央行金融安全相关素材由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“央行金融工具”。
央行-金融安全相关素材
一.央行科技工作回顾 1.安全保障能力稳步提高
一是网络安全保障能力不断提高。各级机构严格落实涉密信息系统分级保护要求,完善各项保护措施,杜绝失涉密事件发生。定期开展业务网登记保护测评病积极落实整改,及时发现并处置对人民银行的网络攻击,在国家重大活动期间和敏感时点,人民银行系统包括直属单位未发生重大网络安全事故。二是自主可控水平有效提升。人民银行信息系统基本实现自主研发,终端设备安全设备可控比例达到90%以上,网络设备安全可控比例达到70%以上。三是国密算法应用取得进展。加快推进国密算法在金融IC卡、网银、电子认证、移动支付等领域应用,开展了密码应用专项试点。组织全国性商业银行完成银行卡收单,移动金融等系统的算法改造,其中改造POS终端326万多台,ATM终端月11万台;指导支付宝、财付通等非银行支付机构制定并启用了算法改造计划。
二.当前科技工作面临的形势与挑战 1.金融新业态兴起挑战央行科技履职能力
一是传统风控措施难以奏效,迫切要求提升科技监管能力。
新业态的发展,使得金融边界更加模糊、服务方式更加虚拟、经营环境更为开放;同时,资金流向难以追踪,风险传播速度更快、隐蔽性强,给金融基础设施,金融监管和金融稳定带来挑战,需要我们不断推陈出新,及时优化完善基础设施,健全审慎监管和行为监管。目前出现的监管科技(Regtech)是金融科技的一个细分领域,其实质就是应用新技术在监管部门和被监管机构间建立更可信赖、可持续、可执行的监管协议与合规性评估机制。监管部门运用大数据、人工智能等技术,可以更好的感知态势,更快地收集数据,更准地识别风险。被监管部门采取应用对接、系统嵌入等方式,将监管和合规要求数字化。金融科技、监管科技发展以后,很多监管要求可以参数化嵌入到金融机构的系统中自动获取数据,自动干预行为,从而减少人工干预,减少理解歧义,降低合规成本,提升监管效率。英国的“监管沙箱”以及我国第三方支付机构备付监管系统都是监管科技应用的范例。未来我们开展系统建设时,要更加注意借鉴监管科技理念,全面、及时地关注金融市场发展变化和风险情况,预警可能发生的区域性和系统性风险,为监管决策做好支撑。2.严峻的网络安全形势给科技工作提出了新挑战
国际层面,网络空间局势日趋紧张。黑客攻击活动日益猖獗,有组织的大规模网络攻击也日渐增。孟加拉央行事件、“匿名者”黑客组织对全球银行实施网络攻击和网络窃密等给我们敲响了警钟。国家层面,网络安全形势不容乐观。主要设备国产化率不高,关键软硬件领域核心技术受制于人的局面并没有根本性改变,低于大规模有组织攻击的能力不足,现有的网络安全防御框架和应急协调能力有待提高。行业层面,金融业信息系统频繁遭受攻击,安全运行形势严峻。近年来,从央行网信办、公安部、工信部专项检查检测反馈的情况看,金融业整体网络安全技术防护能力在国内各行业中处于较高水平,重要信息系统均经过权威部门检测认证,达到等级保护三级以上要求。然而,从有关单位开展的渗透测试情况来看依然存在风险。据统计,约30%左右的金融网站存在高危风险,存有漏洞的网站大概有20%的概率被直接穿透。前不久,某收购机构遭受的大规模DDoS(Distributed Denial of Service)攻击就是最新例证部分金融科技企业线上业务丰富,服务对象庞大,拥有海量数据,逐步成为体量巨大的“信息寡头”,一旦由于内控机制不健全或系统遭受外部攻击而发生信息泄露,其影响不可估量。用户层面,个人信息泄露问题日益严重,窃取信息一层为实施资金犯罪的基本作案条件,是造成支付风险的源头。信息泄露时间之所以高发,一是随着互联网应用快速发展,大量客户信息暴露在互联网环境中,易造成信息泄露。二是参与主体风险防控能力参差不齐,业务链条中任何一个环节出现问题,都可能造成信息泄露。三是不法分子窃取信息的花样不断翻新,逐步向专业化、集团化、产业化发展,网上非法买卖信息猖獗。党中央、国务院始终高度重视网络安全和信息化工作。十八届三中全会通过的《中共中央关于全面深化改革若干重大问题决定》明确要求“加强金融基础设施建设,保障金融市场安全高效运行和整体稳定”。习近平总书记在网络安全和信息化工作座谈会上也明确指出,金融等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。人民银行是金融行业信息安全指导和协调单位,人民银行管理运行的金融基础设施更是极端重要,其安全状况关系人民利益、金融稳定和国家安全。我们要充分认识到所担负的责任以及所面临的挑战。
三.当前科技所存在的问题
1.监测管理不严,安全生产存在风险隐患
从这两年情况看,人民银行信息系统安全生产形势不容乐观,各种安全生产事故时有发生,提高全行网络系统安全水平已经迫在眉睫。通过分析,风险隐患的主要成因有以下四个方面。
