4月11日����,中國人民銀行科技司司長王永紅就金融信息系統(tǒng)的安全風(fēng)險及防范措施等內(nèi)容�����,接受了專訪���。
信息安全風(fēng)險體現(xiàn)在三方面
記者:目前信息安全事件時有發(fā)生��,金融信息安全局面較以往更加復(fù)雜��,您認(rèn)為我國信息安全風(fēng)險主要來自哪里�����?
王永紅:我覺得從自身能力角度來看����,信息安全風(fēng)險主要體現(xiàn)在以下三方面:
首先是自主可控能力不足。在IT領(lǐng)域���,現(xiàn)在��,比較明顯的特點是:現(xiàn)在防病毒�、網(wǎng)絡(luò)設(shè)備����、安全設(shè)施用的國產(chǎn)軟硬件越來越多,但核心軟硬件還是以國外的為主�,如IBM、oracle等��。這種依賴導(dǎo)致我們的自主可控能力不足��,基本上到了核心關(guān)鍵領(lǐng)域還是依賴于廠家的服務(wù)�,這是我們第一大問題。另外表現(xiàn)出來的就是金融機構(gòu)災(zāi)備體系建設(shè)不夠完善,很多單位都沒有做到��、或者說沒有完全發(fā)揮兩地三中心的作用����,有很大改進空間。
其次是精細化管理的能力不足��。隨著計算機系統(tǒng)的發(fā)展��,規(guī)模越來越大��,機房龐大無比�。規(guī)模越大,結(jié)構(gòu)復(fù)雜帶來的安全隱患就越大��。搞安全管理工作的科技人員無法預(yù)測如此龐大的基礎(chǔ)設(shè)施哪些方面會出問題���,相應(yīng)的對故障隔離,應(yīng)急處置復(fù)雜性要求也在增加��,對我們精細化的管理能力提出更高要求�����。
第三是應(yīng)急處置能力亟待提升。某些銀行忙于發(fā)展���。重建設(shè)����、輕管理,重開發(fā)運行�����、輕安全維護的現(xiàn)象時有發(fā)生�����。應(yīng)急預(yù)案的有效性和可操作性存在改進的空間�����,應(yīng)急演練的真實性也有待加強����。因為應(yīng)急演練做得少�,操作熟練程度肯定還有很大改進空間�。
此外,除了自身能力不足���,客觀上�����,現(xiàn)在形勢比以前更復(fù)雜�,我們還面對病毒��,智能木馬等風(fēng)險���,特別是來自于國外大型黑客組織,有政府背景的黑客有組織的攻擊越來越多,如伊朗核電站事件——震網(wǎng)病毒、火焰病毒等。所以從人民銀行角度來看,金融信息系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)出問題,不僅僅是一種經(jīng)濟安全問題��,由于它存在一種共振�����,有可能從一種單純的技術(shù)問題或者說單純的信息安全問題,演變?yōu)橐环N社會政治的穩(wěn)定問題���,這是我們政府���、人民銀行對信息安全的一個定位、觀點����。
一旦系統(tǒng)癱瘓,老百姓取不到錢�,加上網(wǎng)絡(luò)炒作,網(wǎng)上網(wǎng)下互動�����,形成一種共振���,局面將更加復(fù)雜�。另外�����,服務(wù)窗口解釋口徑不一致�����,導(dǎo)致火上澆油����。舉個例子,最近有一家銀行因為系統(tǒng)癱瘓���,導(dǎo)致無法取款�����,但他們采取緊急支付策略成功處置了這個問題�。我覺得他們很聰明���,他們把一個信息安全事件通過緊急支付這個做法成功解決了�,這家銀行的理念很值得借鑒����。因為知道系統(tǒng)癱瘓的人很少,惡意取款的也很少���,事后對賬���,發(fā)現(xiàn)無差錯���。如果他們沒有啟動緊急支付這樣一種應(yīng)急處置手段,那這次信息安全事件影響就會很大����。
銀行須重視信息安全風(fēng)險管理
記者:銀行在保障信息安全時應(yīng)當(dāng)注意什么?主管部門提出了哪些主要/具體要求���?
