隨著信息技術(shù)越來越多地被應(yīng)用于銀行的各項業(yè)務(wù), 銀行面臨的信息技術(shù)安全隱患也在日益增多。銀行卡及自助設(shè)備的大量使用,互聯(lián)網(wǎng)和電子商務(wù)的迅猛發(fā)展都使銀行系統(tǒng)遭受攻擊的可能性大大增加。銀行信息安全建設(shè)是一個復(fù)雜的系統(tǒng)工程,牽涉到技術(shù)和管理兩個層面,在工作實踐中筆者覺得有以下一些問題需要引起我們的重視和思考。
一、信息安全意識薄弱,安全觀念尚未深入人心。對銀行業(yè)信息安全來講,首要的問題是觀念和意識的問題。從管理層到員工, 能否意識到信息安全的重要性,知曉信息安全的基本內(nèi)涵和在業(yè)務(wù)工作中的具體體現(xiàn)是很重要的。目前銀行的管理層對信息安全應(yīng)該說是非常重視的, 但是很多員工并不積極,甚至干脆把信息安全視為信息技術(shù)管理部門的事情,與自己關(guān)系不大。系統(tǒng)的方便性和安全性存在一定矛盾,使用者更在意的往往是方便性,忽視了安全性。在筆者看來,在銀行信息安全問題上,最重要的并不是技術(shù)水平的高低,而是基本規(guī)范的落實程度和常見安全手段的應(yīng)用程度。比如說密碼問題,要求周期性修改和不要使用太簡單的密碼就是最基本的安全要求, 但員工在執(zhí)行密碼設(shè)定時往往嫌麻煩, 執(zhí)行得不好,類似問題還有很多。對于這類問題,有的可以通過技術(shù)手段在一定程度上予以解決,比如強行設(shè)置修改期限,要求數(shù)字與字母的組合,過濾簡單密碼等等,但是最終效果仍取決于人的安全意識。信息安全觀念的缺乏是銀行安全意識淡薄的重要原因。
二、銀行的信息數(shù)據(jù)管理存在安全漏洞。我行的生產(chǎn)系統(tǒng)大多應(yīng)用在大型主機上, 操作系統(tǒng)也相對封閉,服務(wù)器端的信息儲存相對安全,但很多信息數(shù)據(jù)在管理上存在較大的風(fēng)險, 這些數(shù)據(jù)包括各種核心的業(yè)務(wù)報表、客戶資料、辦公文檔、風(fēng)險控制信息等等。這些信息廣泛分布在銀行內(nèi)部客戶端上,通過開放的計算機網(wǎng)絡(luò)傳送, 由于系統(tǒng)的安全漏洞較多,病毒容易侵入。辦公場所的開放性以及與客戶的合作,也容易導(dǎo)致外來人員進入銀行內(nèi)部網(wǎng)絡(luò)竊取相關(guān)信息。管理信息的損失有時候比業(yè)務(wù)數(shù)據(jù)的損失后果更嚴重,這些數(shù)據(jù)的安全性尚未引起足夠的重視,技術(shù)關(guān)注不夠,可能會給銀行帶來潛在風(fēng)險。
三、自助設(shè)備和網(wǎng)上銀行的廣泛使用增加了外部攻擊的風(fēng)險。由于自助設(shè)備和網(wǎng)上銀行某種意義上是在“無人值守”的狀態(tài)下長期運行,而且是由客戶自主操作完成,這就給潛在的犯罪分子提供了更多的可乘之機,客戶的安全知識不足,安全意識淡薄也會增加其賬戶風(fēng)險,最終給銀行帶來損失。近來媒體曝光的犯罪案例往往與這兩種系統(tǒng)有關(guān),提醒我們必須加大這方面的技術(shù)投入,大力提升銀行卡系統(tǒng)及網(wǎng)上銀行的安全水準。
四、重視硬件/軟件的投入而忽視管理投入。從系統(tǒng)的角度來看,加大安全方面的投入不完全是安全產(chǎn)品和工具的投入,還應(yīng)包括策略、操作流程和應(yīng)急處理機制等方面的投入。安全產(chǎn)品和工具的使用應(yīng)有相應(yīng)配套的流程管理機制,否則報警無人處理,入侵無人響應(yīng),效果并不好。但是要建立合理的流程管理機制也同樣需要投資, 如流程資訊投資等等,這些投資和整個安全系統(tǒng)的完整性息息相關(guān)。但在目前的銀行信息安全建設(shè)中,這方面的投入還不是很多,很多安全思路還局限在技術(shù)層面上。
總而言之,IT技術(shù)給銀行業(yè)務(wù)帶來巨大發(fā)展的同時, 也給我們帶來了巨大的安全隱患和潛在風(fēng)險。我們只有充分認識到加強信息安全保護的重要性和緊迫性, 才能不斷完善信息系統(tǒng)的安全管理,適應(yīng)新經(jīng)濟時代的挑戰(zhàn)。