一是思想认识不到位。安全防范意识要靠制度、靠技术,但关键在人。人的关键在于思想,如果思想认识不到位就会导致执行不到位,安全时间旧货不断发生。一些单位主要负责同志和分管负责同志对安全生产还没有给予足够重视,特别是太平一段时期后容易助长麻痹倾向,进而放松警惕、放松管理。可以说,每一次重大安全生产事件背后都有失职、渎职甚至玩忽职守等问题。还有人认为花钱就是作为,以为花钱就可以买来安全,实践中补习重金过度依赖某些品牌的高端产品。当然,“过于节省”现象也有,一些该有的监控系统未及时建设,一些设备过了报废年限还在使用。还有同志缺乏精益求精的精神,对安全生产表面重视,但没有高标准要求,奉行“好人主义”,这些问题都需要彻底改变。
二是管理问题突出。从人员管理看,部分单位忽视对运维人员的培养,对运维队伍安全教育不足,值班安排也不近合理。事故发横后,由于运维人员应急处置能力不足,难以保证快速恢复。从系统运行管理来看,部分单位系统建设技术方案论证不充分,埋下了安全架构方面的隐患;维保服务采购、老旧设备更新不及时,导致设备故障频发;应急演练流于形式,应急预案覆盖场景不足,直接影响了应急处置能力。
三是监控不足,保障不力。运维人员数量、经验、技术手段以及外包服务保障不足,省级数据中心7*24运行能力欠缺,运用IT手段智能监控和主动预警机制尚未建立,未能形成“人防+技防”的技术管理体系。应急处理能力不高,主动开展应急演练少,在应急处理中过分依赖厂家,对问题缺少整理、分析,安全事件处理经验共享机制不健全。灾备建设滞后,灾备资源不足,灾备系统“备而不可用,用而不可靠”,无法满足业务连续性需要。一旦出现大规模突发事件,多数系统业务连续性无法保证。
四是安全制度不健全,责任体系不落实。安全方面有制度空白的一面,也有制度落后于实践的一面。针对一些新技术和新应用,制度建设没有相应跟上;有的制度多年没有修订,已经严重落后于社会普遍水准和银行业进步速度,落后于管理要求。更重要的是,责任体系不落实导致制度执行缺少约束,追责缺乏依据。
四.人行当前和下一阶段的目标、要求与重点任务 1.狠抓安全生产,建立完善的IT风险防控体系
2016年人民银行系统安全生产事故频发,今年务必要将安全生产摆在更加突出的位置,严格落实安全生产责任制。要明确安全生产的各项责任,每项责任都要落到人头。没有落实到人的责任体系难以确保科技管理到位、安全生产保证。另一个工作重点是外包管理。对外包单位具体承担什么责任、出现问题后怎样追责都要有明确规定。必须明确出现问题后如何应对处理,以免贻误战机,使“小故障酿成大问题”。要重新检视现有协议和合同。并按照外包管理要求补充完善相关条款。要进一步完善科技专业考核指标,对安全生产事故实行“一票否决”。务必把安全生产状况彻底扭转过来。
一是保障党的十九大期间生产安全。各单位、各部门要把保障十九大期间生产安全为首要政治任务抓实抓好。要做好风险评估和专项排查,确保无盲区、无死角,查出问题逐项解决,并与外部单位建立协同机制,确保快速响应,及时处置。科技司要统筹组织协调,提早部署,督促落实,并将人民银行落实中央要求情况、各单位自查整改情况、敏感时期互联网站管控措施等及时报告。人民银行系统一体化安全中段改造推广完成后,作为第一个全面实现终端安全管理国产化的部委,有关情况也要及时报告。
二是健全央行安全生产“三道防线”。去年以来,我们一直强调“三道防线”建设。第一道防线在运行单位。运行单位要先于客户发现问题,用技术手段加强管理,优先恢复系统对外服务。目前,各运行单位已经在这么做,但重视程度仍然不够。下一步重点要提高人员运维能力,完善系统运行相关环境建设,提升监控自动化水平,在日常运行工作中及时识别、报告和处置风险。省内分支行机房要集中监控,可“借鉴”发行库省级集中监控系统建设的成功经验。第二道防线指风险控制部门,主要就是总行科技司以及各单位的技术管理部门。要建立健全规章制度,细化管理和奖惩机制,厘清关键风险指标,建立风险评估标准和网格化责任体系,对第一道防线的执行情况进行监控,以及时发现漏洞并控制风险。第三道防线由内审部门承担,主要任务是通过对前两道防线进行独立、客观的审查监督,对业务流程和风险控制措施的合规性和有效性进行审计,提出整改意见并督促整改落实,实现风险的事后控制。今年务必要进一步完善、做实“三道防线”,切实提升人民银行IT风险管理整体水平。
三是加强行业信息安全的知道和管理。特别是要强化支付终端安全管理,通过业务和技术持续发力,共同维护支付市场秩序。针对支付终端的问题,无论是传统终端,如POS、ATM要实施管理,对一些新型的支付终端如专用扫码、显码设备,都要实行登记、编号和定位,出现问题能够及时发现和纠正。对于农村地区广泛使用的电话POS要研究实施替代工程,防止农村地区成为信息泄露和资金盗刷的重灾区,尤其要防止农民成为资金损失的受害人。
