“新系統(tǒng)剛上線，現(xiàn)在還不能給出確定的防護(hù)數(shù)據(jù)。通過(guò)這次評(píng)估，我們最大的收獲是提升了信息安全的響應(yīng)速度，以及信息安全風(fēng)險(xiǎn)管控意識(shí)。”達(dá)州市商業(yè)銀行（以下簡(jiǎn)稱達(dá)州商行）現(xiàn)在正根據(jù)東軟提供的信息安全評(píng)估報(bào)告，對(duì)自己在信息安全方面的問(wèn)題進(jìn)行整改。達(dá)州商行副行長(zhǎng)楊廷軍表示，“東軟為我們將評(píng)估過(guò)程中暴露出的問(wèn)題進(jìn)行了風(fēng)險(xiǎn)分級(jí)，指出哪些是必須馬上解決的，哪些是可以稍后解決的。”
 
一場(chǎng)信息安全教育

2009年，達(dá)州商行掛牌開(kāi)業(yè)。在新系統(tǒng)上線前，達(dá)州商行用的還是信用社時(shí)期使用了多年的舊系統(tǒng)，比較落后。根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》等文件的相關(guān)要求，達(dá)州商行在更新系統(tǒng)前，必須邀請(qǐng)第三方公司對(duì)達(dá)州商行的信息安全狀況進(jìn)行評(píng)估。在不到一個(gè)月的評(píng)估工作中，東軟作為此次安全評(píng)估服務(wù)的提供商，對(duì)達(dá)州商行的管理制度、網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境和安全策略等進(jìn)行了梳理和攻擊性測(cè)試，并且給出了安全評(píng)估報(bào)告和整改意見(jiàn)。

據(jù)了解，東軟的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)采用目前權(quán)威的 ISO 27001、GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（中國(guó)國(guó)家標(biāo)準(zhǔn)）以及國(guó)家信息安全等級(jí)保護(hù)指南等安全標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則，在評(píng)估對(duì)象已有安全措施的基礎(chǔ)上，對(duì)外網(wǎng)業(yè)務(wù)服務(wù)進(jìn)行滲透測(cè)試和掃描，并對(duì)網(wǎng)絡(luò)日志進(jìn)行審計(jì)，幫助用戶了解客觀真實(shí)的自身網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀，發(fā)現(xiàn)相關(guān)漏洞與脆弱點(diǎn)，給出整改建議和系統(tǒng)層面加固方案。

“東軟通過(guò)攻擊性測(cè)試，發(fā)現(xiàn)了達(dá)州商行網(wǎng)絡(luò)安全方面存在的一些漏洞。”楊廷軍告訴記者，東軟的安全專家通過(guò)模擬黑客的攻擊行為，對(duì)達(dá)州商行的網(wǎng)絡(luò)進(jìn)行了非破壞性的入侵測(cè)試，發(fā)現(xiàn)達(dá)州商行原來(lái)的網(wǎng)絡(luò)安全密碼略顯簡(jiǎn)單，容易被黑客攻破。現(xiàn)在，達(dá)州商行已經(jīng)設(shè)置了相對(duì)復(fù)雜的密碼，難以被外界破譯。

信息安全的防范不是一成不變的，需要隨著網(wǎng)絡(luò)環(huán)境的變化不斷完善和細(xì)化。目前，由于人員缺乏，技術(shù)實(shí)力較弱，我國(guó)城市商業(yè)銀行的IT系統(tǒng)主要靠外包，包括財(cái)務(wù)等各種系統(tǒng)的研發(fā)，都需要外包給IT廠商。這就給銀行的網(wǎng)絡(luò)系統(tǒng)造成了一定的安全隱患。因此，加強(qiáng)對(duì)外包服務(wù)提供商的管理，提升銀行自身的抗風(fēng)險(xiǎn)能力和風(fēng)險(xiǎn)策略管理能力，是城市商業(yè)銀行不可忽視的問(wèn)題。

“評(píng)估過(guò)程中，東軟認(rèn)為我們?cè)谕獍贤械囊恍┓申P(guān)系和法律責(zé)任描述得不是很清晰，不夠具體，過(guò)于原則化。”楊廷軍表示，“東軟建議我們根據(jù)中國(guó)銀監(jiān)會(huì)的要求，加強(qiáng)外包管理，進(jìn)一步明確外包雙方的法律責(zé)任，與外包廠商簽訂保密協(xié)議，做好風(fēng)險(xiǎn)把關(guān)。”

城市商業(yè)銀行的信息安全問(wèn)題，不僅表現(xiàn)在信息安全防護(hù)能力相對(duì)較弱，而且表現(xiàn)在信息安全部門的投入少、管理欠缺，更主要的是管理者的信息安全防護(hù)意識(shí)不強(qiáng)，各個(gè)部門的功能不完善，導(dǎo)致很多風(fēng)險(xiǎn)管理的責(zé)任都由技術(shù)部門分管，缺乏監(jiān)督機(jī)制。

通過(guò)評(píng)估，東軟發(fā)現(xiàn)達(dá)州商行最主要的安全隱患并非IT系統(tǒng)的老化，而是缺乏統(tǒng)一規(guī)劃的安全防范策略，管理部門的安全防護(hù)意識(shí)薄弱。“東軟指出我們?cè)谙到y(tǒng)操作管理、機(jī)房軟硬件管理和銀行的科技風(fēng)險(xiǎn)管理等方面存在一定不足，管理的組織架構(gòu)也需要調(diào)整和改進(jìn)。”楊廷軍稱，東軟的評(píng)估結(jié)果提出達(dá)州商行的管理層應(yīng)有專人負(fù)責(zé)風(fēng)險(xiǎn)管控工作，明確職責(zé)并且建立監(jiān)督機(jī)制，“對(duì)哪個(gè)部門應(yīng)該擔(dān)負(fù)哪些責(zé)任提出了建議，并且定期或不定期地對(duì)其工作進(jìn)行評(píng)估。”

