專訪中國人民銀行科技司司長王永紅
責編:admin |2013-04-18 14:36:534月11日,中國人民銀行科技司司長王永紅就金融信息系統的安全風險及防范措施等內容,接受了中國電子銀行網的專訪。
信息安全風險體現在三方面
中國電子銀行網:目前信息安全事件時有發生,金融信息安全局面較以往更加復雜,您認為我國信息安全風險主要來自哪里?
王永紅:我覺得從自身能力角度來看,信息安全風險主要體現在以下三方面:
首先是自主可控能力不足。在IT領域,現在,比較明顯的特點是:現在防病毒、網絡設備、安全設施用的國產軟硬件越來越多,但核心軟硬件還是以國外的為主,如IBM、oracle等。這種依賴導致我們的自主可控能力不足,基本上到了核心關鍵領域還是依賴于廠家的服務,這是我們第一大問題。另外表現出來的就是金融機構災備體系建設不夠完善,很多單位都沒有做到、或者說沒有完全發揮兩地三中心的作用,有很大改進空間。
其次是精細化管理的能力不足。隨著計算機系統的發展,規模越來越大,機房龐大無比。規模越大,結構復雜帶來的安全隱患就越大。搞安全管理工作的科技人員無法預測如此龐大的基礎設施哪些方面會出問題,相應的對故障隔離,應急處置復雜性要求也在增加,對我們精細化的管理能力提出更高要求。
第三是應急處置能力亟待提升。某些銀行忙于發展。重建設、輕管理,重開發運行、輕安全維護的現象時有發生。應急預案的有效性和可操作性存在改進的空間,應急演練的真實性也有待加強。因為應急演練做得少,操作熟練程度肯定還有很大改進空間。
此外,除了自身能力不足,客觀上,現在形勢比以前更復雜,我們還面對病毒,智能木馬等風險,特別是來自于國外大型黑客組織,有政府背景的黑客有組織的攻擊越來越多,如伊朗核電站事件——震網病毒、火焰病毒等。所以從人民銀行角度來看,金融信息系統與網絡系統出問題,不僅僅是一種經濟安全問題,由于它存在一種共振,有可能從一種單純的技術問題或者說單純的信息安全問題,演變為一種社會政治的穩定問題,這是我們政府、人民銀行對信息安全的一個定位、觀點。
一旦系統癱瘓,老百姓取不到錢,加上網絡炒作,網上網下互動,形成一種共振,局面將更加復雜。另外,服務窗口解釋口徑不一致,導致火上澆油。舉個例子,最近有一家銀行因為系統癱瘓,導致無法取款,但他們采取緊急支付策略成功處置了這個問題。我覺得他們很聰明,他們把一個信息安全事件通過緊急支付這個做法成功解決了,這家銀行的理念很值得借鑒。因為知道系統癱瘓的人很少,惡意取款的也很少,事后對賬,發現無差錯。如果他們沒有啟動緊急支付這樣一種應急處置手段,那這次信息安全事件影響就會很大。
銀行須重視信息安全風險管理
中國電子銀行網:銀行在保障信息安全時應當注意什么?主管部門提出了哪些主要/具體要求?
王永紅:黨中央、國務院對信息安全問題看得非常清楚。為此,在2012年6月28日發文《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發【2012】23號)。大家注意,很少有文件如此這樣將發展和安全并列,這是李克強同志任副總理時主持召開多次研討會議,定下來的基調,一方面發展,一方面安全,在安全中發展,發展不忘安全。這份文件寫得很好,談得很具體。結合我國銀行實際情況,未來若干年,我們國家在信息化發展中要發展哪些領域,安全方面我們要做那些保障,我個人認為從專業角度看,大家要注意以下兩點:
第一點是要將信息安全風險納入本單位的全面風險管理體系。防范和化解信息安全風險是一項綜合性、長期性的工作,不能將其簡化、弱化為一個單純性的技術工作,如果哪個單位認為信息安全只是科技部門的事情,那就說明理念落伍了,它不是一個部門的事,它是整個單位的事。銀監會主席講話中對信息安全的看法很明確:IT風險是唯一可以在一瞬間讓整個銀行陷入癱瘓的風險。人民銀行的要求:信息安全管理的底線是,絕對不允許發生系統性和區域性的風險。兩個主管部門的定位是明確的,大家要引起高度重視。我們去商業銀行檢查時更關注商業銀行的高管是否會經常研究這個問題,是否重視信息安全風險管理。
要深刻認識到技術支撐業務,業務與技術相融合的發展趨勢,明確業務部門和技術部門要形成有效地協同機制,共建信息安全保障體系,共同提高業務連續性,堅決扭轉由分管信息安全工作的負責人一個人負全責的不當做法,要納入全面風險管理。
第二點是從人民銀行角度來看,要求嚴格執行信息安全的報告機制。2010年,人民銀行、工信部、公安部、安全部、電監會五部委建立了跨部委的應急協調工作預案。2011年,人民銀行在副省級以上城市建立了區域的信息安全應急協調機制。大家定期有交流,有溝通,形成一種機制,互通有無。這種全國性的制度安排和屬地化管理相結合,實際上構成應急協調機制、保障機制。各單位在信息安全事件發生、發展、善后等不同階段,要采取各種聯系方式向人民銀行報告相關情況,便于人民銀行組織協調進行應急處置,盡量避免造成社會因恐慌情緒引發群體性事件。我很理解出事以后大家的心態,但大家不要有僥幸心理,你無法預判事件將會有多大影響,有可能愈演愈烈,何況現在資訊如此發達,因此必須及時報告。一旦有事件,不管大小,一律向人民銀行報告。
建立安全可控的生產運維機制
中國電子銀行網:金融系統信息安全情況十分復雜,往往牽一發而動全身,事前預防比事后補救更加重要,銀行應該如何做好信息安全保障工作?
