奥运足音渐近,在此关键时刻,各家商业银行都在积极备战,居安思危、统筹兼顾地做好各项服务准备工作。由于金融信息系统是否安全、稳定、可靠,关乎我国社会的稳定、金融的安全和在国际的声誉,故而,各行均将业务运营、信息科技、安全保卫、应急演练当作当前最重要的工作来抓。
银监会曾在今年年初下达有关在全国范围内开展银行业信息科技风险奥运专项检查工作的通知,要求各行从维护整个银行业安全高效、稳健运行的大局出发,全力保证信息系统的安全可靠和稳定运行。那么,各行的信息系统安全自查情况进展如何?能否保证重要信息系统在奥运期间安全稳定运行?应如何构建可持续发展的安全环境?
备战奥运,加固信息系统安全堤坝
银监会对这次银行自查的总体思路是:风险为本,防范在先,明确责任,迅速落实。要求各行全面排查风险隐患,彻底分析隐患成因,落实整改完善措施,提高信息系统健康水平,绝不能把问题带到奥运会上,把风险扩散到业界之外。
为确保IT系统在奥运之前和进行之中能够高速且正常运行,从去年起,工行就大幅提高了主机容量,对灾备系统进行了切换演练,并对今年投入使用的新设备做了充分调试。针对奥运金融服务的特殊需要,工行制定和完善了信息系统运行应急预案、客户投诉应急处理预案、银行卡和电子银行业务处理应急预案、安保工作应急预案等,一旦发生紧急情况,系统能够迅速妥善应对,确保为奥运会提供一个安全、高效、优质的金融服务环境。
农行特别召开了奥运期间信息系统保障工作会议,部署信息科技风险管控和信息系统奥运保障专项工作,明确了当前四项工作重点:全力保障重大活动期间信息系统的安全稳定运营;强化IT人员的合规意识和制度执行意识;加强应急处理、重要信息系统和数据灾难备份以及其他的风险缓释措施;建立健全信息科技风险监管法规体系。在奥运期间信息系统保障工作的具体措施上,农行要求各分行力争做好业务系统压力测试工作;加强信息通报工作,及时报告信息安全事件,不得瞒报、迟报、漏报;加强系统实时监测与日志分析;坚决落实重要时期值班制度,加强跨部门、上下级机构间的横向和纵向协调,保持应急通信联络通畅;各业务部门和科技部门通力协作,对可能产生的风险进行认真的分析,做好应对一切可能突发事件的准备。
根据银监会的要求,交行也明确了信息安全保障工作的领导职责和部门职责,制定了奥运期间信息安全保障工作方案和工作计划,精心安排了信息安全风险自查工作,细化了各项检查要点。一是认真落实信息安全风险自查和等级保护自评估工作。组织各部门从业务和技术两方面进行全面的安全自查,正确评估奥运期间面临的业务压力及业务工作所面临的风险,特别关注奥运期间全行可能面临的特殊业务和服务。二是完善风险应急处理机制。重视和清理信息备份和灾难恢复机制,要求对暂时避免不了的风险制定业务连续性计划,将风险控制到最小。三是多措并举强化信息安全防范。严格控制重要敏感时期变更活动,规定各业务部门提前合理安排信息系统的变更和投产计划,确保敏感时期内不安排重大变更。合理安排信息系统资源,加强系统压力测试,根据日常容量管理的数据,推算出生产系统所能承受的压力,找出性能瓶颈,合理调度和分配系统资源。在原先网络安全管理的基础上,进一步加强奥运期间网络系统安全的监控,严格防范网络安全事件的发生。
近几个月以来,北京银行一直在持续贯彻落实“平安奥运”各项工作要求,积极做好奥运金融服务相关工作。在信息系统保障上,根据信息科技奥运风险自查结果开始进行整改,制定了62个分系统应急预案工作流程图、业务持续性责任落实方案和业务持续性计划传导方案,召开了业务持续性计划演练推动会,制定了应急演练计划。
可控安全,变被动防御为主动联防
“信息科技的特点决定了风险无轻重,漏洞无大小。以往的经验告诉我们,大问题往往都是由小问题、小漏洞引起的。如果自查工作不细致,检查不全面,留有死角,很可能就会导致重大事故。”银监会副主席郭利根在银行业信息科技风险奥运专项自查工作部署会上曾对银行信息安全的特质做过这样的分析。
的确,随着信息技术的飞速发展,网络环境日益严峻复杂,各种威胁信息安全的事件也大幅度增加,网络犯罪手段越来越复杂,犯罪规模也越来越大,这给银行的信息安全带来了更加严峻的考验。各银行一直在思考:怎样做才能避免业务系统出现安全风险?怎样做才能避免安全威胁带来的后果?对此,网御神州公司专家的观点是:“在时代的大背景下,商业银行更加需要这样一种安全环境——一个有实效、可驾驭的、可持续发展的安全环境。简而言之,就是构建一个可控的安全体系,营造一个可控的安全环境。”
信息安全体系建设的总体目标是通过体系建设做到疏而不漏,彻底解决防不胜防的问题。这就要求各银行从传统静态的、局部的、事后补救的安全防御模式,转变为动态的、全面的、系统的、预防的安全防护模式。而可控安全理念就是根据银行的信息安全目标和安全计划,对实际的信息安全工作进行动态管理。
比如,银行的业务系统多是架设在网络上的信息系统,一般的业务系统会划分为分密区、服务区、网络区、用户区、分支机构和远程用户等几个部分。根据业务的进程,可归纳出业务系统安全的4个要素:接入、行为、风险、状态。通过对这4个要素的把握,可以帮助银行更好地审视业务系统的安全,进而更好地控制业务系统的安全。
据网御神州的技术专家介绍,可从“事前、事中、事后”的过程,来看可控安全的实际操作:在安全事件发生前,应采取预防措施,尽量避免安全事件的发生;在安全事件发生过程中,应及时响应,尽量降低和消除安全事件可能带来的危害;在安全事件发生后,应对安全事件及其处理过程进行总结,调整安全部署,改进安全策略,避免类似事件的再次发生。基于对可控安全这样的认识,对业务系统4要素的可控也必然采取这样的方式,即适时发现与4要素对应的控制目标;对控制目标进行监视,对不符合4要素安全要求的行为进行管控;对经过管控的目标进行处理。
可控安全的实现思路是实现“统一联防”,不仅是各个位置、各个安全节点的联防,还有各个可控要素的统一联防。即对整个业务系统可控,同时也要求对各个安全设备可控。通过事前了解的信息和制定好的策略,进行相应的监控,实现安全信息“共享”,这样才能真正实现“统一联防”,从而达到对整个业务系统安全可控的理想状态。如此进行安全可控,业务系统不仅能够提高服务水平,还能够对违规行为、恶意行为进行预防和制止,大大提高了对各种威胁的防御能力。
有业内专家表示,这种以“环环相扣,安全可控”为核心的信息安全体系一旦建立,银行将全面升级安全防御水平和应对风险的能力,从而构建起一种安全可信、秩序井然的信息安全新环境,为奥运期间银行的信息系统安全稳健运营提供全方位保障。
