淺談新形勢下金融業(yè)信息安全面臨的挑戰(zhàn)與對策

1、淺談新形勢下金融業(yè)信息平安面臨的挑戰(zhàn)與對策近年來，隨著經(jīng)濟全球化不斷擴展，金融創(chuàng)新的廣度和深度不斷擴展，我國的金融業(yè)信息化工作得到快速開展，標(biāo)準(zhǔn)、方便、高效、平安的金融業(yè)信息化效勞體系初步建成。與此同時，金融業(yè)對信息技術(shù)的依賴程度越來越大，金融業(yè)信息平安保障難度持續(xù)加大，給我國金融業(yè)信息平安帶來新的更大的挑戰(zhàn)。如何應(yīng)對，要求我們必須高度重視。一、面臨的挑戰(zhàn)目前，金融業(yè)的業(yè)務(wù)開展更加依賴于信息技術(shù)的應(yīng)用，特別是以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融業(yè)信息化開展到一個新的階段。因此，信息技術(shù)風(fēng)險也自然成為中國金融機構(gòu)操作風(fēng)險的重要方面。金融業(yè)信息平安工作正面臨比以往更嚴(yán)峻的形勢，圍繞信息網(wǎng)絡(luò)

2、空間的斗爭日趨鋒利，境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速遞增趨勢，惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化場面，金融業(yè)信息系統(tǒng)平安運行的難度加大，挑戰(zhàn)增多。一是人民銀行的業(yè)務(wù)指導(dǎo)、監(jiān)視管理滯后于金融業(yè)信息化開展。與金融業(yè)信息化的高速開展相比，金融業(yè)信息平安的指導(dǎo)、監(jiān)管工作還需要進一步加強。國內(nèi)曾有專家明確提出，在金融信息化、網(wǎng)絡(luò)化時代，“信息資產(chǎn)風(fēng)險監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念。信息資產(chǎn)風(fēng)險指在信息化中，信息資產(chǎn)的規(guī)劃、設(shè)計、開發(fā)、生成、存在、運用、效勞、管理、維護、監(jiān)管以及其他相關(guān)過程中產(chǎn)生的信譽、市嘗操作與業(yè)務(wù)風(fēng)險。人民銀行在金融信息規(guī)劃、信息標(biāo)準(zhǔn)、信息平安等諸多方面承擔(dān)著重要職責(zé)，在2022奧運年中發(fā)揮了

3、重要、積極的作用。但總體來看，人民銀行及其分支行對金融機構(gòu)信息平安工作的指導(dǎo)和監(jiān)管，還處于初級階段，由于人民銀行分支機構(gòu)對各金融機構(gòu)信息平安缺乏指導(dǎo)、缺乏統(tǒng)一的監(jiān)管目的、缺乏完好的認識，以及缺乏監(jiān)視管理的根據(jù)和標(biāo)準(zhǔn)，從而導(dǎo)致監(jiān)管措施不到位，監(jiān)管手段缺失，致使基層行監(jiān)管缺乏主動性。二是核心設(shè)備和技術(shù)依賴于國外，底層技術(shù)難以掌握，存在平安隱患。目前，我國金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)中，大量使用國外廠商消費的設(shè)備，這些設(shè)備使用的操作系統(tǒng)、數(shù)據(jù)庫、芯片也大多數(shù)是由國外廠商消費。外方不可能提供設(shè)備的核心技術(shù)和專利，我方很難判斷設(shè)備是否存在“后門、“軟件陷阱、“系統(tǒng)破綻、“軟件炸彈等平安破綻。據(jù)調(diào)查，一些重要網(wǎng)絡(luò)

