CIO热点:信息安全等级保护遭遇落地难题

日期: 2008-05-06 来源:TechTarget中国

  在一定程度上讲,缺乏一个强有力的信息资产监管机构和一套切实可行的信息安全监管机制,是国家信息安全宏观政策无法在金融业中全面落实的重要原因。


  4月20日,中国银联系统瘫痪达6个小时,34万家商户POS机无法消费,6万台ATM机无法跨行取款。


  尽管4天后中国银联发表声明称:此次跨行交易故障绝非“黑客攻击”,而是“系统故障”小概率事件,是由于某些外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷,导致主机发生故障。



  但是,这一小概率事件又一次将银行新业务的安全问题摆到了公众面前,如果不能有效避免,会极大地削弱公众应用新兴消费方式的热情,造成无法衡量的间接经济损失—公众对银行的信任度受损:有问题的信息产品能否抵挡日益严重的网络犯罪?


  据国外调查机构数据显示,金融历来是黑客关注的焦点,在有预谋的网络犯罪中,90%以上集中在银行、证券和保险领域。日前,公安部人士在有关工作会议上透露,2005年我国用户仅银行卡被骗金额就将近1亿元,其中利用网络病毒窃取、“网络钓鱼”骗取、手机短信欺诈等已经成为银行卡诈骗的主要手段。


  如同在真实的社会中一样,欺骗、病毒、入侵、盗窃甚至抢劫,在网络环境中始终存在,且愈演愈烈。2006年年初公安部出台了《信息安全等级保护办法(试行)》(以下简称《等级保护》),构建等级化保护体系,同样也成为了金融行业迫在眉睫的任务。


  公安部选择了一些银行作为等级保护的试点单位,意图通过严重依赖信息化展开业务的银行试点,总结经验在全国范围内推广。时间已过半年,现状究竟怎样?本刊希望以“等级保护”为采访线索,将金融领域信息安全这一敏感话题理性呈现,为有关政策决策时提供客观依据。


  进退维谷


  记者在采访中发现,无论是否参与等级保护试点工作,各银行的CIO或者CSO都认为《等级保护》要落实起来难度相当大,因此绝大多数商业银行还处在观望状态,担心的问题有三点。


  首先,政策是否具有延伸性?是否具有可操作性?某重要商业银行一位不愿意透露姓名的信息化主管认为,等级保护搞了十几年,一直感觉是雷声大,雨点小。譬如早在1994年,国务院就发布了147号令,规定计算机信息系统必须实行等级保护,但是没有相关的管理办法和等级划分标准出台,导致政策一到操作层面就执行不下去。等1998、1999年到公安部会同信息产业部、保密局、中办机要局、军队和地方的专家,正式制定了计算机信息系统等级划分标准后,整个的安全形势又发生了很大的变化,这个标准又过时了。


  “我们能理解一个政策出来,需要一个逐步完善的过程。”某银行的科技部负责人认为,但是在国家层面,这个时间过长就会导致政策的实效性比较差;而相关政策配套的管理办法和管理条例的缺失或含糊,则会使政策很难操作甚至根本不可能操作。


  其次,政策的管理部门太多,行政效率很低,从而导致落实政策和法规时,出现问题不知道找谁。牵头实施《等级保护》的相关部门很多,国信办、公安部、信息产业部、保密局、人民银行、银监会都在参与,但具体工作究竟该由谁指导落实,却非常模糊。


  “坦率地讲,《等级保护》试点在我们银行没有太多进展。”该银行科技部负责人说,“很多事情,政府管理的部门一多,就会变得复杂理不清头绪。上面没说清楚,下面就更搞不清楚。”


  据一家地方性银行的信息化主管介绍,他们是当地公安部门确定的第一批落实《等级保护》的试点单位之一,但几个月过去了,银行都还没有弄清楚该工作到底是公安部门的网监处牵头,还是由内保局来主管,因为二者都在做等级保护的相关工作。“最后的结果是,公安部门需要我们提供什么材料,我们就提供什么材料。”这位信息化主管说,“从而失去了试点工作的意义。”


  再者,虽然我国银行业的网络安全意识和网络安全应用水平居于各行业之首,但“等级保护”却是一个新课题。一方面,相对来说,中国金融业基于互联网的入侵近几年才涌现,大家对风险的评估能力和安全的防护手段还处在逐步改进之中;另一方面,随着前几年银行业数据大集中的逐步完成,银行的业务系统不单单是一个软件系统,还涉及到覆盖全国的网络系统。


