高清国产hhh视频在线_中国熟妇色XXXXX中国老妇_中文字幕丰满人妻日本免费_91精品国产综合久久超碰只有精品_香蕉国产人午夜视频在线

銀行界
首 頁 | 業(yè)界動態(tài) | 銀行培訓 | 資格認證 | 在線學習 | 政策法規(guī) | 銀行理財 | 專家觀點 | 品牌中小銀行 | 中小企業(yè)金融服務
城商行 | 農(nóng)村金融 | 全國股份制銀行 | 外資銀行 | 分支行動態(tài) | 貸款通道 | 銀行會客廳 | 銀企對接 | 企業(yè)融資 | 信用查詢
信用卡 | 銀行股票 | 論文集錦 | 焦點人物 | 機構(gòu)分析 | 貸款產(chǎn)品 | 媒體視覺 | 行業(yè)會議 | 人才市場 | 休閑BANK | 銀行社區(qū)
搜索: 高級搜索
您當前的位置:首頁 > 銀行會客廳

央行科技司司長王永紅:信息安全風險體現(xiàn)在三方面

時間:2013-04-16 07:38:38  來源:中國電子銀行網(wǎng)  

  4月11日,中國人民銀行科技司司長王永紅就金融信息系統(tǒng)的安全風險及防范措施等內(nèi)容,接受了專訪。

  信息安全風險體現(xiàn)在三方面

  記者:目前信息安全事件時有發(fā)生,金融信息安全局面較以往更加復雜,您認為我國信息安全風險主要來自哪里?

  王永紅:我覺得從自身能力角度來看,信息安全風險主要體現(xiàn)在以下三方面:

  首先是自主可控能力不足。在IT領(lǐng)域,現(xiàn)在,比較明顯的特點是:現(xiàn)在防病毒、網(wǎng)絡設備、安全設施用的國產(chǎn)軟硬件越來越多,但核心軟硬件還是以國外的為主,如IBM、oracle等。這種依賴導致我們的自主可控能力不足,基本上到了核心關(guān)鍵領(lǐng)域還是依賴于廠家的服務,這是我們第一大問題。另外表現(xiàn)出來的就是金融機構(gòu)災備體系建設不夠完善,很多單位都沒有做到、或者說沒有完全發(fā)揮兩地三中心的作用,有很大改進空間。

  其次是精細化管理的能力不足。隨著計算機系統(tǒng)的發(fā)展,規(guī)模越來越大,機房龐大無比。規(guī)模越大,結(jié)構(gòu)復雜帶來的安全隱患就越大。搞安全管理工作的科技人員無法預測如此龐大的基礎設施哪些方面會出問題,相應的對故障隔離,應急處置復雜性要求也在增加,對我們精細化的管理能力提出更高要求。

  第三是應急處置能力亟待提升。某些銀行忙于發(fā)展。重建設、輕管理,重開發(fā)運行、輕安全維護的現(xiàn)象時有發(fā)生。應急預案的有效性和可操作性存在改進的空間,應急演練的真實性也有待加強。因為應急演練做得少,操作熟練程度肯定還有很大改進空間。

  此外,除了自身能力不足,客觀上,現(xiàn)在形勢比以前更復雜,我們還面對病毒,智能木馬等風險,特別是來自于國外大型黑客組織,有政府背景的黑客有組織的攻擊越來越多,如伊朗核電站事件——震網(wǎng)病毒、火焰病毒等。所以從人民銀行角度來看,金融信息系統(tǒng)與網(wǎng)絡系統(tǒng)出問題,不僅僅是一種經(jīng)濟安全問題,由于它存在一種共振,有可能從一種單純的技術(shù)問題或者說單純的信息安全問題,演變?yōu)橐环N社會政治的穩(wěn)定問題,這是我們政府、人民銀行對信息安全的一個定位、觀點。

  一旦系統(tǒng)癱瘓,老百姓取不到錢,加上網(wǎng)絡炒作,網(wǎng)上網(wǎng)下互動,形成一種共振,局面將更加復雜。另外,服務窗口解釋口徑不一致,導致火上澆油。舉個例子,最近有一家銀行因為系統(tǒng)癱瘓,導致無法取款,但他們采取緊急支付策略成功處置了這個問題。我覺得他們很聰明,他們把一個信息安全事件通過緊急支付這個做法成功解決了,這家銀行的理念很值得借鑒。因為知道系統(tǒng)癱瘓的人很少,惡意取款的也很少,事后對賬,發(fā)現(xiàn)無差錯。如果他們沒有啟動緊急支付這樣一種應急處置手段,那這次信息安全事件影響就會很大。

  銀行須重視信息安全風險管理

  記者:銀行在保障信息安全時應當注意什么?主管部門提出了哪些主要/具體要求?