4、系統(tǒng)中使用的信息技術(shù)產(chǎn)品，都不可防止地存在一定的平安破綻。這些破綻可能是開發(fā)過程中有意預(yù)留，也可能是無意忽略造成的。特殊情況下，特定平安破綻可能被利用施行人侵，修改或破壞設(shè)備程序，或從設(shè)備中竊取機密數(shù)據(jù)和信息。前一階段國外炒作的i卡平安問題以及近年來出現(xiàn)的微軟“黑屏事件，已經(jīng)為我們敲響了警鐘。三是境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速遞增趨勢，新技術(shù)的應(yīng)用使我們面臨更大的挑戰(zhàn)。金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對權(quán)利、不法分子進展攻擊、破壞和恐懼活動的重點目的。金融業(yè)信息系統(tǒng)已經(jīng)遭受到屢次攻擊，整體信息平安形勢嚴(yán)峻。2022年國防科技大學(xué)的一項研究說明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境

5、內(nèi)外黑客的攻擊或侵人，其中銀行、金融和證券機構(gòu)是攻擊重點。2022年6月18日，被稱為有史以來最嚴(yán)重的信息平安案件在美國爆發(fā)，萬事達、visa和美國運通公司的主要效勞商的數(shù)據(jù)處理中心網(wǎng)絡(luò)被黑客程序侵人，導(dǎo)致4000萬個賬戶信息被黑客截獲，使客戶資金處于非常危險的狀態(tài)。由此可見，基于開放性網(wǎng)絡(luò)的金融效勞對我國金融信息平安工作提出嚴(yán)峻的挑戰(zhàn)。四是數(shù)據(jù)大集中的同時，也使技術(shù)風(fēng)險相對集中。伴隨著數(shù)據(jù)大集中的實現(xiàn)，風(fēng)險也相對集中.一旦數(shù)據(jù)中心發(fā)生災(zāi)難，將導(dǎo)致金融業(yè)的所有分支機構(gòu)、營業(yè)網(wǎng)點和全部的業(yè)務(wù)處理停頓，或造成客戶重要數(shù)據(jù)的喪失，其后果不堪設(shè)想。近年來，國內(nèi)外金融機構(gòu)因為信息技術(shù)系統(tǒng)故障導(dǎo)致大面積、

6、較長時問業(yè)務(wù)中斷的事件時有發(fā)生。2022年，日本花旗銀行出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約275萬筆公用事業(yè)繳費遭重復(fù)扣劃或交易后未作月結(jié)記錄，造成該行的重大聲譽損失。信息系統(tǒng)潛在的風(fēng)險已引起金融業(yè)的高度重視，如何保障后數(shù)據(jù)大集中時代金融業(yè)信息系統(tǒng)平安穩(wěn)定運行，是需要整個金融業(yè)深化研究的課題。五是我國金融業(yè)的災(zāi)難處理才能有待加強。據(jù)人民銀行在2022年對21家全國性商業(yè)銀行災(zāi)備中心建立情況的調(diào)查顯示，僅有3家建立了同城和異地災(zāi)備中心，9家建立了同城災(zāi)備中心，6家建立了異地災(zāi)備中心，尚有3家沒有建立災(zāi)備中心。返觀國外同業(yè)多數(shù)國外銀行已經(jīng)做到了分行一級的災(zāi)難備份與恢復(fù)。這說明，我國金融業(yè)災(zāi)備中心建立同國外

7、相比存在較大差距。此外，國內(nèi)金融機構(gòu)的現(xiàn)有災(zāi)難備份中心布局不合理，過度集中在北京、上海兩地，一旦發(fā)生區(qū)域性重大災(zāi)難，將對我國金融業(yè)整體運行狀況帶來極大危害，并造成過高的重建本錢。二、應(yīng)對措施按照?國務(wù)院辦公廳關(guān)于印發(fā)中國人民銀行主要職責(zé)內(nèi)設(shè)機構(gòu)和人員編制規(guī)定的通知?(新“三定方案)規(guī)定，人民銀行的主要職責(zé)之一是組織制定金融業(yè)信息化開展規(guī)劃，負責(zé)金融標(biāo)準(zhǔn)化的組織管理協(xié)調(diào)工作，指導(dǎo)金融業(yè)信息平安工作。在新形勢下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建立和信息平安，是人民銀行尤其是人民銀行分支機構(gòu)需要認真考慮的問題。金融業(yè)信息系統(tǒng)的平安是防范和化解金融風(fēng)險的重要組成部分，要依靠法律、管理機制、技術(shù)保障等多方面互

