面對(duì)安全風(fēng)險(xiǎn) 金融行業(yè)如何招架

應(yīng)茜羽

8月16日,聯(lián)邦政府控告一名28歲的美國人Albert Gonzales及其兩名俄國同伙入侵包括便利商店7-Eleven在內(nèi)的五大企業(yè)的計(jì)算機(jī)系統(tǒng),并竊取1.3億張信用卡及簽賬卡資料。正是金融行業(yè)的安全系統(tǒng)中存在的巨大漏洞,讓黑客有了可乘之機(jī),這給國家和個(gè)人都帶來不可彌補(bǔ)的損失。

2009年9月3日召開的第十屆中國金融發(fā)展論壇上,中國人民銀行行長助理李東榮、中國銀行業(yè)監(jiān)督管理委員會(huì)創(chuàng)新部主任李伏安、中國保監(jiān)會(huì)副主席魏迎寧共同指出了目前金融行業(yè)所面臨的風(fēng)險(xiǎn)防范等問題。金融行業(yè)的風(fēng)險(xiǎn)防范大多是跟技術(shù)和運(yùn)營層面相關(guān),而風(fēng)險(xiǎn)防范最大的核心部分就是信息安全。如何控制風(fēng)險(xiǎn)、確保“安全”已成為我國金融行業(yè)面臨的重大課題。

金融行業(yè)危機(jī)四伏

隨著金融行業(yè)的不斷發(fā)展,金融管理全面實(shí)現(xiàn)了電子化,服務(wù)品種不斷增加,網(wǎng)上銀行、電話銀行、網(wǎng)上證券、網(wǎng)上保險(xiǎn)、移動(dòng)炒股等產(chǎn)品不斷涌現(xiàn)。但是,多樣化業(yè)務(wù)在給客戶帶來方便的同時(shí),金融行業(yè)的風(fēng)險(xiǎn)也呈現(xiàn)出復(fù)雜多變的特征。無論是敏感信息泄漏還是個(gè)人身份泄漏,金融行業(yè)都位居前列。

過去提到安全會(huì)首先考慮到設(shè)備安全、終端安全,而現(xiàn)在考慮更多的是設(shè)備里面的數(shù)據(jù)。賽門鐵克公司中國區(qū)技術(shù)總監(jiān)李剛分析說,目前金融行業(yè)的核心信息正面臨著兩種安全挑戰(zhàn):

1.金融行業(yè)中90%的侵入事件都是有組織犯罪。這種帶有目的性的犯罪防不勝防,造成的損失也特別大。

2. 犯罪分子不是簡單侵入系統(tǒng),他們的目的是要在里面尋找所要的、容易獲取的信息。調(diào)查顯示,67%的信息泄漏都是由于內(nèi)部員工的無意識(shí)行為造成的。企業(yè)敏感信息的隨意存放,造成了信息竊取更加容易。

李剛說:“核心信息面臨的安全挑戰(zhàn)大都是由于內(nèi)部的監(jiān)管和策略執(zhí)行沒有很好地完善?！闭{(diào)查顯示,81%被攻擊、被竊取客戶信息的機(jī)構(gòu),都沒有按照銀行支付卡的標(biāo)準(zhǔn)執(zhí)行。

“風(fēng)險(xiǎn)管理‘三分靠技術(shù),七分靠規(guī)章。但在實(shí)際操作中,我們看到,項(xiàng)目是項(xiàng)目,規(guī)章是規(guī)章,規(guī)章很難真正地得到落實(shí)和遵守。因此,只有將技術(shù)和規(guī)章很好地結(jié)合起來,并落實(shí)下去,才能實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理?！崩顒偙硎?。

優(yōu)化安全 加強(qiáng)IT治理

“優(yōu)化安全這個(gè)思路就要迅速地把原來薄弱的地方做強(qiáng),把它更進(jìn)一步完善。” 李剛說。針對(duì)目前金融行業(yè)的安全現(xiàn)狀,李剛總結(jié)出了優(yōu)化安全的三個(gè)基本環(huán)節(jié):

1.加強(qiáng)基礎(chǔ)架構(gòu)保護(hù)?，F(xiàn)在對(duì)基礎(chǔ)架構(gòu)主要的攻擊手段有兩個(gè),通過郵件發(fā)起攻擊和通過網(wǎng)頁發(fā)起攻擊。調(diào)查顯示,基于網(wǎng)頁發(fā)起的攻擊每年新出65000多種,其中90%攻擊的系統(tǒng)漏洞都是6個(gè)月以上的漏洞,比如這個(gè)漏洞是來自瀏覽器的,瀏覽器廠商對(duì)這個(gè)漏洞的公告和相應(yīng)的修復(fù)已經(jīng)發(fā)布了6個(gè)月,但還是被利用。所以金融企業(yè)一方面要加強(qiáng)基礎(chǔ)架構(gòu)本身的安全防護(hù),防病毒、防木馬;另一方面要加強(qiáng)終端的管理,進(jìn)行人員訪問控制。這兩方面綜合使用,可以鞏固基礎(chǔ)架構(gòu)的安全。

2.加強(qiáng)基礎(chǔ)架構(gòu)的同時(shí),更要加強(qiáng)信息保護(hù)。以數(shù)據(jù)為對(duì)象增加新的保護(hù)層次,不僅停留在基礎(chǔ)架構(gòu)上,還要把注意力集中到數(shù)據(jù)上。用戶安全意識(shí)淡薄、人員管理不當(dāng),都會(huì)造成安全威脅。但是單純地用“堵”的方法控制信息安全是不可行的,例如禁止聯(lián)入外網(wǎng)、禁止接入移動(dòng)設(shè)備,而是需要從整體來考慮。金融行業(yè)敏感信息的保護(hù),要從根本上建立起員工的安全意識(shí),更要進(jìn)行有效的監(jiān)控。

3.用技術(shù)支持法規(guī)遵從。法規(guī)遵從需要信息技術(shù)來支撐它實(shí)現(xiàn)制度制定強(qiáng)化和和制度核實(shí)的自動(dòng)化。通過自動(dòng)化的手段及時(shí)給監(jiān)管層提供報(bào)表,是中國金融行業(yè)推動(dòng)法規(guī)遵從建設(shè)重要的技術(shù)支撐,否則法規(guī)遵從只會(huì)停留在原則上和方法論的討論上以及規(guī)章制度的建設(shè)上,而落地就很難。

賽門鐵克公司副總裁、大中國區(qū)總裁吳錫源提出了未來金融行業(yè)風(fēng)險(xiǎn)控制的三大熱點(diǎn):以準(zhǔn)入控制為手段的強(qiáng)制性終端安全遵從;以數(shù)據(jù)恢復(fù)審計(jì)為驅(qū)動(dòng)來整合數(shù)據(jù)備份流程;以信息泄漏審計(jì)為線索來梳理安全體系建設(shè)。另外,整合安全管理、安全運(yùn)維和安全審計(jì),實(shí)現(xiàn)風(fēng)險(xiǎn)管理的自動(dòng)化和常態(tài)化,也是未來金融業(yè)發(fā)展的方向。