本文讲的是农商行在信息安全方面面临的挑战,经济社会发展对信息化的要求和依赖程度越来越高,面临激烈的竞争,包括物联网、云计算在内的信息技术迅猛发展,不仅极大加速全球化进程,而且正在飞速改变金融行业的发展方向和形态,在这场深刻的技术变革中谁能在信息化上先人一步,高人一筹,谁就能够在激烈的竞争中处于有利的地位,抢占到行业制高点。
▲
北京农村商业银行信息技术部副总经理 陈扬宁
2010中国金融科技大会在京召开,记者在大会上联系了北京农村商业银行公司(以下简称农商行)信息技术部副总经理陈扬宁,陈扬宁就农商行的信息安全等话题进行了探讨,分享了有关农商行近年来在信息安全方面发展的经验和教训,给我们带来一定的借鉴作用。
农商行信息安全的问题和挑战
随着近年来金融监管机构对银行业加大监管的力度,同时从2006年到10年逐步出台了有关加强银行业的金融机构信息安全保障工作的一些指导意见,包括2007年信息安全等级保护管理办法,以及2009年商业银行信息科技风险管理指引,从制度方面,包括实际行动方面,逐渐加深对银行业信息安全的监管,同时对银行业的信息安全进行了更高的要求。
在区域银行信息安全建设方面整体的水平相对落后于股份制商业银行,主要表现在,因为股份制商业银行经过2004年、2005年左右核心系统、后台管理系统的一些改造开发,信息化发展水平相对比较高,同时信息安全体系相对比较健全。而我们区域银行在这方面主要体现在,我们整个信息化建设的发展是落后于业务的发展,因为涉及到一些投入,涉及到一些信息方面的议程,所以整个投入上、发展上依然落后于股份制银行,而且还落后于自身业务的发展,因为在这方面我想很多区域银行逐渐逐年在信息化方面加大投入。
其次,随着区域银行业务的发展,安全的隐患出现。如原有的机房的选址,安保措施、供电等等,无自身的异地备份中心。因为前期没有灾备中心,数据中心发生断电的情况,数据就面临写危险。其次对信息安全的缺乏意识缺失,比如对诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再就是在整个相对来说区域银行未来发展网银,我们自己认为安全要求比较高,从我们分析来说,我们安全做得跟股份制银行来说做得比较好,其实是我们自己的网银这一块知名度不高,所以很少人关注这方面发生的案件。但是随着业务的发展,银行知名度的发展越来越提高,越来越关注你的网银,关心你的业务的时候,你的电子渠道的一些隐患,安全隐患逐渐就会提到更加高的高度上。
第三、运行维护方面,因为区域性银行相对技术管理能力不足,目前较多依靠系统承包商,人力风险明显。这几个方面,我们认为区域银行这一块还是跟股份制相比差距还是比较明显。
在整个信息安全的风险发展趋势来看,随着业务的开放化,在网银、电子银行等业务渠道对互联网的开放,对整个信息安全的管理、技术控制提出了更高的要求。还有一些关于互联网访问终端的无意识的信息泄露,造成攻击等等,都可能对整个区域行业的发展带来一些安全的隐患。攻击的成熟化,因为现在有很多大量的自动化的攻击工具可以在互联网上下载,造成整个攻击的成本逐渐下降。从分析来看,发现遭受的攻击越来越多,手段和方法也更多了,对我们的要求更高了。
软件的多样化使漏洞数量超过了操作系统,对于整个应用系统来说补丁怎么打?利益的驱动,这方面无论是区域银行还有所有银行都面临这个问题,包括股份制商业银行都是这样,还有内部员工、第三方人员,掌握一些信息权限等等,谋取一些非法的收入。
信息安全建设的关注点趋势也发生变化传统的基于网络的防护依然是基础,但是关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。高效的信息管理,安全的信息管理已经成为区域银行需要密切关注的问题。
其次区域银行也开始重视评价信息安全的风险,关注信息安全的监控和综合分析。随着危险不断的变化,使区域银行在安全方面的投入更加注重长期性,而不是短期的一次性投入,因此以技术平台支撑的合规管理工作正在越来越受到重视。最后业务的发展对系统和数据的高可靠性要求不断提高,安全威胁的破坏性越来越大,区域银行需要在系统和数据的可控性方面不断优化和改进。这一点从奥运会开始,这方面相关的问题越来越提上比较高的高度上。
农商行的信息安全整体规划
