Top
首页 > 老文章 > 正文

农商行陈扬宁:区域银行信息安全规划与建设

2010中国金融科技大会---区域性银行信息化发展研讨会上,北京农村商业银行信息技术部副总经理陈扬宁发表了题为“区域银行信息安全的规划与建设”的演讲。
发布时间:2010-09-10 09:55        来源:        作者:赛迪网
【赛迪网讯】9月10日消息,“2010年中国国际金融(银行)技术暨设备展览会”于2010年9月9日在北京展览馆召开。本次金融展以“融合创新,稳健运营”为主题,更好地利用现有资源和优势,发挥信息技术在金融领域以及对经济发展的巨大推动作用。 在10日上午举行的2010中国金融科技大会---区域性银行信息化发展研讨会上,北京农村商业银行信息技术部副总经理陈扬宁发表了题为“区域银行信息安全的规划与建设”的演讲。 陈扬宁:各位来宾,各位领导,早上好,今天非常有幸被邀请到金融大会参加这个会,在会议上有机会跟大家一起探讨有关农商行近年来在信息安全方面发展的经验和教训,希望给大家带来一定的借鉴作用。同时我演讲过程中有些不当之处请各位多提宝贵意见。 我今天介绍的主要是信息安全规划和实施,因此这方面我想从四个方面跟大家探讨。第一,有关信息安全存在的问题和挑战。第二,整个信息安全发展过程中,我们总体的规划及思路。第三,实施的路线图。第四,针对整个规划内容,一些要点跟大家做一些探讨。 首先讲信息安全的问题和挑战。 随着近年来金融监管机构对银行业加大监管的力度,同时从06年到10年逐步出台了有关加强银行业的金融机构信息安全保障工作的一些指导意见,包括07年信息安全等级保护管理办法,以及09年商业银行信息科技风险管理指引,从制度方面,包括实际行动方面,逐渐加深对银行业信息安全的监管,同时对银行业的信息安全进行了更高的要求。 其次在区域银行信息安全建设方面整体的水平相对落后于股份制商业银行,主要表现在,因为股份制商业银行经过04年、05年左右核心系统、后台管理系统的一些改造开发,信息化发展水平相对比较高,同时信息安全体系相对比较健全。而我们区域银行在这方面主要体现在,我们整个信息化建设的发展是落后于业务的发展,因为涉及到一些投入,涉及到一些信息方面的议程,所以整个投入上、发展上依然落后于股份制银行,而且还落后于自身业务的发展,因为在这方面我想很多区域银行逐渐逐年在信息化方面加大投入。 其次,随着区域银行业务的发展,安全的隐患出现。比如原有的机房的选址,安保措施、供电等等,无自身的异地备份中心。因为前期没有灾备中心,数据中心发生断电的情况,数据就面临写危险。其次对信息安全的缺乏意识缺失,比如对诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再就是在整个相对来说区域银行未来发展网银,我们自己认为安全要求比较高,从我们分析来说,我们安全做得跟股份制银行来说做得比较好,其实是我们自己的网银这一块知名度不高,所以很少人关注这方面发生的案件。但是随着业务的发展,银行知名度的发展越来越提高,越来越关注你的网银,关心你的业务的时候,你的电子渠道的一些隐患,安全隐患逐渐就会提到更加高的高度上。 第三点,有关运行维护这一块,因为区域性银行相对技术管理能力不足,目前较多依靠系统承包商,人力风险明显。这几个方面,我们认为区域银行这一块还是跟股份制相比差距还是比较明显。 在整个信息安全的风险发展趋势来看,随着业务的开放化,在网银、电子银行等业务渠道对互联网的开放,对整个信息安全的管理、技术控制提出了更高的要求。还有一些关于互联网访问终端的无意识的信息泄露,造成攻击等等,都可能对整个区域行业的发展带来一些安全的隐患。攻击的成熟化,因为现在有很多大量的自动化的攻击工具可以在互联网上下载,造成整个攻击的成本逐渐下降。