金融业信息安全事件的防范
1 信息安全事件的发生和分析
随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门
也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能
造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的
要求。2012 年 10 月,某金融机构操作人员因为误操作将业务系统的交
易日志文件关闭,导致系统不能正常运行;2012 年 11 月,某金融机构
维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服
务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操
作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实
有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。
部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署
上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案
进行充分地测试。2012 年 3 月,某机构生产线路发生中断,但因为技
术方案问题未能顺利切换到备份线路,导致业务发生中断;2012 年 11
月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题
时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份
系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。( 2)
优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机
构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着
应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的
情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条
件和流程,不能迅速的处置解决问题。2012 年 7 月,某机构因为设备
故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务,
原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导
致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建
设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,
另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事
件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全
评论0
最新资源