謝　越

隨著信息技術(shù)的發(fā)展和金融信息化進程的推進，金融對計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)依賴程度越來越高，以計算機和網(wǎng)絡(luò)為代表的信息技術(shù)已越來越深地滲透到金融界的各個領(lǐng)域，并取得了顯著的社會效益和濟濟效益。據(jù)統(tǒng)計，95％的金融創(chuàng)新的實現(xiàn)都是來自信息技術(shù)的。但我們也應該看到，在信息技術(shù)給銀行業(yè)務(wù)帶來不斷擴展和創(chuàng)新的同時，由于其本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)安全的脆弱性，給銀行帶來了一系列新的不安全因素。一旦防范不力或處置不當，將給銀行業(yè)造成重大的資金損失、數(shù)據(jù)泄密、及銀行信譽損傷的風險。

風險管理是當前銀行經(jīng)營活動的主旋律。在銀行界越來越依賴于信息技術(shù)的情況下，信息風險監(jiān)督成為銀行信息化風險管理不可忽略的重要組成部分。雖然各銀行都有自己的信息安全主管部門，他們是信息安全的建設(shè)者、維護者，對信息安全有著豐富的現(xiàn)場經(jīng)驗與專業(yè)經(jīng)驗，但在他們身兼運動員和裁判員雙重身份的同時，已不足以向最高管理層保證信息安全的有效性。因此，建立科學的信息風險監(jiān)督機制，對加強銀行風險管理，確保銀行信息系統(tǒng)的安全、穩(wěn)定、持續(xù)有效地運行，就顯得尤為重要。

一、信息系統(tǒng)風險監(jiān)督的概念及意義

信息風險監(jiān)督是指對特定環(huán)境中的信息系統(tǒng)及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進行監(jiān)督，進而對其安全性進行風險分析、評估，找出潛在的致命缺陷和易被忽略的問題，為信息系統(tǒng)的安全設(shè)計，選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)。信息風險監(jiān)督的內(nèi)容包括信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、技術(shù)安全保障和安全管理控制五個部分。

信息風險監(jiān)督是信息安全的基礎(chǔ)性工作，它是對信息系統(tǒng)的運行過程，進行安全監(jiān)察、分析的一個持續(xù)工作，是分級防護和突出重點的具體體現(xiàn)。風險監(jiān)督對信息安全具有非常重要的意義：首先，它能摸清情況，評判保護措施，可對信息安全有關(guān)的決策產(chǎn)生決定性的影響；其次，它是信息安全規(guī)劃的重要依據(jù)；第三，后評估是改進信息安全工作的依據(jù)和出發(fā)點。即：進行風險評估后，可以認清信息安全環(huán)境、信息安全狀況，有助于達成公式，明確責任，采取或完善等級保護、分級管理、分類指導等各種安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性；第四，它是制定信息安全策略和戰(zhàn)略的基礎(chǔ)。因此，信息風險監(jiān)督作為加強信息安全風險管理的重要組成部分，在整個銀行業(yè)信息風險管理中具有極其不可動搖的地位。

二、信息系統(tǒng)脆弱性的客觀存在需要風險監(jiān)督

信息系統(tǒng)安全是相對的，沒有絕對的安全系統(tǒng)。它具有時效性、復雜性和不可避免的特點。隨著新的漏洞與攻擊方法的不斷發(fā)現(xiàn)，原來的安全的系統(tǒng)霎時變得危機四伏；加之，由于技術(shù)發(fā)展的局限和人類的能力限制，在程序設(shè)計之初人們不能認識所有的問題，失誤和考慮不周在所難免。因此，為了實現(xiàn)信息系統(tǒng)的安全、穩(wěn)定運行這一目標，就必須采取一系列的安全制度和技術(shù)保障方法，對信息系統(tǒng)風險進行事先防患、事中控制、事后監(jiān)督及糾正，以化解因信息系統(tǒng)的脆弱造成的金融風險。信息系統(tǒng)的脆弱性主要表現(xiàn)在以下幾個方面：

1、信息系統(tǒng)軟硬件本身存在著很大的脆弱性。一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預測的自然環(huán)境因素，如火災、水災、地震、戰(zhàn)爭等不可抗拒的自然災難。另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類的能力限制，面對龐大的操作系統(tǒng)、復雜的應用程序，在設(shè)計之初人們不能認識所有的問題，失誤和考慮不周在所難免。

2、銀行數(shù)據(jù)傳輸網(wǎng)絡(luò)的脆弱性。隨著金融網(wǎng)上業(yè)務(wù)的拓展，網(wǎng)上銀行、移動銀行、電子商務(wù)等，已成為銀行追逐的利潤增長點。銀行業(yè)務(wù)系統(tǒng)要順應開放和互連的趨勢，其信息安全范疇已經(jīng)突破了以業(yè)務(wù)系統(tǒng)物理隔離和協(xié)議隔離為基礎(chǔ)的傳統(tǒng)銀行信息安全，在公網(wǎng)環(huán)境下防止黑客、病毒的破壞，在Internet上保證金融數(shù)據(jù)的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。

