金融业是特殊的高风险行业,同时也是对IT依存度很高的行业。信息科技一方面为现代银行业注入了巨大的发展动力,另一方面由于系统复杂程度的日益增加,潜在的信息科技问题也已经成为银行业稳健运行的重要隐患。为了管理和控制风险,各大金融企业都陆续进入了业务系统整合、数据大集中的阶段,数据大集中也就意味着风险大集中。截至2009年3月末,我国银行业金融机构总资产近70万亿元,如此大的资产规模,一旦出现重大IT系统事故,后果将不堪设想。
因此,银行业信息资产可以说是银行业的第二金库,管理好这第二个“金库”,就显得非常迫切和意义重大!本文以银行业为主线,兼顾其他金融企业,结合审核实践,对目前金融业信息安全管理方面常见问题进行探讨,并在此基础上提出一些解决对策。
一、存在的主要问题
后台数据修改
由于一些金融机构综合业务系统还不是很完善,所以当前台发生错误不能更改时需要信息科技支持部门在后台在获得批准后对数据进行修改。目前金融企业更多的是加强对操作现场的监控,例如要求在登陆核心业务系统时要求在重要口令登记簿上进行登记,以及在监控摄像下进行双人操作。存在的主要问题有:存在单人操作现象,或者修改之后其他人没有认真复核或进行确认。个别情况下,修改前没有正式申请,修改后也没有相应记录。对于个别小型金融企业,对于数据修改流程、责任以及应该留下的操作记录,没有详细制度规定。
冗余管理
部分金融机构前期在进行IT规划之前,由于对业务发展速度估计不足,在机房以及硬件方面投入不能满足现有业务发展需求。用户在登陆系统,查询数据或处理业务时,速度非常缓慢,严重影响了处理效率。业务的迅速发展,已使一些金融机构逐渐感受到IT支持不足的压力。如何适应业务营运高峰的需求、加快信息系统建设、完善技术保障方面是摆在金融企业面前迫切需要解决的课题。2009年1月,某银行数据中心发生故障,业务系统瘫痪,导致几百个营业网点无法办理业务,4个小时后业务才逐渐恢复,由于积压业务太多,各网点均排起长队。
备份管理
一些金融机构备份策略不够明细,例如备份对象识别不全、备份频率、备份介质及其保存方式不够明确,由于策划不全,造成一些重要信息没有备份或者在某个时间段内漏备份。有的即使做了备份,只是将备份资料存放在同一间办公室或同一栋办公楼里,因而没有实现真正意义上的异地备份。
密码管理
金融企业业务运行系统主要包括核心业务系统和外围系统,各种系统累计多达数十个。针对各类系统的维护,系统登陆访问控制尤其重要,存在问题一是密码强度不够强,各个金融企业对密码长度和密码构成有要求,但有的不够明确,以致各分支机构执行起来出现偏差。这既与当事人安全意识不够有关,也与主管是否经常进行有效监督有关。二是密码信封保管不当。
应急演练与应急响应
对于银行而言,由于总行逐步上收权限,分行层面目前更多的是做好IT运维工作。各分行IT应急演练一般是根据总行统一安排进行。从已实施的演练来看,覆盖内容还不是很全面。在应急响应方面,主要是应急响应不够及时。
误操作
系统维护人员由于误操作造成前台业务操作受到影响或者相关数据丢失时有发生。因此,需对常见高风险误操作进行重点提示,对于容易误操作的环节加以严格控制。
系统稳定性
目前很多金融机构都在对核心业务系统进行升级,但是还有一些小型金融企业,由于规模较小等原因,仍在使用早期开发的核心业务系统。由于系统开发时间较早,对现有业务支持性不够,加之没有详细的维护文档、操作文档和开发文档、以及没有提供必要的维护工具等,造成系统残留问题较多等情况,系统稳定性较弱,因此系统升级变得非常迫切。
事件管理
事件记录不详,缺乏统一的维护管理平台。对于事件处理,在金融业分支机构一般是由一个工作小组在负责。由于没有统一的维护记录平台,造成信息系统内部故障报告记录不全,或根本未留下内部报告和记录,事故无从查证,无法科学判断系统的稳定性和效率。
在一个分支机构发生的问题,也会经常在其他分支机构发生。因此总部层面建立统一的管理平台,将日常发生的问题和在应急演练中发现的问题进行分门别类汇总,附有详细的解决方案,并经常保持对内容的更新,可以在最大程度上为维护人员提供强有力的技术支持,提升解决故障的效率与能力。
企业网站安全性
目前,中国已有20多家银行的200多个分支机构拥有网址和主页,其中开展实质性网络银行业务的分支机构达50余家。截止2008年底,全国个人网银客户已达1.48亿户,比年初大幅增加了52.81%。中国银行、工商银行、农业银行的网站先后被克隆,尽管域名不尽相同,但是非常接近,行标、栏目、新闻、地址都包括,这种似是而非的“盗版”银行网站极具欺骗性。据一项调查表明,大概超过50%甚至三分之二的人不打算使用或者不敢用网上银行,主要归根于安全问题。
物理安全
某银行电脑机房所处地势偏低,由于大雨后机房进水,造成业务中断,严重影响业务经营。某银行网点紧邻一家餐厅,后餐厅失火网点烧毁严重,以致营业中断,不得不迁址经营。引起以上问题的主要原因就是,在选址之时没有充分考虑到外部的可能风险,例如防火防水等。
