大數據信息安全風險管理探討

前言：尋找寫作靈感？中文期刊網用心挑選的大數據信息安全風險管理探討，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

隨著銀行業數據大集中，商業銀行分支機構的部分風險得以集中，而通信、網絡、系統因素的操作風險、機房風險等仍然存在。本文結合商業銀行基層分行的信息科技風險管理實踐經驗，對基層分行存在的問題進行了歸納，并從組織架構、機房管理、網絡通信、應急演練等方面提出可行性建議。

關鍵詞：

金融科技；信息風險；商業銀行；維護管理；通信線路

隨著金融業信息化的快速發展，銀行業陸續實現了數據大集中至一級總行，以提高核心競爭力應對越來越激烈的市場競爭。數據大集中能夠為銀行業提供充分的信息支持，直接促進了金融產品的升級，提高服務和管理手段，使原本分散的風險隨之集中。同時，數據集中處理對通信、網絡、系統的依賴性更高，對系統開發、網絡管理、運行維護等人才的要求也更加專業。對基層分行來說，認識到當前形勢下所面臨的信息安全風險，并且通過有效的監督管理手段，保證信息系統健康、穩定發展，防范風險，杜絕安全隱患，是一個重要課題。本文結合信息安全日常管理經驗，對基層分行存在的問題及應對措施進行了歸納分析。

一、基層分支機構信息安全風險分析

（一）業務中斷風險

根據《中國銀監會關于印發商業銀行業務連續性監管指引的通知》，原則上，重要業務恢復時間目標不得大于4小時，重要業務恢復點目標不得大于半小時。保障業務連續性運行是所有銀行信息科技工作最重要的內容。因設備軟硬件故障、病毒傳播、網絡、電力故障及人為非法操作造成系統不穩定等因素，極易造成銀行業務中斷或某個交易失敗。業務中斷不僅阻礙了銀行業務的順利開展，還將導致銀行聲譽受損、客戶滿意度下降。對于分支機構來說，業務中斷風險主要來源于以下幾個方面。

1.機房風險

銀行的機房作為信息化基礎設施的核心，好比人體的心臟，承載著業務運營的重要動力。機房是信息系統和網絡信息設備的匯聚地，一旦機房發生火災、水災等意外，將嚴重影響業務的運行，同時給故障恢復帶來巨大的工作量。

2.網絡中斷風險

分支機構的網絡建立承載著上聯總行、下聯支行的重要作用，每一條數據鏈路、每一臺設備都舉足輕重，網絡的“健壯性”是業務連續性的重要基礎。數據鏈路的作用相當于人體的血管，網絡性能應始終處于健康、無阻塞、安全的運行環境中。網絡中斷風險會直接導致機構無法辦理與核心系統有關的任何業務，銀行數據大集中也就失去了意義。

3.人員操作風險

人員操作風險是指由于內部人員錯誤操作或工作失誤造成的信息系統風險事件。因工作人員能力欠缺、有意不遵守制度或惡意破壞，導致終端、設備、局域網內設備軟硬件故障，將影響部分機構甚至是全部業務無法正常運營。

（二）數據安全風險

1.數據被竊取

數據在轉存或傳輸過程中遭到竊取甚至惡意篡改，或由于權限控制不嚴導致無關人員接觸到核心數據，并導致機密數據外泄等風險。一旦發生數據被不法分子竊取的情況，不僅會泄露客戶信息資料，更嚴重的會引發客戶不滿，影響銀行的整體聲譽。

2.數據缺失

由于自然災害、設備故障、人為因素等突發事件造成存儲介質的損壞，導致部分或全部數據丟失，或未按規章制度要求進行數據轉存或備份，使某個系統出現異常后，不能及時恢復，影響業務的連續性。

（三）系統建設與桌面終端風險

1.系統建設風險

數據大集中后，越來越多重要的信息系統，包括重要的業務數據只部署在總行一級，不需要在下級分支機構部署。為了提升管理，有能力的分支機構會建立一些特色化的輔助系統，由于人員少、技術能力有限等因素，這類系統常常是小眾人員參與，系統架構較為簡單，開發、運維、測試不分家，崗位的A/B角制度難以落實，制度監督和制約措施很難完全執行到位，直接導致的風險是在技術架構的制約下，系統逐步龐大，代碼臃腫，升級和更新受限。同時，因員工的轉崗、離職等因素，導致后期團隊接手困難。

