應(yīng)茜羽

8月16日,聯(lián)邦政府控告一名28歲的美國人Albert Gonzales及其兩名俄國同伙入侵包括便利商店7-Eleven在內(nèi)的五大企業(yè)的計算機系統(tǒng),并竊取1.3億張信用卡及簽賬卡資料。正是金融行業(yè)的安全系統(tǒng)中存在的巨大漏洞,讓黑客有了可乘之機,這給國家和個人都帶來不可彌補的損失。

2009年9月3日召開的第十屆中國金融發(fā)展論壇上,中國人民銀行行長助理李東榮、中國銀行業(yè)監(jiān)督管理委員會創(chuàng)新部主任李伏安、中國保監(jiān)會副主席魏迎寧共同指出了目前金融行業(yè)所面臨的風(fēng)險防范等問題。金融行業(yè)的風(fēng)險防范大多是跟技術(shù)和運營層面相關(guān),而風(fēng)險防范最大的核心部分就是信息安全。如何控制風(fēng)險、確?！鞍踩币殉蔀槲覈鹑谛袠I(yè)面臨的重大課題。

金融行業(yè)危機四伏

隨著金融行業(yè)的不斷發(fā)展,金融管理全面實現(xiàn)了電子化,服務(wù)品種不斷增加,網(wǎng)上銀行、電話銀行、網(wǎng)上證券、網(wǎng)上保險、移動炒股等產(chǎn)品不斷涌現(xiàn)。但是,多樣化業(yè)務(wù)在給客戶帶來方便的同時,金融行業(yè)的風(fēng)險也呈現(xiàn)出復(fù)雜多變的特征。無論是敏感信息泄漏還是個人身份泄漏,金融行業(yè)都位居前列。

過去提到安全會首先考慮到設(shè)備安全、終端安全,而現(xiàn)在考慮更多的是設(shè)備里面的數(shù)據(jù)。賽門鐵克公司中國區(qū)技術(shù)總監(jiān)李剛分析說,目前金融行業(yè)的核心信息正面臨著兩種安全挑戰(zhàn):

1.金融行業(yè)中90%的侵入事件都是有組織犯罪。這種帶有目的性的犯罪防不勝防,造成的損失也特別大。

2. 犯罪分子不是簡單侵入系統(tǒng),他們的目的是要在里面尋找所要的、容易獲取的信息。調(diào)查顯示,67%的信息泄漏都是由于內(nèi)部員工的無意識行為造成的。企業(yè)敏感信息的隨意存放,造成了信息竊取更加容易。

李剛說:“核心信息面臨的安全挑戰(zhàn)大都是由于內(nèi)部的監(jiān)管和策略執(zhí)行沒有很好地完善?！闭{(diào)查顯示,81%被攻擊、被竊取客戶信息的機構(gòu),都沒有按照銀行支付卡的標(biāo)準(zhǔn)執(zhí)行。

“風(fēng)險管理‘三分靠技術(shù),七分靠規(guī)章。但在實際操作中,我們看到,項目是項目,規(guī)章是規(guī)章,規(guī)章很難真正地得到落實和遵守。因此,只有將技術(shù)和規(guī)章很好地結(jié)合起來,并落實下去,才能實現(xiàn)有效的風(fēng)險管理。”李剛表示。

優(yōu)化安全 加強IT治理

“優(yōu)化安全這個思路就要迅速地把原來薄弱的地方做強,把它更進一步完善?！?李剛說。針對目前金融行業(yè)的安全現(xiàn)狀,李剛總結(jié)出了優(yōu)化安全的三個基本環(huán)節(jié):

1.加強基礎(chǔ)架構(gòu)保護?，F(xiàn)在對基礎(chǔ)架構(gòu)主要的攻擊手段有兩個,通過郵件發(fā)起攻擊和通過網(wǎng)頁發(fā)起攻擊。調(diào)查顯示,基于網(wǎng)頁發(fā)起的攻擊每年新出65000多種,其中90%攻擊的系統(tǒng)漏洞都是6個月以上的漏洞,比如這個漏洞是來自瀏覽器的,瀏覽器廠商對這個漏洞的公告和相應(yīng)的修復(fù)已經(jīng)發(fā)布了6個月,但還是被利用。所以金融企業(yè)一方面要加強基礎(chǔ)架構(gòu)本身的安全防護,防病毒、防木馬;另一方面要加強終端的管理,進行人員訪問控制。這兩方面綜合使用,可以鞏固基礎(chǔ)架構(gòu)的安全。

2.加強基礎(chǔ)架構(gòu)的同時,更要加強信息保護。以數(shù)據(jù)為對象增加新的保護層次,不僅停留在基礎(chǔ)架構(gòu)上,還要把注意力集中到數(shù)據(jù)上。用戶安全意識淡薄、人員管理不當(dāng),都會造成安全威脅。但是單純地用“堵”的方法控制信息安全是不可行的,例如禁止聯(lián)入外網(wǎng)、禁止接入移動設(shè)備,而是需要從整體來考慮。金融行業(yè)敏感信息的保護,要從根本上建立起員工的安全意識,更要進行有效的監(jiān)控。

3.用技術(shù)支持法規(guī)遵從。法規(guī)遵從需要信息技術(shù)來支撐它實現(xiàn)制度制定強化和和制度核實的自動化。通過自動化的手段及時給監(jiān)管層提供報表,是中國金融行業(yè)推動法規(guī)遵從建設(shè)重要的技術(shù)支撐,否則法規(guī)遵從只會停留在原則上和方法論的討論上以及規(guī)章制度的建設(shè)上,而落地就很難。

賽門鐵克公司副總裁、大中國區(qū)總裁吳錫源提出了未來金融行業(yè)風(fēng)險控制的三大熱點:以準(zhǔn)入控制為手段的強制性終端安全遵從;以數(shù)據(jù)恢復(fù)審計為驅(qū)動來整合數(shù)據(jù)備份流程;以信息泄漏審計為線索來梳理安全體系建設(shè)。另外,整合安全管理、安全運維和安全審計,實現(xiàn)風(fēng)險管理的自動化和常態(tài)化,也是未來金融業(yè)發(fā)展的方向。