摘自〈计算机世界〉
信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰是一门学问。
随着信息技术在银行业的广泛应用,建立在信息技术基础上的网上银行、电子商务、电子支付工具等新的服务渠道正在兴起,金融运行的模式正在发生着深刻的变化。随之而来的是日趋严重的信息安全问题。过去人们一直认为金融业对信息安全的建设非常重视,但实际上,金融业并不如想像的那样安全,早期的银行只部署了简单的信息安全技术和产品,并没有从体系上解决信息安全问题。但自2006年以来,金融业普遍开始进行认识上的转型,尤其是外资银行在国内业务上的扩张,使国内银行竞争压力加大,再加上网上银行业务模式比重的加大,势必使金融信息安全建设备受关注。当前,金融业的信息安全风险主要体现在以下几个方面:
一是随着数据高度集中,业务系统对可靠性和不间断运行的要求也越来越高。
二是随着金融信息化的加速,使信息系统的规模逐步扩大,金融信息资产的数量急剧增加,如何对这些信息资产进行有效管理,使其都能得到不同级别的安全保护,将是金融业安全管理面临的巨大挑战。
三是金融信息化和网络化,使金融行业的地位进一步提高,金融信息系统内部采集、存储、传输、处理的信息量越来越大,与合作伙伴的关联性也进一步加强,对金融信息系统及其网络的依赖性更强,必须确保金融数据的安全采集、安全存储、安全传输和安全处理。原本相对封闭的网络越来越开放,从而将外部网络的风险引入到银行内部网络。金融信息系统与互联网的互联,必须面对来自互联网的各类攻击、病毒及入侵等对信息系统可用性带来的威胁。
四是随着金融电子渠道的拓展和普及,诸如信用卡号失窃、电子欺骗等金融犯罪活动将逐年增加,必须提高事前监控预警、事中保护反击、事后审计分析能力,提升客户对银行的信赖度。网络经济竞争下,电子银行技术创新和业务发展速度更快,业务和服务模式更加开放,随之而来的是更多的合作伙伴、更多的外部连接,以及更多的电子银行业务与后台核心系统连接。
五是关键业务系统层次丰富,操作环节多,操作风险也相对比较明显。
信息安全问题已经得到了银行业的普遍重视。2006年12月,银监会下发了《银行业金融机构信息系统风险管理指引》,将信息安全列为与市场风险、信用风险、操作风险并列的第四大风险,并纳入监管范围。各金融行业对信息安全的重视程度越来越高,纷纷部署各类安全产品,使用了各种信息加密、认证、防抵赖、VPN等技术,但是从总体看,金融信息安全仍存在以下主要问题:
一是信息安全工作缺乏整体规划,“头痛医头、脚痛医脚”现象较为严重。
二是信息安全意识不高,信息安全管理措施的落实尚存在差距。
三是缺乏动态的、持续的风险评估机制。
四是安全技术的应用滞后。
管理的游戏规则
在信息安全保障体系中,安全管理和安全技术是一个不可分割的统一体,是一个事物的两个方面。“三分技术、七分管理”在信息安全圈里几乎已经成了管理和技术最好的配比。其实技术和管理是并重的,不好说谁三分谁七分。管理离不开技术,技术离不开管理;两者紧密相连、相互渗透、互为补充。信息安全问题的解决需要技术手段,但又不能单纯依赖技术。信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。在这方面,我们要同时注意防止和克服“重管理、轻技术”和“单纯技术观点”两种倾向,既要高度重视信息安全技术的重要作用,又要避免陷入唯技术论的怪圈。从理论上看,不存在绝对安全的技术;技术固然重要,但管理更不容忽视。虽然“三分技术,七分管理”的说法不一定准确,但从另一个角度说明了安全管理工作的重要性。因此,我们应以业务为主导,从全局的高度部署安全策略,采用先进技术,加强安全管理,把采取安全技术手段与加强日常管理和健全体制紧密结合起来。“三七开”这种提法,可能是在提醒我们,信息安全中最重要的最难以控制的是人,因为人是信息资产的创造者和使用者,因为人的不确定性所以我们要用管理来降低来自于人的风险。但在整个信息系统安全工程的生命周期中,管理与技术是相辅相成,缺一不可的。
无规矩不成方圆,管理就是游戏规则,他所产生的效果是不能用金钱来计算的,确切的说它是一种长期的投资,技术只是一种“止痛药”,当时见效,并不能根除,当然并不是说技术不重要,但在当前的环境下,应当正确把握实践中管理和技术的比例。
对内部安全管理而言,现实中为什么会出现技术手段的约束多过管理措施这种现象呢?其实还是在于管理对象的素质,需要通过技术手段不断地强化,他们的安全意识才得到不断提高。很显然,在安全意识不高的环境中,七分管理,三分技术是失败的,但是如果没有管理措施,技术手段是推不动的。“两手都要抓,两手都要硬”。技术与管理两者的发展是一种交错前进的关系,初期是技术,发展到一定阶段可能遇到瓶颈,然后又是管理,这样螺旋上升。
一个大型企业的正常运转从很大程度上要得益于完善的规章制度和管理团队,这就是为什么国内当初炒ERP炒得那么火,上了系统的也不少,但真正能用好、发挥出ERP效能的少之又少的问题所在。技术上达到了但企业的管理水平和经营理念根本就没跟上,这种情况下部署的ERP只相当于财务软件。信息安全的情况也是如此,如果没有严格的规章制度,即使有了完善的安全技术体系,还是有漏洞。就拿上班玩网络游戏一样,在技术上可以封掉,但有的员工买通网管打开个别帐户怎么处理?如果没有制度,发现上班时间玩游戏该怎么处理,又该怎么衡量玩网络游戏可能带来的风险?答案是:从制度上明令禁止。员工上班时间上第一次警告第二次罚款,屡教不改开除。还有一点是现在很容易碰到的,就是所有的信息安全都是和技术人员在谈,那当然只能谈出技术!想做好一个企业的信息安全就应该从管理层入手,争取高级管理层的支持,这是在BS7799开头就特别指出的。所以信息安全一定是“一把手”工程,如果“一把手”对信息安全工作不关心,不了解,不支持,光靠业务部门去抓一些具体的事务,久而久之,信息安全的管理工作就会逐渐淡化,逐渐流于形式。