2.桌面終端風險

桌面終端已成為員工工作的基本工具，安裝了各式生產、辦公系統，存儲了大量敏感信息。根據木桶理論，終端極易成為最大的風險來源，是企業網絡的最基礎部分，也是最薄弱的環節。隨著分支機構的不斷擴張，員工人數的增加，運維保障工作成倍增加，科技人員不僅要維護運營，保證業務連續性，還要提升服務，快速響應故障，錘煉技術基本功。此外，要營造創新環境，從紛繁復雜的日常工作中“跳出來”，突破固有思維局限，開拓思路，探索出有新意、有亮點、有價值的科技武器，在探索和實踐中積累經驗，拓展發展渠道。

二、信息安全風險管理的工作思路

（一）組織架構及制度建設

信息科技風險作為操作風險中的一類，獨立于任何其他風險種類，商業銀行應培養全員對信息安全問題的重視意識，成立包括管理層、中層管理者、員工構成的三級信息安全管理工作小組，設立獨立的信息安全管理崗位，并配置兼職信息安全員，落實具體的信息安全管理工作。制定信息安全工作目標考核體系及管理制度，落實工作職責及任務，以積極有效的應對措施保證目標、任務的完成。

（二）機房管理

機房的建設應符合《中國人民銀行計算機機房規范化工作指引》，按照C級數據中心機房建設標準，各類設備和設施應擺放整齊有序，線路、機架電纜線扎及標志整齊，有編號、標志科學統一。機房應配備電力、空調、監控等設施，在停電的情況下滿足機房電力需求，配套防盜竊、防雷、防火、防靜電、溫濕度控制、電磁保護等措施，確保機房正常運轉，并盡可能建立同城災備機房。建立機房管理制度，落實現場巡檢要求，健全各類登記簿，應明示網絡拓撲圖、電力設備控制開關等重要信息，方便在故障處理過程中定位到具體的點位，具體要求機房巡檢內容、時間、次數，對機房運營設備的各類參數進行登記，記錄并總結突發故障的處理信息，以起到警戒和預防作用。

（三）有效管理

1.管控體系

在具備條件的情況下，基層分行應建立一套包含入侵檢測、防病毒、補丁分發、系統防護、非法外聯、移動介質管控等在內的完善的信息安全管控體系，抵御外界入侵，防范病毒傳播，修復操作系統漏洞。做好數據備份、傳輸及加密工作，尤其是牽涉客戶的敏感信息，嚴防由于權限控制不嚴導致無關人員接觸到核心數據，控制數據轉存或傳輸過程中遭到竊取甚至惡意篡改的風險。

2.完善信息技術架構管理

基層分行信息系統研發的目的是加工來自核心及非核心的基礎數據。應規范信息系統建設流程，嚴格把控科技項目建設風險，統籌系統建設和風險防范的矛盾性。在安全的模式下創新，把控風險，將集中的大數據加工成管理層、員工最為關心的內容，及時響應管理需求，以此促進業務、保障運營、提升管理。有計劃、有步驟地推進建設“分布式的”“可復制的”“可擴展的”堅若磐石的基礎平臺，特別注重統籌規劃信息系統等保障業務運行的基礎平臺，提高數據存儲水平，保證業務數據安全。

3.規范運維、操作流程及手冊

系統的變更應具備嚴格的審批流程，保證雙人復核。嚴格劃分數據源及信息系統的訪問權限，應依據“最小授權”原則，由專門人員掌管各系統密碼，并定期更換。建立完整的信息安全操作規范、管理流程，包括介質管理、桌面安全管理、網絡管理、維護及故障處理制度、軟硬件變更流程、備份管理、機房管理、巡檢制度等。運維團隊應著力于故障異常的監控、原因的分析及操作風險的控制，總結和借鑒行業經驗，并依照操作框架梳理以問題為導向的運維處理手冊，對運維故障做到“有記錄”“有總結”“有分析”，運維人員可通過多種形式互相交流，提升運維管理的精細化水平。

4.軟硬件產品生命周期管理

基層分行應重視信息系統、服務器、路由器、交換機及計算機設備等軟硬件設備的生命周期管理，做好關鍵設備的冗余備份，制定設備的替換方案，提前組織基礎設施的更換、維保、升級服務，建立老化、淘汰設備的“退役”機制，消除因設備生命到期而可能帶來的潛在運行風險。

