浅谈新形势下金融业信息安全面临的挑战与对策(3)

　　三是人民要协调督促机构，加强自主创新，加大对国产软硬件采购力度，努力减少和降低一些关键领域的对外技术依赖。

　　对采购或使用的信息技术和产品，能自主的就要千方百计地推进自主，不能自主的，也须保证其可知可控，也就是说，要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。

　　对须引进的，实行准人制度，并引进权威机构对其产品进行风险、安全、实用等综合性评估。

　　对各地区一些科技水平还比较低的中小金融机构，要加大支持力度，加强行业内部的交流合作。针对目前金融业，特别是中小金融机构的信息系统的开发、建设和运维采用IT外包的形式，应出台相应的政策、制度和措施，促进IT外包健康快速发展，约定监管机制，规范服务商的服务标准和流程，使IT外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。

　　四是建立健全信息安全制度，定期进行信息安全检查，加强网络安全攻击防范。

　　由于金融业的组织结构和业务运营方式，使网络必定要建成一个同Internet和外部线路有较密切关系的结构，各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的，也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等，特别是在网络上运行关键业务时，网络安全问题更是要优先解决的问题。因此，应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式，促进银行做好系统加固工作，充分利用各种安全产品强化网络安全防范，加强移动存储介质管理，做好安全日志分析、预警和监测工作，防止植入木马导致信息泄漏和来自内部的安全威胁。

　　五是增加业务持续动作能力，切实采取措施防范数据处理集中后的技术风险。

　　巴塞尔银行业监管委员会共同论坛2006年8月发布了《业务连续性高级原则》将业务连续性管理定义为，发生中断事件时，确保某些业务保持运行或在短时间内得到恢复的一整套办法，包括政策、标准和程序。

　　业务连续性管理的实施在组织上的保证至关重要。人民银行应金融业参照国外先进经验，专门成立业务连续性管理指导委员会，将业务部门、风险管理部门和IT部门有关业务连续性的管理职责融于一处统筹管理。

　　目前，国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性，应急管理与保障工作必须建立在高强度的实战性基础上，使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在IT部门，远远不能适应业务连续性的需要，应当强调业务部门的参与，与IT部门共同构建适应现代金融业发展需要的应急保障体系，确保运营安全。

　　三、结束语

　　信息安全工作是一个系统工程，需要决策层、管理层、技术层通力配合，从安全制度建设和技术手段方面着手，加强信息安全意识的和培训，增强自我保护意识，采取综合的防范措施，并不断改进和完善安全管理机制。要自始至终强化安全防范意识，采取全面、可行的安全防护措施，把安全风险降低到最小程度。金融业信息安全事关金融的稳定大局，责任重大，金融业要未雨绸缪，认真贯彻落实信息安全的工作要求，加快建立完备的安全防护体系，积极应对挑战。

　　人民银行应以科学发展观统领金融业信息化建设全局，充分发挥科技在履行央行职能中的支持、保障、指导、协调作用，全面推进金融业信息化建设，为促进我国经济平稳运行发挥重要作用。

    [3]