王智陽

摘要：作為經(jīng)濟(jì)發(fā)展體系中至關(guān)重要的一環(huán)，我國商業(yè)銀行扮演著不可或缺的角色作用。高速的發(fā)展、不斷提升的技術(shù)、改進(jìn)擴(kuò)充的設(shè)備規(guī)模使得我國商業(yè)銀行競爭力與日俱增。然而，在信息數(shù)據(jù)高速運(yùn)轉(zhuǎn)的今日，我國商業(yè)銀行的信息安全管理體現(xiàn)出其薄弱性和不成熟性，對于風(fēng)險投資的輕視、對于管理安全的忽略為我國商業(yè)銀行的發(fā)展造成了隱藏的巨大阻礙。不夠成熟的系統(tǒng)、未完全開化的軟硬件、有待斟酌的信息安全管理制度都為我國商業(yè)銀行未來發(fā)展造成了巨大隱患。因此，分析我國商業(yè)銀行的安全問題并給出合理改善方法顯得至關(guān)重要。

關(guān)鍵詞：商業(yè)銀行；信息安全；管理；花旗銀行

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）22-0090-02

在大數(shù)據(jù)信息化時代來臨的背景之下，銀行對數(shù)據(jù)的需求極為迫切，合理地收發(fā)數(shù)據(jù)，管理數(shù)據(jù)，建立定期更新的數(shù)據(jù)庫系統(tǒng)的成功與否決定了銀行在領(lǐng)域內(nèi)的競爭和領(lǐng)導(dǎo)能力。縱觀眾多金融犯罪、超額灰色收入、機(jī)密竊取等案件的發(fā)生，其最主要原因就是發(fā)生了信息犯罪，即嫌疑人盜取或更改了銀行信息系統(tǒng)的機(jī)密文件或者代碼從而發(fā)生了經(jīng)濟(jì)糾紛，信息安全的重要性可見一斑。

銀行對于國家的經(jīng)濟(jì)體系及發(fā)展有著極高的重要性，如果銀行信息的采集、使用、維護(hù)存在著某一方面或者環(huán)節(jié)的疏漏，輕則直接影響到銀行信譽(yù)度及邊際利益，重則直接會導(dǎo)致銀行倒閉破產(chǎn)，造成不可估量的損失。繼而會間接導(dǎo)致國有體制的崩塌，經(jīng)濟(jì)體制會面臨著崩潰。目前雖有眾多文獻(xiàn)涉及銀行制度的改革以及經(jīng)濟(jì)體系的完善，但是對于商業(yè)銀行的信息安全管理還鮮有涉及，因此借鑒研究并提升國內(nèi)商業(yè)銀行的信息安全管理顯得尤為重要。

1理論概述

1.1內(nèi)部控制

該文中對于商業(yè)銀行內(nèi)部控制的概念根據(jù)三個極具代表的文獻(xiàn)分為兩個階段，闡述如下。第一階段：根據(jù)文獻(xiàn)《金融機(jī)構(gòu)的內(nèi)部指導(dǎo)原則》，1996，其定義為：商業(yè)銀行內(nèi)部控制并非單純針對于某一部門，而是完成對目標(biāo)的評估預(yù)測以及對有關(guān)防范危險的提出，是對一系列有關(guān)職能部門的業(yè)務(wù)活動所進(jìn)行約束和規(guī)范的一個過程。其原則為相關(guān)性及互補(bǔ)性，歸結(jié)成一種內(nèi)部相互的自律行為。第二階段：根據(jù)文獻(xiàn)《商業(yè)銀行內(nèi)部控制指引》，2001，其指引說明商業(yè)銀行的內(nèi)部控制也可以看作為了實(shí)現(xiàn)經(jīng)營目標(biāo)所規(guī)定和有效實(shí)施的一系列制度、程序以及方法，是一種動態(tài)的連續(xù)的從風(fēng)險的事前防范直到事后監(jiān)督以及糾正的連續(xù)機(jī)制。

1.2信息安全

不同文化不同地區(qū)下對于信息安全的看法不盡相同，國內(nèi)外眾多學(xué)者提出了很多極具建設(shè)性意義的看法，陳述如下。美國國安局信息保障主任將信息安全定義為“認(rèn)”。此字高度概括了信息安全需要承擔(dān)完全性、不偽性、保密性、持續(xù)性、和不可抵賴性這五種安全服務(wù)，在美國聯(lián)邦調(diào)查局常用“信息保障”來描述信息安全。在我國國家信息安全重點(diǎn)實(shí)驗(yàn)室對信息安全的定義為：為保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的惡意原因所遭到破壞修改、顯露而對數(shù)據(jù)處理系統(tǒng)采取技術(shù)以及管理方面的防護(hù)手段。

