银行业信息安全面临的五大挑战

中国银行业信息化正在飞速的发展，有力地促进了银行业务的发展。信息化促使银行业务前后台分离，帮助银行建立起一套运作流畅、适用高效的应用平台，为资金清算、客户服务、风险管理、稽核等业务提供技术支持；信息化使银行可以利用信息技术整合银行内部的资源，推动银行管理的优化，从而大幅度提高工作效率和银行的效益；信息化可以使现代银行由原来的储蓄、信贷基本业务，向储蓄、信贷、投资理财、咨询、中间业务等多方向发展，为客户提供更为灵活的服务；信息化也加快了金融创新的步伐，集中反映在网络金融服务的快速发展上，出现了网络银行、移动银行、电子商务等，这促使了许多新兴服务的发展。

同时我们也应该看到，信息化在推动银行发现的同时，也给银行自身带来了巨大的风险，主要表现在几个方面：

银行的数据集中处理的风险

银行数据大集中是银行发展的必然趋势，只有完成数据集中，才能实现银行账务数据与营业机构的分离，为银行管理集中和科学运营奠定基础，帮助银行从以账务和产品为中心转变为以客户为中心。但是，数据集中有其有利的一面，也有不利的一面，集中后信息系统风险增大，系统一旦出现问题，就会影响到整个银行的正常运营。

随着银行信息化程度的提高，信息系统本身固有的风险在加大

由于信息化规模的不断扩大，信息技术迅速发展，银行信息系统所采用的IT技术与信息系 统软硬件本身存在着大量的脆弱性，这些脆弱性被特定的威胁利用，就会产生风险，从而对银行信息系统的机密性、完整性及可用性产生损害。信息化程度越高，风险就会越大。如：系统漏洞、硬件故障、意外灾祸都会造成银行信息系统不能正常工作，从而造成重大问题。

网络金融服务的发展，对银行信息安全问题提出了挑战

近年来，网络金融服务，如：网上银行、移动银行、电子商务结算等，出现暴发性的增长，已成为目前国际范围内成长最为迅速的银行业务品种，也是银行争相追逐的利润增长点。其中绝大部分的B2B、B2C业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全，如何在公网环境下防止黑客、病毒的破坏，如何在危机四伏的Internet上保证支付系统的安全性，是银行信息系统要面临的挑战。

随着对信息安全认识的加深，我们逐渐认识到：人其实是最大的风险。

统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的，银行业也是如此。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低人的安全风险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。

银行信息系统的效绩评估，是目前迫切要解决的问题

信息系统己成为银行重要的资产。但目前对信息系统这种资产的效能与效率缺乏客观、有效的评审机制，这在很大程度上己经成为银行充分发挥信息系统作用的障碍，并使管理层对信息系统的进一步发展无法做出科学的决策。

因此，为了保证银行业务运营的基础平台――银行信息系统，安全、高效地运行，从而保障银行的健康发展，引入独立的信息系统审计己是当务之急。信息系统审计是检查、控制银行信息安全风险，评估银行信息系统绩效的重要手段。

所谓信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。

声明： 此文观点不代表本站立场；转载须要保留原文链接；版权疑问请联系我们。