  “我们缺乏经验,也无从下手。”某政策性银行一位主管信息安全的CSO说,“公安部出台了一些细节,指导性不强;而人民银行也没有具体的相关条例。”据了解,按照公安部门的要求:在落实《等级保护》时,系统的定级要银行自己来上报,再由公安部门来检查。


  对于银行来说,评估自己的系统应该上报为几级是件相当头疼的事情。如果系统的安全级别报高了,安全措施就会要求高,从而增加银行的安全成本,影响到安全效益;如果系统的安全级别报低了,万一出了问题,谁也负担不了这个责任。


  该安全主管表示,等级保护是一定要做的,但对于像我们银行这样信息化人手远远不够的单位来说,只能是借鉴试点的兄弟单位的经验来做,眼下所能做的是把相关政策、法规消化理解透彻。“这不是一两年就能做好的工作,只能是走走停停,边走边看。”


  “卡”在哪儿?


  虽然大多数专家认为,政府强调实施等级安全保护制度是非常英明之举,但是,当政策法规要落到行业实践时,却为何结合得如此松散呢?瓶颈究竟在哪儿?


  中国信息产业商会信息安全产业分会常务副理事长、著名信息安全专家屈延文教授认为,在一定程度上讲,缺乏一个强有力的信息资产安全监管机构和一套切实可行的信息安全监管机制,是国家信息安全宏观政策无法在金融业中全面落实的重要原因。


  他认为,现在出台的《等级保护》只是一个红头文件。事实上,对于信息安全,不同部门理解的角度是不同的,公安部门讲的是安全责任;银监会讲的是安全秩序;商业银行讲的是安全效益。因此,银监会、保监会、证监会、信监会、工商会共用一个文件,一个框架虽然可行但不实际,一旦跟行业的具体问题相结合,必然存在鸿沟。


  “我认为银行方面信息化的安全最终还是由银监会来管来抓比较合适,因为银行的信息安全属于操作风险,而操作风险就是属于银监会管的。我们不可能脱离银行业务来孤立地谈银行系统的安全。”


  在他看来,现阶段在银行业进行《等级保护》试点工作已出现两难。


  一难是,公安部并不懂得银行业务,如果强行推的话,必然会出现沟通障碍,只能就系统安全来谈安全,和业务剥离,使得商业银行因无法评估安全效益而缺乏贯彻落实《等级保护》的动力。


  二难是,如果由银行业自行推,就缺乏一个强有力的监督管理机构。银监会和人民银行分开时间不长,分工不是很明确,还存在交叉。譬如银行风险、货币风险归人民银行管,操作风险归银监会管。“而这些又彼此交叉,职责的磨合需要一段时间。”


  据记者了解,目前人民银行管理安全的部门隶属于人民银行科技司,对各商业银行的安全推广工作只能起到一个召集者的角色和行业信息化的指导性作用,心有余而力不足;而银监会没有对信息资产安全实施监管的机构,根本就拿不出具体的实施方案来,银监会的信息中心目前还无法替代信息资产监管的职能,它所承担的工作仍局限于银监会内部的一些信息化项目建设,如办公自动化、网络基础设施建设等等。


  一些银行的信息化主管同意屈延文的部分看法,认为人民银行和银监会在信息安全监管方面可以做得更得力一些;但是,认为仅仅靠银行业内部,很难解决信息资产安全监管的机制问题。


  某试点银行的信息化主管认为,文件写得怎样并不是等级保护最重要的事,关键问题是有没有操作性缺陷。从已经迈开的试点工作来看,实施等级保护的第一步——风险评估就是制约《等级保护》落实的最大短板。


  首先,风险评估是一个非常复杂的问题,尤其是金融业的信息系统自身所依赖的技术复杂,涉及层面广泛,评估更是难上加难。譬如在2000年10月,银行监管巴塞尔委员会关于电子银行发展中风险管理和监管问题的报告中,仅电子银行相关的主要风险,就列出战略风险、名誉风险、操作风险(包括安全和法律风险)以及信用、市场和流动性风险众多条。


  其次,请谁进行风险评估也是一个令人头疼的问题。按照国家政策的相关规定,我国重要的信息系统进行风险评估,主要是自己评估或委托第三方进行评估。


  接受采访的一些银行信息化主管认为,如果进行自评估,绝大多数银行并不具备这个实力,在系统业务繁忙的情况下,银行不可能投入大量的人力和物力去进行风险评估;即使是有评估能力的银行,也认为“内部评审权威性差,自己内部人自己评自己,说不过去”,不敢贸然行事。


  如果委托第三方评估,究竟该如何判定第三方的资质又成为一个新问题。因为以前根据人民银行的要求,会委托有实力的第三方定期做信息风险评估,但并无资质这一说。“我们不敢也没有能力承担起风险的责任。”某重要商业银行地方分行的信息化主管说。


  因此对金融业来说,在相关配套监管措施缺位的情况下,请第三方进行风险评估本身就蕴涵了新的风险。如果不知道系统的弱点,就不可能很好地保护系统;如果知道了系统的弱点,一旦被泄露,将会带来更大的不堪设想的风险,尤其是在安全漏洞大量存在和安全事故层出不穷的状态下。


  如何前行?