在楊廷軍看來(lái)，對(duì)達(dá)州商行而言，東軟安全評(píng)估的意義不僅是指出了銀行在安全方面存在的漏洞，更是對(duì)全行進(jìn)行了一場(chǎng)信息安全教育。

專業(yè)贏得尊重

在接受《中國(guó)計(jì)算機(jī)報(bào)》記者采訪時(shí)，楊廷軍表示，達(dá)州商行信息安全評(píng)估項(xiàng)目有四家公司投標(biāo)，通過(guò)對(duì)它們遞交的投標(biāo)材料進(jìn)行分析，對(duì)其以往案例進(jìn)行調(diào)查，了解客戶的評(píng)價(jià)，達(dá)州商行最終選擇了東軟。之所以選中東軟，楊廷軍“一是看重他們的技術(shù)力量和認(rèn)證資質(zhì)，二是覺(jué)得他們很專業(yè)。”

達(dá)州商行希望能跟東軟建立長(zhǎng)期的合作關(guān)系。“東軟的安全評(píng)估反映出了城市商業(yè)銀行在安全方面的核心問(wèn)題，指出了癥結(jié)所在，對(duì)我們今后的工作幫助非常大。”楊廷軍最大的感覺(jué)是東軟的安全專家“非常專業(yè)”。

在楊廷軍看來(lái)，之所以說(shuō)東軟的服務(wù)專業(yè)，一方面是因?yàn)闁|軟的安全專家反應(yīng)迅速，服務(wù)態(tài)度好，另一方面是因?yàn)闁|軟的安全專家堅(jiān)持以信息安全保障為最高目標(biāo)，不為外界所干擾。楊廷軍表示：“盡管存在安全漏洞，但未必都因此出現(xiàn)了問(wèn)題，所以技術(shù)部門對(duì)信息安全的重視程度不高，當(dāng)東軟提出整改意見(jiàn)時(shí)，他們認(rèn)為不一定非要這樣做。但是東軟稱信息安全具有突發(fā)性，不能掉以輕心，所以比較堅(jiān)持。”

另外，出于銀行管理和運(yùn)營(yíng)等方面的綜合考慮，對(duì)于一些安全問(wèn)題，達(dá)州商行認(rèn)為不適宜揭露。“但東軟認(rèn)為，既然是做安全評(píng)估，就要把能夠發(fā)現(xiàn)的問(wèn)題全部揭示出來(lái)，并給出合理的建議。對(duì)不適宜披露的部分，東軟也尊重銀行的意見(jiàn)，只給出意見(jiàn)，不進(jìn)行披露。”楊廷軍表示，正是這種專業(yè)的態(tài)度，讓達(dá)州商行對(duì)東軟的工作非常認(rèn)可。

授人以魚不如授人以漁

與國(guó)有銀行相比，地方城市商業(yè)銀行的技術(shù)部門實(shí)力較弱，資金投入少，并且缺乏連續(xù)性投入。因此，城市商業(yè)銀行往往并不具有信息安全方面的高端技術(shù)和研發(fā)能力，技術(shù)部門工作人員人數(shù)少、技術(shù)水平有限。

“授人以魚，不如授人以漁。”城市商業(yè)銀行需要的不僅僅是IT外包服務(wù)，更是提升自身的IT運(yùn)維能力，提升銀行科技人員的技術(shù)水平。因此，對(duì)工作人員進(jìn)行信息安全方面的業(yè)務(wù)培訓(xùn)，對(duì)于城市商業(yè)銀行的風(fēng)險(xiǎn)管理來(lái)說(shuō)必不可少。

據(jù)了解，東軟擁有CISP國(guó)家級(jí)信息安全專業(yè)認(rèn)證培訓(xùn)機(jī)構(gòu)最高級(jí)資質(zhì)，以及近二十名的CISP認(rèn)證工程師和多名資深培訓(xùn)講師。目前東軟提供一系列面向組織內(nèi)管理者以及技術(shù)人員的個(gè)性化的培訓(xùn)方案，并且在大連、成都、南海、沈陽(yáng)等地建立了培訓(xùn)基地。

現(xiàn)在，最讓楊廷軍頭痛的問(wèn)題是怎樣盡快提高技術(shù)部門人員的運(yùn)維能力。他表示，隨著科技的發(fā)展，很多新系統(tǒng)銀行工作人員以前并沒(méi)有接觸過(guò)，例如數(shù)據(jù)庫(kù)的一些新技術(shù)、IBM的小型機(jī)等。而這些新系統(tǒng)、新應(yīng)用在銀行業(yè)務(wù)運(yùn)行中的使用頻率越來(lái)越高，技術(shù)人員急需要了解相關(guān)知識(shí)。“我們希望東軟為技術(shù)部門工作人員進(jìn)行一些培訓(xùn)，提升他們的IT運(yùn)維能力，確保業(yè)務(wù)系統(tǒng)安全運(yùn)行。”

達(dá)州商行正在就技術(shù)人員培訓(xùn)等方面的合作與東軟進(jìn)行溝通，希望對(duì)方能夠提供信息安全技術(shù)和策略方面的培訓(xùn)，并且“在網(wǎng)絡(luò)環(huán)境發(fā)生變化，網(wǎng)絡(luò)技術(shù)不斷提升的過(guò)程中提供相關(guān)信息，使達(dá)州商行的IT系統(tǒng)管理人員增強(qiáng)鑒別能力，不再盲從”，將達(dá)州商行的IT系統(tǒng)管理員也培養(yǎng)成網(wǎng)絡(luò)安全專家。