“十五”期间,各银行对信息安全的重要性有了越来越深刻的认识,不断加大信息安全的资金投入,初步建立起了银行信息安全保障体系。及时出台和制定了一批信息安全政策、制度、管理规范和技术标准;培养了一批高素质的信息安全专门人才;建立了各种应急处置、风险防范与控制机制;综合运用各种成熟先进的产品、技术和服务;部分银行启动了应急与灾难备份系统建设。
但是,信息安全领域还存在一些问题未能得到有效解决,这些问题包括:灾备中心、总控中心、应急处理体系等配套体系建设起步较晚,系统监控、分析、故障诊断等自动化程度不高,应对突发事件和系统故障的能力差;集约化的安全生产运行管理模式还处在摸索阶段;电力、通信等基础设施对外部的依赖程度较高,抗系统性风险能力差;关键性技术、产品和服务由少数国家和个别厂商控制,远程维护服务由境外提供,存在安全风险;对于基于互联网的电子银行缺乏安全风险评估和监控指标。
“十一五”规划中有关安全问题的内容包括:第一,进一步加强银行数据中心与备份中心的基础设施建设。全面贯彻落实“中国人民银行关于加强银行数据集中安全工作的指导意见”,在实施数据集中前的系统规划、方案设计、论证、工程实施、测试、投产前准备、切换等各个阶段,充分考虑系统的安全性,并主动接受主管部门的监管。在实施数据集中的同时,必须同步开展灾难备份实施的建设,同步实现灾难备份中心关键业务处理。已完成灾难备份实施建设的,要定期进行各种应急演练,每年至少进行一次生产中心与灾难备份中心的切换演练,确保备份系统的可用性。实时数据集中后,要同步采取与之相适应的集中管理模式,建立健全各项安全运行管理制度,充分发挥管理对降低和规避数据集中风险的重要作用。
第二,建立集中监控中心。集中监控中心将与客户服务中心形成对内和对外两个互补的服务响应设置。集中监控中心是集中管理各类信息的物理场所,管理者只要置身其中便可以监控整个银行网络、系统以及应用的运行状况,及时发现问题,并通过合理的工作流程控制,对有关系统和人员发出指令,及时解决问题。同时问题的解决过程及相关的信息可以记录在知识信息库中,便于日后的查询和审计。
第三,加强网络系统安全建设。在网络系统建设过程中,建设面向数据、语音、视频等多应用的综合性、智能化的互联互通的网络是主要任务。同时,应进一步加强通过互联网提供金融服务,提高网间互联风险防范和控制能力,特别是在推进跨行业、跨部门的网间互联及推广网上银行、电子商务、移动银行等网络金融服务方面,要加强网络系统安全基础设施的建设,加强网络系统安全管理,建立可控的安全防范机制,防范和打击网络金融犯罪行为,保障信息高速公路的安全畅通。
(责任编辑:罗洪泽)