从我们的分析来看,发现我们遭受的攻击越来越多,手段和方法也更多了,对我们的要求更高了。软件的多样化使漏洞数量超过了操作系统,对于整个应用系统来说补丁怎么打?我相信在座应该很清楚。关于利益的驱动,这方面无论是区域银行还有所有银行都面临这个问题,包括股份制商业银行都是这样,还有内部员工、第三方人员,掌握一些信息权限等等,谋取一些非法的收入。06年发生过一起,某家公司掌握一些有关ITM开发、维护的权限,因此在他离开公司的时候,就利用这个权限进行大量客户的侵袭。在人民银行这一块,也提高了未来整个银行业有可能还要发展IC卡。 信息安全建设的关注点,趋势也发生变化。传统的基于网络的防护依然是基础,但是关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。高效的信息管理,安全的信息管理已经成为区域银行需要密切关注的问题。其次区域银行也开始重视评价信息安全的风险,关注信息安全的监控和综合分析。随着危险不断的变化,使区域银行在安全方面的投入更加注重长期性,而不是短期的一次性投入,因此以技术平台支撑的合规管理工作正在越来越受到重视。最后业务的发展对系统和数据的高可靠性要求不断提高,安全威胁的破坏性越来越大,区域银行需要在系统和数据的可控性方面不断优化和改进。这一点从奥运会开始,这方面相关的问题越来越提上比较高的高度上。 基于刚才谈的一些问题,我们行的一些总体规划思路是这样的。 首先规划的出发点是以信息为核心,大家可以看到中间这一块,这是信息,以信息核心,信息的管理包括哪些?包括信息的分类、分级、归档、审计、内容安全、保密等等,是以信息为核心的,下面IT的基础架构以及上面的业务。 规划的原则首先第一个就是整体规划应该能够应对变化,整个信息安全建设规划要有相对完整全面的框架,以应对当前安全威胁的变化趋势。因为我们在变化,其次整个信息安全的安全威胁也在变化,动态的。其次,立足于现有能力的提升,在我们现有的信息安全基础上来完善我们的IT基础架构的安全建设,优化、调整和挖掘潜力,提升整体信息安全的保障能力。第三点着重信息重点防范,以信息安全治理为工作目标,防范有意无意的数据泄露,作为今后的工作重点,已经加强了信息安全防范的意识。 总体规划的目标是什么?第一,以安全治理为方针,我们安全工作的目标是什么?就是对我们信息安全环境的不断治理和完善,注重不断治理发展的长期性。第二,以信息安全为核心,因为我们银行最终保障的是银行的业务,业务的关键内容是什么?就是围绕业务的各种数据和信息,因此我们认为信息安全是核心。第三,可管理的IT架构为基础,不可管理的本身就是一个不安全的隐患,因此我们对IT架构首先基于可管理性。其次支撑IT系统的基础架构和设施应该以可量化管理,可流程化的管理和目标,来提升我们安全支撑和保障的能力,因此我们规划了基于一个方针、一个核心为基础来做。 大家可以看到右边是信息安全框架,我们是建立在三大支柱上的,一个运维体系、管理体系和基础安全。信息安全的风险的管控,法规遵从落实,相关的法律法规从05年开始完善,更加细化。安全体系的建设。因此整个信息安全工作的内容,像我刚才说的,以信息安全为核心,目的就是安全的治理,基础是IT的基础架构。包括哪些内容呢?最上层是安全治理,包含了安全的监控、合规管理、审计管理、IT资产服务管理等内容,这是一个长期持续性的工作目标,依赖于三大支柱技术体系的支撑作用。最当中一个是最核心的,就是信息安全,数据内容、数据安全、操作的安全,还涉及数据传输的保护、内容安全、泄露防护等技术手段。这是我们整个规划有关工作目标的核心是我们的重点。基础架构安全是整个设计核心的基础,包括在整个IT系统中承载信息和软硬件系统设备的管理,其次范围要涵盖各方面的专业性、结构性和管理性各方面的内容,是我们整个安全建设关键和基础。 