謝　越

隨著信息技術(shù)的發(fā)展和金融信息化進(jìn)程的推進(jìn)，金融對計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)依賴程度越來越高，以計算機(jī)和網(wǎng)絡(luò)為代表的信息技術(shù)已越來越深地滲透到金融界的各個領(lǐng)域，并取得了顯著的社會效益和濟(jì)濟(jì)效益。據(jù)統(tǒng)計，95％的金融創(chuàng)新的實(shí)現(xiàn)都是來自信息技術(shù)的。但我們也應(yīng)該看到，在信息技術(shù)給銀行業(yè)務(wù)帶來不斷擴(kuò)展和創(chuàng)新的同時，由于其本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)安全的脆弱性，給銀行帶來了一系列新的不安全因素。一旦防范不力或處置不當(dāng)，將給銀行業(yè)造成重大的資金損失、數(shù)據(jù)泄密、及銀行信譽(yù)損傷的風(fēng)險。

風(fēng)險管理是當(dāng)前銀行經(jīng)營活動的主旋律。在銀行界越來越依賴于信息技術(shù)的情況下，信息風(fēng)險監(jiān)督成為銀行信息化風(fēng)險管理不可忽略的重要組成部分。雖然各銀行都有自己的信息安全主管部門，他們是信息安全的建設(shè)者、維護(hù)者，對信息安全有著豐富的現(xiàn)場經(jīng)驗(yàn)與專業(yè)經(jīng)驗(yàn)，但在他們身兼運(yùn)動員和裁判員雙重身份的同時，已不足以向最高管理層保證信息安全的有效性。因此，建立科學(xué)的信息風(fēng)險監(jiān)督機(jī)制，對加強(qiáng)銀行風(fēng)險管理，確保銀行信息系統(tǒng)的安全、穩(wěn)定、持續(xù)有效地運(yùn)行，就顯得尤為重要。

一、信息系統(tǒng)風(fēng)險監(jiān)督的概念及意義

信息風(fēng)險監(jiān)督是指對特定環(huán)境中的信息系統(tǒng)及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進(jìn)行監(jiān)督，進(jìn)而對其安全性進(jìn)行風(fēng)險分析、評估，找出潛在的致命缺陷和易被忽略的問題，為信息系統(tǒng)的安全設(shè)計，選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)。信息風(fēng)險監(jiān)督的內(nèi)容包括信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、技術(shù)安全保障和安全管理控制五個部分。

信息風(fēng)險監(jiān)督是信息安全的基礎(chǔ)性工作，它是對信息系統(tǒng)的運(yùn)行過程，進(jìn)行安全監(jiān)察、分析的一個持續(xù)工作，是分級防護(hù)和突出重點(diǎn)的具體體現(xiàn)。風(fēng)險監(jiān)督對信息安全具有非常重要的意義：首先，它能摸清情況，評判保護(hù)措施，可對信息安全有關(guān)的決策產(chǎn)生決定性的影響；其次，它是信息安全規(guī)劃的重要依據(jù)；第三，后評估是改進(jìn)信息安全工作的依據(jù)和出發(fā)點(diǎn)。即：進(jìn)行風(fēng)險評估后，可以認(rèn)清信息安全環(huán)境、信息安全狀況，有助于達(dá)成公式，明確責(zé)任，采取或完善等級保護(hù)、分級管理、分類指導(dǎo)等各種安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性；第四，它是制定信息安全策略和戰(zhàn)略的基礎(chǔ)。因此，信息風(fēng)險監(jiān)督作為加強(qiáng)信息安全風(fēng)險管理的重要組成部分，在整個銀行業(yè)信息風(fēng)險管理中具有極其不可動搖的地位。

二、信息系統(tǒng)脆弱性的客觀存在需要風(fēng)險監(jiān)督

信息系統(tǒng)安全是相對的，沒有絕對的安全系統(tǒng)。它具有時效性、復(fù)雜性和不可避免的特點(diǎn)。隨著新的漏洞與攻擊方法的不斷發(fā)現(xiàn)，原來的安全的系統(tǒng)霎時變得危機(jī)四伏；加之，由于技術(shù)發(fā)展的局限和人類的能力限制，在程序設(shè)計之初人們不能認(rèn)識所有的問題，失誤和考慮不周在所難免。因此，為了實(shí)現(xiàn)信息系統(tǒng)的安全、穩(wěn)定運(yùn)行這一目標(biāo)，就必須采取一系列的安全制度和技術(shù)保障方法，對信息系統(tǒng)風(fēng)險進(jìn)行事先防患、事中控制、事后監(jiān)督及糾正，以化解因信息系統(tǒng)的脆弱造成的金融風(fēng)險。信息系統(tǒng)的脆弱性主要表現(xiàn)在以下幾個方面：

1、信息系統(tǒng)軟硬件本身存在著很大的脆弱性。一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預(yù)測的自然環(huán)境因素，如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭等不可抗拒的自然災(zāi)難。另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類的能力限制，面對龐大的操作系統(tǒng)、復(fù)雜的應(yīng)用程序，在設(shè)計之初人們不能認(rèn)識所有的問題，失誤和考慮不周在所難免。