2我國商業(yè)銀行現(xiàn)狀及原因

2.1信息系統(tǒng)漏洞

1）管理漏洞

我國商業(yè)銀行大多是在封閉穩(wěn)定的計(jì)算機(jī)以及服務(wù)器上安裝應(yīng)用操作系統(tǒng)，例如公司的內(nèi)部私密程序及文件，如客戶的私人信息、年化銷售預(yù)估及評測等均是在IP網(wǎng)絡(luò)進(jìn)行傳送，所以依靠這種方式的傳輸傳送被盜用和篡改的數(shù)據(jù)有時候嚴(yán)重程度會比損失的更為嚴(yán)重，而最基本的文件安全加密也沒有合理利用代碼加入到數(shù)據(jù)傳輸?shù)倪^程之中，以致多類信息安全漏洞事件頻發(fā)，信息安全數(shù)據(jù)管理的漏洞不可忽視。

2）軟件成熟度不夠達(dá)標(biāo)

按照軟件能力成熟度模型，根據(jù)軟件完備性、體驗(yàn)性、可維護(hù)性分為多種等級，如初始級、可重復(fù)級、已定義級、最高達(dá)到完備級。由于銀行商業(yè)系統(tǒng)的特殊性和保密性，所以銀行的數(shù)據(jù)庫系統(tǒng)多由自己內(nèi)部開發(fā)。由于人員對于系統(tǒng)開發(fā)的不熟悉性，因此多數(shù)應(yīng)用軟件僅處于初始級，這種未開化的非開源系統(tǒng)和軟件是極容易受到攻擊的，再加上沒有定期的更新和維護(hù)，這種軟件系統(tǒng)的漏洞更多的體現(xiàn)在了軟件生產(chǎn)的安全質(zhì)量以及商業(yè)信息安全的質(zhì)量之上。

2.2內(nèi)部控制及組織建設(shè)不到位

1）制度尚未完備

由于商業(yè)銀行的宗旨是為了自身邊際利益而服務(wù)，因此銀行首要考慮的重要因素為營業(yè)額。為使效益實(shí)現(xiàn)最大化，銀行制定了多種獎勵規(guī)范制度對于各個人事管理及相關(guān)部門提供了很高的績效獎勵，然而在追求相應(yīng)年化利潤的同時往往忽略了出臺完備的商業(yè)信息安全制度，以此來為高額的利潤做出鋪墊以及可靠的保險。信息化建設(shè)固然重要，然而在大力追求信息化的建設(shè)時，應(yīng)該考慮到銀行面臨的最大是信息安全威脅，由上文可知，內(nèi)部控制的核心是為了對軟件、硬件、工作人員的合理控制，首要的解決重點(diǎn)應(yīng)該是治理頻發(fā)的信息安全問題。

2）安管部門分工差

我國的商業(yè)銀行起步較晚，由于對于利益的渴求，高層在工作日志中把更多目光投入到了信息化大數(shù)據(jù)所帶來的利潤和便捷之中力求，然而在追求利益的同時漸漸忽略了其所帶來的巨大的潛在威脅。信息安管部門是一個商業(yè)銀行從事一切商業(yè)交涉、資金轉(zhuǎn)移成功的基石，因此建立一個穩(wěn)定持續(xù)的安全管理部門是應(yīng)該得到高度重視并且盡快解決的問題。信息安全問題引發(fā)的犯罪及損失分門別類、種類繁多，也許只是信譽(yù)度的削減，也許是毀滅性的打擊，所謂的風(fēng)險預(yù)測也是由于目前信息安全安管部門的不完善所造成的新興產(chǎn)業(yè)。

2.3員工能力及培訓(xùn)欠佳

在擁有了能力成熟的軟件系統(tǒng)、完備的內(nèi)部控制法規(guī)之后，員工的個人素質(zhì)以及員工培訓(xùn)顯得不可忽視，因?yàn)槿耸且粋€銀行一個系統(tǒng)中不可忽視的一環(huán)。信息安全觀念及意識的形成是員工接受教育的第一環(huán)也是關(guān)鍵的一環(huán)。如果全體員工能夠意識到信息安全的重要性，并且在全部相關(guān)商業(yè)銀行業(yè)務(wù)中給予足夠高的重視，則會實(shí)現(xiàn)技術(shù)上完備的堡壘，形成由上而下極強(qiáng)的推動力。但往往大多數(shù)員工在執(zhí)行密碼時由于設(shè)定的繁瑣，無法真正意義上實(shí)現(xiàn)信息安全觀念的貫徹，如何進(jìn)行信息安全觀念的正確培養(yǎng)也是商業(yè)銀行所需要慎重考慮的問題。endprint

