吳云鵬 對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)

商業(yè)銀行是金融系統(tǒng)中的重要組成部分，在經(jīng)濟(jì)領(lǐng)域中屬于無可替代的角色，其發(fā)展直接關(guān)系國(guó)家經(jīng)濟(jì)發(fā)展方向與水平。商業(yè)銀行在經(jīng)營(yíng)與發(fā)展中會(huì)遇到許多外界因素、內(nèi)部問題威脅，導(dǎo)致其信息泄露不再安全，這樣的局面勢(shì)必會(huì)影響銀行發(fā)展進(jìn)程與穩(wěn)定經(jīng)營(yíng)。對(duì)此商業(yè)銀行需要采取行之有效的方式，針對(duì)性應(yīng)對(duì)和處理信息安全問題。運(yùn)用行之有效的方法規(guī)避處理風(fēng)險(xiǎn)，保障銀行環(huán)境優(yōu)質(zhì)與安全。

一、信息安全風(fēng)險(xiǎn)內(nèi)涵

所謂的信息安全風(fēng)險(xiǎn)說的是信息遭到內(nèi)部泄漏或是外部竊取，信息被惡意破壞與修改，致使企業(yè)蒙受聲譽(yù)損失、經(jīng)濟(jì)損失。風(fēng)險(xiǎn)包括兩個(gè)維度，第一個(gè)維度為風(fēng)險(xiǎn)嚴(yán)重程度，第二個(gè)維度為風(fēng)險(xiǎn)發(fā)生概率[1]。因硬件設(shè)備并不完善，所以企業(yè)難以避免信息安全風(fēng)險(xiǎn)。此外企業(yè)信息的安全風(fēng)險(xiǎn)具有不確定特征，當(dāng)然這種不確定往往可以直接評(píng)估。信息安全風(fēng)險(xiǎn)是企業(yè)無形資產(chǎn)[2]。信息安全風(fēng)險(xiǎn)包括很多種，根據(jù)特征劃分包括：人員泄露、設(shè)備保密性不足、環(huán)境風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、管理不到位。以上五種類型的風(fēng)險(xiǎn)又包括許多子風(fēng)險(xiǎn)。

二、信息安全風(fēng)險(xiǎn)三維模型

信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)，需要從多個(gè)角度出發(fā)，同時(shí)兼顧宏觀戰(zhàn)略與微觀執(zhí)行要求。從應(yīng)急準(zhǔn)備、監(jiān)測(cè)、分級(jí)響應(yīng)、恢復(fù)、根除、總結(jié)改進(jìn)切入[3]。宏觀戰(zhàn)略方面，需多留意各部門之間的領(lǐng)導(dǎo)關(guān)系，必須做到分類、分級(jí)管理信息，讓信息安全可以落實(shí)到個(gè)體與實(shí)際。隱患和風(fēng)險(xiǎn)的管控，應(yīng)集中于突發(fā)事件的應(yīng)急管理與處理。應(yīng)創(chuàng)建高效企業(yè)信息安全突發(fā)事件響應(yīng)機(jī)制與實(shí)施規(guī)范。遇到隱患與突發(fā)事件，必須詳細(xì)、及時(shí)記錄過程與經(jīng)驗(yàn)教訓(xùn)，完善和修正信息安全應(yīng)急預(yù)案。微觀執(zhí)行角度，則應(yīng)高效銜接實(shí)際時(shí)間與應(yīng)急預(yù)案關(guān)系。按照實(shí)際事件尋找合適應(yīng)急預(yù)案做出及時(shí)修正，正確應(yīng)對(duì)與處理企業(yè)的信息安全事件。此外應(yīng)縮短應(yīng)急的響應(yīng)時(shí)間，減少突發(fā)事件引發(fā)的企業(yè)損失。應(yīng)急響應(yīng)和風(fēng)險(xiǎn)管控應(yīng)做到員工之間、部門之間有序配合[4]。信息安全風(fēng)險(xiǎn)需要對(duì)信息安全風(fēng)險(xiǎn)的內(nèi)涵展開分析，設(shè)定問題應(yīng)對(duì)流程。也就是從事件出現(xiàn)開始防控與預(yù)警風(fēng)險(xiǎn)，應(yīng)急響應(yīng)事件。結(jié)束事件問題以后總結(jié)經(jīng)驗(yàn)，記錄全過程。包括準(zhǔn)備、監(jiān)測(cè)、響應(yīng)、恢復(fù)、根除、總結(jié)改進(jìn)。必須落實(shí)實(shí)際，將隱患和風(fēng)險(xiǎn)管理放在應(yīng)急管理首要位置。此外應(yīng)打造高效突發(fā)事件實(shí)施規(guī)范與響應(yīng)機(jī)制。遇到突發(fā)事件與安全隱患，需要詳細(xì)、及時(shí)記錄過程與經(jīng)驗(yàn)，不斷完善和修正應(yīng)急預(yù)案。微觀執(zhí)行信息安全風(fēng)險(xiǎn)的時(shí)候，需要高效銜接實(shí)際時(shí)間和應(yīng)急預(yù)案，按照實(shí)際事件選用匹配的應(yīng)急預(yù)案，及時(shí)修正問題，應(yīng)對(duì)突發(fā)事件。必須盡可能減少應(yīng)急的響應(yīng)用時(shí)，減少突發(fā)事件引發(fā)的損失。應(yīng)急響應(yīng)與風(fēng)險(xiǎn)管理需要員工和部門相互配合，其具有重要意義。