  王永紅:黨中央、國務院對信息安全問題看得非常清楚。為此,在2012年6月28日發(fā)文《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)【2012】23號)。大家注意,很少有文件如此這樣將發(fā)展和安全并列,這是李克強同志任副總理時主持召開多次研討會議,定下來的基調(diào),一方面發(fā)展,一方面安全,在安全中發(fā)展,發(fā)展不忘安全。這份文件寫得很好,談得很具體。結(jié)合我國銀行實際情況,未來若干年,我們國家在信息化發(fā)展中要發(fā)展哪些領(lǐng)域,安全方面我們要做那些保障,我個人認為從專業(yè)角度看,大家要注意以下兩點:

  第一點是要將信息安全風險納入本單位的全面風險管理體系。防范和化解信息安全風險是一項綜合性、長期性的工作,不能將其簡化、弱化為一個單純性的技術(shù)工作,如果哪個單位認為信息安全只是科技部門的事情,那就說明理念落伍了,它不是一個部門的事,它是整個單位的事。銀監(jiān)會主席講話中對信息安全的看法很明確:IT風險是唯一可以在一瞬間讓整個銀行陷入癱瘓的風險。人民銀行的要求:信息安全管理的底線是,絕對不允許發(fā)生系統(tǒng)性和區(qū)域性的風險。兩個主管部門的定位是明確的,大家要引起高度重視。我們?nèi)ド虡I(yè)銀行檢查時更關(guān)注商業(yè)銀行的高管是否會經(jīng)常研究這個問題,是否重視信息安全風險管理。

  要深刻認識到技術(shù)支撐業(yè)務,業(yè)務與技術(shù)相融合的發(fā)展趨勢,明確業(yè)務部門和技術(shù)部門要形成有效地協(xié)同機制,共建信息安全保障體系,共同提高業(yè)務連續(xù)性,堅決扭轉(zhuǎn)由分管信息安全工作的負責人一個人負全責的不當做法,要納入全面風險管理。

  第二點是從人民銀行角度來看,要求嚴格執(zhí)行信息安全的報告機制。2010年,人民銀行、工信部、公安部、安全部、電監(jiān)會五部委建立了跨部委的應急協(xié)調(diào)工作預案。2011年,人民銀行在副省級以上城市建立了區(qū)域的信息安全應急協(xié)調(diào)機制。大家定期有交流,有溝通,形成一種機制,互通有無。這種全國性的制度安排和屬地化管理相結(jié)合,實際上構(gòu)成應急協(xié)調(diào)機制、保障機制。各單位在信息安全事件發(fā)生、發(fā)展、善后等不同階段,要采取各種聯(lián)系方式向人民銀行報告相關(guān)情況,便于人民銀行組織協(xié)調(diào)進行應急處置,盡量避免造成社會因恐慌情緒引發(fā)群體性事件。我很理解出事以后大家的心態(tài),但大家不要有僥幸心理,你無法預判事件將會有多大影響,有可能愈演愈烈,何況現(xiàn)在資訊如此發(fā)達,因此必須及時報告。一旦有事件,不管大小,一律向人民銀行報告。

  建立安全可控的生產(chǎn)運維機制

  記者:金融系統(tǒng)信息安全情況十分復雜,往往牽一發(fā)而動全身,事前預防比事后補救更加重要,銀行應該如何做好信息安全保障工作?