面对信息安全的问题,农商行提出了对于信息安全总体规划思路。
首先,规划的出发点是以信息为核心。以信息核心,但信息的管理包括哪些?包括信息的分类、分级、归档、审计、内容安全、保密等等,是以信息为核心的,下面IT的基础架构以及上面的业务。
1)规划的原则
首先、就是整体规划应该能够应对变化,整个信息安全建设规划要有相对完整全面的框架,以应对当前安全威胁的变化趋势。因为我们在变化,其次整个信息安全的安全威胁也在变化,动态的。
其次,立足于现有能力的提升,在现有的信息安全基础上来完善IT基础架构的安全建设,优化、调整和挖掘潜力,提升整体信息安全的保障能力。
第三、着重信息重点防范,以信息安全治理为工作目标,防范有意无意的数据泄露,作为今后的工作重点,已经加强了信息安全防范的意识。
2)信息安全总体规划的目标
第一、以安全治理为方针,安全工作的目标是什么?就是对信息安全环境的不断治理和完善,注重不断治理发展的长期性。
第二、以信息安全为核心,因为我们银行最终保障的是银行的业务,业务的关键内容是什么?围绕业务的各种数据和信息,因此我们认为信息安全是核心。
第三、可管理的IT架构为基础,不可管理的本身就是一个不安全的隐患,因对IT架构首先基于可管理性。其次支撑IT系统的基础架构和设施应该以可量化管理,可流程化的管理和目标,来提升我们安全支撑和保障的能力,因此我们规划了基于一个方针、一个核心为基础来做。
二、信息安全体系的建设
农商行的信息安全框架是建立在三大支柱上的,运维体系、管理体系和基础安全。信息安全的风险的管控,法规遵从落实,相关的法律法规从2005年开始完善,更加细化。
因此整个信息安全工作的内容,以信息安全为核心,目的就是安全的治理,基础是IT的基础架构。包括哪些内容呢?最上层是安全治理,包含了安全的监控、合规管理、审计管理、IT资产服务管理等内容,这是一个长期持续性的工作目标,依赖于三大支柱技术体系的支撑作用。最当中一个是最核心的,就是信息安全,数据内容、数据安全、操作的安全,还涉及数据传输的保护、内容安全、泄露防护等技术手段,这是整个规划有关工作目标的核心的重点。
基础架构安全是整个设计核心的基础,包括在整个IT系统中承载信息和软硬件系统设备的管理,其次范围要涵盖各方面的专业性、结构性和管理性各方面的内容,是我们整个安全建设关键和基础。
三、农商行信息安全的实施的路线图
农商行阶段性实施是以安全治理为方针,信息安全为核心,可管理的IT基础架构为基础,分为三个阶段。
首先、打基础,基础设施的专业性安全建设在推广,结构性安全的优化提升,包括前期现在数据中心从原有的数据中心建了自己新的数据中心,建立自己的灾备中心。
第二、主要初步实现对安全风险集中的管控和分析。
第三、数据和内容安全建设为重点,完善和提升基础设施的可管理性、安全建设。
第四、以合规管理为重点,加大对信息安全风险全面的把控,完善基础设施全面的自动化、标准化的流程。
农商行体现安全建设的现状,我们安全管理建设起步相对有点早,大概05年、06年启动的,有一定的基础。我们特地参加了安全等级保护的第一家试点的银行,对人员安全的管理制度,包括流程化管理、安全技术产品等等一些日常的维护工作流程基本上能满足等级保护的要求。
在技术上,也采用一些比较全面的,多种技术,提供稳定、安全的防护作用。已经建设了在IT架构基础的安全上,对服务器安全和网络安全做的基础工作相对比较多,在信息安全这一块,数字权限管理等做了一定的工作。在安全治理方面以前设立的比较少,因此下一阶段要提升的主要是安全技术架构这一块,有关终端的安全等有待于进一步的提升。在信息安全方面,有关内容审计、数据加密等在今后第二、第三阶段将要完成这项工作。在安全治理方面,安全的监控,集中化监控,审计的管理,IT资产的服务等等,我们也将完善。
四、农商行信息安全不足以及目标
首先,缺乏信息安全的专门主管队伍和相应的组织队伍。区域银行整个信息管理部门人数并不多,在这一块不一定各家银行都很重视,所以相关专业的主管部门并不一定存在,这个并不符合监管部门的要求,监管部门专门提到,一定要有专门的管理队伍,这一块对我们来说也是一个困难和挑战。
