中国工商银行信息科技部总经理 林晓轩
银行业的信息安全在近几年得到了国家有关领导以及银监会领导的高度重视,网上银行的安全也广泛得到社会的关注。一直以来,工商银行都非常重视对网上银行、对信息系统安全方面工作的开发。
目前,工行正面临着一个很大的挑战,就是用户快速增长以及业务量快速膨胀。2006年工行个人网上银行规模才2000万多一点,2007年7月底就超过了3200万的规模。去年全年通过电子银行渠道办理的交易金额是45万亿元,而今年上半年就已经超过了37万亿。同时,我们面临的另一个挑战就是离柜业务增加。在两年的时间内,离柜业务的占比要超过总业务量的45%,力争超过一半的业务要在非网点柜台完成。今后我们除了继续加强理财产品开发以外,重点突破在网上银行上能够进行网上信贷。在保证信息系统整体的高可用性以及在技术快速发展,整个因特网技术发展加快的情况下,保证系统的安全成为新的课题。
工行从方法和策略等几方面入手,将安全提高到新的高度:
首先,每天总行与数据中心、开发中心之间都有一个固定的生产例会。
其次,工行所有的平台数据,特别是涉及到客户,尤其是涉及到银行的数据,要全部集中在主机,利用主机来实现灾难备份,要实现数据的存储,平台只是一个渠道,只对一个客户展现。
第三,对于全国的电子银行中心来说,绝对不可以只建一个中心,至少要建两个中心以上。这是从业务口径来说,如果从技术上看,就是必须要支持两个中心之间的平台,使客户不会感觉到交易是在哪个中心处理的,其开户银行是哪个中心处理的。所以,从系统上要允许一个系统的多点接入。那么在任何一个系统发生问题的情况下,都可以实现跨区受理的策略,我们现在逐步地在网上实施。
第四,工行设置了超过300人的专业电子银行应用开发队伍,他们专职进行网上银行、电话银行以及手机银行等电子业务的开发以及信息安全防护等工作。同时,除了工行内部,工行还专门成立了一个由9人组成的信息安全防护小组。这个防护小组本身不具有管理的职能,但它是一个相当于内部审计的部门,专门寻找工行的网上银行、信息系统、各项制度、流程过程当中,还存在哪些安全上面的漏洞。
第五,工行每年都要多次接受国家有关权威部门,比如说国家信息安全中心等诸部门对工行网上银行的认证,以及包括人民银行、银监会组织的,对信息安全的评估。通过不断地评估,工行网上银行达到不断改进的目的。同时,每年工行还会对安全认证的技术,包括U盾或者动态口令卡进行升级。
最近,工行正要推出U盾另外一个更加强大的版本。同时,我们也想除了现在使用的用户密码、页面预留信息、口令卡和U盾等多重的因子保护手段外,使用类似于手机二次确认的多重认证方法来保证网上银行的安全。
中国银行信息科技部总工程师 王世辉
中国银行制订信息安全风险管理的一个流程,主要包括五方面:首先从信息安全方面去制订战略,这个战略要和我们银行的整体战略协同;二是对信息安全的风险进行识别;三是对信息安全风险进行评估;四是对信息安全持续地进行监控;五是要去对有关的政策、流程、标准要进行正常的维护。
提高对银行信息安全的认识,要有一个重大理念的改变就是把IT作为投资来看。过去我们认为IT就是花钱,今后要把IT作为一个资产来进行管理。在我们银行所有的投资里面,包括交易、战略、基础设施等方面的投资,只有信息投资回报率超过了100%。
中国的GDP大概是美国的七分之一左右,但是从IT总量来讲,我们只是美国的1/23,我们在信息资产这方面的投资是很少的。和我们整个国家的整体实力是不相配的。IT行业如此高的回报率,但是我们在这方面的投入是不够的。从全球IT平均来讲,IT的支出是占GDP的3.88%,美国是达到了4.42%,而我们中国只有1%。那么特别是像技术密集程度非常高的银行业,我们也仅仅只有2%。而西方国家像制造业对技术的依赖性是很小的行业,也超过了我们的银行业。
美国的经验有几方面是值得我们借鉴的。第一,美国监管当局从2006年开始实行的SDRC,就是一个系统发展的生命周期的方法论或者模型。它可以在项目实施的过程当中做到透明、安全、保证回报,保证实施当中客户的信息、银行的信息、国家的信息能够安全。第二,从监管方面我们认为监管的介入和监管严格的检查,会对整个信息安全体系的建立有利。相比较美国而言,我们现在的监管方面,应该进行更加严格。第三,现在美国在组织架构方面也有要求,必须要设立数据安全官。国内目前可能还没有设这个职位。但是在美国基本上所有的银行都会有这么一个职位。它会从政策上、流程上、标准上、日常的管理当中,去要求银行怎么样对这方面进行负责。
