银行业网络安全现状 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】一．银行业信息化现状21世纪的今天，信息技术的发展完全改变了人们传统的生活方式和生活观念，在以网络应用为核心的数字化时代到来之际，金融界率先引进了电子信息和网络技术，计算机网络与信息技术不仅深入了金融企业的内部管理体系，也使我们在注入银行卡、网上交易等业务中，越来越多的享受到了信息化所带来的高效和便利。

网络银行的出现，使得银行客户在任何地方和任何时候都能得到银行的服务，它拓展了银行的业务发展空间，使用因特网进行的商务活动突破了时间与空间的限制。

目前，全球发达国家大约有85%的主要银行已经建有自己的业务网站，中国银行,,%)界实现银行机构信誉化的进程也在不断地加快，可以说开拓数字化、网络化的电子金融业业务，已经成为国内金融界发展的战略重点。

据报道，中国银行业金融电子化建设已经具有相当的规模，计算机和通信网络在银行已经得到普遍的应用，银行系统的存款贷款、代理、结算，ATM，信用卡同城清算，已经基本实现了计算机和网络化，据不完全统计，中国银行、中国交通银行，计算机化已经达到了100%，中国建设银行达到了90%以上，中国交通银行达到了85%以上，农业银行也达到了80%以上。

我国金融业拥有世界先进水平的大型计算机、小型计算机、PC 服务器、刀片服务器等各类计算机,建立了覆盖全国的网络通信系统,开发了大量金融信息和业务处理系统,形成了比较完整的金融信息基础设施体系。

数据集中工程基本完成。

以国有商业银行为代表的各金融机构实现了业务数据的集中处理,统一、规范了业务操作流程,重新设计了营运流程。

建立了集中式的数据中心,有效提高了数据处理能力和整体可靠性,为管理信息系统提供了基础数据,为下一步实现经营集约化、管理信息化、决策智能化奠定了基础。

核心业务系统成功投产。

以数据集中为依托,部分商业银行研制开发了涵盖全行业务处理、经营管理、决策分析和服务渠道的全功能银行业务系统。

部分保险公司陆续启动了“集中的财务系统”、“保险数据仓库”、“集中的IT运行平台”、和“网络安全系统”等信息化建设项目,提高了信息系统的整合应用能力,为业务发展提供了有力的支撑。

二．未来几年我国银行业信息化发展的趋势1.加强IT治理,提高信息化管理水平。

未来几年,银行业要建立起适应数据大集中技术环境和银行组织变革要求的信息组织体系,合理配置科技资源,努力构建面向业务、服务导向、分工合理、协作紧密、运作高效的专业信息化组织架构。

要建立IT战略和计划的流程,保证IT战略与企业战略的一致性,确保IT技术投资决策符合本行远景。

建立统一的项目管控组织和制度流程,加强项目协调和管控,加强需求、方案设计、投产验证等关键阶段的管理,确保项目过程的有效控制。

建立统一的IT策略,推进企业IT技术标准化,统一IT架构、规范IT技术采用,提高效率、降低成本。

进一步完善供应商管理机制,加强供应商的有效控制,为银行信息化发展提供安全高效的外部资源支持。

在完善IT运行管理的基础上,建立和完善服务级别管理、可用性管理等流程。

尝试建立IT财务管理流程和标准化的IT服务水平协议,实现服务交付,提升和展示IT服务的价值,努力实现银行IT 运营管理从以技术为中心的管理阶段向以服务为中心的管理阶段转变,降低信息化总体拥有成本。

建立“以客户为中心”的金融产品和服务渠道体系,提高银行服务水平。

大力加强基于信息技术的金融创新,提高产品创新能力,实现由“产品为中心”向“以客户为中心”的转变。

采用先进灵活的应用体系架构,加快应用整合,支持业务流程再造,缩短系统开发周期,提高产品交付能力。

进一步完善、拓展银行的服务渠道,提供方便、快捷、个性化的客户服务。

加快渠道整合步伐,实现产品“一次开发,多渠道部署”,以降低开发及部署成本、加快产品投产速度、提高客户满意度、增强市场竞争力。

完善银行业信息安全应急恢复体系,加强灾备中心的建设,保证系统的安全稳定运行。

加强安全监控,进一步完善信息安全应急处置机制和信息通报机制,制订应急预案并进行演练,明显提升金融信息系统预警、应急处置和恢复能力,保障金融业务的连续稳定运行。

探讨建立银行业应急救援中心的可行性,加大应急技术支持和救援力度,加快业务的恢复速度,并最大限度地实现资源共享。

推进银行信息化标准规范建设。

加强银行业技术标准化建设是未来几年信息化建设重要任务之一,要对现有的银行信息技术法规和标准进行全面检查、清理、整合、规范,研究提出新的系统性发展规划。

在此基础上,结合银行信息化发展的实际,以各种协作方式,分层次、分步骤地加快银行信息化技术规范和标准体系的建设步伐,尽早建立国家的标准或国际的标准。

三．银行业网络安全面临新的风险随着网络与Internet的广泛应用与发展，互联网是一个开放的网络，银行交易服务器是网上的公开站点，在交易服务器上存储了许多高敏感度的信息，病毒通过网络和电子邮件等途径传播扩散，传播速度更快、影响面更广、危害性更强。

