论文部分内容阅读
摘要:信息安全具有保密性、完整性、可用性、可核查性、可靠性等特性;银行业信息安全面临的风险主要有系统自主可控能力不足、交易监管滞后、数据大集中致使风险相对集中和应急处置能力亟待提升;应进一步提高系统自主创新能力、加强服务指导和行业监管、加强银行灾备技术体系建设和坚持优先恢复系统对外服务原则。
关键词:银行业信息安全;挑战;对策
近年来, 银行业信息化程度不断提高,为我国银行业改革、发展、壮大发挥了重要的促进作用。而随着我国金融信息化建设步伐加快,信息科技风险也在不断加大。本文谨对目前我国银行业信息安全面临的问题及解决思路进行初步探讨,旨在找出适合我国国情的银行业信息安全风险防范措施和办法。
一、信息安全概念及特性
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全有保密性、完整性、可用性、可核查性、可靠性等五个方面的特性:
二、银行业信息安全面临的挑战
1.系统自主可控能力不足
目前,我国银行业信息系统和网络中,比较明显的特点是虽然防病毒、网络设备、安全设施用的国产软硬件比重越来越大,但核心软硬件设施还是以国外为主,这种依赖导致我们的自主控制能力不足,用户缺乏能力判断设备是否存在“后门”、“软件陷阱”、“软件炸弹”等安全隐患。
2.交易监管滞后
目前,我国网络金融P2P、网络代客理财业务方兴未艾,与此同时相关监管经验严重不足,监管手段不全、技术落后、职责界定不清、网上业务内部审计流于形式,与网络银行业务的高速发展相比,其信息安全的指导、监管工作亟待加强。
3.数据大集中致使风险相对集中
数据大集中目前已成为银行业金融机构业内潮流,随之而来信息安全风险也急剧集中。一旦数据中心发生灾难,将导致一家银行的所有分支机构、营业网点和全部的业务处理陷于停顿,或造成客户重要数据的丢失,不但影响业务正常进行,同时造成重大的声誉风险等灾难性后果。
4.应急处置能力亟待提升
信息系统的大集中以及数据爆炸式的增长使各金融机构的应急处置和灾难恢复面临空前的压力和挑战,银行业数据处理中心的网络中断或系统瘫痪不仅仅涉及到经济安全问题,甚至可能演变为更高的国家安全层面问题。
三、应对措施
1.进一步提高系统自主创新能力
加强系统自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。对采购或使用的信息技术和产品,能自主的就要尽其所能推进自主,不能自主的,也须保证其可知可控,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。对确需引进的技术和产品实行市场准入制度,并延请权威机构对其产品进行安全风险和实效性评估。
2.加强金融服务指导和行业监管
加强银行业信息安全检测和准入制度,实施信息安全等级保护,提高信息安全管理水平。央行分支机构应加强对辖内银行业金融机构的制度指导,尤其是在核心业务系统建设、灾备建设和信息安全方面指明正确方向,借鉴成功经验、规避重大风险。
3.加强金融机构灾备技术体系建设
合理规划和优化调整灾备中心(数据中心)整体布局。根据国家信息安全战略要求,新建灾备中心(数据中心)按照“适度分散原则”选址以抵御自然灾害、战争破坏;推动金融机构灾备技术架构从“两地三中心”向“多中心互备运行”发展,降低数据大集中带来的风险,提高灾备资源的可用性;建立灾备中心检测认证技术体系,以多种方式促进小型、微型金融机构加大灾备设施建设力度,提高银行业金融机构灾备建设的整体水平。
4.坚持优先恢复系统对外服务原则
出现信息系统中断事件时,初步判断无法在短时间内恢复系统时,应优先考虑隔离故障设备,切换至热备、替代的系统,或者果断启动应急预案,以控制事态的进一步发展。应采取各种可能的举措来缩短系统恢复的时间,尽快恢复系统的对外服务是最重要的。
参考文献:
[1]2013年4月11日,中国人民银行科技司司长王永红就金融信息系统的安全风险及防范措施等内容接受中国电子银行网的专访.
[2]王永红:论银行信息化的发展与创新[J].中国金融电脑,2013.
[3]许 瑞:网络金融安全与风险控制研究[J].商业时代,2012(6).
[4]赵 艳:网络金融监管的难点及对策探究[J].学理论,2011(1).
