金融业信息安全事件的防范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
金融业信息安全事件的防范
1信息安全事件的发生和分析
随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门
也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能
造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的
要求。2012年10月,某金融机构操作人员因为误操作将业务系统的交易日志文件关闭,导致系统不能正常运行;2012年11月,某金融机构维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服
务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操
作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实
有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署
上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案
进行充分地测试。2012年3月,某机构生产线路发生中断,但因为技
术方案问题未能顺利切换到备份线路,导致业务发生中断;2012年11月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份
系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。(2)优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机
构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着
应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的
情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条
件和流程,不能迅速的处置解决问题。2012年7月,某机构因为设备
故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务,
原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导
致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建
设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事
件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全
基础设施上进行了大量投入,但部分机构没能充分重视“人”这一信
息安全的核心因素,在精细化管理、人员的安全意识和专业素质培养
等方面有所滞后。
2完善金融机构信息安全体系的几点想法
从上面对区域内银行业金融机构信息安全事件的分析可以看到,银行
系统不仅应当在防范外部攻击、减少对外国技术厂商依赖、提升灾难
恢复能力等方面大力投入,也应当立足自身实际情况,重视内部风险
因素,以人为本,做到人防、技防并重,构建一套可行的信息安全保
障体系。下面结合上述各种不利安全的因素,就如何完善金融机构的信
息安全体系提出五点建议:(1)设立信息安全岗位,积极培养信息安
全专业人才,做到安全岗位人员持证上岗,确保信息安全从业人员具
有符合需要的信息安全专业知识,明白业务系统在不同生命周期所面
临的风险是什么,能够在业务系统的全生命周期里与开发人员、运维
人员充分沟通,做好各项信息安全工作。(2)增强人员教育,增强从
业人员信息安全意识。通过定期组织培训、业务交流等多种方式,持
续强化各类人员信息安全和风险防范的观念,树立信息安全红线意识。避免出现对潜在风险熟视无睹,系统告警无人迅速响应、为图工作便
捷而不按照流程处理等多种存有安全隐患的行为,减低信息安全事件
发生概率。(3)强化机构精细化管理能力,持续修订完善信息安全管
理制度,规范细化操作流程,建立合理的流程管理机制,增强对特定
流程的管控和执行后的健康检查,杜绝人为疏忽所引发的信息安全事件。(4)完善业务系统全生命周期的安全管理,将风险防范的思想贯
穿其中,在业务系统开发实施的同时就强调做好相关备份方案的测试
验证工作,在系统上线运行后,建立完善的监控体制,不仅监控生产
系统,对备份系统也保持监控,在可能的情况下,主备定期切换运行,确保在生产系统发生故障的时候,备份系统能够替代生产系统提供服务,提升业务的可持续性。(5)持续完善应急预案,保证应急预案与
实际情况相契合,任何一个信息系统都不能做到万无一失,所有机构
都应当重视信息系统应急预案的修订完善工作,定期组织本机构相关
部门开展应急演练,并根据演练结果持续优化应急预案,使得应急预案有效可行,确保对外服务的连续性。
3结束语
自信息技术诞生以来,信息安全就如同影子一般伴随左右,新技术的持续涌现,使得安全管理不可能是一劳永逸的事,要在新形势下做好信息安全工作,不仅需要金融机构根据实际情况,继续在信息安全基础设施上做好投入,持续完善优化运维管理机制,也需要金融机构重视人员管理的重要性,持续培养提升人员意识,提升人员信息安全技术能力,以人为纽带,将信息安全设施、信息安全运维管理机制有机融合起来,使其能够真正得发挥作用,尽最大可能实现业务的可连续性。
金融业信息安全事件的防范