从中国银行来讲,也是吸收了国内外的一些好的概念和理念,我们也希望从基础设施、数据管理硬体和业务处理三个层面来提升我们的安全性。在基础设施方面就是建立一个两地三中心的体系,包括我们的生产中心,同城的热备中心,异地的灾备中心;在网络方面,基础设施的网络方面,中国银行会建立一套新的核心应用网络,和现在的网络是完全物理分开的。从业务方面来讲,我们不仅仅是通过信息系统,我们还要通过信息系统引进的同时,对我们银行的组织架构和业务流程进行重组。
国家开发银行营运中心处长 魏鹏
国开行今年从一家政策性银行开始走向商业化运作。现在正在两方面下大力气。一个就是县域经济,我们在全国都派了很多的业务人员到各个县去开发新的业务。另一个是在金融合作方面走出去,向国外派出了几十个工作组。以前国开行是政策性业务比较多,品种少,现在产品趋向多元化。这给我们的网络安全提出了很多挑战。因此我们做了如下部署:
首先是数据中心的网络安全区域设计与安全的部署。我们在网络上设计了很多个区域,加强了安全准入、端点安全代理和网络的审计工作。安全准入实施的是NIC技术,它的概念是有关人员在登录或者使用笔记本进入单位内网的时候,会先询问身份,允许进入的同时,还要认定该人员的机器是否是安全的。我们对分行和代表处进行了同样的标准化设计,所有的分行和代表处全部都按照这种设计,这样我们的维护和管理,都可以进行远程控制,易于管理。
灾备我们是采用外包的模式,应该说在今年年底,我们把这个灾备能够实施完成,灾备中心设在深圳和北京。因为我们原来的网络已经运行八年了,我们先把网络进行了梳理,在这个基础上再实施自防御安全体系的设计。
中国光大银行信用卡中心总经理 戴兵
因为信用卡有着很特殊的业务特质,所以表现出来的风险也有它自己的特性。经过我们几年的思考,我们觉得应该要建立技术、制度、文化,三位一体的信用卡的信息安全体系。
那么,“七分管理”管理是什么?管理我认为是文化加制度。在很多情况下,我们作为企业很重视的是制度建设,但是缺乏风险文化的建设和信息安全文化的建设。因为大家觉得有制度规定,按照去做就行了,但这是远远不够的。所以,只有在这样的架构下,才能构成最完整的信息安全管理体系。在这三个要素之间,制度和技术是表象,是最重要的是文化。文化所起到的作用是一个成熟效应,好的风险文化,能够将风险管理要素成倍地扩大。当风险文化在员工当中根深蒂固的时候,员工在进行产品设计,制度设计的时候,就会多考虑风险方面一些,这样出现风险的概率就会更少一些。这三要素制度、技术和文化重合的程度越高,实际上这是最完美的企业,那么光大银行信用卡中心,这几年在这方面做了一些探索和实践。在信用卡方面,做了一些风险的排查引擎、决策引擎和伪冒政策系统等等,这都是在技术手段方面。但是除了技术方面,我们还有两个方面是我们做得比较多的。第一个就是ISO2001的认证。这个标准它最重要的就是在风险评估之后,通过设立一系列的风险管理方法管理风险,然后同时形成一些策略规则和控制措施。同时,引入ISO27000对于确保信息安全是一个很好的工具和很好的方法。第二个就是风险管理项目。主要是有几个步骤:风险识别、风险评估、风险监测。
在文化方面,应该教育员工,风险无处不在、风险管理人人有责的理念。对于管理层来说,我们希望他们能够知道风险损失可控是我们的奋斗目标,但是在风险控制的过程当中,一定要注意风险控制的成本必须是我们要接受的。固若金汤当然是一个发卡机构最完美的一个目标,但谁也不敢说信息安全是固若金汤的,但是我们认为技术加制度加文化的信息安全管理体系,可以为我们提供信心保证。
华夏银行电子银行部总经理 黎清
