基本介紹
- 中文名:銀行信息安全
- 外文名:Bank Information Security
目的,問題,
目的
銀行加強信息安全的主要目的就是為了保障信息化的持續穩定發展,信息安全不僅屬於技術問題,也屬於管理問題。從信息技術層面來看,當前我們使用的很多作業系統存在一定的安全漏洞,開發商會針對發現的漏洞設計相應的補丁程式,這就需要定期更新系統。例如,運用主機熱備份以及災難備份的方式,可以有效保障信息的安全運行。同時一些軟體開放人員在編程設計過程中留有“後門”,如果這些“後門”被不法分子知道,就會將該部分作為攻擊目標,進而影響到信息系統的安全。當前大部分的黑客攻擊等都是由於系統“漏洞”引起的,因此銀行在套用軟體過程中應該儘量避免留有“漏洞”。此外,隨著我國信息化技術的不斷發展,信息系統的安全管理也被納入國家的重點項目中。
與世界上的部分已開發國家相比,我國的信息安全管理工作起步較晚,但是發展較快,並且對系統風險認識的不斷深化促進了信息安全管理的發展。對於銀行而言,信息安全是至關重要的問題,這是因為任何一個環節出現問題,都會對整個系統的發展帶來影響,甚至導致全局性的失誤。例如,銀行傳統的信貸、櫃檯等業務已經有多年的信息安全管理經驗,而信用卡作為一種新型的業務,它連線了多個方面的利益關係,其中涉及到發卡行、特約商戶以及持卡人之間的關係,因此信息安全就成為重中之重在銀行開展各項業務過程中,信息和數據是基礎。此外,從客戶的角度來看,銀行在給客戶提供服務時,必須保障提供信息的準確性、可靠性與安全性。由此可見,銀行加強信息安全管理是十分必要的。
問題
對銀行業信息安全來講,首要的問題是觀念和意識的問題。從管理層到員工,能否意識到信息安全的重要性,知曉信息安全的基本內涵和在業務工作中的具體體現是很重要的,目前銀行的管理層對信息安全的重要性是重視的,但對信息安全到底指的是什麼知道的並不是很多,因此主要工作還是落到了口頭上。在信息安全上,由於其技術壁壘的原因,容易形成自下而上的推動力,缺乏聯動性和民眾性。信息安全的基礎至關重要,大部分的核心安全效果並不取決於核心技術,而取決於基本規範的落實和常見的安全手段的套用。比如說密碼的周期性修改和長度的最小設定就是最簡單的安全設施,但員工在執行密碼設定時嫌麻煩,執行得不好。信息安全觀念的缺乏也是銀行安全意識淡薄的重要原因。
應該說,這幾年銀行在網路安全和主機系統上的安全投資還是不少的,但也存在一些問題。首先,許多人認為信息安全就是網路安全,最多認為是計算機的安全,因此把安全防範的責任壓在網路上,使網路系統相當複雜,在信息高速公路上設定各種關卡,漫無目的地圍追堵截,最終的結果卻是事倍功半。事實上從根本上來講,真正確保的是信息,要防範的也是信息,因此防護源頭是最重要的,也就是金融信息本身的採集、存儲、處理、分析、增值的安全是最重要的。在應用程式安全、主機作業系統安全、存儲安全、管理安全以及人力資源安全等方面下大功夫,盲目依賴網路安全是舍本取末。
(3)重視工具投資而忽視管理投資。
網路的安全投資不完全是安全產品和工具的投資,還應包括策略、操作流程和應急處理機制等方面的投資。安全產品和工具的使用應有相應配套的流程管理機制,否則報警無人處理,入侵無人回響,效果並不好。但是要建立合理的流程管理機制也同樣需要投資,如流程資訊投資等等,這些投資和整個安全系統的完整性息息相關。但在目前的銀行信息安全建設中,這方面的投入還不是很多,整個安全的思路還局限在技術層面上。
(4)銀行的套用軟體很薄弱。
銀行的套用軟體是整個信息的載體,軟體的安全質量是非常重要的,目前銀行業的軟體開發體系,包括軟體開發生命周期和項目管理體系比較注重功能、速度和市場,而較少優先考慮安全。現在發現那么多安全的漏洞,包括技術和管理上的漏洞,其主要 問題出在軟體生產的質量上。銀行的核心套用軟體大多都是銀行自行開發,由於技術、管理以及實效等方面的原因,安全問題如果在軟體設計和開發中未認真考慮,其後果是難以想像的。
(5)銀行的信息數據管理存在安全漏洞。
大型銀行的套用系統大多套用在主機上,作業系統也相對封閉,其信息的儲存相對安全。但是各銀行的信息管理數據在管理上存在較大的風險,這些數據包括各種核心的業務報表、客戶關係數據、辦公電子功能、風險控制信息等等,這些信息在系統上通過開放的IP網路傳送,由於系統的安全漏洞較多,病毒容易侵入,管理信息的損失有時候比業務數據的損失後果更嚴重。這些數據的安全性尚未引起足夠的重視,很少有銀行考慮採用安全作業系統,安全檔案系統也很少在管理信息技術傳輸前進行加密。這方面意識不強,技術關注不夠,投入不多,也將可能給銀行帶來損失。
(6)災難防範是當務之急。