5.監控手段與預警機制

依托數據監控、圖形展示、移動網絡等技術手段，建立突發事件預警體系，對設備、通信線路、機房環境等進行在線監控，通過短信、郵件等形式實時告警，為后續應急處理提供寶貴的時間，并打下良好的基礎。同時，應持續優化監控策略，不斷提高告警的準確率和及時性。

（四）網絡通信

采用不少于兩家不同運營商的通信線路，確保網絡無斷點，訪問帶寬應滿足各信息系統的帶寬需求，必要的情況下引入無線網絡通信。配備備份的網絡設備，核心生產系統設備至少應采取雙機熱備，網絡配置應由專人負責，網絡配置的更改應有備份、雙人復核確認機制。定期邀請網絡設備廠家、通信運營商進駐，利用其豐富的工作經驗，在網絡健壯性、設備生命周期等方面進行評估。重大節假日應與市電信公司、聯通公司、移動公司等通信運營商取得聯系，對有關網絡設備、光纖線路進行檢查，排除風險隱患。

（五）建立應急預案，落實應急演練

對信息科技突發事件進行梳理，制定不同場景、不同層次、不同內容的可操作的應急預案，著重組織開展影響生產業務的風險梳理和排查，明確應急工作職責，可通過外部專業機構驗證應急預案的有效性和全面性。積極開展轄內應急演練工作，包括機房安全、供電系統、UPS放電、網絡線路、線路切換的自我驗證、人員的操作熟練性等內容，隨機抽取演練場景，做到“真演練”和“真切換”，不走形式，不走過場，結合自身環境和實際情況，調整應急演練處理過程，增強員工實戰能力?？偨Y演練過程出現的問題，形成演練報告，不斷修訂完善應急預案，提高信息系統對突發事件的應急處理能力，保證業務連續性。

（六）信息安全檢查

全面梳理分行及分支機構風險點，尤其緊盯基層分支機構風險，堅持開展多形式的信息安全檢查，堅持以“分支機構定期自查、領導親自檢查、重要時期專項檢查”等多層次檢查方式，強化各級人員的安全意識，不斷夯實安全基線。“檢查不走過場、問題不留死角”，對檢查出現的問題下發整改通知單，將結果納入績效考核，規定整改期限，責任落實到人，到期進行復查，對反復出現的問題追求當事人、負責人的責任。通過檢查，營造信息安全管理高壓態勢。

（七）業務培訓及人員管理

一是通過面授、遠程培訓、送教上門等方式，每年組織科技人員、兼職信息人員進行集中培訓，邀請業內專家專題授課?？萍既藛T根據專業特長，總結日常運維經驗，注重可操作性編寫運維操作手冊，將信息安全培訓加入到新員工培訓手冊中，樹立全員信息安全意識，降低信息安全風險。

二是建立信息安全有效交流平臺，采取郵件、電話、網站等方式進行技術支持，在有條件的情況下創新技術支持手段，不但提供快捷高效的技術支持，還能夠供科技人員交流日常維護經驗，實時了解、準確把握、討論常見故障。

三是開展內部師徒“傳幫帶”作用，從企業文化、管理理念、公文寫作等方面提升員工“軟”素質，另一方面通過內部宣講、聘請外部教師、參加外部培訓等方式拔高員工“硬”工夫，促使員工全面提升，主動考取專業證書。提高員工基礎理論水平，探索培育和建立一支集數據分析、業務、技術綜合素質于一體的專業化人才隊伍，與銀行各傳統職能部門在相互協作中碰撞出新的火花，驅動整個銀行的業務和科技能力提升，培養軟件開發、網絡管理、系統維護等多層面的技術骨干，進一步提升服務的能力和服務的意識，打造獨具特色的“學習型”“奮斗型”“吃苦型”“創新型”精品科技人才隊伍。

四是梳理員工崗位職責和分工，加大內部員工的交叉培訓工作力度，遵循不相容職責相分離的原則，實現合理的組織分工，避免系統開發人員同時從事該系統的運維管理工作。

作者：雷娟 李文 單位：昆侖銀行西安分行

參考文獻：

[1]孟俏.銀行分支機構計算機信息安全問題研究[J].金融科技時代，2015（7）：69-70.

[2]邱巖林.分布式數據中心網絡系統雙活解決方案探討[J].金融科技時代，2015（6）：69-72.