王永紅:在技術層面,表現為我們要建立有管理、可控制的安全生產運維機制。聯網系統規模、范圍越來越大,服務對象也越來越復雜。運維監控一定要做到:監控人員比用戶先發現問題,中心機構比聯網機構、分支機構先發現問題,這也是評判和衡量一個單位科技水平的重要指標之一。要做好管理工作,我提三個建議:
首先要建立量化的監控指標體系。監控對象的指標化是自動化監控的基礎,也是優化網絡效率和提升系統健壯性的重要參照,是運維技術體系的核心內容。如何發揮監控系統的作用呢?主要是看是否有量化的監控指標,量化的比較結果才有確切的說服力。在動態調整量化監控指標過程中,我們不但要包括傳統的各種系統資源使用率,還要注意增加交易進度,數據狀態等應用及監控的內容,及時發現運行環境和交易處理流程方面出現的異常情況。
其次要加強監控的分析。從專業角度來看, 要對運維監控中發現的各種異常現象,不論是否影響系統正常運行,都必須納入系統運行分析會,對風險隱患必須一追到底,并及時處理,同時根據運行分析結果加強容量的管理,定期清理生產環境,動態評估系統的處理能力,動態優化技術資源的配置。在實際中摸索、固化處理能力和資源配置之間的量化關系。我們傳統工廠里的班前分析會、班后研討會很值得我們IT部門借鑒。這種習慣很好,我們要求銀行最好建立這種制度,很多時候系統出問題,最開始只是有苗頭,并不一定影響系統運行,表現出一種癥狀,如果出現苗頭的時候不一追到底,是否出事就完全靠運氣了,這跟人體體檢是一個道理,銀行對這個原則一定要把握住,工作很辛苦跟工作有成績是兩個概念,希望大家不要做無用功。
我們一直強調,銀行服務外包責任無外包。在IT領域服務外包是很普遍的情況,從人民銀行到商業銀行都一樣,畢竟軟硬件是廠家生產的,但不要天真的以為,廠家能承擔全部責任,人民銀行和銀監會都不會認為廠家完全承擔責任。實際上,這幾年我看過很多事件處理報告,因為沒有量化的要求,之前沒有考慮清楚,經常發現外包廠家因為種種原因,如堵車、工具軟件不齊全等,并不能及時趕到并提供服務。因此銀行必須對廠家的服務進行量化,認真研究運維合同,甚至對關鍵設備的備件都應該提前準備到本單位庫房。
第三是完善預案,提高業務連續性。隨著數據集中,系統整合的不斷推進,銀行的技術體系日趨復雜,但是對技術體系的駕馭經驗和能力有待在實踐中積累、提高。基本上可以這么說,出事是一定的,不出事是不可能的。萬無一失是一種要求,我們要爭取不出大事。所以應急預案,應急演練很重要,在應急預案制定過程中和應急演練在中要貫徹優先恢復系統對外服務這個原則,因此如何編排應急預案就很講究了。
堅持優先恢復系統對外服務原則
中國電子銀行網:您提到要貫徹優先恢復系統對外服務原則,體現在哪些方面?銀行應如何把握?
王永紅:關于這個問題,我有三點總結。第一點是銀行要不斷完善應急預案。各單位應該研究人民銀行發布的金融業信息安全風險提示,人民銀行和國家相關部門會定期發布一些信息安全提示,金融機構對此要引起足夠重視,這些安全提示是一種情況交流,從別人的問題和事故中舉一反三對自身情況進行排查,通過了解信息安全動態,從風險狀況、應急內容和處理措施去充實和完善自己的應急預案。通過我們這幾年的實踐可以看出,應急預案的完善不是開會這么簡單,而是要測算關鍵點的耗費時間,也即測算完成每一部分工作所需要的時間,通過測算關鍵點的耗費時間可以發現很多不必要的中間環節,可以發現很多可以轉化為并行操作的串行環節。
第二點是銀行要改進交易的處理流程。實際上系統中斷的種類和交易處理的場景是難以窮盡的,我們應該從提高業務連續性的角度,去設計和實現替代的流程與數據處理的方式。也就是說無論我們怎么設計應急預案都無法包羅所有的故障場景,因此要去設計一些替代的流程和數據處理方法,包括手工交換數據、手工補錄數據、交易流程路徑變換等方法去作為替代服務,最終要達到的目的是——中斷業務時間一定要大大短于系統恢復時間。很多時候我們衡量一個事件處理是否成功就是看這一點。換句話說,關鍵是看在系統恢復之前是否已經采取其他手段提前將業務恢復。
最后,銀行要提高應急處置效率。出現信息安全事件時,初步判斷無法在30分鐘以內恢復系統時,應優先考慮隔離故障設備,切換至熱備、替代的系統,或者果斷啟動應急預案,以控制事態的進一步發展。在應急處置的過程中,特別要消除“技術萬能”的盲目樂觀思想,應采取各種可能的舉措來縮短系統恢復的時間,不能拘泥于和局限于保證局部數據的正確性而不恢復系統的對外服務,恢復系統的服務是最重要的,實際上,局部數據的正確性可以通過事后沖賬等方式補救。
