1、金融业信息平安的竞争与策略 近年来,随着经济全球化不断扩展,金融创新的广度和深度不断扩展,我国的金融业信息化工作得到快速开展,标准、方便、高效、平安的金融业信息化效劳体系初步建成。与此同时,金融业对信息技术的依赖程度越来越大,金融业信息平安保障难度持续加大,给我国金融业信息平安带来新的更大的挑战。如何应对,要求我们必须高度重视。 一、面临的挑战 目前,金融业的业务开展更加依赖于信息技术的应用,特别是以综合业务系统整合、数据集中为主要特征的金融业信息化开展到一个新的阶段。因而,信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息平安工作正面临比以往更严峻的形势,围绕信息网络空间的斗争
2、日趋锋利,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统平安运行的难度加大,挑战增多。 一是人民银行的业务指导、监督管理滞后于金融业信息化开展。 与金融业信息化的高速开展相比,金融业信息平安的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、效劳、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息平安等诸多方面承担着重要职责,在202223奥运年中发挥了
3、重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息平安工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息平安缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。 二是核心设备和技术依赖于国外,底层技术难以掌握,存在平安隐患。 目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门、“软件陷阱、“系统漏洞、“软件炸弹等平安漏洞。据调查,一些重要
4、网络系统中使用的信息技术产品,都不可防止地存在一定的平安漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定平安漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的ic卡平安问题以及近年来出现的微软“黑屏事件,已经为我们敲响了警钟。 三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。 金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到屡次攻击,整体信息平安形势严峻。202223年国防科技大学的一项研究说明,我国与互联网相连的网络管理中心有9
5、5%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。 2023年6月18日,被称为有史以来最严重的信息平安案件在美国爆发,万事达、visa和美国运通公司的主要效劳商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。 由此可见,基于开放性网络的金融效劳对我国金融信息平安工作提出严峻的挑战。 四是数据大集中的同时,也使技术风险相对集中。 伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丧失,其后果不堪设想。 近年来,国内外金融机构因为信息
6、技术系统故障导致大面积、较长时问业务中断的事件时有发生。2023年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。 信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统平安稳定运行,是需要整个金融业深入研究的课题。 五是我国金融业的灾难处理能力有待加强。 据人民银行在202223年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。返观国外同业.多数国外银行已经做到了分行一级的灾难备份与恢复
7、。这说明,我国金融业灾备中心建设同国外相比存在较大差距。 此外,国内金融机构的现有灾难备份中心布局不合理,过度集中在北京、上海两地,一旦发生区域性重大灾难,将对我国金融业整体运行状况带来极大危害,并造成过高的重建本钱。 二、应对措施 按照国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知(新“三定方案)规定,人民银行的主要职责之一是组织制定金融业信息化开展规划,负责金融标准化的组织管理协调工作,指导金融业信息平安工作。 在新形势下如何指导和协调金融业信息化建设和信息平安,是人民银行尤其是人民银行分支机构需要认真思考的问题。 金融业信息系统的平安是防范和化解金融风险的重要组成局
8、部,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的平安保障体系。 一是加强金融效劳指导和行业监管。 应建立跨部门的金融业信息平安协调机制以及重点时期的安保工作机制,强化信息平安手段和队伍建设,加强信息平安检测和准人制度,实施信息平安等级保护,建立信息资产风险评估体系,提高信息平安水平,保证金融稳定和经济开展。 人民银行分支机构应加强对中小金融机构的效劳指导,尤其是在核心业务系统建设、灾备建设和信息平安方面给予具体指导,帮助中小金融机构借鉴成功经验,躲避风险,实现跨越式开展。 各级人民银行,应牵头成立金融业信息平安领导小组,并建立和完善信息平安通报制度、报告制度和联席会议制度,建
9、立健全一个运转灵活、反响灵敏的信息平安应急处理协调机制,随时处置和协调金融机构平安事件,以迅速应对突发事件的发生,降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。 二是研究建立跨部门的现代化金融业信息平安管理网络。真正实现对金融机构信息平安风险的及时、动态、全面、连续的监管。 在正确评估我国金融网络现状的根底上,借鉴国外的组网模式,尽快建立适应我国金融业信息化建设和开展实际的高速、平安和先进的网络框架,在建设时要充分考虑到网络的兼容性和拓展性,为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制,保障运行平安。现代金融业高度依赖信息技术,必须充分认识到金融业信息平
10、安对整体业务和金融体系,乃至经济体系的影响,牢固树立风险防范意识,把信息科技作为风险管理的重要手段。 三是人民银行要协调催促金融机构,加强自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。 对采购或使用的信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,也须保证其可知可控,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术。 对须引进的,实行市场准人制度,并引进权威机构对其产品进行风险、平安、实用等综合性评估。 对各地区一些科技水平还比较低的中小金融机构,要加大支持力度,加强行业内部的交流合作。针对目前金融业,特别是中小金
11、融机构的信息系统的开发、建设和运维采用it外包的形式,应出台相应的政策、制度和措施,促进it外包健康快速开展,约定监管机制,标准效劳商的效劳标准和流程,使it外包以效劳行为的公司化、强大的配套支持能力、灵活的外包效劳方式成为金融机构快速开展的可行之道。 四是建立健全信息平安管理制度,定期进行信息平安检查,加强网络平安攻击防范。 由于金融业的组织结构和业务运营方式,使网络必定要建成一个同internet和外部线路有较密切关系的结构,各种网络访问上的平安问题也随之产生。金融网络系统面临的攻击有来自内部的,也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等,特别是在网络上运行关
12、键业务时,网络平安问题更是要优先解决的问题。因此,应通过建立健全信息平安制度、定期组织信息平安非现场和现场检查等方式,促进银行做好系统加固工作,充分利用各种平安产品强化网络平安防范,加强移动存储介质管理,做好平安日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的平安威胁。 五是增加业务持续动作能力,切实采取措施防范数据处理集中后的技术风险。 巴塞尔银行业监管委员会共同论坛2023年8月发布了业务连续性高级原那么将业务连续性管理定义为,发生中断事件时,确保某些业务保持运行或在短时间内得到恢复的一整套方法,包括政策、标准和程序。 业务连续性管理的实施在组织上的保证至关重要。人民银行应指
13、导金融业参照国外先进经验,专门成立业务连续性管理指导委员会,将业务部门、风险管理部门和it部门有关业务连续性的管理职责融于一处统筹管理。 目前,国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发与“应急。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性根底上,使灾难应急管理真正适应“应急的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在it部门,远远不能适应业务连续性的需要,应当强调业务部门的参与,与it部门共同构建适应现
14、代金融业开展需要的应急保障体系,确保运营平安。 三、结束语 信息平安工作是一个系统工程,需要决策层、管理层、技术层通力配合,从平安制度建设和技术手段方面着手,加强信息平安意识的教育和培训,增强自我保护意识,采取综合的防范措施,并不断改进和完善平安管理机制。要自始至终强化平安防范意识,采取全面、可行的平安防护措施,把平安风险降低到最小程度。金融业信息平安事关经济金融的稳定大局,责任重大,金融业要未雨绸缪,认真贯彻落实国家信息平安的工作要求,加快建立完备的平安防护体系,积极应对挑战。 人民银行应以科学开展观统领金融业信息化建设全局,充分发挥科技在履行央行职能中的支持、保障、指导、协调作用,全面推进金融业信息化建设,为促进我国经济平稳运行发挥重要作用。 第9页 共9页