|
主要对话嘉宾:
丁茂顺(东方资产管理公司信息科技部原总经理)
王代潮(长城资产管理公司信息技术部总经理)
欧阳梅雯(启明星辰公司金融事业部副总经理)
邵山(《金融电子化》副总编)
信息安全体系建设是国内金融业多年的重点话题。长城资产管理公司基于等级保护的安全体系建设,为金融业提供了借鉴,为金融机构信息安全管理体系的完善提供了实践。
本刊特别邀请丁茂顺、王代潮、欧阳梅雯等,共同就安全体系建设话题进行了一次热烈的讨论。我们希望这样的讨论能够继续下去,不仅是对信息安全问题,只要关乎金融业信息化,都是今后本栏目关注的焦点。
丁茂顺(以下简称丁):信息安全是金融业永远的话题。对于任何一家金融机构而言,信息安全都至关重要。谁不重视信息安全工作,谁不进行信息安全建设,谁就注定要出大问题。但国内金融业的信息安全建设成效如何,则见仁见智。许多年以来,给我的感觉是,安全设备买了一大堆,安全系统上了若干套,可大家依然缺乏安全感。不知王总是否有这样的感觉?
王代潮(以下简称王):丁总所言不差。金融机构的信息安全如何做?应当做到什么水平?一直是困扰我们的问题。在没有我国自己的安全标准前,我们总感觉安全工作没有目标,不知道做到哪里算一站。
在树立信息安全等级保护认识之前,我们对于信息安全的认识仅限于购买防火墙、防病毒系统、IDS等安全产品,以及制订安全管理规范。表面上看似乎实现了安全管理的结构化和体系化,但实际上我感觉远远没有使我们高枕无忧。
我们曾经构建了安全平台,目的是将所有的安全产品全部纳入安全平台中进行管理,以使复杂的各类系统、设备的管理工作有统一的平台,从而提高我们的管理水平。但就是在做了安全管理平台后,我心中也仍然感到不安,总是问同事“我们现在安全了吗?”、“用什么来保护安全平台的安全?”后来我们明白了,安全平台仅能提高我们的安全管理能力,而无法全方位完善整体安全体系。
欧阳梅雯(以下简称欧):安全生产中有个口号:“隐患胜于明火,安全重于泰山”。将这句口号引用到金融业信息安全工作中也极贴切。如果知道哪里有明火,我们总有办法扑灭。但如果不知隐患在哪里,就意味着面临极巨大的风险。
丁:长城资产管理公司以信息安全等级保护为基础,进行了一次有益的尝试,对其他金融机构应该有很多借鉴之处。请王总不要客气,讲讲你们的经验,与国内同仁共享。
王:我们过去对信息安全等级保护的认识也仅限于各种标准,具体应当做到什么程度,心里也没底。2004年10月18日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室下发了《关于信息安全等级保护工作的实施意见》的通知(简称66号文),使我们有了比较明确的方向,可以根据相关要求制订出自己的安全工作目标了。
随后我们便统一了思想认识,确定严格按照66号文的要求,提高自己的安全管理水平的建设思路,将“可知”、“可识”和“可知识”作为长城资产管理公司信息安全保障体系的三个重要阶段,分步实施。
“可知”指只有在我们知道威胁来自何方时,才可以实施安全保护,所以我们的基本出发点是“可知”。“可识”指我们知道威胁后所要采取的措施,应当执行何种安全策略。“可知识”指建立自己的知识库、专家库,只有建立了知识库和专家库,才能够真正实现高等级的安全保障体系。
丁:按照信息安全等级保护的等级划分标准,将信息系统划分为5个等级。你们依据什么对自己的信息系统进行划分?
