安全是金融行業(yè)永遠的話題。金融信息系統(tǒng)外應(yīng)用系統(tǒng)相互牽連、使用對象多樣化、安全風險的多方位、信息可靠性、保密性要求高等特征構(gòu)成了金融系統(tǒng)的突出特點。

  國際金融危機以來，金融系統(tǒng)的風險控制和監(jiān)管被提到了前所未有的高度。如何利用信息技術(shù)的優(yōu)勢加強金融機構(gòu)的內(nèi)部控制，提高金融監(jiān)管和服務(wù)水平，防范和化解金融風險，促進金融改革和創(chuàng)新，從而推動我國經(jīng)濟社會的發(fā)展，是當前我國金融業(yè)信息化建設(shè)面臨的重大問題。

安全體系全員參與

目前金融機構(gòu)已經(jīng)從傳統(tǒng)的資產(chǎn)負債經(jīng)營轉(zhuǎn)向風險經(jīng)營，一個完善的金融機構(gòu)必須構(gòu)建一個覆蓋業(yè)務(wù)各個維度的風險經(jīng)營管理體系。從小的方面來說，可以是一個較為完整的安全體系。

對于小范圍安全體系，在這里我們可以先看看巴塞爾Ⅱ協(xié)議，流動性風險、市場風險和操作風險，已經(jīng)覆蓋了金融機構(gòu)運營的各個角度和維度。

對于信息風險（安全）我們可以從操作風險的角度來審視，由于目前IT應(yīng)用已經(jīng)涉及到金融的各個業(yè)務(wù)和辦公領(lǐng)域，對于IT帶來的風險管理已經(jīng)是金融運營不可切割的一部分。所以，我們認為對于金融機構(gòu)的風險管理體系（或安全體系）應(yīng)該是一個從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過程。

不管從巴塞爾Ⅱ協(xié)議，還是我國商業(yè)銀行風險指引都要求我國銀行構(gòu)建一個完整的風險管理體系。我們認為信息科技安全體系應(yīng)該是一個從需求、設(shè)計、上線、運維到下線，一個全生命周期的風險（安全）管理體系，涉及與各環(huán)境相關(guān)的業(yè)務(wù)部門和科技部門。通常來說7分管理3分技術(shù)，在這里強調(diào)一下管理的重要性，我們認為管理不僅僅是人員、崗位、角色的管理，也包含著策略和流程。如下圖所示：

故而我們建議對于金融信息科技風險管理（安全管理）體系的目標是圍繞業(yè)務(wù)發(fā)展，緊密結(jié)合業(yè)務(wù)發(fā)展戰(zhàn)略，利用科技手段構(gòu)建風險防范平臺，鍛造精細風險管理能力，深化風險防范建設(shè)，為促進金融機構(gòu)發(fā)展提供可靠保障。

圍繞目標在金融機構(gòu)的各個部門從方針政策、人員到策略、流程直至技術(shù)防控措施全方位、全視角構(gòu)建風險管理體系（安全體系）。

隨著技術(shù)的發(fā)展和業(yè)務(wù)的擴展，銀行的核心業(yè)務(wù)系統(tǒng)和后臺管理系統(tǒng)要進行不斷的升級換代，在此基礎(chǔ)上的安全防御系統(tǒng)也要調(diào)整配合。

我們應(yīng)該從2個角度去看待這樣的工作：

1.       全生命周期的配合

風險防控是對IT系統(tǒng)全生命周期的管理。不是單獨的一個環(huán)節(jié)。由于業(yè)務(wù)發(fā)展需要，對銀行IT系統(tǒng)不斷更新和換代這是正常的。這樣需要IT風險管理也是要動態(tài)、同步跟進系統(tǒng)建設(shè)。

2.       PDCA,即使IT系統(tǒng)不進行更新和換代，由于漏洞的發(fā)現(xiàn)和黑客技術(shù)的更新，同樣也需要風險管理的及時跟進。

所以說IT風險管理比IT系統(tǒng)更新?lián)Q代更需要敏捷性。

對于一個良好的銀行機構(gòu)不僅需要IT風險管理的同步更新，同時也需要風險管控部門及時對風險撥備進行更新。

將新技術(shù)納入風險防控體系

在這個競爭激烈的年代，銀行必須通過不斷的業(yè)務(wù)創(chuàng)新來發(fā)展自己的業(yè)務(wù)，那么對于現(xiàn)在不斷發(fā)展的技術(shù)來說，是金融創(chuàng)新的輔助手段和工具，諸如：internet、3G、云計算、SOA等技術(shù)，這些新技術(shù)的應(yīng)用給銀行機構(gòu)帶來了業(yè)務(wù)的增長，同時也帶來了相應(yīng)的風險。我們應(yīng)該采取積極創(chuàng)取，謹慎對待的態(tài)度。

