需求、 方案設(shè)計(jì)、 投產(chǎn)驗(yàn)證等關(guān)鍵階段的管理 , 確保項(xiàng)目過(guò)程的有效控制。 建立統(tǒng)一的 IT 策略 , 推進(jìn)企業(yè) IT 技術(shù)

5、標(biāo)準(zhǔn)化 , 統(tǒng)一 IT 架構(gòu)、規(guī)范IT 技術(shù)采用 , 提高效率、降低成本。進(jìn)一步完善供應(yīng)商管理機(jī)制 , 加強(qiáng)供應(yīng)商的有效控制 , 為銀行信息化發(fā)展提供安全高效的外部資源支持。在完善 IT 運(yùn)行管理的基礎(chǔ)上 , 建立和完善服務(wù)級(jí)別管理、 可用性管理等流程。嘗試建立IT 財(cái)務(wù)管理流程和標(biāo)準(zhǔn)化的 IT 服務(wù)水平協(xié)議, 實(shí)現(xiàn)服務(wù)交付, 提升和展示IT 服務(wù)的價(jià)值, 努力實(shí)現(xiàn)銀行IT 運(yùn)營(yíng)管理從以技術(shù)為中心的管理階段向以服務(wù)為中心的管理階段轉(zhuǎn)變, 降低信息化總體擁有成本。 建立“以客戶為中心”的金融產(chǎn)品和服務(wù)渠道體系 , 提高銀行服務(wù)水平。 大力加強(qiáng)基于信息技術(shù)的金融創(chuàng)新, 提高產(chǎn)品創(chuàng)新能力 ,實(shí)現(xiàn)由“

6、產(chǎn)品為中心”向“以客戶為中心”的轉(zhuǎn)變。 采用先進(jìn)靈活的應(yīng)用體系架構(gòu), 加快應(yīng)用整合, 支持業(yè)務(wù)流程再造, 縮短系統(tǒng)開(kāi)發(fā)周期 , 提高產(chǎn)品交付能力。 進(jìn)一步完善、 拓展銀行的服務(wù)渠道, 提供方便、 快捷、個(gè)性化的客戶服務(wù)。 加快渠道整合步伐, 實(shí)現(xiàn)產(chǎn)品“一次開(kāi)發(fā) , 多渠道部署”, 以降低開(kāi)發(fā)及部署成本、加快產(chǎn)品投產(chǎn)速度、提高客戶滿意度、增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。 完善銀行業(yè)信息安全應(yīng)急恢復(fù)體系 , 加強(qiáng)災(zāi)備中心的建設(shè), 保證系統(tǒng)的安全穩(wěn)定運(yùn)行。加強(qiáng)安全監(jiān)控, 進(jìn)一步完善信息安全應(yīng)急處置機(jī)制和信息通報(bào)機(jī)制 , 制訂應(yīng)急預(yù)案并進(jìn)行演練, 明顯提升金融信息系統(tǒng)預(yù)警、應(yīng)急處置和恢復(fù)能力 , 保障金融業(yè)務(wù)的連續(xù)穩(wěn)

7、定運(yùn)行。探討建立銀行業(yè)應(yīng)急救援中心的可行性, 加大應(yīng)急技術(shù)支持和救援力度加快業(yè)務(wù)的恢復(fù)速度, 并最大限度地實(shí)現(xiàn)資源共享。 推進(jìn)銀行信息化標(biāo)準(zhǔn)規(guī)范建設(shè)。 加強(qiáng)銀行業(yè)技術(shù)標(biāo)準(zhǔn)化建設(shè)是未來(lái)幾年信息化建設(shè)重要任務(wù)之一 , 要對(duì)現(xiàn)有的銀行信息技術(shù)法規(guī)和標(biāo)準(zhǔn)進(jìn)行全面檢查、清理、整合、 規(guī)范 , 研究提出新的系統(tǒng)性發(fā)展規(guī)劃。 在此基礎(chǔ)上 , 結(jié)合銀行信息化發(fā)展的實(shí)際, 以各種協(xié)作方式 , 分層次、 分步驟地加快銀行信息化技術(shù)規(guī)范和標(biāo)準(zhǔn)體系的建設(shè)步伐, 盡早建立國(guó)家的標(biāo)準(zhǔn)或國(guó)際的標(biāo)準(zhǔn)。3 銀行業(yè)網(wǎng)絡(luò)安全面臨新的風(fēng)險(xiǎn)隨著網(wǎng)絡(luò)與Internet 的廣泛應(yīng)用與發(fā)展， 互聯(lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò)，銀行交易服務(wù)器是網(wǎng)上的公