王:我们将核心业务系统定位为3级,其他非核心系统(如办公自动化系统、邮件系统等)定位为2级。之所以这样,是考虑到不同系统对于企业的重要性,也是明确我们今后安全管理工作的重点。
熟悉信息安全等级保护相关标准的人都知道,实施3级标准,就意味着要接受国家有关主管部门的监督、检查。有些企业不愿实施3级,就是认为会“费力且麻烦”。但我们不这样看。信息系统安全与否,归根结底是企业自己的事,谁也替代不了。我们的思路很明确,就是要通过实施等级保护,提高信息系统的高安全性。
欧:因为提倡“适度保护”的指导思想,信息资产价值高和适度保护的原则使等级保护非常适合金融业。各金融机构可以根据不同信息系统的重要程度进行适当划分,实施不同等级的安全保护。很多金融机构对于实施信息安全等级保护有畏难情绪,原因在于只将信息系统看作了一个整体。其实,长城资产管理公司的经验之一,就是可以“分而治之”,使之有清晰的头绪和条理。
王:对任何重要行业而言,信息安全等级保护都是一个必须实施的系统工程,而不是“面子工程”。不能是为了等级保护而实施等级保护。我们是按照等级保护的相关标准和要求,构建符合自身需要的信息安全保障体系。做好安全工作才应当是真正的目的。就以我们自己为例,即便国家有关部门没有出台66号文,我们也必须抓住信息安全建设不放。
丁:王总刚才表述的一个观点我非常赞同。那就是,我们做信息安全等级保护不是要适应ISO 27001、GB 17859等标准,或是有关主管部门的要求,而是出于自身运行、发展的需要。所以,你们实际上是要借助实施信息安全保护,完善自己的安全体系。
王:长城资产管理公司基于信息安全等级保护的安全体系建设项目能够顺利完成,有3个关键条件。
一是刚才我讲到的国家有关主管部门联合下发的66号文,给我们明确了目标。二是恰在我们酝酿实施该项目时,微软公司涉足安全产品领域,提出了整体安全架构理念,尤其是在其Vista产品中,更是体现出微软公司的安全理念。三是长城资产管理公司决策层全力支持该项目的立项和实施。这三个关键条件加在一起,才促成该项目走向了成功。
欧:启明星辰和微软同时作为乙方,参与了该项目的建设。微软提供的是安全基础架构,启明星辰提供的是贴近行业的应用解决方案,这样正好互相形成差异化策略。因为用户不但需要安全基础架构,而且需要应用解决方案,这样使微软和启明星辰的产品能够非常好地整合在一起,为用户提供完整的产品。在该项目中,微软与启明星辰是水平关系,就是说微软和启明星辰有着共同的利益。
丁:一般在同一项目中,多个乙方往往是纵向关系,有的乙方提供安全基础平台,有的乙方基于基础平台提供针对性解决方案。看来长城资产管理公司确实进行了一次颇有意义的尝试,不仅在操作层面,而且在战略层面也为国内金融业提供了成功的借鉴。这是有益于我国金融信息化建设的一条思路。作为甲方,可以将互为补充的专业厂商整合在一起,这样更有利于我们的信息化建设。
邵山(以下简称邵):说到安全,人民银行和商业银行几年前便开始了信息安全等级保护的研究工作,2003年开始人民银行在全辖推广IDS和内网CA的应用。但这仅仅是一些安全技术应用,还没有从整体上形成安全管理平台。在完善信息安全体系建设方面,我认为商业银行也可以借鉴长城资产管理公司的水平战略。
欧:为何现在可以实施信息安全等级保护项目?除王总谈及的3点,还有一条,就是相关产业需要成熟到一定程度。举例说,如果微软没有推出MOM管理服务器,用户要实现微软产品的全面安全管理,将面临巨额成本。只有微软意识到这一点,提供支持应用开发商进行应用开发的基础平台,才能够使信息安全等级保护水到渠成。
丁:我认为还有一个重要的地方,就是等级保护的各种标准机构大举进入中国,经过数年的宣传、介绍,现在不仅是IT部门的高管认识到等级保护的重要性,企业的决策层也深刻认识到了这一问题的重要性和紧迫性,从而从上至下推动这一事物的快速发展。今天的环境较一两年前已经不可同日而语了。如果说以前我们的高层决策者还处在了解和观望阶段,那么今天已经有很多人起而行了。有了这一动力,我相信等级保护将全面在我国金融业推而广之。
欧:金融机构需求来源很多,合规是需求来源,解决现有的安全性问题是需求来源,提高核心竞争力也是需求来源。据我所知,一些金融机构对ISO 27001甚是青睐。诚然,ISO 27001能使企业在合规性方面达到国际标准。但实施ISO 27001的企业分为两类,一类是据此理顺企业的安全体系。另一类是希冀凭借ISO 27001获取商业利益。
丁:我认为这两种出发点都正确!信息技术部门的主管肯定要达到第一个目的。行长(总裁)至少要达到第二个目的。如果我选择,两个都要!
王:长城资产管理公司因为没有海外业务,所以没有合规性的要求。但符合第一个目的,通过实施等级保护,提升信息安全的规范管理能力。之所以先实施等级保护,而没有实施ISO 27001,原因在于等级保护更适合我国的国情。
丁:将来发展业务,在取得业务来源时,符合ISO27001的企业,其资质明显高于其竞争者,就会抢占先机。行长(总裁)当然关心这个了。王总当然更关心实质内容,他需要的是实现有序管理。
邵:如今,国内很多金融机构出于不同的考虑,不愿意向外界透露自己在做什么。作为媒体,我们能够理解他们的良苦用心。但从另一个角度讲,其实这也制约了国内金融机构之间的交流。今天王总能将长城资产管理公司的经验与业内分享,对我国金融业信息安全整体建设大有裨益。
丁:确实是这样。我们的金融机构没有必要这样保守,保守使我们失去了相互之间学习、促进的机会,容易使我们陷入闭门造车的境地,非常不利于我们的发展。
后记:长城资产管理公司基于信息安全等级保护的信息安全体系建设项目是一次有益的实践,我们希望在国内看到更多的实践,也希望这样地对话能够在信息安全重点行业中继续下去,为金融机构的信息安全体系建设提供更多成功的借鉴。 | 
