在一定程度上讲,缺乏一个强有力的信息资产监管机构和一套切实可行的信息安全监管机制,是国家信息安全宏观政策无法在金融业中全面落实的重要原因。
4月20日,中国银联系统瘫痪达6个小时,34万家商户POS机无法消费,6万台ATM机无法跨行取款。
尽管4天后中国银联发表声明称:此次跨行交易故障绝非“黑客攻击”,而是“系统故障”小概率事件,是由于某些外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷,导致主机发生故障。
但是,这一小概率事件又一次将银行新业务的安全问题摆到了公众面前,如果不能有效避免,会极大地削弱公众应用新兴消费方式的热情,造成无法衡量的间接经济损失—公众对银行的信任度受损:有问题的信息产品能否抵挡日益严重的网络犯罪?
据国外调查机构数据显示,金融历来是黑客关注的焦点,在有预谋的网络犯罪中,90%以上集中在银行、证券和保险领域。日前,公安部人士在有关工作会议上透露,2005年我国用户仅银行卡被骗金额就将近1亿元,其中利用网络病毒窃取、“网络钓鱼”骗取、手机短信欺诈等已经成为银行卡诈骗的主要手段。
如同在真实的社会中一样,欺骗、病毒、入侵、盗窃甚至抢劫,在网络环境中始终存在,且愈演愈烈。2006年年初公安部出台了《信息安全等级保护办法(试行)》(以下简称《等级保护》),构建等级化保护体系,同样也成为了金融行业迫在眉睫的任务。
公安部选择了一些银行作为等级保护的试点单位,意图通过严重依赖信息化展开业务的银行试点,总结经验在全国范围内推广。时间已过半年,现状究竟怎样?本刊希望以“等级保护”为采访线索,将金融领域信息安全这一敏感话题理性呈现,为有关政策决策时提供客观依据。
进退维谷
记者在采访中发现,无论是否参与等级保护试点工作,各银行的CIO或者CSO都认为《等级保护》要落实起来难度相当大,因此绝大多数商业银行还处在观望状态,担心的问题有三点。
首先,政策是否具有延伸性?是否具有可操作性?某重要商业银行一位不愿意透露姓名的信息化主管认为,等级保护搞了十几年,一直感觉是雷声大,雨点小。譬如早在1994年,国务院就发布了147号令,规定计算机信息系统必须实行等级保护,但是没有相关的管理办法和等级划分标准出台,导致政策一到操作层面就执行不下去。等1998、1999年到公安部会同信息产业部、保密局、中办机要局、军队和地方的专家,正式制定了计算机信息系统等级划分标准后,整个的安全形势又发生了很大的变化,这个标准又过时了。
“我们能理解一个政策出来,需要一个逐步完善的过程。”某银行的科技部负责人认为,但是在国家层面,这个时间过长就会导致政策的实效性比较差;而相关政策配套的管理办法和管理条例的缺失或含糊,则会使政策很难操作甚至根本不可能操作。
其次,政策的管理部门太多,行政效率很低,从而导致落实政策和法规时,出现问题不知道找谁。牵头实施《等级保护》的相关部门很多,国信办、公安部、信息产业部、保密局、人民银行、银监会都在参与,但具体工作究竟该由谁指导落实,却非常模糊。
“坦率地讲,《等级保护》试点在我们银行没有太多进展。”该银行科技部负责人说,“很多事情,政府管理的部门一多,就会变得复杂理不清头绪。上面没说清楚,下面就更搞不清楚。”
据一家地方性银行的信息化主管介绍,他们是当地公安部门确定的第一批落实《等级保护》的试点单位之一,但几个月过去了,银行都还没有弄清楚该工作到底是公安部门的网监处牵头,还是由内保局来主管,因为二者都在做等级保护的相关工作。“最后的结果是,公安部门需要我们提供什么材料,我们就提供什么材料。”这位信息化主管说,“从而失去了试点工作的意义。”
再者,虽然我国银行业的网络安全意识和网络安全应用水平居于各行业之首,但“等级保护”却是一个新课题。一方面,相对来说,中国金融业基于互联网的入侵近几年才涌现,大家对风险的评估能力和安全的防护手段还处在逐步改进之中;另一方面,随着前几年银行业数据大集中的逐步完成,银行的业务系统不单单是一个软件系统,还涉及到覆盖全国的网络系统。
“我们缺乏经验,也无从下手。”某政策性银行一位主管信息安全的CSO说,“公安部出台了一些细节,指导性不强;而人民银行也没有具体的相关条例。”据了解,按照公安部门的要求:在落实《等级保护》时,系统的定级要银行自己来上报,再由公安部门来检查。
对于银行来说,评估自己的系统应该上报为几级是件相当头疼的事情。如果系统的安全级别报高了,安全措施就会要求高,从而增加银行的安全成本,影响到安全效益;如果系统的安全级别报低了,万一出了问题,谁也负担不了这个责任。
该安全主管表示,等级保护是一定要做的,但对于像我们银行这样信息化人手远远不够的单位来说,只能是借鉴试点的兄弟单位的经验来做,眼下所能做的是把相关政策、法规消化理解透彻。“这不是一两年就能做好的工作,只能是走走停停,边走边看。”