外包服务管理
目前,计算机机房设备维护保养基本上都由外包服务商提供,包括UPS电源维护、服务器维护、消防维护、发电装置维护等。存在问题是维护服务协议不够细化或者没有按协议认真执行。例如UPS维护,有的外包服务商没有按照协议要求的频率执行检查,或者检查内容简单。
现在很多银行卡的管理工作都逐步由外包来完成,例如信息录入环节、发卡环节、营销环节、催收环节等,在客户隐私信息方面需要加强。软件开发外包存在的问题有:重要数据的访问权限控制、敏感区域进出控制、保密管理等。以上提到的仅是审核中的常见问题,其他问题如信息分级与保护、变更控制、防病毒管理、开发与测试等限于篇幅,这里不再一一例举。
二、主要对策
(一)明确IT信息治理结构,提升IT治理战略地位
传统意义上的IT管理部门,主要是提供辅助性的支持服务工作,处于一种较为被动的地位,不能从战略高度上将IT治理与业务管理很好地结合起来。
银监会在2009年6月发布了《商业银行信息科技风险管理指引》(以下简称《管理指引》),在《管理指引》第七条里明确规定设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况,同时在《管理指引》要求商业银行应设立首席信息官,直接向行长汇报,并参与决策。
《管理指引》的出台,为明确IT信息治理结构提供了制度保证。
(二)增强核心业务系统功能,适应业务快速发展
在IT治理组织结构得到保证之后,当前的重要任务就是对金融机构综合业务系统进行升级完善,增强业务功能,使之更好地适应业务的发展速度和业务的复杂程度。
一些金融企业综合业务系统开发较早,支持目前的业务发展已感到吃力,存在问题就是前台报错后台修改,这既影响了系统的稳定性,也新增了不安全的隐患。
这里需注意的是:1、在开发之前要作好充分的需求分析,规划好开发周期,不要出现开发完成之时就是系统落伍之时。2、在开发过程中,尽可能地将风险控制手段固化到系统流程之中,通过技术手段来控制风险,同时留有接口,满足系统后期扩展需求。3、作好充分测试,并在测试过程中不断收集新的业务需求,为后期再次开发作好准备。
(三)推行ISO 27001,促进金融企业迈上安全快车道
从上文列举的问题可以看出,金融行业信息安全风险的源头可能来自内部、人员、系统或外部。据有关部门统计,在所有计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,管理已成为信息安全保障能力的重要基础。金融企业必须开始制定或重新检视其信息安全政策与程序。通过建立一个完整的安全体系,包括治理机制和治理结构,保证信息安全战略和组织业务目标、相关法律规范高度一致。运用业内的最佳实践,快速将企业的信息安全管理水平提升到一个新的高度,提高企业的风险控制能力。ISO 27001是一个关于信息安全管理体系的标准,提供了对信息安全管理系统的相关要求,从而使组织能够评估其风险,并实施恰当控制以保护信息资产的保密性、完整性和可用性。其宗旨在于保护组织的信息不被滥用或永久性丢失。
信息安全管理体系(Information securitymanagement systems,简称ISMS)强调从管理层面制定战略规划,通过PDCA的方法对信息安全进行管理。
因此,推行ISO 27001,要不断完善流程管理,将潜在风险识别出来并进行控制,这是金融企业进行风险内部控制的内在要求。
以某银行保管箱管理为例,一般而言,客户到保管箱取件时,通常是通过密码和指纹进行身份确认。身份确认系统是一个独立系统,因此客户确认信息就显得很重要。在审核中发现这样的问题。一是客户确认信息(例如指纹库信息)没有进行备份,二是电脑USB接口没有进行屏蔽,三是发现在电脑中曾有病毒感染的历史,且杀毒软件已有好长一段时间没有得到更新。这是一个较为典型的案例,对资料备份、移动存储设备控制、防病毒管理没有充分的策划,以致存在管理漏洞。
建立信息安全管理体系,就是在分析企业自身风险状况后,通过设立一系列风险管理方法,管理风险,同时形成一套策略规程和控制措施,让信息安全保障工作成为组织日常工作的一个整体部分,将IT风险纳入到银行的全面风险管理之中。
根据金融企业自身情况,制订信息安全策略,一般应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务持续管理、合规性管理。
对于已经实施信息安全管理体系的金融企业,条件成熟时可申请第三方认证,以向外界证实企业的信息安全管理水平。同时,利用外力,促使企业信息安全管理水平始终保持在一个较高水准。
结语
金融企业要确保安全稳健运行,必须以安全策略为核心,以安全产品的有机组合形成完整的安全防护体系,在组织内部建立信息安全文化,提高全体员工的信息安全意识,加强合规管理,不断对风险进行动态评估与有效控制,才会帮助金融企业做到永续经营。