其次,这造成整个安全工作分散在若干部门,安全这一块每个部门都管,造成一个现象,其实大家都管,其实大家都不管。就是大家都有责任,最后都没有责任。信息安全依赖于各个部门的自觉性,没有总体的规划性。这是我们为什么做信息安全规划的原因,我相信这个问题在其他的银行应该也是存在的。
第三,安全规划的整体性相对比较弱。因为大家多没有相关的经验,刚开始做,经验还是比较薄弱,但是有一点我觉得,至少我们做得越晚,我们应该站在巨人的肩膀上,因此我们会做得更加完善,更加完备,做得更加好,有可能我们的安全治理会做得比别人发展得更快,我相信这一点应该能做得到。特别现在银行业差异化发展的过程中,
信息化发展应该也是差异化,有可能部分方面我们会做得更好。这是我觉得区域性银行后发有可能先进的可能性是存在的,所以我在想整个信息安全的规划做好的情况下,在今后的发展过程中,区域银行完全可以说我们的信息安全这一块做得不亚于其他银行,有可能我们的服务产品、服务内容、服务的东西会比他们少,但是我们安全可靠性这一块会走在前面。
最后,整个信息安全技术建设需要以全面的安全治理和信息核心的建设目标为目的,不能偏离核心和目标。
基于上面的安全现状和下一步的发展,分三个阶段来工作的计划。一个管理目标,还有技术的内容和制度流程,从三个层面谈三个阶段的重点。
第一,在管理目标上主要以防入侵为重点,实现终端四大安全防控目标,加强对互联网访问管理。这还是资金推动的问题,一个是各个行对安全管理的意识不足,第二还是资金推动的问题。目的是提升整个系统和数据的恢复能力,在技术内容方面要采用一些终端防护,还有一些数据恢复等等。在制度流程这一块,制定完善一些终端方面的防护策略和规范,互联网接入及安全的防护规范,以及系统运行维护操作规范。因为在这一块,为什么说是第一阶段工作的重点?互联网的应用近十年如火如荼,现在已经到了移动时代,现在到了IPAD,一路发展下来已经到手机上,手机银行发展下来,对于区域银行还落后很多。这一块怎样加强对移动终端的安全管控,对我们相关业务的技术支持?在这一点是第一阶段我们基础的工作,这一块要做好。
第二、从管理目标上主要以防不良访问、外侵为重点,全面实现互联网安全访问工作,严防数据的外泄。同时在这个过程中加强对内部用户的身份管理和资产标准化管理,最终优化系统数据的管理。我们有统一身份管理系统,系统和数据的加固等等。
第三、管理目标,深化数据安全建设,实现合规管理、全面监控为重点的安全治理工作,完善IT服务流程的管理。主要有几个办法:敏感数据加密、合规管理技术支持平台建设以及资产生命周期标准化管理支持平台建设。相关制度的完善,主要有关技术类安全的规范,管理类的合规检查等等,这里面可以基于人民银行发相关的制度规范,还有银监会发的规范制度。
首先,从管理、技术、维护服务三方来来看方面。一个基础架构,管理上要制定配套的制度流程不断优化和完善,这也是一个长期的过程,
在技术方面在IT架构第一年实施了,所以着重于终端的安全、网络准入、服务器安全、资产标准化、统一身份管理和架构数据等等,从这几个方面来看,着重还是一种技术的投入,所以这一块基础是很重要的,但是基础的投入更重要,有了这个投入以后才能在后面更强。
在维护服务这一块,因为前面说了,对于区域性银行来说技术不够,那么面临核心业务,人员安全的问题,肯定是不可避免,怎样面对呢?因此对我们安全架构来说,从这点来说,基础上是怎么样开始实施的,在这里面有所涉及。
第二,信息安全架构,信息安全规划实施要点,从管理上、技术上、维护与服务上。管理上主要是制度的制定和完善。技术上第二阶段做主要涉及数据、邮件安全、网页,主要互联网这一块,应该是第二阶段的重点,以及一些数据版权、数据加密等等,在技术方面需要加大投入。第三方面维护服务这一块,跟第一阶段不一样,主要提升在服务的内容有所区别,服务的方式有点改进。
第三、安全治理规划实施要点。管理制度和规范相对较少,第三阶段主要是制度和管理,制度规范越来越多,这说明管理到了一定的阶段,需要更多更细化的管理制度和规范。在技术上主要体现在平台化的建设,集中化的管理和平台化建设,包括安全事件的监控,审计的平台,合规管理的平台,以及资产生命周期管理平台等等,主要是集中化和控制。在维护这一块主要基于整个平台性的。所以通过三个阶段不同时间的治理,使我们逐渐从对信息安全的基本上薄弱不足逐渐强化。
作者: 李伟
来源: IT168
原文标题:农商行在信息安全方面面临的挑战