打破“据病就医”怪圈
信息安全“据病就医”的现象非常普遍,主要存在以下几个问题:领导不重视,管理和信息安全脱节,没有清醒的认识信息系统面临的风险,没有完整的信息安全规划。为了解决信息安全“据病就医”的问题,需从多方面进行努力。
首先,高层领导必须认识到信息安全的重要性。
安全管理是企业信息安全的核心,企业建立了安全管理体系后,安全技术才能充分发挥它应有的作用。安全管理首先要建立一个健全、务实、有效的安全组织架构,明确架构成员的安全职责,这是企业安全管理得以实施、推广的基础;其次必须建立完善、可操作性强的安全管理制度,并严格执行。责权不明,管理混乱,安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险,如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
其次,进行安全风险和需求分析时,应结合企业网络的特点,再根据潜在的安全风险,安全产品的功能、价格等因素进行综合细致考虑,制定中长期的信息安全规划。
第三,充分利用安全技术。
解决信息安全问题不能仅仅只从技术上考虑,但也不是说不考虑技术,技术是安全的主体,管理是安全的灵魂。信息安全离不开安全技术的实施、安全产品的部署,但现在的安全技术、安全产品让人眼花缭乱,难以选择,这时就需要进行风险分析、可行性分析等,分析现在我们网络在哪些方面面临的风险,解决问题或最大程度降低风险的可行性,收益与付出的比较,哪些产品可使我们以最小的代价满足我们的安全需求,安全与效率的权衡等。对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
第四,完善安全改进措施。
通过对风险评估和需求分析,有针对性地持续改进安全管理和技术水平,不断提升安全防御能力。
第五,在信息安全管理实践中注重人的因素。
部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险,比如我们部署了防病毒系统,但病毒仍会通过各种途径出现,但它的危险程度降低了,影响范围缩小了,不再是不可控的了。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。
信息系统的安全往往取决于系统中最薄弱的环节——人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。这就要求企业的信息管理部门加强安全管理,提高系统全体人员的网络安全意识和防范技术,这涉及到信息安全的另一个重要环节:安全培训。企业必须组织开展多层次、多方位的信息安全宣传和培训,建立一个安全培训机制,增强用户安全防范意识和防范能力。
道高一尺,魔高一丈
信息安全问题是银行业面临的共同问题。随着信息技术的广泛采用,银行的运作方式也在发生着深刻的变化。银行越来越依赖于信息系统的安全可靠,随着信息技术的运用,可以肯定,银行将面临越来越多的信息安全问题。其趋势为:一方面银行越来越多地采用先进的安全保密技术和设备以提高安全性,另一方面,也会有新的安全问题不断地提出来需要进一步解决。可以说,信息安全问题是银行采用信息技术带来的一个长期的问题。由于银行业务的特殊性,银行系统将需要长期不懈地努力,保证信息系统的安全可靠,从而保障客户的利益不受侵害。
虽然信息安全令很多金融业的CIO们头痛,但信息安全给企业所带来的压力是正常的。这就像犯罪,一个没有犯罪的社会是不正常的。正是因为有了犯罪才有信息安全的需要。做任何事情有风险,风险无处不在。信息安全是一个很宽泛的概念,一只老鼠甚至都是信息安全的隐患,因为它有可能会咬断我们的电缆;夏天的雷雨天气也会对我们的动力设备造成威胁。我们要做的就是如何防范和应对风险。
通常情况下,在建设一个系统的时候,我们一定会预先评估可能会出现的风险,并做好防范措施。在实施中不断改进,并进行思考,做一些前期的展望。主动防御是一方面,信息安全也是被动防御的。“道高一尺,魔高一丈”,如果不是魔在前面跑,道也不会修炼了。信息安全也是如此。正是因为存在隐患,所以信息安全需要不断地提升。
此外,我们从实践中认识到,信息安全的系统建设比单独购买信息安全产品更重要,只有整体IT系统的安全才能构成真正意义上的安全。因此,从系统角度考虑信息安全建设是金融业摆布信息安全工作的主流理念。要抓好信息安全工作,机构和部门要实现安全方案和管理应该具备“六有”:有专门的信息安全管理机构,有专门的信息安全管理人员,有逐步完善的信息安全管理技术政策和行政管理制度,有逐步完善的信息安全技术设施,有动态的对信息安全体系运行状况的检查、评估、持续改进,在财务状况和安全需求间寻找平衡,保证对信息安全必要的财务支持。其中很重要的方面是考虑如何在有限的资金条件下,达到投入与安全的平衡。
另外一个重要的方面就是不管是多好的安全技术还是安全管理,都往往不及领导们的一句话,现在很多的“一把手”工程能够实施得很好,就是其人员的作用发挥出来了,才能真正把管理和技术落到实处。