谈了整体规划以后,谈一下实施的路线图。我们阶段性实施以刚才提的,以安全治理为方针,信息安全为核心,可管理的IT基础架构为基础,分了三个阶段。 首先第一个阶段是打基础,基础设施的专业性安全建设在推广,结构性安全的优化提升,包括前期跟大家介绍我们行现在数据中心从原有的数据中心建了自己新的数据中心,建立自己的灾备中心。在第二阶段,主要初步实现对安全风险集中的管控和分析。其次数据和内容安全建设为重点,完善和提升基础设施的可管理性、安全建设。第三阶段,以合规管理为重点,加大对信息安全风险全面的把控,完善基础设施全面的自动化、标准化的流程。 农商行体现安全建设的现状,我们安全管理建设起步相对有点早,大概05年、06年启动的,有一定的基础。我们特地参加了安全等级保护的第一家试点的银行,对人员安全的管理制度,包括流程化管理、安全技术产品等等一些日常的维护工作流程基本上能满足等级保护的要求。在技术上,也采用一些比较全面的,多种技术,提供稳定、安全的防护作用。我们的网银应该是07年上线的。我们已经建设了在IT架构基础的安全上,我们对服务器安全和网络安全做的基础工作相对比较多,在信息安全这一块,数字权限管理等做了一定的工作。在安全治理方面以前设立的比较少,因此下一阶段要提升的主要是安全技术架构这一块,有关终端的安全等有待于进一步的提升。在信息安全这一块,有关内容审计、数据加密等,在今后第二、第三阶段将要完成这项工作。在安全治理方面,安全的监控,集中化监控,审计的管理,IT资产的服务等等,我们也将完善。 我们现在存在一些问题和目标在哪呢? 首先,缺乏信息安全的专门主管队伍和相应的组织队伍。大家知道,区域银行整个信息管理部门人数并不多,在这一块不一定各家银行都很重视,所以相关专业的主管部门并不一定存在,这个并不符合监管部门的要求,监管部门专门提到,一定要有专门的管理队伍,这一块对我们来说也是一个困难和挑战。 其次,这造成整个安全工作分散在若干部门,安全这一块每个部门都管,造成一个现象,其实大家都管,其实大家都不管。就是大家都有责任,最后都没有责任。信息安全依赖于各个部门的自觉性,没有总体的规划性。这是我们为什么做信息安全规划的原因,我相信这个问题在其他的银行应该也是存在的。 第三,安全规划的整体性相对比较弱。因为大家多没有相关的经验,刚开始做,经验还是比较薄弱,但是有一点我觉得,至少我们做得越晚,我们应该站在巨人的肩膀上,因此我们会做得更加完善,更加完备,做得更加好,有可能我们的安全治理会做得比别人发展得更快,我相信这一点应该能做得到。特别现在银行业差异化发展的过程中,信息化发展应该也是差异化,有可能部分方面我们会做得更好。这是我觉得区域性银行后发有可能先进的可能性是存在的,所以我在想整个信息安全的规划做好的情况下,在今后的发展过程中,区域银行完全可以说我们的信息安全这一块做得不亚于其他银行,有可能我们的服务产品、服务内容、服务的东西会比他们少,但是我们安全可靠性这一块会走在前面。 最后,整个信息安全技术建设需要以全面的安全治理和信息核心的建设目标为目的,不能偏离核心和目标。 基于上面的安全现状和下一步的发展,我们认为分三个阶段来工作的计划,分三个内容。一个管理目标,还有技术的内容和制度流程,从三个层面谈三个阶段的重点。 第一阶段,在管理目标上主要以防入侵为重点,实现终端四大安全防控目标,加强对互联网访问管理。这还是资金推动的问题,一个是各个行对安全管理的意识不足,第二还是资金推动的问题。目的是提升整个系统和数据的恢复能力,在技术内容方面要采用一些终端防护,还有一些数据恢复等等。在制度流程这一块,制定完善一些终端方面的防护策略和规范,互联网接入及安全的防护规范,以及系统运行维护操作规范。因为在这一块,为什么说是第一阶段工作的重点?