3案例分析：花旗銀行信息安全管理實(shí)施狀況

3.1花旗銀行簡介

花旗銀行是在花旗集團(tuán)屬下的一家商業(yè)零售銀行，其前身是在1812年成立的紐約城市銀行，經(jīng)過兩個世紀(jì)的發(fā)展、并購以及經(jīng)營，現(xiàn)在已經(jīng)成為美國最大的銀行之一。在我國，2012年9月18日，花旗銀行（中國）有限公司在上海宣布在中國的信用卡業(yè)務(wù)正式運(yùn)作。花旗銀行的主要產(chǎn)品服務(wù)分為以下類別：信用卡業(yè)務(wù)、私人銀行業(yè)務(wù)、新型市場服務(wù)、企業(yè)銀行服務(wù)、跨國公司業(yè)務(wù)。

3.2花旗有效的信息安全管理

1）系統(tǒng)的安全防護(hù)

在每個不同時代不同的大背景之下，各個銀行在不同地區(qū)對于信息安全的要求以及對于信息安全把控的標(biāo)準(zhǔn)不同，為了迎合時代背景，防止網(wǎng)絡(luò)系統(tǒng)發(fā)生突變，花旗銀行按照嚴(yán)格的安全風(fēng)險把控模型去分析信息安全程度，設(shè)計(jì)系統(tǒng)按照分析、設(shè)計(jì)和維護(hù)三個步驟來建立系統(tǒng)的安全信息，同時不斷的修改和補(bǔ)充。設(shè)計(jì)系統(tǒng)的更新不只是包括了系統(tǒng)的軟硬件設(shè)施更包括了系統(tǒng)的操作環(huán)境、操作人員和操作習(xí)慣等等。多年來，面臨著大數(shù)據(jù)時代，花旗銀行已經(jīng)將內(nèi)部的數(shù)據(jù)庫系統(tǒng)從原有的初始級不斷改善成為了今天的完備級。

2）內(nèi)部管理

花旗銀行的內(nèi)部管理有著其獨(dú)有的想法與創(chuàng)意。大體分為了人員管理、質(zhì)量管理、配置管理、風(fēng)險管理、安全管理、應(yīng)急管理。與其他銀行各自分工各為其主不同的是，花旗銀行的內(nèi)部各個管理部門有著合理的串聯(lián)，定期各個部門會有會議溝通，以確保信息安全的各個方面都無懈可擊，正是這種對于內(nèi)部管理的嚴(yán)格把控、對于信息安全不厭其煩的確認(rèn)，才會使花旗從未有過嚴(yán)重的信息安全犯罪事件。

3）外部管理

銀行只有完善合理的內(nèi)部管理還遠(yuǎn)遠(yuǎn)不夠，成熟的外部管理體系與內(nèi)部管理相結(jié)合才會體現(xiàn)出其強(qiáng)有力的控制預(yù)測。花旗銀行的外部管理主要分為了銀行信息的合理性規(guī)劃、信息安全事故的災(zāi)后重建能力。以204年的事件為例，三十六萬來自全球的花旗銀行客戶由于花旗銀行受到的黑客攻擊賬戶信息被竊取。面對這一嚴(yán)重的金融犯罪，花旗銀行親自對于每一個受害客戶給予了不同程度的補(bǔ)償，并為他們免費(fèi)補(bǔ)辦新卡。在遭到黑客攻擊后，積極完善了信息系統(tǒng)的內(nèi)部防御功能，自此之后鮮有不同程度的商業(yè)犯罪再在花旗發(fā)生。

4結(jié)合案例對商業(yè)銀行信息安全管理提出的對策

4.1完善銀行信息系統(tǒng)的安全維護(hù)

1）加強(qiáng)銀行信息系統(tǒng)平臺的安全防護(hù)

有了無懈可擊的商業(yè)銀行內(nèi)部服務(wù)器，才會更加安全的對信息安全起到絕對的防護(hù)。所謂的信息系統(tǒng)平臺的安全防護(hù)并非是定期對于系統(tǒng)服務(wù)器和平臺的一次階段安檢，是需要時刻進(jìn)行維護(hù)和防護(hù)的重要措施。