三、現(xiàn)階段商業(yè)銀行信息安全風(fēng)險(xiǎn)情況

在市場(chǎng)經(jīng)濟(jì)及數(shù)字化快速發(fā)展的今天，如今的金融市場(chǎng)整體環(huán)境開始朝向復(fù)雜方向變化。在金融系統(tǒng)中，商業(yè)銀行有著特殊的地位，屬于重要機(jī)構(gòu)。新時(shí)期背景下，商業(yè)銀行所面臨的挑戰(zhàn)越來越多，復(fù)雜程度不斷加劇，特別是信息安全，迎來了眾多安全挑戰(zhàn)，不利于商業(yè)銀行穩(wěn)定發(fā)展，以及深入金融市場(chǎng)調(diào)控。信息安全包含要素非常多，風(fēng)險(xiǎn)類型種類數(shù)不勝數(shù)，常見包括信息管理片面、信息采集困難、信息丟失與泄露。新時(shí)期背景下，信息化、智能化成為管理常態(tài)。黑客以及病毒等新時(shí)代風(fēng)險(xiǎn)成為影響銀行穩(wěn)定運(yùn)行的重要因素。引發(fā)安全風(fēng)險(xiǎn)的因素非常多，包括人員素質(zhì)、內(nèi)控不穩(wěn)定、體系不完整。對(duì)于上述問題，需要商業(yè)銀行端正思想態(tài)度，更新操作方法與工作機(jī)制。以打造優(yōu)質(zhì)銀行環(huán)境為前提，全面監(jiān)控銀行發(fā)展過程中的各種風(fēng)險(xiǎn)。

四、防控信息安全風(fēng)險(xiǎn)的手段

（一）完善內(nèi)部管理運(yùn)行機(jī)制

為了消除風(fēng)險(xiǎn)，最重要的工作就是從源頭出發(fā)，消除安全隱患。處理運(yùn)營(yíng)安全風(fēng)險(xiǎn)，需要從內(nèi)部干預(yù)出發(fā)，不斷完善內(nèi)控機(jī)制，規(guī)范信息管理路徑，加強(qiáng)內(nèi)部審核與監(jiān)督，創(chuàng)造安全信息管理環(huán)境，降低風(fēng)險(xiǎn)隱患。對(duì)此必須做好信息管理機(jī)制的調(diào)整和完善研究，明確不同管理人員工作要求、職能范圍。應(yīng)加強(qiáng)思想宣傳，使所有人員都能形成責(zé)任意識(shí)，理解信息安全價(jià)值與作用。依靠正確思想引導(dǎo)，約束自身作業(yè)理念和方式，確定正確的操作思路。此外商業(yè)銀行需要成立專門的內(nèi)控管理部門，確定審計(jì)工作要求與職能，圍繞當(dāng)前的信息管理現(xiàn)狀，嚴(yán)格審核信息風(fēng)險(xiǎn)、工作人員崗位表現(xiàn)，加強(qiáng)內(nèi)部監(jiān)督，打造良好工作氛圍與環(huán)境，減少內(nèi)部錯(cuò)誤發(fā)生概率。

