两个维度筑牢银行业网络风险防范体系
2015-11-02中国银行业协会系统服务部主任赵成刚
文/中国银行业协会系统服务部主任 赵成刚
两个维度筑牢银行业网络风险防范体系
文/中国银行业协会系统服务部主任 赵成刚
>>银行业是一个高度依赖信息化支撑的行业,承担着重大的社会责任和义务,对银行业的信息化安全而言,主要是两个维度:生产运行的安全和数据信息的安全。
银行业的信息化安全,主要是两个维度:生产运行安全和数据信息安全。生产运行安全,是银行业务正常运行的基础,必须保障银行业务的持续、稳定、安全运行。数据信息安全,承载着银行的声誉和信誉,必须做到安全可靠的信息管理和应用。
如果银行因突发情况中断服务,可能会引发一些社会动荡事件,金融与国民经济的稳定与健康发展,都要求银行管控好各类风险。其中,银行IT系统的生产运行安全和数据信息安全是银行体系化安全的重要基础性组成部分。银行的信息科技风险防范和管控,是一项有难度的复杂工作。以银行的网络安全管理为例,如果网络中断,依赖网络提供的业务服务会瞬间瘫痪,这是一个无法承受的结果。同时,网络也是数据信息安全的门户,一旦网络管理存在漏洞,很容易带来数据信息的潜在风险和安全问题。
归纳起来,网络出现安全事故不外乎三大类因素:
1、设备、设施潜在的突发故障,为了避免或减缓因设备故障引发的问题,通常采用消除单点的备份策略,包括设备的备份、备品备件管理等加以应对;
2、网络组网、运行、维护中由于管理或技术因素导致的风险隐患,在特定的情景组合下,出现网络故障则必须通过强化网络安全管理来应对;
3、外部攻击,网络是由设备及组网策略管理来实现的,难免会有技术性或管理性的漏洞,而网络攻击正是针对这些隐患点发起的,网络攻击的手段层出不穷,更要引起高度的关注和及时的管理应对。
由于网络安全管理中,存在设备、技术、人、管理等多方面的因素组合,在网络安全管理中,也遇到了很多难点。
目前,大多数机构的安全策略还是堡垒式防护,随着攻防技术的不断升级和进步,不断叠加或替换相关的网络安防技术及设备,设备数量越来越多,设备关系越来越异构和复杂,对技术人员的要求和管理也日益复杂,而通常的管理,主要依靠统一配置管理和运行中的实时监测来完成,这样网络安全管理的压力可想而知。
在银行业的风险防范管理体系中,形成了一套行之有效的方式,就是管制度、管人员、管落实,这些在网络安全管理中,同样具有借鉴和实践意义。
网络安全管理的核心是制度管理,包括及时采集和汇聚网络安全管理的各类规范和相关要求,并结合自身业务定位,形成持续更新的有效管理规范和制度体系,对管理要素和管理要求尽量明确为管理规则;
网络安全管理的关键是人员管理,特别是要强化对分布在各点上的局部外包人员的管理,强化管理规则的落实监督;
网络安全管理的保障是落实管理,网络安全是日常性、持续性的工作,要尽可能多地采用规则化、自动化、流程化工具,进行精细化落地执行管理。
随着技术的发展、管理实践的深入,通过外部的监管、自身的管理提升,审计辅助等方式,依托制度体系建设、人员培养、管理工具的应用,银行现在已经建立起一套相对完善可靠的网络安全管理体系,相信银行的网络风险防范体系会越来越扎实可靠,能够确保银行的网络安全和金融安全。X