王永紅:黨中央���、國務(wù)院對信息安全問題看得非常清楚。為此�����,在2012年6月28日發(fā)文《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)【2012】23號)����。大家注意,很少有文件如此這樣將發(fā)展和安全并列�,這是李克強同志任副總理時主持召開多次研討會議,定下來的基調(diào),一方面發(fā)展�����,一方面安全���,在安全中發(fā)展,發(fā)展不忘安全��。這份文件寫得很好����,談得很具體。結(jié)合我國銀行實際情況�,未來若干年,我們國家在信息化發(fā)展中要發(fā)展哪些領(lǐng)域��,安全方面我們要做那些保障�,我個人認(rèn)為從專業(yè)角度看,大家要注意以下兩點:
第一點是要將信息安全風(fēng)險納入本單位的全面風(fēng)險管理體系����。防范和化解信息安全風(fēng)險是一項綜合性、長期性的工作�,不能將其簡化、弱化為一個單純性的技術(shù)工作,如果哪個單位認(rèn)為信息安全只是科技部門的事情��,那就說明理念落伍了�����,它不是一個部門的事���,它是整個單位的事�����。銀監(jiān)會主席講話中對信息安全的看法很明確:IT風(fēng)險是唯一可以在一瞬間讓整個銀行陷入癱瘓的風(fēng)險��。人民銀行的要求:信息安全管理的底線是�,絕對不允許發(fā)生系統(tǒng)性和區(qū)域性的風(fēng)險����。兩個主管部門的定位是明確的,大家要引起高度重視�。我們?nèi)ド虡I(yè)銀行檢查時更關(guān)注商業(yè)銀行的高管是否會經(jīng)常研究這個問題,是否重視信息安全風(fēng)險管理����。
要深刻認(rèn)識到技術(shù)支撐業(yè)務(wù),業(yè)務(wù)與技術(shù)相融合的發(fā)展趨勢,明確業(yè)務(wù)部門和技術(shù)部門要形成有效地協(xié)同機制�����,共建信息安全保障體系����,共同提高業(yè)務(wù)連續(xù)性,堅決扭轉(zhuǎn)由分管信息安全工作的負(fù)責(zé)人一個人負(fù)全責(zé)的不當(dāng)做法����,要納入全面風(fēng)險管理��。
第二點是從人民銀行角度來看���,要求嚴(yán)格執(zhí)行信息安全的報告機制��。2010年�����,人民銀行���、工信部、公安部�、安全部、電監(jiān)會五部委建立了跨部委的應(yīng)急協(xié)調(diào)工作預(yù)案����。2011年,人民銀行在副省級以上城市建立了區(qū)域的信息安全應(yīng)急協(xié)調(diào)機制����。大家定期有交流,有溝通��,形成一種機制����,互通有無。這種全國性的制度安排和屬地化管理相結(jié)合�,實際上構(gòu)成應(yīng)急協(xié)調(diào)機制、保障機制�。各單位在信息安全事件發(fā)生、發(fā)展���、善后等不同階段���,要采取各種聯(lián)系方式向人民銀行報告相關(guān)情況�����,便于人民銀行組織協(xié)調(diào)進行應(yīng)急處置�,盡量避免造成社會因恐慌情緒引發(fā)群體性事件。我很理解出事以后大家的心態(tài),但大家不要有僥幸心理���,你無法預(yù)判事件將會有多大影響,有可能愈演愈烈�,何況現(xiàn)在資訊如此發(fā)達,因此必須及時報告���。一旦有事件,不管大小��,一律向人民銀行報告�����。
建立安全可控的生產(chǎn)運維機制
記者:金融系統(tǒng)信息安全情況十分復(fù)雜����,往往牽一發(fā)而動全身,事前預(yù)防比事后補救更加重要��,銀行應(yīng)該如何做好信息安全保障工作?