3、安全技術(shù)保障的欠缺。當前我國金融界的信息安全建設(shè)中存在著：整體安全系統(tǒng)建設(shè)的欠缺；內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范的欠缺；智能與主動性安全防范體系建設(shè)的欠缺；全面集中安全管理策略平臺定制方面的欠缺。

4、信息風險是動態(tài)變化的，安全是相對的。只有在特定環(huán)境與特定配制下的安全，技術(shù)的發(fā)展和環(huán)境的變化使系統(tǒng)安全始終處于動態(tài)之中。日常管理中的不同配制會引入新的問題；新的系統(tǒng)組件同樣會引入新的問題，因此對它們監(jiān)督必須長期的，并隨之變化而維護。

三、化解信息風險關(guān)鍵在于管理

我們面臨的信息安全問題還不僅在于IT技術(shù)的脆弱性，更在于不同價值觀的挑戰(zhàn)，在于不法之徒或敵對勢力集團的威脅。解決信息安全三分靠技術(shù)、七分靠管理。因此，加強對信息安全管理體系的建設(shè)是信息監(jiān)督的重要任務(wù)和目的。一個好的信息安全管理體系，離不開以下幾個環(huán)節(jié)：

1、領(lǐng)導的重視。信息安全管理是一個復雜的、動態(tài)的系統(tǒng)工程，關(guān)系到安全項目的規(guī)劃、應用需求的分析、網(wǎng)絡(luò)技術(shù)運用、安全策略制定、人員分工人員安全培訓和規(guī)章制度建立的各個層面。這僅依靠技術(shù)人員的職能是無法完成的，必須有領(lǐng)導的高度重視與親身參與。

2、隨需求確定安全管理策略。隨著信息技術(shù)的不斷發(fā)展，一個完整信息安全策略的制訂和實施，是一個動態(tài)的延續(xù)過程。不同的系統(tǒng)有不同的安全需求，在有限的資金情況下，遵照國家和本部門有關(guān)信息安全的技術(shù)標準和管理規(guī)范，針對本部門專項應用，對數(shù)據(jù)管理和系統(tǒng)流程的各個環(huán)節(jié)進行安全評估，確定使用的安全技術(shù)、設(shè)定安全應用等級、明確人員職責、制定安全分步實施方案，達到安全和應用的科學平衡。

3、全員參與安全培訓。信息安全最大的威脅不是來自外部，而是內(nèi)部人員對信息安全知識的缺乏。人是信息安全目標實現(xiàn)的主體，信息安全要靠全體員工共同努力，否則就會出現(xiàn)所謂的“木桶效應”。因此，加強信息安全培訓和法制教育就顯得尤為重要，通過對計算機安全知識的培訓和法制教育，使他們真正認識到計算機網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問題的長期性和艱巨性，真正了解遵守安全管理制度的必要性和違反制度帶來的后果，從而自覺把遵守規(guī)章制度貫徹到實際工作中去。全面提高全行員工的信息安全的防范能力。

同時，由于信息技術(shù)始終處于不斷的發(fā)展變化中，對信息安全管理員來說也是一個不斷學習、提高的過程，只有通過對安全理論、安全技術(shù)，安全產(chǎn)品培訓學習，才能阻擊各種多樣化的攻擊手段，化解信息風險。

4、狠抓制度建設(shè)和落實。根據(jù)金融信息化建設(shè)的總體要求，逐步健全一套完整的風險安全管理體系，以加強規(guī)范信息管理和制度控制，規(guī)范銀行管理和操作人員的行為，明確具體責任。同時，制定的各項制度要有很強的可操作性，只有這樣，才能保證它的有效實施。如：制定相應的機房出入管理制度，口令密碼管理制度等；制定嚴格的操作規(guī)程，操作規(guī)程要根據(jù)職責分離和對人負責的原則，各負其責，不能超越自己的管轄范圍；制定完善的系統(tǒng)維護制度，詳細記錄故障原因、維護內(nèi)容和維護前后的情況。

總之，通過建立和完善信息監(jiān)督機制和信息風險管理體系；通過各級領(lǐng)導和部門、單位的高層領(lǐng)導統(tǒng)一認識，確立信息安全發(fā)展戰(zhàn)略，培養(yǎng)全社會信息安全意識和企業(yè)、組織與個人的自律意識。筆者相信，在逐步建立、完善信息技術(shù)安全保障體系的情況下，定能有效抑制各種不軌行為，打擊各種計算機犯罪，創(chuàng)建更加“潔凈”的可信綠色網(wǎng)絡(luò)空間，提升人們的生活質(zhì)量，為和諧社會的建設(shè)做出更大的貢獻。

（作者單位：中國人民銀行崇仁縣支行）