面对安全风险,金融行业如何招架 安全风险

　　8月16日,联邦政府控告一名28岁的美国人Albert Gonzales及其两名俄国同伙入侵包括便利商店7-Eleven在内的五大企业的计算机系统,并窃取1.3亿张信用卡及签账卡资料。正是金融行业的安全系统中存在的巨大漏洞,让黑客有了可乘之机,这给国家和个人都带来不可弥补的损失。
　　2009年9月3日召开的第十届中国金融发展论坛上,中国人民银行行长助理李东荣、中国银行业监督管理委员会创新部主任李伏安、中国保监会副主席魏迎宁共同指出了目前金融行业所面临的风险防范等问题。金融行业的风险防范大多是跟技术和运营层面相关,而风险防范最大的核心部分就是信息安全。如何控制风险、确保“安全”已成为我国金融行业面临的重大课题。
　　
　　金融行业危机四伏
　　
　　随着金融行业的不断发展,金融管理全面实现了电子化,服务品种不断增加,网上银行、电话银行、网上证券、网上保险、移动炒股等产品不断涌现。但是,多样化业务在给客户带来方便的同时,金融行业的风险也呈现出复杂多变的特征。无论是敏感信息泄漏还是个人身份泄漏,金融行业都位居前列。
　　过去提到安全会首先考虑到设备安全、终端安全,而现在考虑更多的是设备里面的数据。赛门铁克公司中国区技术总监李刚分析说,目前金融行业的核心信息正面临着两种安全挑战:
　　1.金融行业中90%的侵入事件都是有组织犯罪。这种带有目的性的犯罪防不胜防,造成的损失也特别大。
　　2. 犯罪分子不是简单侵入系统,他们的目的是要在里面寻找所要的、容易获取的信息。调查显示,67%的信息泄漏都是由于内部员工的无意识行为造成的。企业敏感信息的随意存放,造成了信息窃取更加容易。
　　李刚说:“核心信息面临的安全挑战大都是由于内部的监管和策略执行没有很好地完善。”调查显示,81%被攻击、被窃取客户信息的机构,都没有按照银行支付卡的标准执行。
　　“风险管理‘三分靠技术,七分靠规章’。但在实际操作中,我们看到,项目是项目,规章是规章,规章很难真正地得到落实和遵守。因此,只有将技术和规章很好地结合起来,并落实下去,才能实现有效的风险管理。”李刚表示。
　　
　　优化安全 加强IT治理
　　
　　“优化安全这个思路就要迅速地把原来薄弱的地方做强,把它更进一步完善。” 李刚说。针对目前金融行业的安全现状,李刚总结出了优化安全的三个基本环节:
　　1.加强基础架构保护。现在对基础架构主要的攻击手段有两个,通过邮件发起攻击和通过网页发起攻击。调查显示,基于网页发起的攻击每年新出65000多种,其中90%攻击的系统漏洞都是6个月以上的漏洞,比如这个漏洞是来自浏览器的,浏览器厂商对这个漏洞的公告和相应的修复已经发布了6个月,但还是被利用。所以金融企业一方面要加强基础架构本身的安全防护,防病毒、防木马;另一方面要加强终端的管理,进行人员访问控制。这两方面综合使用,可以巩固基础架构的安全。
　　2.加强基础架构的同时,更要加强信息保护。以数据为对象增加新的保护层次,不仅停留在基础架构上,还要把注意力集中到数据上。用户安全意识淡薄、人员管理不当,都会造成安全威胁。但是单纯地用“堵”的方法控制信息安全是不可行的,例如禁止联入外网、禁止接入移动设备,而是需要从整体来考虑。金融行业敏感信息的保护,要从根本上建立起员工的安全意识,更要进行有效的监控。
　　3.用技术支持法规遵从。法规遵从需要信息技术来支撑它实现制度制定强化和和制度核实的自动化。通过自动化的手段及时给监管层提供报表,是中国金融行业推动法规遵从建设重要的技术支撑,否则法规遵从只会停留在原则上和方法论的讨论上以及规章制度的建设上,而落地就很难。
　　赛门铁克公司副总裁、大中国区总裁吴锡源提出了未来金融行业风险控制的三大热点:以准入控制为手段的强制性终端安全遵从;以数据恢复审计为驱动来整合数据备份流程;以信息泄漏审计为线索来梳理安全体系建设。另外,整合安全管理、安全运维和安全审计,实现风险管理的自动化和常态化,也是未来金融业发展的方向。