花旗銀行的成功，絕大多數(shù)的功勞都應(yīng)該歸功于其完善的平臺安全防護(hù)，相比我國現(xiàn)有商業(yè)銀行，花旗銀行投入到了更多的經(jīng)歷于商業(yè)內(nèi)部信息安全的建設(shè)與維護(hù)，為業(yè)務(wù)后期的行而有效做出了良好的鋪墊。

2）建立商業(yè)銀行信息系統(tǒng)的監(jiān)控征信

顧名思義，商業(yè)銀行的監(jiān)控征信是信用監(jiān)控的高度概括。信用監(jiān)控能讓商業(yè)銀行及時對于供應(yīng)商、客戶、競爭對手、子公司等進(jìn)行實(shí)時監(jiān)控，目前信用世界已覆蓋眾多產(chǎn)業(yè)。發(fā)展良好的監(jiān)控征信從另一種層面上也會使得商業(yè)對于未知風(fēng)險做出及時的預(yù)測，并及時提出可變的方案。這是一種直接避免我國常常發(fā)生的金融犯罪的良好措施。

4.2建立銀行信息安全內(nèi)控制度和信息安全部門

1）完善信息安全風(fēng)險評估和檢測制度

擁有了良好的商業(yè)銀行服務(wù)器系統(tǒng)后，必須有完善的信息安全風(fēng)險評估和檢測制度去保證系統(tǒng)的安全運(yùn)行以及業(yè)務(wù)的合理開展。

縱觀花旗銀行的成功，其對于目標(biāo)的全面實(shí)施的有效與連續(xù)性令人感嘆。在這成功的背后高層坦言，前期對于安全風(fēng)險評估做了極多的功課并且所有商業(yè)業(yè)務(wù)必須通過公司內(nèi)部的檢測制度才可以進(jìn)行后續(xù)的實(shí)施。我國商業(yè)銀行也需要推出自己的一套檢測制度并付諸實(shí)施。

2）建立銀行信息安全部門

良好的制度需要有專門的部門去定期修訂與執(zhí)行。信息安全部門是在商業(yè)銀行謀求最大利益的過程中不可缺少的一環(huán)。良好的信息安全部門會及時對于風(fēng)險評估形成報表做出合理預(yù)測。大數(shù)據(jù)時代，信息瞬息萬變，信息安全也兼具針對于不同金融背景對于檢測制度做出適當(dāng)修改并監(jiān)督業(yè)務(wù)的運(yùn)行。

4.3加強(qiáng)對人員信息安全人才培養(yǎng)和觀念培訓(xùn)

信息安全的保障也并非單單一個部門或者高層領(lǐng)導(dǎo)所應(yīng)重視的前提。商業(yè)銀行內(nèi)部工作員工在追求業(yè)績效率的同時也同樣不可忽視信息安全的重要性。

定期的人才培養(yǎng)與觀念培訓(xùn)以團(tuán)隊(duì)建設(shè)中重要的環(huán)節(jié)，此類團(tuán)社活動不僅可以加強(qiáng)員工的團(tuán)隊(duì)協(xié)作能力更是深入公司文化、加深安全觀念培訓(xùn)最直接的手段。往往由于內(nèi)部員工對于業(yè)務(wù)所涉及的信息安全性的不了解或者不重視才會導(dǎo)致諸多詐騙犯罪的產(chǎn)生，定期培訓(xùn)的開展將有效改善這一現(xiàn)象。

5結(jié)論

根據(jù)以上分析，我們得出以下幾輪，首先，應(yīng)該完善對于系統(tǒng)的維護(hù)，通過以上對于花旗銀行的概括不難發(fā)現(xiàn)完善系統(tǒng)的維護(hù)對于信息安全管理有著極其顯著的影響，對于我國的商業(yè)銀行設(shè)置系統(tǒng)如下所示。其次，對制度的改良與部門的擴(kuò)建。良好的信息技術(shù)安全部門應(yīng)該建立起良好的信息系統(tǒng)管理標(biāo)準(zhǔn)、項(xiàng)目開發(fā)的體系架構(gòu)；并審時度勢制定銀行內(nèi)部的戰(zhàn)略目標(biāo)和業(yè)務(wù)發(fā)展的信息發(fā)展戰(zhàn)略并加以嚴(yán)格實(shí)施；參與負(fù)責(zé)信息科技戰(zhàn)略規(guī)劃的具體實(shí)施和監(jiān)督檢查。長此以往，不斷改善信息系統(tǒng)的完備性和連續(xù)性會使得銀行的金融信息安全得以全方面的保障。endprint