信息監督與銀行信息化風險

謝　越

隨著信息技術的發展和金融信息化進程的推進，金融對計算機技術和網絡通信技術依賴程度越來越高，以計算機和網絡為代表的信息技術已越來越深地滲透到金融界的各個領域，并取得了顯著的社會效益和濟濟效益。據統計，95％的金融創新的實現都是來自信息技術的。但我們也應該看到，在信息技術給銀行業務帶來不斷擴展和創新的同時，由于其本身在物理上、操作上和管理上的種種漏洞構成了系統安全的脆弱性，給銀行帶來了一系列新的不安全因素。一旦防范不力或處置不當，將給銀行業造成重大的資金損失、數據泄密、及銀行信譽損傷的風險。

風險管理是當前銀行經營活動的主旋律。在銀行界越來越依賴于信息技術的情況下，信息風險監督成為銀行信息化風險管理不可忽略的重要組成部分。雖然各銀行都有自己的信息安全主管部門，他們是信息安全的建設者、維護者，對信息安全有著豐富的現場經驗與專業經驗，但在他們身兼運動員和裁判員雙重身份的同時，已不足以向最高管理層保證信息安全的有效性。因此，建立科學的信息風險監督機制，對加強銀行風險管理，確保銀行信息系統的安全、穩定、持續有效地運行，就顯得尤為重要。

一、信息系統風險監督的概念及意義

信息風險監督是指對特定環境中的信息系統及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進行監督，進而對其安全性進行風險分析、評估，找出潛在的致命缺陷和易被忽略的問題，為信息系統的安全設計，選擇合理的安全產品和安全管理提供可靠的依據。信息風險監督的內容包括信息系統的物理安全、系統安全、網絡安全、技術安全保障和安全管理控制五個部分。

信息風險監督是信息安全的基礎性工作，它是對信息系統的運行過程，進行安全監察、分析的一個持續工作，是分級防護和突出重點的具體體現。風險監督對信息安全具有非常重要的意義：首先，它能摸清情況，評判保護措施，可對信息安全有關的決策產生決定性的影響；其次，它是信息安全規劃的重要依據；第三，后評估是改進信息安全工作的依據和出發點。即：進行風險評估后，可以認清信息安全環境、信息安全狀況，有助于達成公式，明確責任，采取或完善等級保護、分級管理、分類指導等各種安全保障措施，使其更加經濟有效，并使信息安全策略保持一致性和持續性；第四，它是制定信息安全策略和戰略的基礎。因此，信息風險監督作為加強信息安全風險管理的重要組成部分，在整個銀行業信息風險管理中具有極其不可動搖的地位。

二、信息系統脆弱性的客觀存在需要風險監督

信息系統安全是相對的，沒有絕對的安全系統。它具有時效性、復雜性和不可避免的特點。隨著新的漏洞與攻擊方法的不斷發現，原來的安全的系統霎時變得危機四伏；加之，由于技術發展的局限和人類的能力限制，在程序設計之初人們不能認識所有的問題，失誤和考慮不周在所難免。因此，為了實現信息系統的安全、穩定運行這一目標，就必須采取一系列的安全制度和技術保障方法，對信息系統風險進行事先防患、事中控制、事后監督及糾正，以化解因信息系統的脆弱造成的金融風險。信息系統的脆弱性主要表現在以下幾個方面：

1、信息系統軟硬件本身存在著很大的脆弱性。一方面表現在設備的自然損耗、制造缺陷和不可預測的自然環境因素，如火災、水災、地震、戰爭等不可抗拒的自然災難。另一方面表現在由于技術發展的局限和人類的能力限制，面對龐大的操作系統、復雜的應用程序，在設計之初人們不能認識所有的問題，失誤和考慮不周在所難免。

2、銀行數據傳輸網絡的脆弱性。隨著金融網上業務的拓展，網上銀行、移動銀行、電子商務等，已成為銀行追逐的利潤增長點。銀行業務系統要順應開放和互連的趨勢，其信息安全范疇已經突破了以業務系統物理隔離和協議隔離為基礎的傳統銀行信息安全，在公網環境下防止黑客、病毒的破壞，在Internet上保證金融數據的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統建設面臨的重要挑戰。