8、開(kāi)站點(diǎn)，在交易服務(wù)器上存儲(chǔ)了許多高敏感度的信息，病毒通過(guò)網(wǎng)絡(luò)和電子郵件等途徑傳播擴(kuò)散，傳播速度更快、影響面更廣、危害性更強(qiáng)。近期尤以紅色代碼、尼姆達(dá)等混合威脅的接 連出現(xiàn)，向計(jì)算機(jī)安全防御發(fā)起了嚴(yán)峻的挑戰(zhàn)，而像銀行這樣的敏感部門，要保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，就更要加強(qiáng)對(duì)網(wǎng)絡(luò)計(jì)算機(jī)病毒的檢測(cè)與清除。因此，如何保證網(wǎng)上銀行交易系統(tǒng)的安全，關(guān)系到銀行內(nèi)部整個(gè)金融網(wǎng)的安全，這是網(wǎng)上銀行建設(shè)中最至關(guān)重要的問(wèn)題，銀行交易服務(wù)器需要更高級(jí)別的安全性，而服務(wù)器的安全性又極大的依賴操作系統(tǒng)的安全性，遺憾的是不管是普遍采用的UNIX還是Windows操作系統(tǒng)，具安全性都是遠(yuǎn)遠(yuǎn)不夠的，訪問(wèn)控制程度、超級(jí)用戶的存在以

9、及不斷被發(fā)現(xiàn)的安全漏洞是操作系統(tǒng)存在的幾個(gè)致命性問(wèn)題。網(wǎng)上銀行系統(tǒng)也使銀行內(nèi)部網(wǎng)絡(luò)向互聯(lián)網(wǎng)絡(luò)敞開(kāi)了大門，而現(xiàn)有銀行的網(wǎng)上銀行系統(tǒng)對(duì)這一部分的防護(hù)還不夠嚴(yán)密，使不法分子有可能破壞銀行內(nèi)部應(yīng)用，或滲透入內(nèi)部網(wǎng)絡(luò)再?gòu)膬?nèi)部網(wǎng)絡(luò)向銀行交易服務(wù)器發(fā)起攻擊，給網(wǎng)絡(luò)銀行帶來(lái)新的風(fēng)險(xiǎn)。網(wǎng)絡(luò)金融是基于全球電子信息系統(tǒng)基礎(chǔ)上運(yùn)行的金融服務(wù)形態(tài)，因此，全球電子信息系統(tǒng)的技術(shù)性和管理性安全成為網(wǎng)絡(luò)銀行最為重要的系統(tǒng)風(fēng)險(xiǎn)。這些技術(shù)方面的原因主要包括：1 技術(shù)選擇風(fēng)險(xiǎn)。 網(wǎng)絡(luò)金融業(yè)務(wù)的開(kāi)展必須選擇一種成熟的技術(shù)解決方案來(lái)支撐。在技術(shù)選擇上存在著技術(shù)選擇失誤的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)既來(lái)自于選擇的技術(shù)系統(tǒng)與客戶終端軟件的兼容性差導(dǎo)致的

10、信息傳輸中斷或速度降低的可能，也來(lái)自于選擇了被技術(shù)變革所淘汰的技術(shù)方案，造成技術(shù)相對(duì)落后、 網(wǎng)絡(luò)過(guò)時(shí)的狀況， 導(dǎo)致巨大的技術(shù)和商業(yè)機(jī)會(huì)的損失。2 系統(tǒng)安全風(fēng)險(xiǎn)。 網(wǎng)絡(luò)金融的業(yè)務(wù)及大量風(fēng)險(xiǎn)控制工作均是由電腦 程序和軟件系統(tǒng)完成，所以，電子信息系統(tǒng)的技術(shù)性和管理性安全就成為網(wǎng)絡(luò)金融運(yùn)行的最為重要的技術(shù)風(fēng)險(xiǎn)。雖然網(wǎng)絡(luò)銀行都設(shè)計(jì)有多層安全系統(tǒng)，并不斷出現(xiàn)新的、安全性的技術(shù)及方案，以保護(hù)虛擬金融柜臺(tái)的平穩(wěn)運(yùn)行，但是網(wǎng)絡(luò)銀行的安全系統(tǒng)仍然是網(wǎng)絡(luò)銀行服務(wù)業(yè)務(wù)中最為薄弱的環(huán)節(jié)。這種風(fēng)險(xiǎn)既來(lái)自計(jì)算機(jī)系統(tǒng)停機(jī)、磁盤列陣破壞等不確定因素，也來(lái)自網(wǎng)絡(luò)外部的數(shù)字攻擊，以及計(jì)算機(jī)病毒破壞等因素。根據(jù)對(duì)發(fā)達(dá)國(guó)家不同行業(yè)的調(diào)

