银行业信息化风险管理亟待加强，各项规范相继出台

　　随着中国经济的进一步市场化、全球化，国内各家银行所处的环境日益复杂，任何一个因素的变化，都会引起经营的不确定性，从而产生风险。即使在金融市场高度发达的西方经济体中，金融机构风险管理与内部控制依然是一个重要课题。中国银行业要参与全球市场竞争，在日渐成形的全球金融新秩序中发挥其自身优势，必须拥有与其他国际性银行接轨的内部控制与风险管理体系。而其中，对银行业信息化的风险管理越来越引起各方的关注。

　　究其根源，是因为随着银行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱。但是计算机及网络技术的应用是一把双刃剑，既为银行业的发展提供了广阔的空间和手段，同时其自身的脆弱性以及面临的各种威胁也形成了现代金融风险。可见，信息安全成为防范和化解金融风险的重要组成部分，是金融企业安全运转乃至整个社会稳定的根本。因此，做好计算机安全管理工作，防范化解金融电子化风险是一项紧迫、艰巨、复杂和长期的任务。

　　风险管理与内部控制成为银行业普遍面临的重要课题，加强银行业管理体系规范化成为行业共识，一些针对银行机构内部控制与风险管理的监管制度也应运而生。2008年，财政部联合证监会、审计署、银监会、保监会等五部委共同发布了《企业内部控制基本规范》，该规范将内部控制五要素分别确定为内部环境、风险评估、控制活动、信息与沟通和内部监督；当前，国内监管机构正在积极推进中国银行机构的《新巴塞尔协议》合规工作，在内容上《新巴塞尔协议》侧重银行机构的风险管理，同时它也是一份银行机构内部控制的规范文件；在国外，美国也推出了萨班斯（Sarbanes Oxley）法案，法案要求建立严肃的、完备的企业内控体系，而保护组织记录、信息系统的安全审计则成为内控体系的重中之重。

　　同时，针对信息科技的风险，中国银监会今年年初颁布了《商业银行信息科技风险管理指引》，对我国银行业信息科技风险管理产生了积极作用。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。它的编写借鉴了Cobit、ISO27000、ITIL、CMM、BCP等国内外的最佳实践，为商业银行的信息科技风险管理指明了方向。同时，“指引”从商业银行信息科技相关的每一个主要部门的角度出发，分别提出具体的监管要求，从而使得本指引具备非常强的可操作性。

　　以“人”为本，DCLive与银行业规范化法案交相辉映

　　那么如何有效的管理和控制银行业信息化风险呢？一些专家的观点认为，IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。在国内知名的IT设施运营管理解决方案提供商德讯（DATCENT）公司眼里，内部人员的风险才是银行业信息化系统中潜伏最深、危害最大、后果最严重的风险，而在运维过程中“人”的风险一定是IT风险中极其重要的环节。

　　对于银行业的数据中心来说，机房规模的扩大、系统的增加，都意味着运维人员数量的增加，权限的增加，这又导致管理的复杂度和运维过程风险也在级数的增加。而当前市场上IT服务、安全管理产品都需要IT运维人员来使用，这些产品常常赋予IT运维人员特别的操作权限，却极少有全面的审计手段。因此若不能在制度上进行约束，仅靠IT运维人员自觉自愿的恪守职业道德，显然只能是美好愿望，有着极大的风险。因此，对IT运维人员的越权访问、权限滥用、误操作、盗用数据、撰改数据行为的防范，已经成了金融企业必须应对的重要问题。

　　银行业对风险管理与内部控制规范化的强烈需求，一方面有利于银行业自身的合理调整以顺应时代发展，另一方面也给熟悉银行业务、实力雄厚、积累丰富的IT厂商及其产品带来了发展机遇。德讯（DATCENT）公司的 “基于银行内运维控管与安全审计的DCLive风险控制管理”解决方案正是在这一契机中脱颖而出的。

　　德讯（DATCENT）公司自成立以来就一直专注于面向数据中心为用户提供IT设施运营管理解决方案及服务，一直是银行业的合作伙伴，对银行业的信息化建设有自己独特的理解。“DCLive风险控制管理系统”是德讯（DATCENT）在顺应银行业信息化改革发展过程中，按照银行业《企业内部控制基本规范》、萨班斯法案、《新巴塞尔协议》等法规要求，同时符合《商业银行信息科技风险管理指引》的规定，根据自己的经验积累规划、研发并应用发展起来的。