（二）改進(jìn)信息管理方案優(yōu)化管理系統(tǒng)

從經(jīng)驗(yàn)來看，絕大多數(shù)信息安全風(fēng)險(xiǎn)的誘因都是人為因素。為減少人為失誤引起的管理風(fēng)險(xiǎn)，需要商業(yè)銀行投入更多的技術(shù)與資金，提高信息安全水平。為迎合新時(shí)期背景，適應(yīng)互聯(lián)網(wǎng)新基準(zhǔn)、新形勢(shì)，商業(yè)銀行必須主動(dòng)引入現(xiàn)代化的管理技術(shù)與手段。依靠信息技術(shù)創(chuàng)建安全系統(tǒng)和結(jié)構(gòu)，賦予支撐系統(tǒng)更廣泛的功能與作業(yè)體系，實(shí)現(xiàn)現(xiàn)代化管理與智能化管理，體現(xiàn)管理工作能效價(jià)值，減少人工操作失誤引發(fā)的安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)隱患。此外在使用信息技術(shù)統(tǒng)計(jì)與分析期間，可以運(yùn)用安全技術(shù)和軟件發(fā)現(xiàn)各種潛藏的隱患與風(fēng)險(xiǎn)，使用特定手段規(guī)避風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)?，F(xiàn)代體系的構(gòu)建，需要商業(yè)銀行加強(qiáng)風(fēng)險(xiǎn)防護(hù)管理，創(chuàng)建與自身發(fā)展需求相匹配的防護(hù)機(jī)制。應(yīng)用信息化技術(shù)與軟件，全面發(fā)掘和搜集系統(tǒng)內(nèi)部安全隱患。用軟件自帶的防護(hù)系統(tǒng)，屏蔽處理風(fēng)險(xiǎn)隱患。此外工作人員需要使用現(xiàn)代技術(shù)管理信息，提前備份信息，利用不同渠道存儲(chǔ)信息。以免因信息泄露，導(dǎo)致數(shù)據(jù)庫被攻擊，丟失全部資料。

（三）加強(qiáng)監(jiān)測(cè)與防范力度避免風(fēng)險(xiǎn)危機(jī)加劇

商業(yè)銀行必須加強(qiáng)內(nèi)部風(fēng)險(xiǎn)監(jiān)測(cè)力度，根據(jù)自身發(fā)展理念和追求，提前制定合理且完善的防護(hù)辦法與措施。應(yīng)按照內(nèi)部信息管理系統(tǒng)情況，按照過往經(jīng)驗(yàn)，明確風(fēng)險(xiǎn)類型。此外應(yīng)以信息安全干預(yù)原則，主動(dòng)引入高效、多元的風(fēng)險(xiǎn)預(yù)防辦法。例如銀行設(shè)置秘鑰對(duì)信息操作系統(tǒng)進(jìn)行優(yōu)化，使用信息風(fēng)險(xiǎn)自動(dòng)識(shí)別以及病毒查殺技術(shù)，監(jiān)測(cè)管理各種風(fēng)險(xiǎn)內(nèi)容。此外商業(yè)銀行有必要提前制定各種風(fēng)險(xiǎn)預(yù)處理辦法，有效控制風(fēng)險(xiǎn)范圍，減少風(fēng)險(xiǎn)影響。

（四）加強(qiáng)人員素質(zhì)管理

在眾多的風(fēng)險(xiǎn)隱患中，大多數(shù)隱患的發(fā)生都和內(nèi)部工作人員的素質(zhì)不足有關(guān)。為了減少人員素質(zhì)安全隱患，商業(yè)銀行必須重視人員素質(zhì)建設(shè)工作。招聘人員的時(shí)候，必須予以信息安全素養(yǎng)考核高度關(guān)注，確保引進(jìn)的工作人員素質(zhì)能夠適應(yīng)崗位要求，提升人員素質(zhì)能力和工作專業(yè)性。除此之外還要重視工作人員安全防護(hù)技能培訓(xùn)，予以安全教育宣傳高度重視。應(yīng)重點(diǎn)培訓(xùn)工作人員的風(fēng)險(xiǎn)管理素質(zhì)，提高工作人員信息安全操作水平與能力。

