打造全面高效的安全体系提升光大银行核心竞争力

26

FINANCIAL COMPUTER OF CHINA

随着金融行业数据量的不断增加以及业务种类的不断增多，如何利用信息技术优势加强金融机构内部风险管控，保障系统安全稳定运行，是当前各家金融机构信息化建设面临的重大问题。日前，在中国人民银行组织召开的金融信息安全

形势座谈会上，中国人民银行党委委员、行长助理李东荣特别强调金融信息安全工作的重要性和紧迫性，要求各金融机构深刻认识信息安全风险发展的新趋势，从防范系统性金融风险的高度，妥善处理数据大集中带来的风险集中

以及互联网对金融机构信息安全风险的放大。

本刊记者从中国光大银行（以下简称“光大银行”）信息科技部安全管理处负责人黄登玺处了解到，光大银行于２００７年就启动了信息安全体系规划和建设项目，在安

本刊记者 杨洁

“光大银行信息安全战略是以业务需求、风险管理和科技战略作为出发点，通过对信息资产的机密性、完整性、可用性和真实性的防护，来最终实现业务持续、健康、稳定发展的保障目标。”

专题

Special Topic

27

中国金融电脑

2011.4全体系的指导思路下，明确了光大银行信息安全战略，并通过３年左右的时间逐步建立了支撑战略实现的较完整的信息安全体系，有效提升了光大银行的核心竞争力。黄登玺表示，光大银行的信息安全体系主要包括四个方面：信息安全战略、治理、运作和技术。近年来光大银行一直围绕这一体系持续建设，并且在某些领域做出了自己的特色。

一、明确安全战略目标 加强信息安全管理

“光大银行信息安全战略是以业务需求、风险管理和科技战略作为出发点，通过对信息资产的机密性、完整性、可用性和真实性的防护，来最终实现业务持续、健康、稳定发展的保障目标。”在谈到光大银行的安全战略时，黄登玺这样说道。由此可见，光大银行信息安全战略目标有三个关键词：持续、健康和稳定，这也体现了光大银行信息安全战略的业务导向。

黄登玺在谈到光大银行安全体系发展历程时还表示：“光大银行的信息安全体系建设可以追溯到２００６年科技战略规划的信息安全专题，从科技战略的子专题到信息安全体系规划，再到信息安全体系的具体建设，当前光大银行的安全体系已经完全融入到科技建设的日常工作中。”为了确保信息系统的安全，光大银行信息科技部在日常检

查、变更维护、事件处理、性能优化、灾备演练等方面做了大量卓有成效的工作，切实保障了光大银行各项业务的顺利开展。

光大银行在明确信息安全战略和完成信息安全体系规划的基础上，着重强化信安全管理，首先通过深化科技治理，不断加强安全治理中的组织和制度建设。

在安全组织建设方面，光大银行在２００７年就成立信息安全工作小组，并在２０１０年将信息安全工作小组升级为科技风险工作小组，同时在全行范围明确安全管理岗位，通过不断完善安全相关组织建设，将信息安全和科技风险的管理进一步融合，将风险三道防线的科技管理力量进行有效整合，推进了全行的安全保障和风险管理。

在安全制度建设方面，光大银行从２００７年开始坚持对信息安全制度进行年度重检，并结合科技制度的定期重检，形成了包括安全策略、安全标准和安全指南的三层制度架构，并在不断推进的组织建设和项目建设中，逐步完善各层面安全制度，当前已形成覆盖总、分行，覆盖安全管理各领域的安全制度体系。

同时，通过不断加强安全运行管理工作，实现在人员、事件和系统等级防护三个方面安全保障能力的提升。

在人员方面，光大银行强化了

出入管理制度，要求涉密岗位员工在上岗前签订保密协议，同时对关键岗位进行资质审查，在全行范围内统一人员离职的审批要求，明确制定离职审批流程，并尝试通过技术手段实现上述管理要求的自动化和及时性。同时，光大银行从２００９年起每年都会在全行范围组织安全意识培训，通过电子教学和在线考试的创新方式，实现全员参与和快速高效的培训目的。此外，光大银行还加强外包管理，明确制度、合理分工、严格执行操作规范。利用ＩＴ外包管理咨询项目制定的ＩＴ外包策略以及外包管理制度，规范光大银行ＩＴ外包从引入到实施、评价考核、后续审计的各个环节，建立并实现供应商分级管理机制，规范供应商准入原则和标准要求，并于２０１０年３月完成在ＰＭＳ系统中建立供应商信息库管理模块，形成供应商的考核、评价机制，按季对外包服务商的服务能力进行审核和评估。

