对构建银行业信息安全保障体系的思考.pdfVIP

《河北金融》 年 期 观察思考 2006 4 对构建银行业信息安全保障体系的思考 陈锡坤 (中国人民银行邢台市中心支行,河北 邢台 054000) 摘 要:本文从银行业信息安全关系到经济金融安全和社会稳定的角度出发,深入分析了当前我国银行业存在的信彷技 术风险,以及银行业所面临的信息安全威胁,对如何构建银行业信息安全保障体系进行了全面阐述,并提出了解决银行业信 息安全的策略。 关键词:银行业;信息安全;策略 中图分类号: 文献标识码: 文章编号: ( ) F830.4 B 1006-6373200604-0019-03 随着银行信息化的飞速发展,越来越多的商业 缺乏全面深刻的认识,安全工作局限于个别部门和 银行积极开展网上银行、移动银行和电子商务等业 岗位,全员安全防范意识有待于进一步提高;安全 务,银行ATM系统跨行交易量也不断增大,近期还 工作缺乏防范策略和制度保证,往往是出现了问题 出现了银行卡短信诈骗事件,涉案资金超过千万 才去弥补;二是信息安全没有统一、有效的总体规 元,这些网络化业务需要银行采取更加有效的防范 划。信息安全管理和技术还没有形成完整体系,技 措施来控制,才能确保用户资金的安全。在银行业 术防范措施存在局限性,安全管理还需规范;信息 实现信息化的进程中,信息技术的发展提高了银行 安全建设投入资金不足;高水平的专业安全管理人 管理水平,促进了业务创新、拓宽了业务范围、提 才较少;三是银行数据处理集中后,带来了技术风 升了核心竞争力,银行经营对信息技术的依赖程度 险的相对集中,对安全运行提出了更高要求;跨部 也越来越高,银行信息安全面临着新的考验。银行 门网间互联、内部业务网与国际互联网互联的需求 业信息安全保障直接关系到信息系统和基础设施的 急剧增加,使安全控制变得更加复杂;引入社会第 正常运转,关系到经济金融安全和社会稳定,因 三方服务的发展趋势,带来了可管理性、可控性等 此,构建银行业信息安全保障体系成为防范金融风 新的安全课题;四是应急体系建设亟待加强。有的 险的一项重要内容。 银行将专门的安全管理机构撤并到生产运营部门, 一、银行业存在的信息技术风险 重要网络系统的线路和设备以及重要应用系统主机 当前,我国银行信息化发展已全面进入以业务 设备备份不足,关键系统及数据缺乏实时备份手 系统整合、数据大集中为特征的新阶段。一方面, 段;一些重要业务应用系统的应急方案还不完善, 银行信息化的快速发展,已经成为推动业务创新、 缺少定期预演,安全应急响应服务机制尚未真正建 体制创新的重要推动力;另一方面,当银行对信息 立起来;五是信息系统风险评估和安全检查制度尚 技术人依赖度越来越高时,也使信息技术风险变得 未建立起来。需进一步完善银行信息安全法规和技 愈加突出,信息安全保障也面临着更加严峻的形 术标准,通过标准化建设,规范应用系统开发、运 势。主要表现在以下几个方面:一是认识不到位, 行和维护等各个环节,保证应用系统符合总体安全 安全工作得不到应有的重视。一些银行对信息安全 策略和安全要求;缺乏相对稳定的专家队伍,持续 收稿日期:2006-03-20 作者简介:陈锡坤( ),男,河北石家庄人,高级工程师,中国人民银行邢台市中心支行副行长。 1963-