金融安全战略重于技术

申请免费试用、咨询电话：400-8352-114

在安全方面，金融服务业要比其他行业做得更好，值得我们学习。

长期以来，金融业被普遍认为在信息安全实践方面要优于其他行业，其中很大一部分原因在于这些企业的资产直接就是金钱，而且，这些企业的业务基本上全是建立在IT系统之上的。

调查结果可以证明：从事金钱业务的行业比其他行业要更安全和更具战略性，甚至更加自信。另外金融企业的规模通常很大，大型企业一般都有更充裕的资源用于信息安全。

选择金融业作为最佳实践的对象还出于其他方面的考虑。首先，在这种行业里，一次业务往来中通过IT网络周转的现金流数目可能极为巨大；其次，金融业已经在很多业务上应用了风险模型、投资回报和其他战略分析工具，这些工具也逐渐开始应用到了信息安全上；最后，金融业知道法规的重要性并且很早就开始按照这些规范的要求去做了。在信息安全方面，金融业是其他行业追赶的目标，而且两者之间的差距是很明显的。从预算说起，金融业用于安全方面的预算会更多，但如果说到全部的IT预算，则未必比其他行业多，结果是金融业能做到比一般企业更安全，其优越性体现在预算的有效利用上，这些资金更多地是花费在战略规划上而不是技术上。一个简单的例子就是采用网络防火墙。在所有调查者中，它在下一年最重要的战略优先级中位列第五，而在金融业中，它连前十位都排不到。数据备份也是一样，在所有调查者中它位列第三，但在金融业中不会排在这么前面。当然这些金融业也配备了这些重要的技术，可是优先级与其他企业不同，也许他们是这么理解的：更多的技术并不一定代表更高的安全性。金融业比较重视在身份管理技术上的投资，考虑到身份盗窃事件频频发生，这就不奇怪了。

另一方面，“法规遵从度测试”出现在金融行业的下一年高优先级工作计划列表上的可能性也远比一般企业要高。人们应该预见到，将来有一天这也会成为其他企业的一项工作内容。

金融企业确实比其他行业更喜欢使用投资回报率和对商业目标的贡献来作为衡量安全投资的标准，但同时他们也会更注重考虑法律和规范要求、责任以及对盈收的影响等多方因素。有趣的是，所有金融业受调查者中，有半数表示“一般行业实践”也是影响安全投资的因素之一，这指的是同一行业的企业之间某种程度上的信息共享，或至少是一种相互学习的企业文化，这样有助于安全执行人员从其他同行那里获取好的安全实践经验。

也有一个领域金融业并不比其他行业做得更好，这就是与物理安全的集成。考虑到现在利用物理安全的弱点（或利用信息安全和物理安全的分离）来盗取个人信息记录的事件频繁发生，在这个领域，比较今年和明年的调查数据结果将会是很重要的。 (ccw)