  尽管《等级保护》在金融行业遭遇落地难题,但被采访的几位专家和银行信息化主管都认为《等级保护》从最高层次对信息系统进行了安全角度的划分,是构建我国信息安全保障体系的核心重要环节。


  金融行业将如何突破落实《等级保护》中的重重关卡,摆脱胶着状态,顺利前行呢?一位不愿意透露姓名的信息化主管认为,首先是在于上级的重视,银行信息化建设的历史充分表明,“一把手工程”才会成功。


  “公安部门再怎么强调,下边的CSO再怎么努力,抵不上行长亲自发话过问。”这位信息化主管说, “2000年人民银行召开信息化安全会议,行长一发话,各个商业银行的安全处就齐唰唰地建成了。”他认为,如果银行领导也认同公安部门的看法,在实施《等级保护》时,落实责任制,层层都要有人管,从总行到各分行都有责任,很多问题就可以迎刃而解。


  “一把手”工程确实能带来信息化建设的成功,可目前有几家企业的信息化建设是“一把手”工程?从当前一些银行实施软件的不成功就可以看出一二来。所以说,“一把手”工程关键还是在于落实,从组织结构上把它明确下来。“如果这个问题得不到彻底解决,一切都是白搭。”业内一资深信息化专家表示,“银行等级保护工作的实施只是一个具体问题,类似这样实施难的信息化问题还有很多。”


  除了需要上级领导的高度重视,抓紧制定行业内的相关配套做事,来解决监督管理方面的问题,也是金融业当前亟需要跟进的重要环节。因为没有专门的监管机构来从事信息化的监督管理,很多事情落不到实处。


  一位银行信息化主管认为,在银行内部有安全管理机关却无监督机关,这使得安全工作是弥补而非预防,许多工作处在可做可不做的状态,譬如落实《等级保护》,因为并没有谁对违反《等级保护》规定情况下的处罚标准进行界定。他赞同屈延文的看法,呼吁银监会直接成立科技监管司或信息资源监管司,来督促银行信息化安全工作的全面实施。


  “目前由于监管机构的缺失,评估工作走过场和所谓的腐败问题也非常严重。” 某著名安全专家在接受记者采访时表示,就算评估工作是真实的,通过评估之后,由有关部门发放证书,证明其符合要求与标准。评估之后,被评估的工作是否还能保持评估时的标准要求,必须对被评估企业进行监管,否则,评估之后,各项工作出现倒退,评估的意义便失去了。


  对于专家的说法,记者有一些同感。2004年记者有幸参加了银行重大系统的专家组验收会,对整个验收的过程有一些了解和感觉,虽说谈不上腐败,但是那种走过场和流于形式的现象还是挺有感触的。


  该专家认为,评估工作正确的做法是把评估的重点放在信息资产的价值评估上,给出信息资产和风险资产价值化的评分与定价的标准。评估工作除实行价值评估外,还要实行效益或有效性的再评估。


  现在的信息安全已经逐渐变成一个独立的学科,一些信息化主管认为,信息安全需要有专业人员提供服务,包括风险分析、咨询服务等。在国家尚未对安全服务进行规划化管理时,金融业可以先行一步,对提供安全服务的企业进行行业资质管理,依靠政策和市场相调控的原则,来弥补银行安全人才缺乏的短板。


  就算评估工作是真实的,且在通过评估之后,由有关部门发放证书,证明其符合要求与标准。但评估之后,要使被评估的工作还能保持评估时的标准要求,就必须对被评估企业进行监管。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 用脆弱性评估流程击败黑客

    无论IT的风险是什么,查找、修复并保护组织的数据、应用、网络、系统等组件中常见或不常见的漏洞都有一套基本的最佳实践。本提示将就如何创建一个脆弱性评估流程提供建议。

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 新数据对信息治理和安全至关重要

    公司已经意识到,为了平衡经济和性能效率,使用移动设备和云计算这样的技术,信息安全投资至关重要。