王永紅:在技術(shù)層面��,表現(xiàn)為我們要建立有管理���、可控制的安全生產(chǎn)運維機制����。聯(lián)網(wǎng)系統(tǒng)規(guī)模�、范圍越來越大,服務(wù)對象也越來越復(fù)雜���。運維監(jiān)控一定要做到:監(jiān)控人員比用戶先發(fā)現(xiàn)問題��,中心機構(gòu)比聯(lián)網(wǎng)機構(gòu)�、分支機構(gòu)先發(fā)現(xiàn)問題�����,這也是評判和衡量一個單位科技水平的重要指標(biāo)之一�����。要做好管理工作��,我提三個建議:
首先要建立量化的監(jiān)控指標(biāo)體系。監(jiān)控對象的指標(biāo)化是自動化監(jiān)控的基礎(chǔ)��,也是優(yōu)化網(wǎng)絡(luò)效率和提升系統(tǒng)健壯性的重要參照����,是運維技術(shù)體系的核心內(nèi)容。如何發(fā)揮監(jiān)控系統(tǒng)的作用呢���?主要是看是否有量化的監(jiān)控指標(biāo)�,量化的比較結(jié)果才有確切的說服力�����。在動態(tài)調(diào)整量化監(jiān)控指標(biāo)過程中��,我們不但要包括傳統(tǒng)的各種系統(tǒng)資源使用率���,還要注意增加交易進度,數(shù)據(jù)狀態(tài)等應(yīng)用及監(jiān)控的內(nèi)容�,及時發(fā)現(xiàn)運行環(huán)境和交易處理流程方面出現(xiàn)的異常情況。
其次要加強監(jiān)控的分析�����。從專業(yè)角度來看, 要對運維監(jiān)控中發(fā)現(xiàn)的各種異���,F(xiàn)象�,不論是否影響系統(tǒng)正常運行���,都必須納入系統(tǒng)運行分析會�����,對風(fēng)險隱患必須一追到底���,并及時處理,同時根據(jù)運行分析結(jié)果加強容量的管理����,定期清理生產(chǎn)環(huán)境,動態(tài)評估系統(tǒng)的處理能力���,動態(tài)優(yōu)化技術(shù)資源的配置���。在實際中摸索、固化處理能力和資源配置之間的量化關(guān)系����。我們傳統(tǒng)工廠里的班前分析會���、班后研討會很值得我們IT部門借鑒。這種習(xí)慣很好�,我們要求銀行最好建立這種制度,很多時候系統(tǒng)出問題����,最開始只是有苗頭,并不一定影響系統(tǒng)運行�����,表現(xiàn)出一種癥狀�����,如果出現(xiàn)苗頭的時候不一追到底�,是否出事就完全靠運氣了,這跟人體體檢是一個道理��,銀行對這個原則一定要把握住�����,工作很辛苦跟工作有成績是兩個概念���,希望大家不要做無用功��。
我們一直強調(diào)�����,銀行服務(wù)外包責(zé)任無外包���。在IT領(lǐng)域服務(wù)外包是很普遍的情況,從人民銀行到商業(yè)銀行都一樣����,畢竟軟硬件是廠家生產(chǎn)的,但不要天真的以為����,廠家能承擔(dān)全部責(zé)任,人民銀行和銀監(jiān)會都不會認(rèn)為廠家完全承擔(dān)責(zé)任����。實際上,這幾年我看過很多事件處理報告,因為沒有量化的要求��,之前沒有考慮清楚��,經(jīng)常發(fā)現(xiàn)外包廠家因為種種原因���,如堵車���、工具軟件不齊全等,并不能及時趕到并提供服務(wù)��。因此銀行必須對廠家的服務(wù)進行量化�,認(rèn)真研究運維合同,甚至對關(guān)鍵設(shè)備的備件都應(yīng)該提前準(zhǔn)備到本單位庫房����。
第三是完善預(yù)案,提高業(yè)務(wù)連續(xù)性�����。隨著數(shù)據(jù)集中���,系統(tǒng)整合的不斷推進���,銀行的技術(shù)體系日趨復(fù)雜,但是對技術(shù)體系的駕馭經(jīng)驗和能力有待在實踐中積累����、提高��;旧峡梢赃@么說���,出事是一定的���,不出事是不可能的。萬無一失是一種要求�����,我們要爭取不出大事����。所以應(yīng)急預(yù)案,應(yīng)急演練很重要��,在應(yīng)急預(yù)案制定過程中和應(yīng)急演練在中要貫徹優(yōu)先恢復(fù)系統(tǒng)對外服務(wù)這個原則����,因此如何編排應(yīng)急預(yù)案就很講究了�����。
堅持優(yōu)先恢復(fù)系統(tǒng)對外服務(wù)原則
記者:您提到要貫徹優(yōu)先恢復(fù)系統(tǒng)對外服務(wù)原則�����,體現(xiàn)在哪些方面��?銀行應(yīng)如何把握�?
