摘要:
随着银行、证券、保险等金融交易业务的全面信息化,金融机构特别是小微金融机构正在不断大力拓展信息化业务,但受技术的限制和对盈利的追求,其在信息安全方面往往考虑得不够全面,留下诸多安全隐患。人民银行作为管理机构,在预防信息犯罪和保障信息安全方面,有责任加大指导和监督的力度。因此,积极开展基层证券、保险业信息安全管理调研工作,了解基层证券、保险业的信息安全管理现状和管理模式,发掘其管理中的薄弱环节,探索对其履行金融服务与指引的方式,具有一定的理论和实践意义。
关键词:
基层证券;保险;信息安全;调查
一、做好基层证券保险业信息安全调研工作是形势的需要
芜湖市近几年金融发展环境逐步优化,截至2015年第4季度末,全市各类金融企业共317家,其中银行24家、非银机构3家、证券营业部15家、期货营业部5家、保险公司32家、交易所5家、股权投资企业125家、融资担保公司21家、小额贷款公司66家、典当行21家,已初步形成了银行、证券、保险的多样化金融体系和全方位的金融发展格局。目前,人民银行以“两管理、两综合”为抓手对银行业进行开业和营业管理,并通过综合执法检查和综合评价等方式对银行业开展监管,但是人民银行对于基层证?和保险的了解较少,随着证券保险业的日益发展和壮大,开展对证券保险业的信息安全管理工作调研,有利于人民银行对金融业科技管理的总体把握。
二、基层证券、保险业信息安全管理现状
为全面了解证券保险业的信息安全管理现状,人行芜湖市中心支行采用现场走访和发放调查问卷相结合的的方式对15家证券和25家保险公司进行调研,主要从其信息安全人员结构、信息安全物理防护、信息安全软件防护情况等方面展开。
(一)信息安全人员结构情况
信息安全人数占公司总人数比例:在走访的证券公司中,信息安全岗位人数占公司总人数的平均比例为7.44%,保险公司信息安全人数占公司总人数平均比例为2.38%,证券公司总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。但是在保险行业中,IT人员占行业从业总人数远远低于行业标准。信息安全人员学历情况:证券公司的信息安全人员中本科学历占75%,研究生学历占25%;保险公司的信息安全人员中,本科学历占78%,大专学历占22%。相比于证券业,保险业科技人员后续教育和行业人才培养有待加强。信息安全人员专职和兼职情况:IT人员均为业务兼职人员,日常工作中疲于应付各项业务,无暇顾及较深层次的科技专业应用学习,只能适应基层系统的推广和维护。计算机业务素质跟不上金融电子化的发展要求,技术人员的专业能力和信息安全意识有待提高。
(二)信息安全物理防护情况
门禁、消防系统、防雷措施:在走访的证券、保险业中,没有安装门禁系统的分别占44%和82%;60%的保险业没有消防系统,证券业有80%没有防雷报警,保险业中60%没有部署任何温度、湿度、防雷报警措施。目前,许多证券保险公司营业部机房的环境较差。供电情况:在应急电源能够维持的时间调查中,保险业平均为4.5个小时,证券业平均为7.5个小时,大部分没有安装外部电源双回路供电,少数单位配备应急发电机。网络硬件加密情况:网络硬件和通信链路普遍存在安全缺陷,如电磁辐射、电磁泄露、搭线、串音等安全隐患。此外,某些数据及资料在传输过程中都没有加密,这些都会引发网络安全风险。
(三)信息安全软件防护情况
操作系统:调查显示基层证券保险业使用的操作系统平台大多采用WindowsNT,WindowsXP,WindowsServer等,证券公司还使用Unix,Linux,Novell等系统,Novell服务器是基于开放的DOS平台,增加了数据风险。信息安全软件使用情况:调查显示,大部分客户端安装的防病毒软件产品都是一些常用软件,如趋势科技杀毒、赛门铁克个人防火墙、Cisco等,部分采用的是总公司统一部署的软件,少数没有安装任何防病毒软件,信息安全防护软件的部署没有引起足够的重视,增加了金融风险隐患。数据库备份:证券业中20%采用的是本地备份和异地备份相结合的方式,60%采用异地备份,20%采用本地备份,数据库软件基本上采用msSOL和Oracle等数据库软件;保险业数据库均在上级公司,基本上没有数据库备份。网络安全协议:证券行业主要采用以太网的标准协议IPX,TCP/IP,同时开放有网上委托、电话/电脑拨号委托等业务,内部还有大户室等,这种开放性使得非授权访问、网络攻击发生的可能性增加。近几年,国际上也曾多次发生安全问题,如:2012年10月5日,由于系统故障导致印度大盘NIFTY指数在8秒内暴跌16%,导致该交易所被迫暂停15分钟的交易。
三、存在的问题和建议
目前,证券、保险业也进一步加大信息安全管理体制建设,于2012年11月、2013年2月先后公布并实施了《证券期货业信息安全保障管理办法》《证券期货业信息系统运维管理规范》等,但是,通过对基层证券保险业的调研发现,基层证券保险业的信息安全管理工作仍然存在较为薄弱的环节。
(一)基层央行对基层证券保险信息安全管理工作的建议
对于金融机构来说,信息安全管理不能只依靠物理防范,还要具备人员素质等软因素,对信息安全技术方面过于依赖,不仅增加企业运营成本,还会导致安全管理工作难见成效。除了不断更新先进的技术防护措施,还要形成一套系统、有效的管理方法。从调研的情况来看,建议基层证券保险业一是要从思想上高度重视信息安全管理工作,加强对员工的信息安全知识的宣传,进一步提高员工的信息安全意识;二是做好信息安全管理工作的日常性事务工作,如做好信息安全事件调查处理和分析,建立健全信息安全事件台账;在行业内部定期编发信息安全通报,定期对安全隐患进行风险提示等;三是加强科技队伍培养,定期对信息安全岗位人员开展行业信息技术培训,提高人员的专业素质,加大科技人才储备;四是加强对信息安全审计工作的投入,针对信息系统管理部门在组织控制、安全定级、物理环境安全控制、系统生命周期等方面的固有风险,可以从信息系统审计的方式来审查证券保险业的信息系统的安全可靠性。
(二)基层央行对证券保险业信息安全指导工作建议
“三定”方案出台后,人民银行增加了管理信贷和反洗钱两项职能,人民银行系统的金融城域网增加了保险、证券、小额贷款公司等非银行金融机构,央行与证券保险业之间的联系日益紧密,对金融科技服务的要求也越来越高。目前,证监会和保监会在地市一级城市没有设立分支机构,而地市级人民银行对证券保险业还没有出台具体的制度进行直接监管,多种因素导致后者的信息安全管理水平普遍较低,风险隐患日益突出。建议人民银行一是通过《金融行业信息系统信息安全等级保护实施指引》,对金融业包括证券保险业的各信息系统进行检查督导,进一步提高其信息安全管理水平;二是建立起基层人民银行与证?保险业联系协调机制,加强与其沟通和联系;三是积极探索基层金融业信息安全监管工作的新方法,建立健全金融业信息安全监督规范和制度,加强金融业科技工作指引,更好地发挥基层央行的金融科技服务职能。
作者:李芳芳 单位:中国人民银行芜湖市中心支行
参考文献:
[1]光兰明.基层央行履行金融业信息安全指导职能的思考[J].金融电子化,2011(10):44-45.
[2]陈涛.银行与证券保险及其他机构网络关联的调查分析和思考[J].时代金融,2014(4X):33-34.