为进一步提高金融业网络信息安全管理水平,促进金融行业网络信息安全建设,由金融时报主办,在政府主管部委、金融行业主管部门以及各金融机构的倾情指导和大力支持下,为期两天的“2007'金融行业网络信息安全高峰论坛”于2007年8月11日在京闭幕并取得了圆满成功。
金融时报社社长汪洋在致辞中表示,金融行业的创新与发展需要信息科技的基础支撑,随着网络逐渐渗透到金融业的各个领域,为保障金融行业连续、稳定的运营就必须要加强网络信息安全的建设。而当前金融行业的网络信息安全环境面临着严峻的挑战,时刻威胁着金融行业持续、快速、健康发展的目标,威胁着社会金融安全秩序,正是在这样的背景下金融时报发起了这次论坛,希望能够为监管部门、各大金融机构以及金融信息服务企业提供了一个自由沟通和交流的开放平台,并通过这种开放式的平台,使各方畅谈在网络信息安全管理上的成功经验,展现和共享最新研究成果与解决之道。
监管部门:适时风险提示 构建制度框架
一个行业的健康发展,无疑离不开监管部门的正确引导和严格监督。在此次论坛上,国务院信息化工作办公室网络与信息安全组、中国人民银行科技司、中国银行业监督管理委员会业务创新监管协作部以及信息中心的领导们作为监管部门,从监管的层面上针对金融业网络信息安全问题做了重要发言。
明确责任,加强协作。从监管出台的政策上来看,监管部门对金融行业网络信息安全建设是十分重视的。2003年发布的27号文件、国家信息安全战略规划、“十一五”国家信息安全发展规划、信息安全科技规划和信息安全标准化规划,还有《关于做好网上银行风险管理和服务的通知》,等等。这些政策初步构建了我国金融网络信息安全的框架,使各个相关部门做到有章可依。但是,目前出现的相当一部分问题源于规章制度没有得到执行,责任意识比较淡薄。监管部门提出政策要求,加强指导和督促检查是必要的,但更多的工作是运营部门的执行责任。因此,我们应该加强网络信息安全责任制,严格执行规章制度。
同时,随着信息安全与社会政治、经济、文化等方面越来越密切地融合,如何去界定信息安全的范围、划分信息安全的责任需要符合时代发展的要求。因此,加强行业主管部门之间、各大金融机构之间的协调沟通,才能实现责任执行无漏洞、无重复,提高监管部门的管理效率,建立信息安全管理的长效机制。监管部门也将跨部门联合,采取积极措施,全面推进、落实各大金融机构的网络信息安全管理责任,促使形成行业合力,进一步推进金融业网络信息安全建设。
明确风险,加强教育。当前,风险教育在社会经济的各个领域迅速蔓延,在大力发展金融业信息化,使网络更好地服务社会与大众的时候,金融网络风险作为“新兴”的风险,正在向金融业发起进攻。监管部门应该认识到、金融机构应该认识到、大众更应该认识到:金融业网络与信息安全已成为事关社会安定,经济增长和文明进步的一个全局性问题。金融业网络安全的风险不是一成不变的,它随着信息技术的发展其破坏力也逐步增强,随着涉及到的环节增多其传导能力也越强,信息安全问题的数量、种类都在不断地增多,危害也更加广泛、更加严重。商业银行作为金融业链条中的重要一环一方面要加强电子银行等金融产品的公众教育,加强信息披露;另一方面要加强信息安全防护体系建设,要根据自己的实际情况,建立和完善计算机病毒、网络攻击的检测防范系统,提高对网络攻击、病毒传播的防范能力。
银行机构:主动控制风险 建立管理体系
银行第一重身份是监管对象,第二重身份是金融网络信息服务的提供者,第三重身份是金融解决方案的体验者,他们在金融信息化道路上遇到的问题与经验是极为有价值的。不能不提到的是,银行业的热情参与为本次论坛的圆满成功书写了关键的一笔。从与会银行的性质上来看,有国家政策性银行的代表国家开发银行,有大型国有商业银行的代表中国工商银行及中国银行,有股份制商业银行的代表中国光大银行、华夏银行及中国民生银行,有城市商业银行的代表威海市商业银行,农村信用合作社的代表新疆农村信用社联合社。从地理位置上来说,西至天山脚下的银行人,东至渤海之滨的金融家,都带来了自己多年来在金融网络安全方面的经验之谈。各位代表的发言以金融网络信息安全为主题延伸到金融领域的各个层面,其中技术与管理之间的协调关系成为了金融网络安全问题的一个热点。
技术解决网络风险。在银行与IT企业的沟通过程中,有人问到国内哪一家银行或者哪一家公司能够提供最好的网银系统,答案是全世界的网银系统,只有哪家银行或者哪家公司提供的系统最安全之说,可见,安全是网银最核心、最永恒的话题。根据本报与CFCA联合发布的2006年中国网上银行调查结果来看,相当多的用户对网上银行的安全系统不放心,超过60%的用户因担心网上银行的安全问题而放弃使用网上银行,网络安全已经成为网上银行发展的一个瓶颈。