王永紅:關(guān)于這個問題���,我有三點總結(jié)�。第一點是銀行要不斷完善應(yīng)急預(yù)案�����。各單位應(yīng)該研究人民銀行發(fā)布的金融業(yè)信息安全風(fēng)險提示��,人民銀行和國家相關(guān)部門會定期發(fā)布一些信息安全提示���,金融機構(gòu)對此要引起足夠重視��,這些安全提示是一種情況交流����,從別人的問題和事故中舉一反三對自身情況進行排查,通過了解信息安全動態(tài)�����,從風(fēng)險狀況�、應(yīng)急內(nèi)容和處理措施去充實和完善自己的應(yīng)急預(yù)案���。通過我們這幾年的實踐可以看出����,應(yīng)急預(yù)案的完善不是開會這么簡單�,而是要測算關(guān)鍵點的耗費時間,也即測算完成每一部分工作所需要的時間��,通過測算關(guān)鍵點的耗費時間可以發(fā)現(xiàn)很多不必要的中間環(huán)節(jié)���,可以發(fā)現(xiàn)很多可以轉(zhuǎn)化為并行操作的串行環(huán)節(jié)���。
第二點是銀行要改進交易的處理流程�����。實際上系統(tǒng)中斷的種類和交易處理的場景是難以窮盡的�,我們應(yīng)該從提高業(yè)務(wù)連續(xù)性的角度�,去設(shè)計和實現(xiàn)替代的流程與數(shù)據(jù)處理的方式。也就是說無論我們怎么設(shè)計應(yīng)急預(yù)案都無法包羅所有的故障場景��,因此要去設(shè)計一些替代的流程和數(shù)據(jù)處理方法���,包括手工交換數(shù)據(jù)�����、手工補錄數(shù)據(jù)�、交易流程路徑變換等方法去作為替代服務(wù)�,最終要達到的目的是——中斷業(yè)務(wù)時間一定要大大短于系統(tǒng)恢復(fù)時間。很多時候我們衡量一個事件處理是否成功就是看這一點���。換句話說�����,關(guān)鍵是看在系統(tǒng)恢復(fù)之前是否已經(jīng)采取其他手段提前將業(yè)務(wù)恢復(fù)�����。
最后�����,銀行要提高應(yīng)急處置效率����。出現(xiàn)信息安全事件時����,初步判斷無法在30分鐘以內(nèi)恢復(fù)系統(tǒng)時,應(yīng)優(yōu)先考慮隔離故障設(shè)備��,切換至熱備�����、替代的系統(tǒng)����,或者果斷啟動應(yīng)急預(yù)案,以控制事態(tài)的進一步發(fā)展���。在應(yīng)急處置的過程中�,特別要消除“技術(shù)萬能”的盲目樂觀思想,應(yīng)采取各種可能的舉措來縮短系統(tǒng)恢復(fù)的時間��,不能拘泥于和局限于保證局部數(shù)據(jù)的正確性而不恢復(fù)系統(tǒng)的對外服務(wù)���,恢復(fù)系統(tǒng)的服務(wù)是最重要的����,實際上�����,局部數(shù)據(jù)的正確性可以通過事后沖賬等方式補救�����。