　　“DCLive风险控制管理系统”便是以银行内操作行为为对象，以风险控制为核心，通过平台化的管理思想，满足银行最新的业务支撑需求，控制风险，保障银行安全运行的最终目标。系统遵循了“以人为本”的原则，着眼于研究人的行为、规范人的行为、防范人的行为，并对违规事件采取事前防范、事中实时控制并阻止、事后取证的措施来进行内部风险防控。基于ITIL的“DCLive风险控制管理系统”在银行内的应用，将极大地保障银行内容的运行风险，改进银行内部支持运作效率, 大大降低银行IT运营成本。

　　“DCLive风险控制管理”解决方案

　　德讯公司结合银行内部管理体系以及上述的建设需求，针对目前银行运维管理模式的改变，在充分调研的基础上，按照ITIL理论为标准构建了新一代IT运维管理系统——“基于银行内运维控管与安全审计的DCLive风险控制管理”解决方案。

　　该系统的组成包括了采用嵌入式系统结构的旁路阻断审计设备（即网络风险监控系统，ICA）和应用代理服务器（即网络运维安全网关，ICS）硬件设备，以及管理控制台（ICView）和数据库软件系统，具有软硬件一体化结构设计。作为网内运维审计系统，它还可以与德讯DCLive IT设施运营管理平台进行集成，集中审计的同时，与带外（KVM、串口）运维、电源、环境等管理内容形成数据中心运维管理的全面的风险控制解决方案，从而使得用户实现“一站式”的IT基础设施运营管理，更加便捷、安全。

　　本方案全面覆盖了银行内运维管理的各种途径，通过旁路方式对未经授权网络连接进行阻断，以实现对银行内所有运维过程的强制集中化管理；同时，还为银行运维管理提供一个集中访问的门户，提供对常规命令行（TE LNET、SSH）方式和远程图形化（RDP、VNC）方式运维的集中访问管理，对所有的运维活动进行全生命周期的审计和录像。同时具备强大的搜索功能，可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。

　　该方案为银行内的运维管理提供了完整的控管与安全审计，其采用了分层次和模块化体系架构，各层次和各模块之间采用统一的信息交换模式, 系统部署具有良好的可扩展性。功能模块可按IT运维部门人员组织机构划分不同的管理角色，不同的管理角色拥有不同的权限和不同的界面。各运维管理采用统一的数据库设计原则, 以保证信息的组织、存储的一致性和高效的管理调用。

　　“DCLive风险控制管理系统”可根据银行内部实际运行情况进行灵活部署，既可以进行集中部署，也可以进行分布式部署，下图为ICS和ICA设备联合部署模式， ICS设备采用集中式部署、ICA设备采用分布式部署的方式。
 

图：DCLive风险控制管理系统配置图

　　为银行业信息科技风险管理构筑三层防护林

　　部署了“DCLive风险控制管理系统”的银行数据中心，仿佛构筑了三道防护林。无论其数据中心规模有多么庞大、分支有多么繁多、系统有多么复杂，管理者或CIO仅需要坐在电脑前，便能轻松的抵挡一切风险的侵袭。

　　第一道防护林在于策略部分。他能对所有的本地或者远程用户进行集中管理和权限分配，并确保让所有的用户清楚其责任和角色。同时，他会协助管理者制定出有效的控制策略，即代理访问控制策略和阻断控制策略，能够终止非法、异常的用户活动，将风险远远阻在门外。

　　第二道防护林在于运维中的控制。系统拥有网络运维安全网关ICS和网络风险监控系统ICA，二者都能提供TCP阻断功能，对于非法网络连接可以根据阻断策略自动实施阻断操作。不同的是，ICS用于实现代理应用的集中管理，对用户和客户机进行合法性校验，只有符合策略要求的代理应用连接请求才能通过。而ICA主要用于网络侦听、TCP协议阻断和Telnet协议报文捕获，既可以与ICS进行联合部署，也可以部署在网内，通过旁路侦听的方式监控内网中的连接请求。这样一来，所有发生在网络中的异常、可疑现象均能被他发现并一一化解，对数据中心有效的进行了安全防护。

　　第三道防护林在于事后审计。对于发生的网络风险，系统可以对通过应用代理服务器访问的负载的操作信息进行如实全面的记录，并对所有通过基于Telnet、SSH、RDP、VNC等协议的访问操作进行全生命周期录像，可实现对历史操作过程的真实再现。这样，管理者便可以进行此类审计信息的查询检索，并对查询的结果进行回放，再现历史操作画面。在如此确凿的证据面前，威胁的制造者定会无所遁形。

　　总之，“DCLive风险控制管理”解决方案集中解决了银行业面临的数据中心IT设施运营管理过程中的风险管理与内部控制的问题，并在操作面、管理面都起到了积极的作用，是银行业信息化建设中不可多得的助手，值得广泛推广。