安全是金融行業(yè)永遠的話題。金融信息系統(tǒng)外應用系統(tǒng)相互牽連、使用對象多樣化、安全風險的多方位、信息可靠性、保密性要求高等特征構成了金融系統(tǒng)的突出特點。

  國際金融危機以來，金融系統(tǒng)的風險控制和監(jiān)管被提到了前所未有的高度。如何利用信息技術的優(yōu)勢加強金融機構的內部控制，提高金融監(jiān)管和服務水平，防范和化解金融風險，促進金融改革和創(chuàng)新，從而推動我國經濟社會的發(fā)展，是當前我國金融業(yè)信息化建設面臨的重大問題。

安全體系全員參與

目前金融機構已經從傳統(tǒng)的資產負債經營轉向風險經營，一個完善的金融機構必須構建一個覆蓋業(yè)務各個維度的風險經營管理體系。從小的方面來說，可以是一個較為完整的安全體系。

對于小范圍安全體系，在這里我們可以先看看巴塞爾Ⅱ協(xié)議，流動性風險、市場風險和操作風險，已經覆蓋了金融機構運營的各個角度和維度。

對于信息風險（安全）我們可以從操作風險的角度來審視，由于目前IT應用已經涉及到金融的各個業(yè)務和辦公領域，對于IT帶來的風險管理已經是金融運營不可切割的一部分。所以，我們認為對于金融機構的風險管理體系（或安全體系）應該是一個從業(yè)務部門到技術部門都必須參與控制的過程。

不管從巴塞爾Ⅱ協(xié)議，還是我國商業(yè)銀行風險指引都要求我國銀行構建一個完整的風險管理體系。我們認為信息科技安全體系應該是一個從需求、設計、上線、運維到下線，一個全生命周期的風險（安全）管理體系，涉及與各環(huán)境相關的業(yè)務部門和科技部門。通常來說7分管理3分技術，在這里強調一下管理的重要性，我們認為管理不僅僅是人員、崗位、角色的管理，也包含著策略和流程。如下圖所示：

故而我們建議對于金融信息科技風險管理（安全管理）體系的目標是圍繞業(yè)務發(fā)展，緊密結合業(yè)務發(fā)展戰(zhàn)略，利用科技手段構建風險防范平臺，鍛造精細風險管理能力，深化風險防范建設，為促進金融機構發(fā)展提供可靠保障。

圍繞目標在金融機構的各個部門從方針政策、人員到策略、流程直至技術防控措施全方位、全視角構建風險管理體系（安全體系）。

隨著技術的發(fā)展和業(yè)務的擴展，銀行的核心業(yè)務系統(tǒng)和后臺管理系統(tǒng)要進行不斷的升級換代，在此基礎上的安全防御系統(tǒng)也要調整配合。

我們應該從2個角度去看待這樣的工作：

1.       全生命周期的配合

風險防控是對IT系統(tǒng)全生命周期的管理。不是單獨的一個環(huán)節(jié)。由于業(yè)務發(fā)展需要，對銀行IT系統(tǒng)不斷更新和換代這是正常的。這樣需要IT風險管理也是要動態(tài)、同步跟進系統(tǒng)建設。

2.       PDCA,即使IT系統(tǒng)不進行更新和換代，由于漏洞的發(fā)現(xiàn)和黑客技術的更新，同樣也需要風險管理的及時跟進。

所以說IT風險管理比IT系統(tǒng)更新?lián)Q代更需要敏捷性。

對于一個良好的銀行機構不僅需要IT風險管理的同步更新，同時也需要風險管控部門及時對風險撥備進行更新。

將新技術納入風險防控體系

在這個競爭激烈的年代，銀行必須通過不斷的業(yè)務創(chuàng)新來發(fā)展自己的業(yè)務，那么對于現(xiàn)在不斷發(fā)展的技術來說，是金融創(chuàng)新的輔助手段和工具，諸如：internet、3G、云計算、SOA等技術，這些新技術的應用給銀行機構帶來了業(yè)務的增長，同時也帶來了相應的風險。我們應該采取積極創(chuàng)取，謹慎對待的態(tài)度。

