“新系統(tǒng)剛上線，現(xiàn)在還不能給出確定的防護數(shù)據(jù)。通過這次評估，我們最大的收獲是提升了信息安全的響應速度，以及信息安全風險管控意識。”達州市商業(yè)銀行（以下簡稱達州商行）現(xiàn)在正根據(jù)東軟提供的信息安全評估報告，對自己在信息安全方面的問題進行整改。達州商行副行長楊廷軍表示，“東軟為我們將評估過程中暴露出的問題進行了風險分級，指出哪些是必須馬上解決的，哪些是可以稍后解決的?！?br />  
一場信息安全教育

2009年，達州商行掛牌開業(yè)。在新系統(tǒng)上線前，達州商行用的還是信用社時期使用了多年的舊系統(tǒng)，比較落后。根據(jù)《商業(yè)銀行信息科技風險管理指引》、《銀行業(yè)金融機構重要信息系統(tǒng)投產(chǎn)及變更管理辦法》等文件的相關要求，達州商行在更新系統(tǒng)前，必須邀請第三方公司對達州商行的信息安全狀況進行評估。在不到一個月的評估工作中，東軟作為此次安全評估服務的提供商，對達州商行的管理制度、網(wǎng)絡環(huán)境、系統(tǒng)環(huán)境和安全策略等進行了梳理和攻擊性測試，并且給出了安全評估報告和整改意見。

據(jù)了解，東軟的信息安全風險評估服務采用目前權威的 ISO 27001、GB/T 20984-2007信息安全風險評估規(guī)范（中國國家標準）以及國家信息安全等級保護指南等安全標準作為風險評估的準則，在評估對象已有安全措施的基礎上，對外網(wǎng)業(yè)務服務進行滲透測試和掃描，并對網(wǎng)絡日志進行審計，幫助用戶了解客觀真實的自身網(wǎng)絡系統(tǒng)安全現(xiàn)狀，發(fā)現(xiàn)相關漏洞與脆弱點，給出整改建議和系統(tǒng)層面加固方案。

“東軟通過攻擊性測試，發(fā)現(xiàn)了達州商行網(wǎng)絡安全方面存在的一些漏洞?！睏钔④姼嬖V記者，東軟的安全專家通過模擬黑客的攻擊行為，對達州商行的網(wǎng)絡進行了非破壞性的入侵測試，發(fā)現(xiàn)達州商行原來的網(wǎng)絡安全密碼略顯簡單，容易被黑客攻破?，F(xiàn)在，達州商行已經(jīng)設置了相對復雜的密碼，難以被外界破譯。

信息安全的防范不是一成不變的，需要隨著網(wǎng)絡環(huán)境的變化不斷完善和細化。目前，由于人員缺乏，技術實力較弱，我國城市商業(yè)銀行的IT系統(tǒng)主要靠外包，包括財務等各種系統(tǒng)的研發(fā)，都需要外包給IT廠商。這就給銀行的網(wǎng)絡系統(tǒng)造成了一定的安全隱患。因此，加強對外包服務提供商的管理，提升銀行自身的抗風險能力和風險策略管理能力，是城市商業(yè)銀行不可忽視的問題。

“評估過程中，東軟認為我們在外包合同中的一些法律關系和法律責任描述得不是很清晰，不夠具體，過于原則化?！睏钔④姳硎?，“東軟建議我們根據(jù)中國銀監(jiān)會的要求，加強外包管理，進一步明確外包雙方的法律責任，與外包廠商簽訂保密協(xié)議，做好風險把關?！?/p>

城市商業(yè)銀行的信息安全問題，不僅表現(xiàn)在信息安全防護能力相對較弱，而且表現(xiàn)在信息安全部門的投入少、管理欠缺，更主要的是管理者的信息安全防護意識不強，各個部門的功能不完善，導致很多風險管理的責任都由技術部門分管，缺乏監(jiān)督機制。

通過評估，東軟發(fā)現(xiàn)達州商行最主要的安全隱患并非IT系統(tǒng)的老化，而是缺乏統(tǒng)一規(guī)劃的安全防范策略，管理部門的安全防護意識薄弱?！皷|軟指出我們在系統(tǒng)操作管理、機房軟硬件管理和銀行的科技風險管理等方面存在一定不足，管理的組織架構也需要調整和改進?！睏钔④姺Q，東軟的評估結果提出達州商行的管理層應有專人負責風險管控工作，明確職責并且建立監(jiān)督機制，“對哪個部門應該擔負哪些責任提出了建議，并且定期或不定期地對其工作進行評估?！?/p>