银行应制订有效的安全策略和措施,银行是提供网上银行业务的主体,主动控制可能发生的业务风险,加强自身的业务管理,应用先进的技术手段构建有效的风险预警和事后处理机制,对于银行来说责无旁贷。我们建立了严密的风险管控体系,加强客户教育和风险提示。其中,一是建立专门的网上银行业务组织体系,从总行、分行、支行各个层面落实专人,明确职责、加强管理,规范各环节业务处理,防范风险;二是建立符合监管要求的事前审核、事中复核、事后监督的全过程风险管控机制;三是建立7×24小时的风险预警和应急处理机制,一旦发现可疑交易行为,能够快速定位交易收款方相关信息,锁定可疑账户等,启动配套的业务应急处理流程,以及与公安司法等部门配合,最大限度地帮助客户挽回损失;四是加强对客户的教育和风险提示,通过网站、柜台、自动取款机等渠道,在醒目位置提示用户注意网银使用过程当中可能出现的各种风险,发放网银安全知识宣传单,培养客户正确使用习惯;最后,银行在设计网上银行新产品时候,应充分考虑安全问题。
网上银行业务的安全同样离不开政策法律环境和技术支持。而且更依赖于技术标准的规范和新技术的实际应用和相关行业的运营和维护,乃至相关监管和配套法律政策的完善。其中有两点,一是应完善法律体系,司法机关对网上银行犯罪应有明确具体的定性标准和惩罚规定。目前有关法律法规还不够完备,已经出台的法律法规还有待细化和进行配套的司法解释以及与现有的政策法规制度协调统一。二是加强行业内和行业间的协作与规范。我国银行业应当加强相互之间的沟通与配合,制订相关的业务和技术标准,出现问题行业内部共同商讨对策,协助解决,并以此作为警示信息在行业内通报,防止类似问题再发生,建立起良好的沟通机制和问题解决机制。此外,从业务运营和维护考虑,银行应加强与第三方机构的服务内容规范以及信息保密规定。及时沟通和了解技术应用和服务渠道方面的发展情况。
中国民生银行科技部总经理助理 穆新宇
今后民生银行的网上银行,会冲出以往做账为主的理念。在为客户提供服务、帮助客户提升他的价值的时候,获得回报。在这样的理念之下,我们所看到的网上银行、电话银行、手机银行、网点、自助银行、客户经理等等构成了一个组合渠道,在这样的一个组合渠道里,可以为客户提供各种不同的服务手段,这就是我们尝试CPK(组合公钥管理系统)的背景。
CPK独特的地方是它把认证分成两部分,第一个就是第三方认证,第二个是通过一种自主认证的方式来解决身份的认证。它是在底层通过某一公司要组合的方式,由客户的标识去生成客户的一个密钥空间,然后由客户的标识去生成客户的公钥空间,最后从下往上建立这样一个对应的关系,来实现客户的认证。
CPK除了针对公众服务方面,还会在民生银行的信息系统保护方面,起到一定的作用。这里可以举出四个方面设想:第一,对民生银行的员工,是不是可以提供管理。第二,是不是可以对我银行的IT系统提供管理。第三,是不是可以对我的基础设施或者我的设备提供管理。第四,是不是可以对我们和其他伙伴之间提供一种远程的认证关系。
中国建设银行(亚洲)信息系统高级副总裁 梁建文
中国建设银行(亚洲)主要负责的是亚太地区的业务,零售跟商业银行的业务。我们主要的客户群是最高顶的20%左右的客户。怎样在安全的情况下为这些用户提供方便的登陆交易认证是我们一直探索的问题。
香港的金融管理是很具体的,哪种交易需要双重认证是有明确规定的。香港的双因素认证有几个主要的交易种类:第一种交易是没有登记的转账,就是将资金从你的个人账户转到另外第三者的账户,这个账户如果你没有登记,就要用双因素认证才可以把钱转过去;第二种是做海外的外汇,就是把钱用外汇的方案转到海外去;还有一种交易是把信用卡账户登记在你的工作里。除了规定的几种交易,其余的均不需要双重认证,因为并不是所有登陆网站的交易都是高危交易,所以如果一进入网站就用双重认证,使客户在网上银行停留时间太长,反而会给黑客足够的时间攻击银行网络。
另外,客户的方便是很重要,很多银行用不同的方案进行安全认证,这就给客户带来了很大的麻烦。客户要记住每一个银行用不同的方案,有时候是用证书、有的时候是用SMS等等。不同的银行用不同的方案,我不知道使用的客户怎么去处理。
对银行跟客户来说,提供单一的认证登录多个银行,在各个特定的银行的网络进行双认证,又简单又比较容易应用。其他的非银行的比如说网上拍卖、网络游戏等等也可以支持,所以这个是很新的,在香港是刚刚开始在运作。我们打算今年年底把单一认证登陆多个银行用的方案设计出来,这样就可以成功地代替数码证书,因为数码证书现在在香港使用率极低。其实很多方案都在构想之中,但是没有什么方案是短时间可以实现的,真正的实践还有漫长的路要走。