銀行是一個經營風險的機構，積極進取、穩(wěn)健經營是一個銀行機構經營的宗旨�？萍紕�(chuàng)新帶動業(yè)務創(chuàng)新也是新一代金融機構發(fā)展的另外一個口號和宗旨。故而銀行機構在采用新技術時會積極并且穩(wěn)健。

對于銀行來說，既要對新技術的出現(xiàn)采取積極的態(tài)度和精神去跟進，同時也要通過不同緯度去審視新技術帶來的安全隱患和風險。

我們認為，任何一項技術的采用和使用都是因其業(yè)務發(fā)展的需要。機遇永遠與風險并存，故此我們建議在采用一項新技術之前要進行嚴格的風險評議，并且有相應的流程去審議這些新技術的采用。對于任何新技術的采用可以建立完整的風險防控機制，并納入到風險防控體系中。

亡羊補牢，未為晚也

中小型金融機構信息系統(tǒng)眾多環(huán)節(jié)都存在漏洞，在建設過程中因為沒有統(tǒng)籌考慮，對于系統(tǒng)安全建設部分中的硬件設施、軟件設計模塊缺乏，造成諸如審計、保密、數據傳輸中的完整性、數據正確性、對外來攻擊的預防等安全措施弱化或缺失。

對于中、小金融系統(tǒng)來說，在其IT系統(tǒng)建設過程中如果沒有進行統(tǒng)籌考慮，只考慮了業(yè)務功能性要求，對風險和安全控制沒有進行安排和規(guī)劃，會導致目前的運行中出現(xiàn)各類相應的隱患和問題。

信息科技風險，是一個動態(tài)的過程，并且對信息科技風險的識別、管理和控制這樣的過程也是一個動態(tài)的過程。所謂“亡羊補牢，未為晚也，”對于信息科技風險管理是一個非常明智的選擇。

前文我們說過了信息科技風險管理的目的和宗旨，在這里我想說的是，信息科技風險管理對于金融機構不分大小，也不分先進和落后，對于任何一個金融機構都適用，只不過因為中、小金融機構由于人才儲備少、建設經驗缺乏不能著急獨立完成信息科技風險管理體系的建設，而是采用外部專業(yè)機構來輔助完成而已。如工商銀行、建設銀行及興業(yè)銀行、廈門銀行等。

對此，我們認為中、小金融機構現(xiàn)在應審時度勢，跟進自己的業(yè)務特點，結合行業(yè)的標桿經驗，聘請有經驗的外部機構，盡早地搭建適合其業(yè)務發(fā)展特征的風險管理體系。

變被動為主動

   目前網上攻擊以黑客竊取核心數據為目的，在數據越來越重要的今天，網上安全日益嚴峻。面對日益猖獗的網絡攻擊，銀行在發(fā)展其網銀業(yè)務的同時，更加不應該放松的是網銀風險防控。

我們認為應該積極主動建立健全網銀風險防控（安全）措施，從風險威脅源、路徑和目標做好相應的措施和流程。

IT系統(tǒng)基架于網絡上就變成網絡應用，網銀系統(tǒng)正是這樣的一個系統(tǒng)。對于任何一個網絡應用都是端對端的應用，那么對于安全問題也同樣演變成一個端對端的問題，故而我們在思考網銀安全的時候，不僅考慮到客戶端和服務端的安全問題，更要全面的思考，其中包括：客戶端、服務器端和整個的傳輸路徑等方面。

針對網銀安全，人民銀行于2009年下發(fā)了19#文件，著重強調了網銀各個環(huán)節(jié)的安全策略及控制措施。在此，我們強調指出，各家金融機構不應該只滿足《網上銀行系統(tǒng)信息安全通用規(guī)范 》的基本要求，建議具有居安思危的意識和理念，滿足《網上銀行系統(tǒng)信息安全通用規(guī)范》增強性要求和更高的標準，同時也應該做好網銀風險的撥備。值得注意的是不僅要被動應對安全檢查，也要加強主動防范意識來應對來自網絡的攻擊。

標簽： 安全 服務器 服務器端 機 金融 漏洞 數據 網絡 信息安全 信息化 信息技術 選擇 云計算

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。