五、不同時(shí)間段的風(fēng)險(xiǎn)應(yīng)對(duì)方案

（一）應(yīng)急準(zhǔn)備

該階段往往是銀行應(yīng)對(duì)信息安全風(fēng)險(xiǎn)實(shí)施時(shí)間最久的環(huán)節(jié)，該環(huán)節(jié)的工作效果，關(guān)系到商業(yè)銀行能否有效解決突發(fā)的信息安全事件。商業(yè)銀行該環(huán)節(jié)需要認(rèn)真分析與評(píng)估信息資產(chǎn)，了解潛在威脅。對(duì)于高發(fā)生概率且影響嚴(yán)重的風(fēng)險(xiǎn)需要提前制定應(yīng)急預(yù)案和預(yù)警防控手段。加強(qiáng)員工培訓(xùn)，合理演練風(fēng)險(xiǎn)應(yīng)對(duì)方案，培養(yǎng)安全意識(shí)。

（二）泄露監(jiān)測(cè)

商業(yè)銀行平時(shí)必須認(rèn)真監(jiān)測(cè)與預(yù)警，使用物聯(lián)網(wǎng)智能監(jiān)測(cè)配合人力監(jiān)測(cè)。關(guān)鍵風(fēng)險(xiǎn)需要使用多樣化方式。如出現(xiàn)風(fēng)險(xiǎn)爆發(fā)前兆需要及時(shí)預(yù)警，將信息逐級(jí)上報(bào)至上級(jí)領(lǐng)導(dǎo)。

（三）分級(jí)響應(yīng)

必須第一時(shí)間做出反應(yīng)，包括高風(fēng)險(xiǎn)、一般風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)。發(fā)生風(fēng)險(xiǎn)時(shí)，按照預(yù)先設(shè)置的預(yù)案進(jìn)行處理響應(yīng)。

（四）恢復(fù)運(yùn)營(yíng)

商業(yè)銀行信息受損之后，立刻使用備份數(shù)據(jù)恢復(fù)系統(tǒng)。之后檢查銀行運(yùn)行情況，直到系統(tǒng)恢復(fù)正常。已泄露信息需要及時(shí)補(bǔ)救，和信息購(gòu)買方、接受方交涉，截?cái)嘈畔⑼庑?，降低泄露信息價(jià)值。

（五）根除泄密源

解決安全問題以后，必須排除技術(shù)漏洞，不斷完善系統(tǒng)。人為因素引起的問題，需處理有關(guān)人員。

（六）總結(jié)改進(jìn)

恢復(fù)系統(tǒng)后，總結(jié)經(jīng)驗(yàn)與教訓(xùn)，完善和改進(jìn)技術(shù)，以免發(fā)生類似事件。

六、結(jié)語

現(xiàn)如今商業(yè)銀行已經(jīng)成為了我國(guó)經(jīng)濟(jì)發(fā)展的頂梁柱。商業(yè)銀行經(jīng)營(yíng)過程中，必須給經(jīng)營(yíng)實(shí)力管理予以高度關(guān)注，確保信息安全性與穩(wěn)定性，提高商業(yè)銀行經(jīng)濟(jì)效益創(chuàng)造能力和收益水平。面對(duì)新時(shí)期市場(chǎng)經(jīng)濟(jì)環(huán)境與背景，商業(yè)銀行需要提高信息風(fēng)險(xiǎn)關(guān)注度與重視度，結(jié)合自身當(dāng)前經(jīng)營(yíng)管理情況，采取更科學(xué)有效的問題解決辦法。通過多角度干預(yù)，打造安全管理水平與信息環(huán)境，以免信息的存儲(chǔ)、管理出現(xiàn)問題。有了前面的鋪墊，才能提高銀行自身管理水平、經(jīng)營(yíng)能力。