摘要:本文从银行业关键信息基础设施现状分析入手,探讨了地方法人银行关键信息基础设施保护面临的问题和困难,从组织架构、制度管理、信息共享、灾备建设、人员建设、应急机制等方面提出一套区域银行业关键信息基础设施保护的方法建议。
关键词:法人银行;关键信息基础设施;存在的问题;相关建议
引言
随着信息化进程的不断推进,关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出。银行业网络及信息系统作为纵联全国、横跨国际的行业信息基础设施,更是承载着关系国计民生的重要业务。
1关键信息基础设施的定义和范围
要做好关键信息基础设施的摸底清查工作,就首先要明确关键信息基础设施的定义和范围。根据《中国人民共和国网络安全法》的有关规定,结合中央网信办下发的《关键信息基础设施确定指南(试行)》这一文件内容,我们将地方法人银行关键信息基础设施的界限定义如下:地方法人银行数据中心(生产中心、同城灾备中心、异地灾备中心)、提供公共金融服务的重要系统和承载这些系统的网络。
2地方法人银行关键信息基础设施中的问题
2.1灾备覆盖水平仍然较低
目前,地方法人银行对同城机房、异地灾备机房和重要业务系统进行了风险控制和灾备建设,但由于技术路线、资金投入和地域限制等问题导致重要业务系统的灾备覆盖率依旧较低,不能满足在自然灾害或人为灾难发生系统、应用和数据的及时恢复。
2.2资金投入有限且收效较低
地方法人银行科技资金的投入滞后于总的资金投入,据统计其科技资金投入规模和总体资金投入规模相比较为滞后。投入到关键信息基础设施建设的资金仅为科技资金中的一部分,同时这部分资金还要满足基础设施运维外包费用。不同的法人行都在进行各自的关键信息基础设施建设,而这种建设很大程度上是互通和重复的,并且占用了有限的科技资金,因此应该提高科技资金的使用效率。
2.3信息基础设施软硬件依赖国外产品
由于信息技术与先进国家的巨大差距,法人银行关键信息基础设施产品和核心网络产品,大量依赖非自主可控的国外信息技术和产品来建设和运行,特别是核心软硬件产品国产比率较低,暴露了基础设施软硬件产品的软肋,成为信息安全的隐患。因此,地方法人行应逐步完成关键基础设施核心产品和信息安全产品的国产化替代工作,以便在日益激烈的信息安全形势面前占据有利地位。
2.4网络边界持续融合带来的风险
法人银行信息化应用的多元化导致网络边界的持续扩展和融合,而信息安全技术和产品的发展使得网络融合被银行所接受。银行业务的创新和生产的要求导致通过单纯的“物理隔离”的方式进行网络之间的隔离和边界划分的现象在逐步减少。通过信息安全产品和网络安全产品进行网络之间的控制和划分已经成为主流的边界控制方式。因此过去依靠对网络通过“物理隔离”的方式进行安全管理和病毒防控的工作方式面临挑战,网络人员和安全人员难以通过隔离来保证内部网络的安全性。
2.5横向协作程度较低
关键基础设施保护工作在银行内部的各部门之间能够顺利开展,通过本机构信息安全领导小组的组织和协调,在风险测评、信息安全检查、内部审计等方面的工作能正常进行。但是纵向来看,法人行和各级职能部门如人民银行、银监局、网信办、公安局之间的信息共享、联合工作、组织协调方面却缺乏畅通的沟通和协调机制。
期刊文章分类查询,尽在期刊图书馆
正是因为沟通和协调机制的不畅通,导致其各自为战,将有限的资金和人力资源用过多的用在重复工作和重复的建设。并可能因为信息不对称、沟通不及时不畅通,导致银信息安全风险的出现。
2.6信息安全综合形势复杂多变
网络融合和金融科技的发展致使法人行科技人员直面互联网上错综复杂的信息安全局面。这就对银行机构科技从业人员的素质和技术提出了更高的要求,信息安全人员的技术水平、专业团队的支持能力、信息安全事件的反应速度都在信息安全的复制形势下被不断放大。