事件管理是安全管理中的难点，也是安全管理中的关键点，其关键在于如何通过对事件的深入分析和不断整改来提高信息系统的安全运营能力。光大银行事件管理以运维事件为出发点，通过坚持运行事件月例会制度，对事件进行分类梳理、对事件原因进行总结，并严格落实各项整改工作。同时，在日常运维工作中，组织各种日常检查工作，不断优化完善监控手段，提

升节假日突发事件的响应速度和应急处理能力，也为各类系统的稳定运行提供了更好的保障。此外，光大银行还通过科技风险管理小组，定期对运维中心提交的事件报告进行全面重审、深入挖掘，提出长效措施并进行跟踪。

在信息系统等级防护方面，光大银行持续推进等级保护工作，落实监管机构等级保护管理要求，完成总行３级以上系统的等级保护测评工作，使光大银行成为国内较早开展并完成等级测评的银行之一。同时依据银监会风险管理指引要求，将等级保护的定级要求结合到应用系统业务恢复优先级的评定过程中，确保所有系统在上线过程中后即具有明确的保护等级，并能够依据等级保护要求，实现系统级的分级保护。从２００９年起，光大银行就开始在全行范围内实施评估，部分分行已经将其转化为一种机制，并定期向总行提供评估报告。

二、加强安全技术创新

确保生产稳定运行

“在加强安全管理的同时，我们安全体系建设的重点还包括安全技术的创新和安全基础设施的不断完善。”黄登玺在阐释光大银行信息安全体系时表示，“光大银行信息安全体系在技术方面主要从用户安全、数据安全、应用安全和基础安全４个层面进行建设，其中基础安全包括物理安全、网络安全、主机

安全和终端安全。”

光大银行在用户安全方面重点

加强用户对应用系统访问权限的管

理。随着业务规模的逐步扩大，光

大银行已经形成数十套支持业务发

展的各类应用和管理系统，工作人

员需要访问多个系统以完成日常的

工作。多系统多用户名和口令导致

密码易遗忘，同时分散的用户名、

口令也在管理上带来很大难度和较

高成本，还存在因员工离职或岗位

变动后相关系统账号不能及时删除

或停用而带来的安全隐患。为解决

上述问题，光大银行筹划并启动了

统一身份与访问管理系统的建设，

将应用系统纳入统一身份和访问管

理系统进行集中管理，最终实现了

统一身份、集中认证和单点登录的

管理目标。

在谈到统一身份和访问管理系

统建设时黄登玺表示：“当前我行

统一身份和访问管理系统已完成基

础平台建设工作并完成了２０几个

行内应用系统的接入，系统上线以

来，运行稳定，得到了广大员工的

好评。”　

在数据安全方面，光大银行以

传统的金融加密机管理为切入点，

设计了统一的加密管理平台，并以

此为基础，不断完善各类证书服

务、签名服务和以非对称加密为基

础的电子信封服务，结合具体的业

务需求和项目建设，在代发工资、

网银安全基础建设方面提供安全保

障。在应用安全方面，光大银行以

应用系统安全开发生命周期为基础

模型，结合行内的各项管理流程，

率先制定并完善应用系统开发过程

中的安全评审标准，并以ＣＭＭＩ标

准作为应用开发的管理模版，形成

从规划、设计、开发、测试到投产

的全流程应用开发管理，相关工作

人员通过月度的各类评审机制实现

各项安全评审标准的落实。

在基础安全方面，光大银行从

２００９年开始大力加强并持续推进各

类基础设施建设，先后进行总行异

地灾备机房建设，分行机房的巡检

和整改等工作。当前光大银行已经

建成两地三中心的全面灾备体系，

同时全行上下也通过各种运维安全

会议和运维指标考核，形成强烈的

安全意识。在传统的网络安全和终

端安全建设基础上，光大银行不断

推陈出新，大力提倡各项安全专项

服务的建设，将防病毒、防入侵等

工作进行服务化管理，通过各项安

全防护指标的建设，推进终端设备

和网络环境的安全保障；另外光大

银行还针对各种类型终端设备不断

出现的情况，加强终端设备的密钥

管理，根据监管机构自助设备一机

一密的改造要求和光大银行自身模

式化经营的管理目标，设计并落实

全行终端设备的一机一密管理模

式，在保障安全的基础上，推进终

端业务的发展。

28FINANCIAL COMPUTER OF CHINA