11、查，系統(tǒng)停機(jī)對(duì)金融業(yè)造成的損失最大。網(wǎng)上黑客的襲擊范圍不斷增大， 手段日益翻新， 攻擊活動(dòng)能量正以每年10 倍的速度增長(zhǎng)， 其可利用網(wǎng)上的任何漏洞和缺陷非法進(jìn)入主機(jī)、 竊取信息、發(fā)送假冒電子郵件等。計(jì)算機(jī)網(wǎng)絡(luò)病毒則可通過(guò)網(wǎng)絡(luò)進(jìn)行擴(kuò)散與傳染，傳播速度是單機(jī)的幾十倍，一旦某個(gè)程序被感染，則整臺(tái)機(jī)器、整個(gè)網(wǎng)絡(luò)也很快被感染，破壞力極大。系統(tǒng)安全風(fēng)險(xiǎn)不僅會(huì)擾亂或中斷提供正常的服務(wù)，給銀行帶來(lái)直接的經(jīng)濟(jì)損失，而且影響網(wǎng)絡(luò)銀行的形象和客戶對(duì)網(wǎng)絡(luò)銀行的信任水平。3 外部技術(shù)支持風(fēng)險(xiǎn)。由于網(wǎng)絡(luò)技術(shù)的高度知識(shí)化和專業(yè)化，或出于降低營(yíng)運(yùn)成本的考慮，網(wǎng)絡(luò)銀行往往要依賴外部市場(chǎng)的服務(wù)支持來(lái)解決內(nèi)部的技術(shù)或管理難題。這種

12、做法適應(yīng)了網(wǎng)絡(luò)銀行發(fā)展的要求，但由于外部技術(shù)支持者可能不具備滿足網(wǎng)絡(luò)銀行要求的足夠能力而無(wú)法提供高質(zhì)量的金融服務(wù)。網(wǎng)絡(luò)安全的各層次貫穿銀行IT 架構(gòu)自頂向下從戰(zhàn)略規(guī)劃到管理， 再到基礎(chǔ)架構(gòu)。安全問(wèn)題從戰(zhàn)略規(guī)劃時(shí)開(kāi)始；應(yīng)用的安全需要重新考慮；基礎(chǔ)架構(gòu)的安全需要重新整合。銀行業(yè)網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)主要包括：巨災(zāi)風(fēng)險(xiǎn)；非法訪問(wèn)銀行網(wǎng)絡(luò)系統(tǒng)；假冒網(wǎng)絡(luò)終端/ 操作員（釣魚(yú)網(wǎng)站） ；數(shù)據(jù)大集中所引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中；截獲和篡改傳輸數(shù)據(jù)；其他安全風(fēng)險(xiǎn)。銀行業(yè)新的業(yè)務(wù)結(jié)構(gòu)對(duì)網(wǎng)絡(luò)安全的影響，包括：城市商業(yè)銀行的區(qū)域擴(kuò)張使銀行內(nèi)聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)。網(wǎng)上銀行、ATM機(jī)、POSM等業(yè)務(wù)擴(kuò)展帶來(lái)的技術(shù)和操作風(fēng)險(xiǎn)?？缧袠I(yè)務(wù)的

13、大量增加人行電子聯(lián)行系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全市場(chǎng)需求分析和趨勢(shì)：銀行對(duì)網(wǎng)絡(luò)安全的需求，包括以下四個(gè)方面：防災(zāi)需求： 在發(fā)生概率較小的嚴(yán)重災(zāi)難面前， 對(duì)網(wǎng)絡(luò)系統(tǒng)的保護(hù)和恢復(fù)措施。防泄漏需求： 訪問(wèn)控制需求、 無(wú)線網(wǎng)絡(luò)的接入和網(wǎng)絡(luò)數(shù)據(jù)獲取控制。業(yè)務(wù)連續(xù)性需求：網(wǎng)絡(luò)數(shù)據(jù)的備份與快速恢復(fù)需求。數(shù)據(jù)完整性需求：密鑰管理。綜合性需求：安全管理與培訓(xùn)需求、安全策略的咨詢與實(shí)施、安全評(píng)估的需求、防病毒產(chǎn)品和技術(shù)需求、網(wǎng)絡(luò)安全檢測(cè)的需求、網(wǎng)絡(luò)安全管理的需求、開(kāi)發(fā)平臺(tái)安全需求。網(wǎng)絡(luò)安全需求的趨勢(shì)，包括以下四個(gè)方面：銀行對(duì)網(wǎng)絡(luò)安全的需求由目前的“網(wǎng)絡(luò)+安全”轉(zhuǎn)變?yōu)椤鞍踩木W(wǎng)絡(luò)” 。銀行的網(wǎng)絡(luò)安全問(wèn)題需要一個(gè)完整的網(wǎng)絡(luò)安全體系代替單獨(dú)采購(gòu)和使用的零碎的安全產(chǎn)品，目前的統(tǒng)一威脅管理（UTM產(chǎn)品就是一個(gè)發(fā)展的方向。網(wǎng)絡(luò)安全評(píng)估、安全策略的咨詢和