  王永紅:在技術(shù)層面,表現(xiàn)為我們要建立有管理、可控制的安全生產(chǎn)運維機制。聯(lián)網(wǎng)系統(tǒng)規(guī)模、范圍越來越大,服務對象也越來越復雜。運維監(jiān)控一定要做到:監(jiān)控人員比用戶先發(fā)現(xiàn)問題,中心機構(gòu)比聯(lián)網(wǎng)機構(gòu)、分支機構(gòu)先發(fā)現(xiàn)問題,這也是評判和衡量一個單位科技水平的重要指標之一。要做好管理工作,我提三個建議:

  首先要建立量化的監(jiān)控指標體系。監(jiān)控對象的指標化是自動化監(jiān)控的基礎,也是優(yōu)化網(wǎng)絡效率和提升系統(tǒng)健壯性的重要參照,是運維技術(shù)體系的核心內(nèi)容。如何發(fā)揮監(jiān)控系統(tǒng)的作用呢?主要是看是否有量化的監(jiān)控指標,量化的比較結(jié)果才有確切的說服力。在動態(tài)調(diào)整量化監(jiān)控指標過程中,我們不但要包括傳統(tǒng)的各種系統(tǒng)資源使用率,還要注意增加交易進度,數(shù)據(jù)狀態(tài)等應用及監(jiān)控的內(nèi)容,及時發(fā)現(xiàn)運行環(huán)境和交易處理流程方面出現(xiàn)的異常情況。

  其次要加強監(jiān)控的分析。從專業(yè)角度來看, 要對運維監(jiān)控中發(fā)現(xiàn)的各種異常現(xiàn)象,不論是否影響系統(tǒng)正常運行,都必須納入系統(tǒng)運行分析會,對風險隱患必須一追到底,并及時處理,同時根據(jù)運行分析結(jié)果加強容量的管理,定期清理生產(chǎn)環(huán)境,動態(tài)評估系統(tǒng)的處理能力,動態(tài)優(yōu)化技術(shù)資源的配置。在實際中摸索、固化處理能力和資源配置之間的量化關(guān)系。我們傳統(tǒng)工廠里的班前分析會、班后研討會很值得我們IT部門借鑒。這種習慣很好,我們要求銀行最好建立這種制度,很多時候系統(tǒng)出問題,最開始只是有苗頭,并不一定影響系統(tǒng)運行,表現(xiàn)出一種癥狀,如果出現(xiàn)苗頭的時候不一追到底,是否出事就完全靠運氣了,這跟人體體檢是一個道理,銀行對這個原則一定要把握住,工作很辛苦跟工作有成績是兩個概念,希望大家不要做無用功。

  我們一直強調(diào),銀行服務外包責任無外包。在IT領(lǐng)域服務外包是很普遍的情況,從人民銀行到商業(yè)銀行都一樣,畢竟軟硬件是廠家生產(chǎn)的,但不要天真的以為,廠家能承擔全部責任,人民銀行和銀監(jiān)會都不會認為廠家完全承擔責任。實際上,這幾年我看過很多事件處理報告,因為沒有量化的要求,之前沒有考慮清楚,經(jīng)常發(fā)現(xiàn)外包廠家因為種種原因,如堵車、工具軟件不齊全等,并不能及時趕到并提供服務。因此銀行必須對廠家的服務進行量化,認真研究運維合同,甚至對關(guān)鍵設備的備件都應該提前準備到本單位庫房。

  第三是完善預案,提高業(yè)務連續(xù)性。隨著數(shù)據(jù)集中,系統(tǒng)整合的不斷推進,銀行的技術(shù)體系日趨復雜,但是對技術(shù)體系的駕馭經(jīng)驗和能力有待在實踐中積累、提高。基本上可以這么說,出事是一定的,不出事是不可能的。萬無一失是一種要求,我們要爭取不出大事。所以應急預案,應急演練很重要,在應急預案制定過程中和應急演練在中要貫徹優(yōu)先恢復系統(tǒng)對外服務這個原則,因此如何編排應急預案就很講究了。

  堅持優(yōu)先恢復系統(tǒng)對外服務原則

  記者:您提到要貫徹優(yōu)先恢復系統(tǒng)對外服務原則,體現(xiàn)在哪些方面?銀行應如何把握?