从银行反馈的信息来看,信息系统安全风险主要来自于运行系统自身的漏洞、银行内部人员误操作及违规操作,外来病毒对应用系统的威胁及违法访问。银行通过技术研发一要杜绝上述风险的发生,如采用动态密码、双重认证从客户端严格控制风险;二要做好风险引爆后的应急预案,使损失降至最低甚至是零,如建立灾难备份系统,无论是面对外来的袭击或是不可预计的客观情况,都要保证自己的数据与信息安全,同时要保障这些应急预案的高可用性,平时就要做好灾难演习。
实践证明,银行方面只要主动控制可能发生的风险,应用先进的技术手段构建技术保障、有效地进行风险预警和及时采取事后处理机制,能够解决网络风险给银行和客户带来的不必要的损失。
管理保障安全价值。“三分技术,七分管理”是本次论坛“出镜率”最高的八个字。很多银行对制度建设非常重视,面对不同的网络风险都建立了相应的规章制度,但实际操作起来却发现只有制度是远远不够的,要有管理作为保障,确保制度的执行力。不少银行表示,通过几个工程的建设,在技术层面就可以解决网络安全的问题,但是工程实施后,带来的更大挑战是管理层面的。如果没有有效的管理,真正的网络信息安全就永远不可能实现,建立健全的管理制度是构建网络信息安全的第一道防火墙。
而管理层面中,最核心的是人,管理者是人,管理的也是人。首先要对员工进行风险教育,形成风险管理人人有责的氛围,并使这种理念深深的扎进每个员工的心中,这样就有利于减少人为事故的发生。同时,在管理者、核心设计者在设计新产品的时候,也会时刻把风险规避放在第一位,一定程度上减少新产品的不稳定性。
因此,必须要建立与银行自身业务发展战略相适应的网络信息安全建设管理体系,支持和满足业务发展的需要。
IT企业:展示解决方案 提供技术支持
这次论坛的一大亮点就是为监管部门、银行、提供金融服务技术的IT企业搭建了一个沟通、交流的平台。本报这次邀请了华为、HP、NOKIA、联想、绿盟、IBM等国内外顶尖厂商参会,他们作为金融网络安全技术的专家,在应对网络安全问题方面,推出了针对性强、应用性强、安全性能高的解决方案;同时,也带来了业界最新的理论与最先进的技术。他们能够参与这场盛宴并且切实拿出了金融网络安全的新产品,为本次论坛注入了一股强劲的力量。
本次论坛在众多企业提供的解决方案中评选出了八个“2007’金融行业网络信息安全优秀解决方案”。这些解决方案涵盖了金融网络系统运行中的关键步骤,如聚合式桌面解决方案、金融安全管理方案、网上银行安全服务解决方案、病毒防护解决方案等等,为金融网络安全提供进一步的保障。
通过此次的交流,不仅使IT企业对金融行业在网络安全方面的问题有了更为直观准确的认识,为他们今后在产品研发方面提供了第一手材料;也使企业有机会与金融机构面对面地对话,使优秀的解决方案真正能够进入金融领域,以企业自身的优势为金融机构提供优质的服务。论坛上,银行业对金融网络安全的巨大需求也使IT企业更加关注银行网络信息安全建设,并持续不断地为金融机构与金融服务提供技术咨询和技术支持。相信在银行与IT企业的协作下,最终能够实现银行和IT企业,以及银行客户的互利共盈,为和谐社会建设做出我们应有的贡献。
部分参会人员名单
国务院信息化工作办公室网络安全组副司长 赵泽良
中国人民银行科技司副司长 杨竑
中国银行业监督管理委员会业务创新监管协作部副主任 王岩岫
中国银行业监督管理委员会信息中心副主任 林丽
国家开发银行营运中心副主任 熊平旭
国家开发银行营运中心处长 魏鹏 邱胜利
中国工商银行信息科技部总经理 林晓轩
中国农业银行科技部代表、处长 李耀
中国银行信息科技部总工程师 王世辉
中国光大银行信用卡中心总经理 戴兵
华夏银行电子银行部总经理 黎清
中国民生银行电子银行部总经理 何力
中国民生银行科技部总经理助理 穆新宇
中国民生银行网络银行管理中心总经理 郝付国
中国建设银行(亚洲)信息系统高级副总裁 梁建文
威海市商业银行副行长 张仁钊
新疆农村信用社联合社信息中心主任 王冰
渤海银行资讯科技部经理 肖晓忠
中信控股有限责任公司信息技术总监 邵正强
农信银资金清算中心副总经理 王健
金融时报社社长 汪洋
金融时报社副总编 傅勇
华为存储与网络安全产品线营销工程部部长 郑志彬
惠普信息产品及商用渠道集团副总裁 付云平
诺基亚企业解决方案事业部中国区总经理 刘强
AMD大中华区地区业务总监 周捷威
华三公司市场部副总裁 李涛
绿盟科技副总裁 陈文锋
上海动联公司中国区首席运营官 沈勇坚
启明星辰首席战略官 潘柱廷
IBM系统存储部大中华区存储解决方案总监 张英伟
联想集团大客户部金融行业总监 刘征