在楊廷軍看來，對達州商行而言，東軟安全評估的意義不僅是指出了銀行在安全方面存在的漏洞，更是對全行進行了一場信息安全教育。

專業(yè)贏得尊重

在接受《中國計算機報》記者采訪時，楊廷軍表示，達州商行信息安全評估項目有四家公司投標，通過對它們遞交的投標材料進行分析，對其以往案例進行調查，了解客戶的評價，達州商行最終選擇了東軟。之所以選中東軟，楊廷軍“一是看重他們的技術力量和認證資質，二是覺得他們很專業(yè)?！?/p>

達州商行希望能跟東軟建立長期的合作關系?！皷|軟的安全評估反映出了城市商業(yè)銀行在安全方面的核心問題，指出了癥結所在，對我們今后的工作幫助非常大?！睏钔④娮畲蟮母杏X是東軟的安全專家“非常專業(yè)”。

在楊廷軍看來，之所以說東軟的服務專業(yè)，一方面是因為東軟的安全專家反應迅速，服務態(tài)度好，另一方面是因為東軟的安全專家堅持以信息安全保障為最高目標，不為外界所干擾。楊廷軍表示：“盡管存在安全漏洞，但未必都因此出現(xiàn)了問題，所以技術部門對信息安全的重視程度不高，當東軟提出整改意見時，他們認為不一定非要這樣做。但是東軟稱信息安全具有突發(fā)性，不能掉以輕心，所以比較堅持?！?/p>

另外，出于銀行管理和運營等方面的綜合考慮，對于一些安全問題，達州商行認為不適宜揭露?！暗珫|軟認為，既然是做安全評估，就要把能夠發(fā)現(xiàn)的問題全部揭示出來，并給出合理的建議。對不適宜披露的部分，東軟也尊重銀行的意見，只給出意見，不進行披露?！睏钔④姳硎?，正是這種專業(yè)的態(tài)度，讓達州商行對東軟的工作非常認可。

授人以魚不如授人以漁

與國有銀行相比，地方城市商業(yè)銀行的技術部門實力較弱，資金投入少，并且缺乏連續(xù)性投入。因此，城市商業(yè)銀行往往并不具有信息安全方面的高端技術和研發(fā)能力，技術部門工作人員人數(shù)少、技術水平有限。

“授人以魚，不如授人以漁?！背鞘猩虡I(yè)銀行需要的不僅僅是IT外包服務，更是提升自身的IT運維能力，提升銀行科技人員的技術水平。因此，對工作人員進行信息安全方面的業(yè)務培訓，對于城市商業(yè)銀行的風險管理來說必不可少。

據(jù)了解，東軟擁有CISP國家級信息安全專業(yè)認證培訓機構最高級資質，以及近二十名的CISP認證工程師和多名資深培訓講師。目前東軟提供一系列面向組織內管理者以及技術人員的個性化的培訓方案，并且在大連、成都、南海、沈陽等地建立了培訓基地。

現(xiàn)在，最讓楊廷軍頭痛的問題是怎樣盡快提高技術部門人員的運維能力。他表示，隨著科技的發(fā)展，很多新系統(tǒng)銀行工作人員以前并沒有接觸過，例如數(shù)據(jù)庫的一些新技術、IBM的小型機等。而這些新系統(tǒng)、新應用在銀行業(yè)務運行中的使用頻率越來越高，技術人員急需要了解相關知識?！拔覀兿Ｍ麞|軟為技術部門工作人員進行一些培訓，提升他們的IT運維能力，確保業(yè)務系統(tǒng)安全運行。”

達州商行正在就技術人員培訓等方面的合作與東軟進行溝通，希望對方能夠提供信息安全技術和策略方面的培訓，并且“在網(wǎng)絡環(huán)境發(fā)生變化，網(wǎng)絡技術不斷提升的過程中提供相關信息，使達州商行的IT系統(tǒng)管理人員增強鑒別能力，不再盲從”，將達州商行的IT系統(tǒng)管理員也培養(yǎng)成網(wǎng)絡安全專家。