  王永紅:關(guān)于這個問題,我有三點總結(jié)。第一點是銀行要不斷完善應急預案。各單位應該研究人民銀行發(fā)布的金融業(yè)信息安全風險提示,人民銀行和國家相關(guān)部門會定期發(fā)布一些信息安全提示,金融機構(gòu)對此要引起足夠重視,這些安全提示是一種情況交流,從別人的問題和事故中舉一反三對自身情況進行排查,通過了解信息安全動態(tài),從風險狀況、應急內(nèi)容和處理措施去充實和完善自己的應急預案。通過我們這幾年的實踐可以看出,應急預案的完善不是開會這么簡單,而是要測算關(guān)鍵點的耗費時間,也即測算完成每一部分工作所需要的時間,通過測算關(guān)鍵點的耗費時間可以發(fā)現(xiàn)很多不必要的中間環(huán)節(jié),可以發(fā)現(xiàn)很多可以轉(zhuǎn)化為并行操作的串行環(huán)節(jié)。

  第二點是銀行要改進交易的處理流程。實際上系統(tǒng)中斷的種類和交易處理的場景是難以窮盡的,我們應該從提高業(yè)務連續(xù)性的角度,去設計和實現(xiàn)替代的流程與數(shù)據(jù)處理的方式。也就是說無論我們怎么設計應急預案都無法包羅所有的故障場景,因此要去設計一些替代的流程和數(shù)據(jù)處理方法,包括手工交換數(shù)據(jù)、手工補錄數(shù)據(jù)、交易流程路徑變換等方法去作為替代服務,最終要達到的目的是——中斷業(yè)務時間一定要大大短于系統(tǒng)恢復時間。很多時候我們衡量一個事件處理是否成功就是看這一點。換句話說,關(guān)鍵是看在系統(tǒng)恢復之前是否已經(jīng)采取其他手段提前將業(yè)務恢復。

  最后,銀行要提高應急處置效率。出現(xiàn)信息安全事件時,初步判斷無法在30分鐘以內(nèi)恢復系統(tǒng)時,應優(yōu)先考慮隔離故障設備,切換至熱備、替代的系統(tǒng),或者果斷啟動應急預案,以控制事態(tài)的進一步發(fā)展。在應急處置的過程中,特別要消除“技術(shù)萬能”的盲目樂觀思想,應采取各種可能的舉措來縮短系統(tǒng)恢復的時間,不能拘泥于和局限于保證局部數(shù)據(jù)的正確性而不恢復系統(tǒng)的對外服務,恢復系統(tǒng)的服務是最重要的,實際上,局部數(shù)據(jù)的正確性可以通過事后沖賬等方式補救。

發(fā)表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發(fā)表

·央行二季度貨幣政策執(zhí)·堅決防止影子銀行死灰
·監(jiān)管層密集發(fā)聲 金融防·銀保監(jiān)會:當前中小銀
·地方金融監(jiān)管加速構(gòu)筑·銀保監(jiān)會:超1.8萬億元
·央行將多舉措推動應收·央行下調(diào)再貸款再貼現(xiàn)

圖片新聞

央行二季度貨幣政策執(zhí)行報告
貨幣政策傳導效率明顯提高
一季度,人民幣各項存款增加
銀行保險機構(gòu)支持實體經(jīng)濟效果顯現(xiàn)

熱門點擊

銀行業(yè)金融機構(gòu)總資產(chǎn)情況圖
2020年4月銀行業(yè)金融機構(gòu)資產(chǎn)份額

在線調(diào)查

2020年您對哪家全國股份制銀行服務最滿意?
  •  中國農(nóng)業(yè)銀行
  •  中國工商銀行
  •  中國建設銀行
  •  中國銀行
  •  交通銀行
  •  中國郵儲銀行
  •  中國光大銀行
  •  中信銀行
  •  中國民生銀行
  •  興業(yè)銀行
  •  招商銀行
  •  華夏銀行
  •  廣東發(fā)展銀行
  •  平安銀行
  •  浦發(fā)銀行
  •  浙商銀行
  •  渤海銀行
  •  恒豐銀行
  

廣告服務 | 關(guān)于我們 | 服務內(nèi)容 | 聯(lián)系我們 | 加盟合作 | 免責條款 | 招賢納士

Copyright © 2002-2011, tbankw.com Inc. All Rights Reserved!

主辦單位:中聯(lián)銀信(北京)管理咨詢有限公司

本站法律顧問:北京貝邦律師事務所 姜波

版權(quán)所有:銀行界 京ICP備10000166號

京公網(wǎng)安備110114000920號