3相关工作的建议
在当前形势下,信息安全事件逐步趋于专业化,组织化、多元化、隐秘化的方向发展,信息安全人员的技术水平、专业团队的支持能力、信息安全事件的反应速度都在这种复制形势下被不断放大。因此,需要从组织架构、制度管理、信息共享、灾备建设、人员建设、应急机制多方面进行系统建设和综合考虑,以整体提高地方法人行面对信息安全风险的防控和故障恢复能力。
①根据《中华人民共和国网络安全法》要求,结合地区及行业特性,由监管部门制定区域性的安全管理规定,优化区域内法人行关键信息基础设施相关标准规范体系建设,突出行业内部和跨行业信息基础设施界定及互联互通等标准规范建设,提升标准建设质量和水平。
②对网络安全信息共享等关键信息基础设施保护的核心要求予以制度化。其中主要包括地方法人行的联络机构设置、安全风险预警、安全信息共享等系列制度。明确安全信息共享的主体、内容、范围、程序、公开等问题。建立跨部门、跨行业的信息共享机制,与银监、通管局、网信办、公安局等部门密切合作,及时通报国内外重大安全事件和安全威胁,共享区域银行业机构良好的信息与实践经验。
③由监管部门统一协调,做好等级保护事前、事中、事后的防护工作。一是加强事前防护,完善符合区域及行业关键信息基础设施运营机构实际情况、具有预防性、自学习和实时响应特点的防护体系;加强合规管理,做好等级保护工作,落实等保测评要求,针对等保测评中发现的问题,进行跟踪,直至解决。加强事中检测。加强金融业相关标准的监督和检查工作,定期开展风险检测。通过开展风险检测与检查,检查合规性管理的缺失,发现系统安全设计的缺陷,挖掘软硬件中隐藏的技术漏洞。三是提高事后事件响应、处置及追溯能力。根据等保要求,做好应急演练,提高应急演练的真实程度、突发性和深度;优化应急预案,运用适合银行特点的响应方法、结合演练情况优化“关键路径”;与内外部相关方合作提高银行的事件追溯取证能力和合法合规水平。
④健全跨部门协调工作机制、区域应急协调响应机制。包括成立区域应急响应小组,负责协调通信运行商、网络服务提供商、安全提供商、政府机关和监管机构等。在自愿的前提下,统筹区域法人行的管理资源、软硬件资源、人力资源,实现应急情况下的“最优路径”。
⑤由行业监管部门统一整理出台安全指南和实践,提升区域法人行整体安全状况,如软件开发过程的控制、重大项目上线前的安全风险评估、安全可控产品和服务的推广、统筹规划的灾备中心等,并将通用性措施形成最佳实践进行推广,选择最大投资回报的措施来进行预防、保护、响应和恢复的活动。
⑥夯实法人行安全队伍的建设,建立区域性安全人才库,注意关键信息基础设施保护的技术支持和专业人才。加强地方法人行整体与网络安全专业技术队伍的合作机制,形成区域行业安全综合防御体系。
⑦加强关键信息基础设施监测技术手段能力建设,整合现有资源,建立区域SOC(信息安全管理中心),为地方法人机构和行业主管部门提供决策分析和应急响应工作平台。
4结语
银行业信息化程度高发展,对信息技术的依赖性持续增强,关键基础设施一旦遭到破坏,不仅可能导致大规模的财产损失,甚至可能威胁社会稳定。而地方法人银行由于体量小,资金投入有限等原因导致在相关保护工作中存在许多问题。因此必须由行业监管部门牵头,结合地方实际开展切实可行的关键信息基础设施保护工作,保障地区金融业的安全和稳定。
作者简介:
卓林(1986-)男,汉,江苏徐州铜山县人;硕士,工程师,从事智能化信息处理工作。
论文作者:卓林
论文发表刊物:《基层建设》2017年第36期
论文发表时间:2018/4/9
标签:基础设施论文; 信息论文; 关键论文; 信息安全论文; 法人论文; 银行论文; 工作论文; 《基层建设》2017年第36期论文;