基层央行信息安全风险管理

前言:寻找写作灵感?中文期刊网用心挑选的基层央行信息安全风险管理,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。

基层央行信息安全风险管理

摘要:随着基层央行信息化的快速发展,特别是大数据、云计算等新技术的广泛应用,信息安全风险管控压力越来越大,信息安全保障成为难题,针对基层央行信息安全风险管理中存在的问题和困难,提出了改进完善的建议和措施。

关键词:基层央行;业务连续性保障;信息安全风险管理

引言

金融业高度依赖于信息技术,金融业网络和系统的服务对象遍及社会企业、机构和民众,涉及面宽、影响面大,信息安全风险已经成为金融风险的重要组成部分,稍有不慎,就可能对金融机构造成经济、声誉损失甚至引起金融秩序紊乱,而社会对金融活动的关注度也越来越高,这对金融业信息安全保障工作提出了更新更高的要求。在2017年7月中旬召开的全国金融工作会议上,强调,金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,并对金融稳定工作做出高层次的部署。面对日益严峻的形势,正确认识信息化金融新发展,研究金融信息安全风险管理的有效措施,逐渐成为维护金融稳定的重点。

1基层央行信息安全面临的主要风险

人民银行作为金融行业信息安全工作指导和协调单位,管理运行的金融基础设施极其重要,做好金融信息安全工作,对防范金融风险、维护金融稳定乃至国家安全具有重要意义。当前基层人民银行面临的风险来自很多方面,这些风险既有外部的,也有内部的;既有系统自身的,也有操作方面的;既有运行中的,也有管理上的,其中较为突出的有以下几方面。一是网络攻击风险防控能力较为有限。大规模网络攻击逐渐增多,且网络攻击威胁和实施手段也在不断变化。金融行业信息作为网络时代国家关键资产,因其涉及巨额经济利益、影响范围广的特点,既是信息安全保障与网络防御的重点,也是遭受网络战打击的主要目标,所受信息安全威胁持续上升。2016年,孟加拉央行被黑客窃走8100万美元、俄罗斯央行被黑客窃走3100万美元、希拉里邮件门事件、雅虎5亿条用户信息被黑客窃取、2017年5月全球爆发的“永恒之蓝”勒索蠕虫病毒感染事件...,因此,信息安全形势容不得松懈。而基层人民银行整体网络安全技术防护体系仍存在薄弱环节,攻击发现处置有所滞后,抵御大规模网络攻击的能力仍有欠缺。二是IT基础设施安全管理水平有待提高。一方面部分省级数据中心机房建成年代久远,机房供配电系统等配套设施以及网络设备运行时间较长,设备老旧问题突显,存在一定的风险隐患。另一方面,省级数据中心IT基础设施安全管理人员很难全面掌握机房供配电、消防、UPS等诸多知识和技能,对外部专业机构和外部力量的依赖性较强,自主运维能力有所欠缺。三是新兴技术的应用带来新的风险。信息技术的发展在不断改变着人类的生产生活方式,促进了产业结构的优化升级,但是信息技术的“双刃剑”效应也凸显出来。当前,云计算、虚拟化、大数据、量子通信等新技术的不断发展,以及互联网金融等新业务的不断推出,使金融业面临的信息安全风险趋于增多,趋于不可控,趋于不可预测。多数基层人民银行目前已经在探索利用新技术提升科技管理水平和履职效率,如搭建省级数据中心“云”化平台实现了诸多信息系统的虚拟化迁移、桌面云终端的部署等,但由此带来的运维方式的变化以及存在的新的安全问题,仍需要进一步研究解决。

2对策建议

针对上述风险,基层人民银行需从加强内部管控,完善风险治理架构和风险管理制度等多方面入手,提升信息安全管理水平,进而保障网络和重要信息系统安全稳定运行。第一,完善网络安全技术防护体系。一方面要不断加强技术防护体系建设,在网络边界防护方面,在互联网、生产网、涉密网、办公网之间采取安全的隔离措施,增强恶意代码防护、网络攻击防护、信息外泄防护、流量监控等措施。在桌面管控方面,实施统一的管理策略,通过虚拟化技术、专机专用等手段实现对敏感信息、软件程序、移动介质等的安全控制。另一方面,要将应急管理列为信息安全风险管理的重要内容,建立自动化运维监控管理平台,提高主动发现问题、快速处置问题的能力。第二,提升IT基础设施安全管理水平。一是建立IT基础设施台账,详细记录基础设施购置日期、上线运行时间、各项性能指标及故障率等要素信息,做好IT基础设施整个生命周期的管理,研究制定IT基础设施更新管理办法,合理规划老旧设备更新升级,确保IT基础设施的良好运行状态。二是要借助第三方专业机构和力量定期开展对机房和网络基础设施的健康检测评估与风险隐患排查,掌握基础设施整体运行情况,对发现的风险点实施清单管控,逐项落实整改措施,消除隐患。三是加强IT基础设施安全人员的专业资质培训,结合基层央行数据中心实际情况提升管理人员履职能力。第三,加强新兴技术的研究实践。对于新兴技术,一方面要积极探索运用,研究大数据、云计算等在信息安全态势感知、信息安全威胁情况分析等方面的应用,推动信息安全工作水平和履职效率,另一方面,新技术往往采用的新架构,给业务模式带来了新变化,因此,要充分预判和挖掘其存在的信息安全风险,研究新的安全手段和技术,严控风险。第四,健全信息安全“三道防线”风险防控工作机制。根据国际标准ISO/IEC27001信息安全管理体系要求,信息安全保障工作可以看作是可持续改进的“PDCA循环”,其中P是规划和建设,D是实施和运行,C是监督和检查,A是保持和改进。要做好基层人民银行信息安全保障工作,目前应当在C和A上下功夫,要建立健全以安全生产为基础,风险控制为保障,审计监督为驱动的完整风险防控体系,生产管理一道防线由业务部门负责,目的是识别风险,是整个信息安全工作的基础。二道防线由风控部门和IT部门负责,主要实施风险评估、计量、监测和报告,并管控风险。三道防线由审计部门负责,主要促进一、二道防线履职,并提出改进意见。要明确三道防线职责和分工,共同协调配合,才能切实提升信息安全风险管理水平。

作者:贾亚红 单位:中国人民银行太原中心支行