银行与经济发展密切相关,银行信息系统建设也始终围绕更好地为客户经济活动提供金融服务展开。在“走出去”、客户全球化、交易电子化、服务无界化的大背景下,银行业将面对如何在更开放的环境中提供安全金融服务的挑战;信息技术的迅猛发展,打破了原有的业界信息安全基准,公认的验证完整性的MD5算法也已在云计算的背景下被证明存在安全缺陷,云计算的兴起,提供了充足的计算资源,使得暴力破解密码更为轻松,网上唾手可得的攻击工具和有组织的金融犯罪等均对银行信息安全防护提出了严峻挑战;同时,面对错综复杂的金融环境,合理平衡安全与易用的关系,在保障客户资金交易安全的同时兼顾客户便利也是银行业面对的长期挑战。
单纯的防御已显得力不从心,面对挑战,银行业正采取更加积极的态度去面对,跟踪信息技术发展趋势,及时淘汰落后的信息安全技术和产品,更新信息安全技术和安全产品选用策略,完善信息安全技术和安全产品使用指南,提升信息安全防护能力。主要表现在:
1)将安全防线前移,在客户端引入安全扫描等机制,主动评价客户平台安全状况,加强客户平台准入管理,增强客户异常行为检查,通过识别客户交易时段、地点、交易频率及额度等信息,提前预警防范风险;加强纵深防御,在防线前移的同时,增加后台安全管理手段,建立业务安全监控机制,及时识别危险账户和客户异常行为,实现技术防范与业务交易安全监控联动,更有针对性地防范风险。
2)全面贯彻银监会对等级保护和信息科技风险管理的主旨思想,根据《商业银行信息科技风险管理指引》的要求,按照信息系统承载的价值、一旦失效对客户和社会的影响进行信息系统等级划分,针对不同等级的信息系统采取相应的安全等级保护。同时,应用等级化保护策略,对客户账户类型和客户风险承受能力进行安全等级划分,区别设置验证策略和监控防控手段,更人性化、更安全地提供金融服务。(www.xing528.com)
3)大力改善基础设施。近年来,银行持续推进灾备中心建设,组织制定了信息科技服务连续性建设近、中、远期目标,明确了生产与灾备中心布局策略及总、分行信息系统灾备建设策略,确立了信息系统灾备分级及恢复策略,完成了信息科技系统灾备总体方案,明确了灾备体系实施路径。目前,各商业银行数据中心均符合国家最新A类机房建设标准,数据中心运行环境得到了极大改善;银行分布在全国的各家分行机房也在陆续的改造和设备更新中,逐步消除了机房容量不足、设备老化、电力保障薄弱、缺乏双回路等隐患,改善了我国银行信息科技运行环境。
4)开展重要信息系统风险排查和整改优化。各商业银行能够有效落实银监会发布的风险警示,吸取业界信息安全事件经验教训,对信息服务的关键系统进行了全面梳理,组织系统失效点排查、系统高可用性设计分析、服务接口安全风险分析,评析系统故障发生后的业务影响,制定系统优化改进方案,组织系统优化,增强系统可用性。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