近期尤以红色代码、尼姆达等混合威胁的接连出现，向计算机安全防御发起了严峻的挑战，而像银行这样的敏感部门，要保障计算机网络系统的安全，就更要加强对网络计算机病毒的检测与清除。

因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，银行交易服务器需要更高级别的安全性，而服务器的安全性又极大的依赖操作系统的安全性，遗憾的是不管是普遍采用的UNIX还是Windows 操作系统，其安全性都是远远不够的，访问控制程度、超级用户的存在以及不断被发现的安全漏洞是操作系统存在的几个致命性问题。

网上银行系统也使银行内部网络向互联网络敞开了大门，而现有银行的网上银行系统对这一部分的防护还不够严密，使不法分子有可能破坏银行内部应用，或渗透入内部网络再从内部网络向银行交易服务器发起攻击，给网络银行带来新的风险。

网络金融是基于全球电子信息系统基础上运行的金融服务形态，因此，全球电子信息系统的技术性和管理性安全成为网络银行最为重要的系统风险。

这些技术方面的原因主要包括：1．技术选择风险。

网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。

在技术选择上存在着技术选择失误的风险。

这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能，也来自于选择了被技术变革所淘汰的技术方案，造成技术相对落后、网络过时的状况，导致巨大的技术和商业机会的损失。

2．系统安全风险。

网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成，所以，电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。

虽然网络银行都设计有多层安全系统，并不断出现新的、安全性的技术及方案，以保护虚拟金融柜台的平稳运行，但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。

这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素，也来自网络外部的数字攻击，以及计算机病毒破坏等因素。

根据对发达国家不同行业的调查，系统停机对金融业造成的损失最大。

网上黑客的袭击范围不断增大，手段日益翻新，攻击活动能量正以每年10倍的速度增长，其可利用网上的任何漏洞和缺陷非法进入主机、窃取信息、发送假冒电子邮件等。

计算机网络病毒则可通过网络进行扩散与传染，传播速度是单机的几十倍，一旦某个程序被感染，则整台机器、整个网络也很快被感染，破坏力极大。

系统安全风险不仅会扰乱或中断提供正常的服务，给银行带来直接的经济损失，而且影响网络银行的形象和客户对网络银行的信任水平。

3．外部技术支持风险。

由于网络技术的高度知识化和专业化，或出于降低营运成本的考虑，网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。

这种做法适应了网络银行发展的要求，但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。

网络安全的各层次贯穿银行IT架构自顶向下从战略规划到管理，再到基础架构。

安全问题从战略规划时开始；应用的安全需要重新考虑；基础架构的安全需要重新整合。

银行业网络系统面临的风险主要包括：巨灾风险；非法访问银行网络系统；假冒网络终端/操作员（钓鱼网站）；数据大集中所引起的网络安全风险集中；截获和篡改传输数据；其他安全风险。

银行业新的业务结构对网络安全的影响，包括：城市商业银行的区域扩张使银行内联网的安全风险。

网上银行、ATM机、POS机等业务扩展带来的技术和操作风险。

跨行业务的大量增加人行电子联行系统的网络安全风险。

网络安全市场需求分析和趋势：银行对网络安全的需求，包括以下四个方面：防灾需求：在发生概率较小的严重灾难面前，对网络系统的保护和恢复措施。

防泄漏需求：访问控制需求、无线网络的接入和网络数据获取控制。

业务连续性需求：网络数据的备份与快速恢复需求。

数据完整性需求：密钥管理。

综合性需求：安全管理与培训需求、安全策略的咨询与实施、安全评估的需求、防病毒产品和技术需求、网络安全检测的需求、网络安全管理的需求、开发平台安全需求。

网络安全需求的趋势，包括以下四个方面：银行对网络安全的需求由目前的“网络+安全”转变为“安全的网络”。

银行的网络安全问题需要一个完整的网络安全体系代替单独采购和使用的零碎的安全产品，目前的统一威胁管理（UTM）产品就是一个发展的方向。

网络安全评估、安全策略的咨询和实施，甚至安全意识和管理培训都将获得更大增长。

按需定制形式的安全外包是今后银行业网络安全业务的发展方向，但核心业务系统的外包银行会非常谨慎。

而五大国有商业银行对安全外包额兴趣仍然只是限于一些外围的技术层面，而其余的银行都要积极一些对银行的建议全面安全思维从物理安全、系统安全、网络安全、应用安全、信息安全、管理安全和安全服务各方面考虑安全问题，安全问题需要从战略规划时就纳入考虑；更加重视应用的安全和基础架构的安全。