伴随着我国银行业信息系统建设的持续发展,地方性商业银行迎来了前所未有的发展机遇,信息化基础设施不断完善,网络技术应用全面提升,核心业务系统功能不断增强。然而对比国内大型商业银行,地方性商业银行存在着信息安全体系不健全、信息安全技术水平落后、信息安全运维能力薄弱等不足,加强信息安全管理已成为地方性商业银行面临的紧要问题。
地方性商业银行信息安全存在问题
(一)信息安全管理体系不健全。信息安全管理工作主要由科技部门负责,未建立全面的信息安全长效管理机制,信息安全标准、策略领域涵盖不全面,信息安全责任落实不到位。首先,应急管理注重形式缺乏与实际结合,尽管制定了应急预案,但应急实战演练针对性差、涵盖范围不全,使得应急措施缺乏针对性、操作性和实效性。其次,科技人员配备不足并且素质有待提高,他们往往身兼数岗,耗费大量时间和精力应对设备、网络的日常维护工作,且人员流动性较大使得业务连续性欠缺,信息安全意识薄弱,安全观念仍然停留在保障核心生产系统正常运转上,未能深入理解信息安全的内涵。
(二)信息安全技术水平落后。首先,机房、供电、安全保护措施等方面很多受到地理环境的影响达不到相关标准,设备、介质等安全防护措施欠缺。其次,网络和主机审计、接入认证、系统授权管理等手段缺失,缺少边界防护设备或技术手段。再次,系统病毒防护、系统安全、数据库安全、身份鉴别、数据完整性、保密性等方面缺少必要的措施或功能。最后,灾备机制不健全,系统或数据备份多采用同城备份,异地灾备中心建设滞后,核心网络和主机设备多采用同城冷备方式,并且设备冗余备份不足,系统重建时间长,影响业务连续性。
(三)信息安全运维能力薄弱。首先,科技人员参加信息技术培训较少,缺少完整、系统的信息安全知识,全体员工的信息安全培训不到位,信息安全意识不强,对信息安全参与度不够,往往认为信息安全是科技部门的事。其次,核心业务系统开发、网络及防火墙等设备的安全策略配置大多采取外包或合作的模式,外包管理制度和约束不全面,使得系统运行风险及运维难度加大。再次,安全审计水平落后,缺乏必要的安全审计手段和相关专业技术审计人员,风险评估、安全测评、等级保护等工作未得到重视,目前,大多数地方性商业银行对风险评估、安全测评以及等级保护等工作存在理解偏差。另外,应急响应处置能力薄弱,由于应急管理体系不完善,大多数地方性商业银行缺少整体的运维监控体系,制约了应急响应处置能力。
加强地方性商业银行信息安全的建议
(一)加强信息安全管理体系建设。一是加强信息安全管理机构对信息安全管理和监督工作的领导,完善组织保障、协调机制,避免将信息安全管理片面地由科技部门负责,而是将信息安全管理纳入机构管理范畴。参照相关标准建立全面的信息安全管理体系,明确信息安全方针和策略,做好信息安全发展规划,确定信息安全管理体系范围、原则、目标等。同时,明确管理职责,落实信息安全责任制和问责制,形成各部门协调统一、齐抓共管的信息安全工作局面。二是借鉴大型国有银行的管理经验,完善涵盖物理环境、软件系统、应用安全、数据安全、访问安全、安全监控、安全审计、应急管理、风险管理等方面安全管理制度,制定切合实际的操作流程及规范,同时加强制度的落实。
(二)加强信息安全技术水平建设。一是进一步加强机房等实体安全,机房、配电室等重要基础设施严格管理,配备防盗、防火、防水、防鼠害、防雷、防磁泄露等装置,安装实时监控系统、入侵报警系统,加强网络、主机以及重要介质的安保措施,加强与电力、电信等部门建立快速响应技术支持,保证良好的供电、通讯环境。二是进一步加强网络安全技术,加强网络审计功能、网络接入认证控制,增强网络边界防护能力,加强入侵防御能力,实施内部网络与国际互联网络物理隔离,提高网络整体安全性。三是进一步加强主机安全,开启系统、数据库的安全审计功能或是建立专门安全审计系统,设置密码更新策略,强制定期更换,安装及时更新病毒防护系统,安装补丁自动更新系统、外联监控系统等,开启或增加主机身份认证功能。比如密码设置要求周期性修改和一定的复杂度,但在密码设定时往往执行不到位,这就要求通过技术手段予以解决。四是进一步加强应用安全,增加授权管理、身份认证功能,确保应用权限范围,增加行为记录功能,便于责任认定。五是进一步加强数据安全,对数据进行加密处理或是增加网络加密技术,增强数据安全性,对数据包进行过滤,防止数据被窃听、篡改,根据实际情况采用多家共建、两家互备、外包托管等方式加快异地灾难备份中心的建设,对数据采取异地实时备份,明确备份方式、备份频度、存储介质和保存期限等。
(三)加强信息安全运维能力建设。一是进一步加强科技人员以及全体员工的信息安全培训,注重培养信息安全业务骨干,加强科技人员应急响应、应急处置等应对突发事件能力的培养,建立专门的信息安全监管队伍,加强对监管专业人才的培养,针对员工开展信息安全知识、制度以及操作规程等全方位培训,将信息安全培训作为机构的常态化基础培训,提高全员的信息安全与风险防范观念和意识。二是建立集中运维监控平台,集中管理信息系统的物理场所、网络、主机系统、应用系统、安全防护产品的运行状况,实现实时预警监测,及时发现解决问题。同时形成相关信息记录,便于查询和审计。三是开展信息安全风险评估、实施信息安全等级保护和安全测评、进行全面的信息安全审计管理,形成分工合理、职责明确、相互制衡的信息安全审计机制,发挥安全审计对信息安全管理的作用。四是进一步加强应急响应机制,加强网络、主机、系统等重要设备、数据的冗余备份。加强外包管理,通过签订协议明确双方的责任和义务,并明确外包服务的应急计划、应急响应恢复内容,提高业务连续性。
(四)加强监管部门规划指导作用。出台涵盖全面的金融信息安全的法律 、法规,制定针对性强的规范指引、行业标准,加大对金融机构信息安全的管理和指导力度,督促金融机构提升信息安全保障水平。根据当前的形势,积极探索实践新的监管机制,建立前面协调的金融信息安全协调机制,引导金融机构信息安全工作的标准化、规范化进程。针对地方性商业银行引导其建立多家机构合作模式,解决其科技人员短缺、技术力量薄弱、管理经验缺乏等问题,提升整体信息安全管理、风险防控、技术和运维水平,有效防止和化解区域信息安全风险。