互联网的应用近十年如火如荼,现在已经到了移动时代,现在到了IPAD,一路发展下来已经到手机上,手机银行发展下来,对于区域银行还落后很多。这一块怎样加强对移动终端的安全管控,对我们相关业务的技术支持?在这一点是第一阶段我们基础的工作,这一块要做好。 第二阶段,从管理目标上主要以防不良访问、外侵为重点,全面实现互联网安全访问工作,严防数据的外泄。同时在这个过程中加强对内部用户的身份管理和资产标准化管理,最终优化系统数据的管理。我们有统一身份管理系统,系统和数据的加固等等,在这一块应该说放在第二阶段,在一定基础上应该是可以实现的。相关制度流程这一块也涉及了很多,就不一一加以介绍。 第三阶段,管理目标,深化数据安全建设,实现合规管理、全面监控为重点的安全治理工作,完善IT服务流程的管理。我们有几个办法,一个是敏感数据加密,合规管理技术支持平台建设以及资产生命周期标准化管理支持平台建设。这个放在第三阶段,基于我们现状来说,还是有一定的难度。相关制度的完善,主要有关技术类安全的规范,管理类的合规检查等等,这里面可以基于人民银行发相关的制度规范,还有银监会发的规范制度。 针对刚才的工作计划,我们的工作进度就把它图形化跟大家介绍一下,大家可以看到,最上面是安全治理工作,主要从三阶段。第一,基础架构,信息安全工作面向第二、第三阶段,就是在一定的基础上才能谈信息安全。 最后根据规划内容有一些要点跟大家简要提一下。 首先,我是从三个方面看的,一个管理方面,一个技术方面,还有维护服务方面。分三个方面,一个基础架构,管理上要制定配套的制度流程,不断优化和完善,这也是一个长期的过程,我们的制度是固定的是错误的,其实制度的变化也是很重要的。像我们早年一样,05年发的制度,到06、07年还合适吗?我觉得也不一定非常合适,一定要不断完善。具体的制度和规范就不一一列举了。 在技术这一块,我们在IT架构这一块,第一年实施了,所以着重于终端的安全、网络准入、服务器安全、资产标准化、统一身份管理和架构数据等等,从这几个方面来看,着重还是一种技术的投入,所以这一块基础是很重要的,但是基础的投入更重要,有了这个投入以后才能在后面更强。 在维护服务这一块,因为前面说了,对于区域性银行来说技术不够,那么面临核心业务,人员安全的问题,肯定是不可避免,怎样面对呢?因此对我们安全架构来说,从这点来说,基础上是怎么样开始实施的,在这里面有所涉及。 第二方面,信息安全架构,信息安全规划实施要点,从管理上、技术上、维护与服务上。管理上主要是制度的制定和完善。技术上第二阶段做主要涉及数据、邮件安全、网页,主要互联网这一块,应该是第二阶段的重点,以及一些数据版权、数据加密等等,在技术方面需要加大投入。第三方面维护服务这一块,跟第一阶段不一样,主要提升在服务的内容有所区别,服务的方式有点改进。 第三方面,第三阶段做的安全治理规划实施要点。这里面主要是,前面管理这一块制度和规范相对较少,第三阶段主要是制度和管理这一块,制度规范越来越多,这说明我们的管理到了一定的阶段,我们需要更多更细化的管理制度和规范。在技术上主要体现在平台化的建设,集中化的管理和平台化建设,包括安全事件的监控,审计的平台,合规管理的平台,以及资产生命周期管理平台等等,主要是集中化和控制。在维护这一块主要基于整个平台性的。所以通过三个阶段不同时间的治理,使我们逐渐从对信息安全的基本上薄弱不足逐渐强化,使我们可以逐渐走向中国,走向全国,这是我们一个目标,因为我在想区域性银行,对于银行本身来说并不想自己局限于某一个区域,包括北京农商行,虽然没有在北京以外开分行,但是在其他地方也开了村镇银行,我们是中国第一家开村镇银行的,我们迈出了第一步,下一步怎么迈?这就需要IT方面的支持。 非常感谢!

(责任编辑:刘璨)

加载更多

专题访谈

合作站点
stat