[5]刘文雯:关于银行防范计算机系统风险的对策[J].经营管理者, 2011,(01).
[6]王 军:对我国网络银行的风险与监管体系的探讨与研究[J]. 中小企业管理与科技(下旬刊), 2011,(01).
关键词:银行业信息安全;挑战;对策
近年来, 银行业信息化程度不断提高,为我国银行业改革、发展、壮大发挥了重要的促进作用。而随着我国金融信息化建设步伐加快,信息科技风险也在不断加大。本文谨对目前我国银行业信息安全面临的问题及解决思路进行初步探讨,旨在找出适合我国国情的银行业信息安全风险防范措施和办法。
一、信息安全概念及特性
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全有保密性、完整性、可用性、可核查性、可靠性等五个方面的特性:
二、银行业信息安全面临的挑战
1.系统自主可控能力不足
目前,我国银行业信息系统和网络中,比较明显的特点是虽然防病毒、网络设备、安全设施用的国产软硬件比重越来越大,但核心软硬件设施还是以国外为主,这种依赖导致我们的自主控制能力不足,用户缺乏能力判断设备是否存在“后门”、“软件陷阱”、“软件炸弹”等安全隐患。
2.交易监管滞后
目前,我国网络金融P2P、网络代客理财业务方兴未艾,与此同时相关监管经验严重不足,监管手段不全、技术落后、职责界定不清、网上业务内部审计流于形式,与网络银行业务的高速发展相比,其信息安全的指导、监管工作亟待加强。
3.数据大集中致使风险相对集中
数据大集中目前已成为银行业金融机构业内潮流,随之而来信息安全风险也急剧集中。一旦数据中心发生灾难,将导致一家银行的所有分支机构、营业网点和全部的业务处理陷于停顿,或造成客户重要数据的丢失,不但影响业务正常进行,同时造成重大的声誉风险等灾难性后果。
4.应急处置能力亟待提升
信息系统的大集中以及数据爆炸式的增长使各金融机构的应急处置和灾难恢复面临空前的压力和挑战,银行业数据处理中心的网络中断或系统瘫痪不仅仅涉及到经济安全问题,甚至可能演变为更高的国家安全层面问题。
三、应对措施
1.进一步提高系统自主创新能力
加强系统自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。对采购或使用的信息技术和产品,能自主的就要尽其所能推进自主,不能自主的,也须保证其可知可控,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。对确需引进的技术和产品实行市场准入制度,并延请权威机构对其产品进行安全风险和实效性评估。
2.加强金融服务指导和行业监管
加强银行业信息安全检测和准入制度,实施信息安全等级保护,提高信息安全管理水平。央行分支机构应加强对辖内银行业金融机构的制度指导,尤其是在核心业务系统建设、灾备建设和信息安全方面指明正确方向,借鉴成功经验、规避重大风险。
3.加强金融机构灾备技术体系建设
合理规划和优化调整灾备中心(数据中心)整体布局。根据国家信息安全战略要求,新建灾备中心(数据中心)按照“适度分散原则”选址以抵御自然灾害、战争破坏;推动金融机构灾备技术架构从“两地三中心”向“多中心互备运行”发展,降低数据大集中带来的风险,提高灾备资源的可用性;建立灾备中心检测认证技术体系,以多种方式促进小型、微型金融机构加大灾备设施建设力度,提高银行业金融机构灾备建设的整体水平。
4.坚持优先恢复系统对外服务原则
出现信息系统中断事件时,初步判断无法在短时间内恢复系统时,应优先考虑隔离故障设备,切换至热备、替代的系统,或者果断启动应急预案,以控制事态的进一步发展。应采取各种可能的举措来缩短系统恢复的时间,尽快恢复系统的对外服务是最重要的。
参考文献:
[1]2013年4月11日,中国人民银行科技司司长王永红就金融信息系统的安全风险及防范措施等内容接受中国电子银行网的专访.
[2]王永红:论银行信息化的发展与创新[J].中国金融电脑,2013.
[3]许 瑞:网络金融安全与风险控制研究[J].商业时代,2012(6).
[4]赵 艳:网络金融监管的难点及对策探究[J].学理论,2011(1).
[5]刘文雯:关于银行防范计算机系统风险的对策[J].经营管理者, 2011,(01).
[6]王 军:对我国网络银行的风险与监管体系的探讨与研究[J]. 中小企业管理与科技(下旬刊), 2011,(01).