8、相配合，形成一個完好的平安保障體系。一是加強金融效勞指導(dǎo)和行業(yè)監(jiān)管。應(yīng)建立跨部門的金融業(yè)信息平安協(xié)調(diào)機制以及重點時期的安保工作機制，強化信息平安手段和隊伍建立，加強信息平安檢測和準(zhǔn)人制度，施行信息平安等級保護，建立信息資產(chǎn)風(fēng)險評估體系，進步信息平安程度，保證金融穩(wěn)定和經(jīng)濟開展。人民銀行分支機構(gòu)應(yīng)加強對中小金融機構(gòu)的效勞指導(dǎo)，尤其是在核心業(yè)務(wù)系統(tǒng)建立、災(zāi)備建立和信息平安方面給予詳細指導(dǎo)，幫助中小金融機構(gòu)借鑒成功經(jīng)歷，躲避風(fēng)險，實現(xiàn)跨越式開展。各級人民銀行，應(yīng)牽頭成立金融業(yè)信息平安指導(dǎo)小組，并建立和完善信息平安通報制度、報告制度和聯(lián)席會議制度，建立健全一個運轉(zhuǎn)靈敏、反響靈敏的信息平安應(yīng)急處理協(xié)調(diào)機

9、制，隨時處置和協(xié)調(diào)金融機構(gòu)平安事件，以迅速應(yīng)對突發(fā)事件的發(fā)生，降低或消除金融機構(gòu)網(wǎng)絡(luò)和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。二是研究建立跨部門的現(xiàn)代化金融業(yè)信息平安管理網(wǎng)絡(luò)。真正實現(xiàn)對金融機構(gòu)信息平安風(fēng)險的及時、動態(tài)、全面、連續(xù)的監(jiān)管。在正確評估我國金融網(wǎng)絡(luò)現(xiàn)狀的根底上，借鑒國外的組網(wǎng)形式，盡快建立適應(yīng)我國金融業(yè)信息化建立和開展實際的高速、平安和先進的網(wǎng)絡(luò)框架，在建立時要充分考慮到網(wǎng)絡(luò)的兼容性和拓展性，為下一步與各金融業(yè)的網(wǎng)絡(luò)互聯(lián)做準(zhǔn)備。同時促進各家金融機構(gòu)完善內(nèi)控機制，保障運行平安?，F(xiàn)代金融業(yè)高度依賴信息技術(shù)，必須充分認識到金融業(yè)信息平安對整體業(yè)務(wù)和金融體系，乃至經(jīng)濟體系的影響，結(jié)實樹立風(fēng)險

10、防范意識，把信息科技作為風(fēng)險管理的重要手段。三是人民銀行要協(xié)調(diào)催促金融機構(gòu)，加強自主創(chuàng)新，加大對國產(chǎn)軟硬件采購力度，努力減少和降低一些關(guān)鍵領(lǐng)域的對外技術(shù)依賴。對采購或使用的信息技術(shù)和產(chǎn)品，能自主的就要千方百計地推進自主，不能自主的，也須保證其可知可控，也就是說，要對信息技術(shù)產(chǎn)品的風(fēng)險和隱患、破綻和問題做到“心中有底、手中有招、控制有術(shù)。對須引進的，實行市場準(zhǔn)人制度，并引進權(quán)威機構(gòu)對其產(chǎn)品進展風(fēng)險、平安、實用等綜合性評估。對各地區(qū)一些科技程度還比較低的中小金融機構(gòu)，要加大支持力度，加強行業(yè)內(nèi)部的交流合作。針對目前金融業(yè)，特別是中小金融機構(gòu)的信息系統(tǒng)的開發(fā)、建立和運維采用it外包的形式，應(yīng)出臺相應(yīng)