3、安全技術保障的欠缺。當前我國金融界的信息安全建設中存在著：整體安全系統建設的欠缺；內部網絡安全監控與防范的欠缺；智能與主動性安全防范體系建設的欠缺；全面集中安全管理策略平臺定制方面的欠缺。

4、信息風險是動態變化的，安全是相對的。只有在特定環境與特定配制下的安全，技術的發展和環境的變化使系統安全始終處于動態之中。日常管理中的不同配制會引入新的問題；新的系統組件同樣會引入新的問題，因此對它們監督必須長期的，并隨之變化而維護。

三、化解信息風險關鍵在于管理

我們面臨的信息安全問題還不僅在于IT技術的脆弱性，更在于不同價值觀的挑戰，在于不法之徒或敵對勢力集團的威脅。解決信息安全三分靠技術、七分靠管理。因此，加強對信息安全管理體系的建設是信息監督的重要任務和目的。一個好的信息安全管理體系，離不開以下幾個環節：

1、領導的重視。信息安全管理是一個復雜的、動態的系統工程，關系到安全項目的規劃、應用需求的分析、網絡技術運用、安全策略制定、人員分工人員安全培訓和規章制度建立的各個層面。這僅依靠技術人員的職能是無法完成的，必須有領導的高度重視與親身參與。

2、隨需求確定安全管理策略。隨著信息技術的不斷發展，一個完整信息安全策略的制訂和實施，是一個動態的延續過程。不同的系統有不同的安全需求，在有限的資金情況下，遵照國家和本部門有關信息安全的技術標準和管理規范，針對本部門專項應用，對數據管理和系統流程的各個環節進行安全評估，確定使用的安全技術、設定安全應用等級、明確人員職責、制定安全分步實施方案，達到安全和應用的科學平衡。

3、全員參與安全培訓。信息安全最大的威脅不是來自外部，而是內部人員對信息安全知識的缺乏。人是信息安全目標實現的主體，信息安全要靠全體員工共同努力，否則就會出現所謂的“木桶效應”。因此，加強信息安全培訓和法制教育就顯得尤為重要，通過對計算機安全知識的培訓和法制教育，使他們真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性和艱巨性，真正了解遵守安全管理制度的必要性和違反制度帶來的后果，從而自覺把遵守規章制度貫徹到實際工作中去。全面提高全行員工的信息安全的防范能力。

同時，由于信息技術始終處于不斷的發展變化中，對信息安全管理員來說也是一個不斷學習、提高的過程，只有通過對安全理論、安全技術，安全產品培訓學習，才能阻擊各種多樣化的攻擊手段，化解信息風險。

4、狠抓制度建設和落實。根據金融信息化建設的總體要求，逐步健全一套完整的風險安全管理體系，以加強規范信息管理和制度控制，規范銀行管理和操作人員的行為，明確具體責任。同時，制定的各項制度要有很強的可操作性，只有這樣，才能保證它的有效實施。如：制定相應的機房出入管理制度，口令密碼管理制度等；制定嚴格的操作規程，操作規程要根據職責分離和對人負責的原則，各負其責，不能超越自己的管轄范圍；制定完善的系統維護制度，詳細記錄故障原因、維護內容和維護前后的情況。

總之，通過建立和完善信息監督機制和信息風險管理體系；通過各級領導和部門、單位的高層領導統一認識，確立信息安全發展戰略，培養全社會信息安全意識和企業、組織與個人的自律意識。筆者相信，在逐步建立、完善信息技術安全保障體系的情況下，定能有效抑制各種不軌行為，打擊各種計算機犯罪，創建更加“潔凈”的可信綠色網絡空間，提升人們的生活質量，為和諧社會的建設做出更大的貢獻。

（作者單位：中國人民銀行崇仁縣支行）