銀行業信息科技風險動態監測平臺的研究與實踐＊

劉 劍， 葛 鋆

(1西南石油大學經濟管理學院，四川成都610500；2四川無聲信息技術有限公司，四川 成都610081；3達州市商業銀行，四川達州635000)

0 引言

隨著信息科技的快速發展，銀行的日常運營全面實現了電子化，同時也使銀行未來的業務方向、戰略轉型、風險管控等都與IT科技的支撐密不可分，因而包括業務連續性和信息安全在內的信息科技風險也愈益突出，這不僅對銀行的信息科技風險管理提出了更高的要求，銀行監管機構的監管工作難度也增加了。因此，建設統一的信息安全監控平臺，對銀行網絡和系統實施有效的監控和預警，可以及時發現和處置網絡攻擊，防止高危漏洞的傳播，防止重大信息安全事件的爆發。

從銀行內部監管來看，隨著IT技術的發展和應用，銀行業機構呈現信息技術架構龐大、設施復雜、涉及信息資產內容繁多等特點，典型的銀行科技架構包括了應用系統、數據庫、操作系統、中間件和網絡等技術方面的內容以及運維、制度等管理方面的內容，而任何技術和管理漏洞在面臨外部不可抗力因素(威脅)時都可能會導致信息安全事件，影響到銀行的正常運行。從銀行的外部監管來看，信息科技的保密性、可用性和完整性直接關系銀行的安全穩健運行，而中小銀行非駐場集中式外包還可能引發系統性風險，小則導致單個銀行無法正常運轉，大則危及區域金融經濟的穩定。

在這樣的背景下，2006年中國銀監會頒布了《銀行業信……