金融业信息安全事件的防范范文

1信息安全事件的发生和分析

随着金融业务系统的日益复杂化，安全隐患也散布于各点，科技部门也无法准确预测到问题会出现在什么地方，任何一个错误操作都可能造成整个系统的瘫痪，这对科技部门操作流程的规范性提出了更高的要求。2012年10月，某金融机构操作人员因为误操作将业务系统的交易日志文件关闭，导致系统不能正常运行；2012年11月，某金融机构维护人员错误操作，导致生产和备份系统重要系统文件丢失，造成服务器宕机，导致重要业务系统无法正常启动。错误操作的发生源于操作人员的粗心，但关键是由于操作流程不规范，对重要操作缺乏切实有效的监管措施。（1）信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理，在业务系统开发部署上线时，未配套进行安全体系的设计和建设，或流于形式，不对方案进行充分地测试。2012年3月，某机构生产线路发生中断，但由于技术方案问题未能顺利切换到备份线路，导致业务发生中断；2012年11月，某机构由于未发现备份系统早已出现问题，在生产系统出现问题时，主备切换失败，导致业务中断。系统的安全体系流于形式，备份系统测试不充分，或疏于监控维护，都可能导致安全事件的发生。（2）优先恢复业务的意识不足，应急处置能力有待提高。绝大多数金融机构都制定了信息系统应急预案，并定期演练。但部分金融机构存在着应急预案与实际不符，可操作性不强，对部分情况无明确处置方法的情况，并且部分科技人员对应急预案不够熟悉，不清楚启动预案的条件和流程，不能迅速的处置解决问题。2012年7月，某机构由于设备故障导致业务处理速度缓慢，但由于该设备上承载了多项重要业务，原有应急预案未充分考虑实际情况，科技部门未能按照预案执行，导致事件处理时间延后，影响扩大。该事件的发生一方面是因为系统建设时未充分考虑信息安全因素，不符合核心系统专机专用的安全思路，另一方面就是因为应急预案与实际不符合，可操作性不强，导致了事件影响扩大。综合来看，银行业金融机构在信息安全方面特别是安全基础设施上进行了大量投入，但部分机构没能充分重视“人”这一信息安全的核心因素，在精细化管理、人员的安全意识和专业素质培养等方面有所滞后。

2完善金融机构信息安全体系的几点想法

从上面对区域内银行业金融机构信息安全事件的分析可以看到,银行系统不仅应当在防范外部攻击、减少对外国技术厂商依赖、提高灾难恢复能力等方面大力投入，也应当立足自身实际情况，重视内部风险因素，以人为本，做到人防、技防并重，构建一套可行的信息安全保障体系。下面结合上述各种不利安全的因素,就如何完善金融机构的信息安全体系提出五点建议：（1）设立信息安全岗位，积极培养信息安全专业人才，做到安全岗位人员持证上岗，确保信息安全从业人员具有符合需要的信息安全专业知识，明白业务系统在不同生命周期所面临的风险是什么，能够在业务系统的全生命周期里与开发人员、运维人员充分沟通，做好各项信息安全工作。（2）加强人员教育，增强从业人员信息安全意识。通过定期组织培训、业务交流等多种方式，不断强化各类人员信息安全和风险防范的观念，树立信息安全红线意识。避免出现对潜在风险熟视无睹，系统告警无人迅速响应、为图工作便捷而不按照流程处理等多种存在安全隐患的行为，减低信息安全事件发生概率。（3）强化机构精细化管理能力，不断修订完善信息安全管理制度，规范细化操作流程，建立合理的流程管理机制，加强对特定流程的管控和执行后的健康检查，杜绝人为疏忽所引发的信息安全事件。（4）完善业务系统全生命周期的安全管理，将风险防范的思想贯穿其中，在业务系统开发实施的同时就强调做好相关备份方案的测试验证工作，在系统上线运行后，建立完善的监控体制，不仅监控生产系统，对备份系统也保持监控，在可能的情况下，主备定期切换运行，确保在生产系统发生故障的时候，备份系统能够替代生产系统提供服务，提高业务的可持续性。（5）不断完善应急预案，保证应急预案与实际情况相契合，任何一个信息系统都不能做到万无一失，所有机构都应当重视信息系统应急预案的修订完善工作，定期组织本机构相关部门开展应急演练，并根据演练结果不断优化应急预案，使得应急预案有效可行，确保对外服务的连续性。

3结束语

自信息技术诞生以来，信息安全就如同影子一般伴随左右,新技术的不断涌现，使得安全管理不可能是一劳永逸的事，要在新形势下做好信息安全工作，不仅需要金融机构根据实际情况，继续在信息安全基础设施上做好投入，不断完善优化运维管理机制，也需要金融机构重视人员管理的重要性，不断培养提升人员意识，提高人员信息安全技术能力，以人为纽带，将信息安全设施、信息安全运维管理机制有机融合起来，使其能够真正得发挥作用，尽最大可能实现业务的可连续性。

作者：徐锐单位：中国人民银行上海总部