2、銀行數(shù)據(jù)傳輸網(wǎng)絡(luò)的脆弱性。隨著金融網(wǎng)上業(yè)務(wù)的拓展，網(wǎng)上銀行、移動銀行、電子商務(wù)等，已成為銀行追逐的利潤增長點(diǎn)。銀行業(yè)務(wù)系統(tǒng)要順應(yīng)開放和互連的趨勢，其信息安全范疇已經(jīng)突破了以業(yè)務(wù)系統(tǒng)物理隔離和協(xié)議隔離為基礎(chǔ)的傳統(tǒng)銀行信息安全，在公網(wǎng)環(huán)境下防止黑客、病毒的破壞，在Internet上保證金融數(shù)據(jù)的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。

3、安全技術(shù)保障的欠缺。當(dāng)前我國金融界的信息安全建設(shè)中存在著：整體安全系統(tǒng)建設(shè)的欠缺；內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范的欠缺；智能與主動性安全防范體系建設(shè)的欠缺；全面集中安全管理策略平臺定制方面的欠缺。

4、信息風(fēng)險是動態(tài)變化的，安全是相對的。只有在特定環(huán)境與特定配制下的安全，技術(shù)的發(fā)展和環(huán)境的變化使系統(tǒng)安全始終處于動態(tài)之中。日常管理中的不同配制會引入新的問題；新的系統(tǒng)組件同樣會引入新的問題，因此對它們監(jiān)督必須長期的，并隨之變化而維護(hù)。

三、化解信息風(fēng)險關(guān)鍵在于管理

我們面臨的信息安全問題還不僅在于IT技術(shù)的脆弱性，更在于不同價值觀的挑戰(zhàn)，在于不法之徒或敵對勢力集團(tuán)的威脅。解決信息安全三分靠技術(shù)、七分靠管理。因此，加強(qiáng)對信息安全管理體系的建設(shè)是信息監(jiān)督的重要任務(wù)和目的。一個好的信息安全管理體系，離不開以下幾個環(huán)節(jié)：

1、領(lǐng)導(dǎo)的重視。信息安全管理是一個復(fù)雜的、動態(tài)的系統(tǒng)工程，關(guān)系到安全項(xiàng)目的規(guī)劃、應(yīng)用需求的分析、網(wǎng)絡(luò)技術(shù)運(yùn)用、安全策略制定、人員分工人員安全培訓(xùn)和規(guī)章制度建立的各個層面。這僅依靠技術(shù)人員的職能是無法完成的，必須有領(lǐng)導(dǎo)的高度重視與親身參與。

2、隨需求確定安全管理策略。隨著信息技術(shù)的不斷發(fā)展，一個完整信息安全策略的制訂和實(shí)施，是一個動態(tài)的延續(xù)過程。不同的系統(tǒng)有不同的安全需求，在有限的資金情況下，遵照國家和本部門有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，針對本部門專項(xiàng)應(yīng)用，對數(shù)據(jù)管理和系統(tǒng)流程的各個環(huán)節(jié)進(jìn)行安全評估，確定使用的安全技術(shù)、設(shè)定安全應(yīng)用等級、明確人員職責(zé)、制定安全分步實(shí)施方案，達(dá)到安全和應(yīng)用的科學(xué)平衡。

3、全員參與安全培訓(xùn)。信息安全最大的威脅不是來自外部，而是內(nèi)部人員對信息安全知識的缺乏。人是信息安全目標(biāo)實(shí)現(xiàn)的主體，信息安全要靠全體員工共同努力，否則就會出現(xiàn)所謂的“木桶效應(yīng)”。因此，加強(qiáng)信息安全培訓(xùn)和法制教育就顯得尤為重要，通過對計算機(jī)安全知識的培訓(xùn)和法制教育，使他們真正認(rèn)識到計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問題的長期性和艱巨性，真正了解遵守安全管理制度的必要性和違反制度帶來的后果，從而自覺把遵守規(guī)章制度貫徹到實(shí)際工作中去。全面提高全行員工的信息安全的防范能力。

同時，由于信息技術(shù)始終處于不斷的發(fā)展變化中，對信息安全管理員來說也是一個不斷學(xué)習(xí)、提高的過程，只有通過對安全理論、安全技術(shù)，安全產(chǎn)品培訓(xùn)學(xué)習(xí)，才能阻擊各種多樣化的攻擊手段，化解信息風(fēng)險。

4、狠抓制度建設(shè)和落實(shí)。根據(jù)金融信息化建設(shè)的總體要求，逐步健全一套完整的風(fēng)險安全管理體系，以加強(qiáng)規(guī)范信息管理和制度控制，規(guī)范銀行管理和操作人員的行為，明確具體責(zé)任。同時，制定的各項(xiàng)制度要有很強(qiáng)的可操作性，只有這樣，才能保證它的有效實(shí)施。如：制定相應(yīng)的機(jī)房出入管理制度，口令密碼管理制度等；制定嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和對人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；制定完善的系統(tǒng)維護(hù)制度，詳細(xì)記錄故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況。

總之，通過建立和完善信息監(jiān)督機(jī)制和信息風(fēng)險管理體系；通過各級領(lǐng)導(dǎo)和部門、單位的高層領(lǐng)導(dǎo)統(tǒng)一認(rèn)識，確立信息安全發(fā)展戰(zhàn)略，培養(yǎng)全社會信息安全意識和企業(yè)、組織與個人的自律意識。筆者相信，在逐步建立、完善信息技術(shù)安全保障體系的情況下，定能有效抑制各種不軌行為，打擊各種計算機(jī)犯罪，創(chuàng)建更加“潔凈”的可信綠色網(wǎng)絡(luò)空間，提升人們的生活質(zhì)量，為和諧社會的建設(shè)做出更大的貢獻(xiàn)。

（作者單位：中國人民銀行崇仁縣支行）