銀行是一個經(jīng)營風險的機構(gòu)，積極進取、穩(wěn)健經(jīng)營是一個銀行機構(gòu)經(jīng)營的宗旨�？萍紕�(chuàng)新帶動業(yè)務(wù)創(chuàng)新也是新一代金融機構(gòu)發(fā)展的另外一個口號和宗旨。故而銀行機構(gòu)在采用新技術(shù)時會積極并且穩(wěn)健。

對于銀行來說，既要對新技術(shù)的出現(xiàn)采取積極的態(tài)度和精神去跟進，同時也要通過不同緯度去審視新技術(shù)帶來的安全隱患和風險。

我們認為，任何一項技術(shù)的采用和使用都是因其業(yè)務(wù)發(fā)展的需要。機遇永遠與風險并存，故此我們建議在采用一項新技術(shù)之前要進行嚴格的風險評議，并且有相應(yīng)的流程去審議這些新技術(shù)的采用。對于任何新技術(shù)的采用可以建立完整的風險防控機制，并納入到風險防控體系中。

亡羊補牢，未為晚也

中小型金融機構(gòu)信息系統(tǒng)眾多環(huán)節(jié)都存在漏洞，在建設(shè)過程中因為沒有統(tǒng)籌考慮，對于系統(tǒng)安全建設(shè)部分中的硬件設(shè)施、軟件設(shè)計模塊缺乏，造成諸如審計、保密、數(shù)據(jù)傳輸中的完整性、數(shù)據(jù)正確性、對外來攻擊的預(yù)防等安全措施弱化或缺失。

對于中、小金融系統(tǒng)來說，在其IT系統(tǒng)建設(shè)過程中如果沒有進行統(tǒng)籌考慮，只考慮了業(yè)務(wù)功能性要求，對風險和安全控制沒有進行安排和規(guī)劃，會導致目前的運行中出現(xiàn)各類相應(yīng)的隱患和問題。

信息科技風險，是一個動態(tài)的過程，并且對信息科技風險的識別、管理和控制這樣的過程也是一個動態(tài)的過程。所謂“亡羊補牢，未為晚也，”對于信息科技風險管理是一個非常明智的選擇。

前文我們說過了信息科技風險管理的目的和宗旨，在這里我想說的是，信息科技風險管理對于金融機構(gòu)不分大小，也不分先進和落后，對于任何一個金融機構(gòu)都適用，只不過因為中、小金融機構(gòu)由于人才儲備少、建設(shè)經(jīng)驗缺乏不能著急獨立完成信息科技風險管理體系的建設(shè)，而是采用外部專業(yè)機構(gòu)來輔助完成而已。如工商銀行、建設(shè)銀行及興業(yè)銀行、廈門銀行等。

對此，我們認為中、小金融機構(gòu)現(xiàn)在應(yīng)審時度勢，跟進自己的業(yè)務(wù)特點，結(jié)合行業(yè)的標桿經(jīng)驗，聘請有經(jīng)驗的外部機構(gòu)，盡早地搭建適合其業(yè)務(wù)發(fā)展特征的風險管理體系。

變被動為主動

   目前網(wǎng)上攻擊以黑客竊取核心數(shù)據(jù)為目的，在數(shù)據(jù)越來越重要的今天，網(wǎng)上安全日益嚴峻。面對日益猖獗的網(wǎng)絡(luò)攻擊，銀行在發(fā)展其網(wǎng)銀業(yè)務(wù)的同時，更加不應(yīng)該放松的是網(wǎng)銀風險防控。

我們認為應(yīng)該積極主動建立健全網(wǎng)銀風險防控（安全）措施，從風險威脅源、路徑和目標做好相應(yīng)的措施和流程。

IT系統(tǒng)基架于網(wǎng)絡(luò)上就變成網(wǎng)絡(luò)應(yīng)用，網(wǎng)銀系統(tǒng)正是這樣的一個系統(tǒng)。對于任何一個網(wǎng)絡(luò)應(yīng)用都是端對端的應(yīng)用，那么對于安全問題也同樣演變成一個端對端的問題，故而我們在思考網(wǎng)銀安全的時候，不僅考慮到客戶端和服務(wù)端的安全問題，更要全面的思考，其中包括：客戶端、服務(wù)器端和整個的傳輸路徑等方面。

針對網(wǎng)銀安全，人民銀行于2009年下發(fā)了19#文件，著重強調(diào)了網(wǎng)銀各個環(huán)節(jié)的安全策略及控制措施。在此，我們強調(diào)指出，各家金融機構(gòu)不應(yīng)該只滿足《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范 》的基本要求，建議具有居安思危的意識和理念，滿足《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》增強性要求和更高的標準，同時也應(yīng)該做好網(wǎng)銀風險的撥備。值得注意的是不僅要被動應(yīng)對安全檢查，也要加強主動防范意識來應(yīng)對來自網(wǎng)絡(luò)的攻擊。

標簽： 安全 服務(wù)器 服務(wù)器端 機 金融 漏洞 數(shù)據(jù) 網(wǎng)絡(luò) 信息安全 信息化 信息技術(shù) 選擇 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。