11、的政策、制度和措施，促進it外包安康快速開展，約定監(jiān)管機制，標(biāo)準(zhǔn)效勞商的效勞標(biāo)準(zhǔn)和流程，使it外包以效勞行為的公司化、強大的配套支持才能、靈敏的外包效勞方式成為金融機構(gòu)快速開展的可行之道。四是建立健全信息平安管理制度，定期進展信息平安檢查，加強網(wǎng)絡(luò)平安攻擊防范。由于金融業(yè)的組織構(gòu)造和業(yè)務(wù)運營方式，使網(wǎng)絡(luò)必定要建成一個同internet和外部線路有較親密關(guān)系的構(gòu)造，各種網(wǎng)絡(luò)訪問上的平安問題也隨之產(chǎn)生。金融網(wǎng)絡(luò)系統(tǒng)面臨的攻擊有來自內(nèi)部的，也有來自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)平安問題更是要優(yōu)先解決的問題。因此，應(yīng)通過建立健全信息

12、平安制度、定期組織信息平安非現(xiàn)場和現(xiàn)場檢查等方式，促進銀行做好系統(tǒng)加固工作，充分利用各種平安產(chǎn)品強化網(wǎng)絡(luò)平安防范，加強挪動存儲介質(zhì)管理，做好平安日志分析、預(yù)警和監(jiān)測工作，防止植入木馬導(dǎo)致信息泄漏和來自內(nèi)部的平安威脅。五是增加業(yè)務(wù)持續(xù)動作才能，實在采取措施防范數(shù)據(jù)處理集中后的技術(shù)風(fēng)險。巴塞爾銀行業(yè)監(jiān)管委員會共同論壇2022年8月發(fā)布了?業(yè)務(wù)連續(xù)性高級原那么?將業(yè)務(wù)連續(xù)性管理定義為，發(fā)生中斷事件時，確保某些業(yè)務(wù)保持運行或在短時間內(nèi)得到恢復(fù)的一整套方法，包括政策、標(biāo)準(zhǔn)和程序。業(yè)務(wù)連續(xù)性管理的施行在組織上的保證至關(guān)重要。人民銀行應(yīng)指導(dǎo)金融業(yè)參照國外先進經(jīng)歷，專門成立業(yè)務(wù)連續(xù)性管理指導(dǎo)委員會，將業(yè)務(wù)部門

13、、風(fēng)險管理部門和it部門有關(guān)業(yè)務(wù)連續(xù)性的管理職責(zé)融于一處統(tǒng)籌管理。目前，國內(nèi)銀行災(zāi)難備份和業(yè)務(wù)連續(xù)性管理主要集中在系統(tǒng)故障、人員操作、機房維護和短時間電力中斷等情況。在防范自然災(zāi)害、重大疫情和恐懼襲擊等方面的應(yīng)對管理還需加強。一是要強涮“突發(fā)與“應(yīng)急。由于災(zāi)害事件的不確定性，應(yīng)急管理與保障工作必須建立在高強度的實戰(zhàn)性根底上，使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急的要求。二是要擴大應(yīng)急預(yù)案本身的覆蓋范圍。我國金融業(yè)災(zāi)難備份及業(yè)務(wù)連續(xù)性管理主要集中在it部門，遠遠不能適應(yīng)業(yè)務(wù)連續(xù)性的需要，應(yīng)當(dāng)強調(diào)業(yè)務(wù)部門的參與，與it部門共同構(gòu)建適應(yīng)現(xiàn)代金融業(yè)開展需要的應(yīng)急保障體系，確保運營平安。三、完畢語信息平安工作是一個系統(tǒng)工程，需要決策層、管理層、技術(shù)層通力配合，從平安制度建立和技術(shù)手段方面著手，加強信息平安意識的教育和培訓(xùn)，增強自我保護意識，采取綜合的防范措施，并不斷改