中国证监会信息中心杨淑琴信息安全的挑战

　　本文是中国证监会信息中心副主任杨淑琴在“2008年度中国金融科技发展论坛”的演讲整理而成。

　　由于次贷危机引发的全球金融风暴，风暴对证券公司和证券行业的影响是最直接的，最初出现的问题是从资本市场表现出来的。从2007年3月实际已经有了一些迹象，一直到2008年每个月都有展示，实际上市场的反应还是很敏感，股市从去年年底到今年年初已经有所迹象1、2月份开始从很高的指数往下掉。

　　风暴影响的非常大，全球整个股市也是变化很大。证券市场也是，从股权分置改革以来，经历了一次从900多点到6000点的过程，从去年下半年开始，随着对次贷预期的情况和其中各种各样的因素股市又从6000点下降到最低到1500多点，就像石油从140多一直降到50多。这次金融危机在国际投资银行已经都开始转成商业银行最受影响的是资本市场。由于它产品的管理等各方面因素，实际证券公司目前在舆论上也有很大的影响。从国际上角度看，大的投资银行都没有了，影响很大。

　　总体来看今年以来，除了市场的大起大落，还有年初冰雪灾害以及地震这些自然灾害对交易系统也是面临着考验。奥运会期间我们也与保险公司一样，也是处在应急处置的状态。到现在为止对未来的预期也不是十分明确，所以金融危机到底能持续多长时间，还有类似大飞小飞市场各种敏感因素的影响，今年市场是比较特殊的市场。

　　面对这样一个情况，对于信息技术来就有这样几个明显特征，要求它应急处置的能力非常强，因为它一旦出现问题，它的影响会特别大。比如说在指数大升大涨的情况下，出现过行情中断或者交易出现问题，决算出现问题等等情况，还有一点是峰值压力非常大，尤其是去年以来，市场从2千多点上升到6千多点，我们扩容的压力也非常大。作为峰值，我们必须保证它能够达到，同时还要预期未来可能是个什么样的状况，这是峰值的压力。

中国证监会信息中心副主任杨淑琴

　　IT到BT的过程信息技术和业务技术，越来越多的随着产品的创新和新的方法，比如最近做融资融券等等这些都和业务有直接的关联。一个最简单的例子，融券试点对于交易各个环节都带来很大的变化，这个变化给的时间又比较短，又处于市场比较敏感的时期。所以在IT、BT之间会有这样的变化，更多是技术和业务之间要协调发展。

　　运动化的东西和日常化的东西，比如说在敏感时期，特别是奥运时期可以不计成本的做一些特殊时期的处理，实际带有运动化的过程。之后应该总结这个经验把它变成日常化，这样才能保证比较有效、经济、有持续性。去年以来资本市场经历了比较特殊的变化，对于信息技术也有不同的要求和不同的特点，要去适应这些变化。

　　从期货来讲我们没有中央的登记决算，是分头决算。交易所和交易所之间实际有一条联线，在行情出现问题的时候两个交易所可以互通。正常情况下，每个证券公司和基金公司都围绕着一个交易所这样的网络。期货公司也是一样，是围绕着每个交易所，但是在三个期货交易所之间会有个备份系统，可以出现问题都可以利用。

　　证券公司是交易网络和重要的一个部分，这里举了一个简单的事例，对于证券公司会有很多的营业部，还会有网上交易的东西，就把交椅这一块，主要围绕着交易所，系统除了刚才说的交易系统之外，从交易这块可以看到他的交易系统，有经济业务子系统，投资银行子系统，另外也有自己一套管理系统，还有信息基础设施建设，这是最简单的案例。

　　从整体上来看我们的物理结构核心部分是交易所，逐步向外围扩散的全国网络体系。从数据流上来说，由委托来驱动，最终送到交易所的核心交易系统里来。在交易所后再返回到投资者。在国际市场上从整体的技术是比较高的，全部是无纸化的。另外是以交易所为核心集中的，特别是成立中央决算中心后，投资者的资料也是集中的。

　　信息化程度非常高，从交易、清算等一系列环节都是这样做的，同时即时性强，

　　另外核心处理能力比较强，我们交易系统尤其是证券交易系统在去年经历了历史上的峰值，也成功的走了过来。我们是转轨阶段的证券市场，发展的变化会非常多，要求发展的空间也比较大。我刚才想说一个问题，自从金融风暴以来，大家总是觉得证券公司风险非常大，尤其在美国，杠杆率用的非常高，品种也是不经过审批的。实际上在资本市场，这一点多年来都非常严格，整体来说我们产品非常规范化，基本上没有杠杆的空间。应该说产品还是不够丰富，并不像美国和欧洲产品过于丰富，尤其是美国，产品过于丰富，杠杆过于大。

　　无论是交易所、证券公司，风险意识和安全意识非常强。在核心交易和决算系统中，安全体系建设也比较完整，尤其是交易所管理比较严格。制度化建设和标准化建设，因为是以交易所为核心铺向全国的网络，从标准化的角度也比较好走。另外数据备份意识也比较强，尤其交易所备份方面做了很多努力，通讯部分也比较强。

　　所谓不足的地方，整体来说安全体系建设还不够平衡，有的建得比较好，有的还是有差距。还有在安全方面的投入，还是有一些不足。再有从组织建设和人员的情况下，完全的称职的安全管理人员比较缺乏。还有网络信息存在一定的隐患。

　　萨班斯法案，我们也在不同角度在学习和研究尤其从27001、ISO20000，萨班斯法案关于流的管理，都在做研究也有试点。解决这些问题也需要一定的时间，解决问题有一定难度，简单列了三点，一个由于市场化程度比较高，我们在安全管理的投入上，成本和效益上，比如与国有公司不完全一样，它要进行效益和收入得比较，有一定的局限性。还有安全的专业化和社会化服务，还有各方面的条件还有一定局限性。第二，对于相互的信赖机制和制约机制还不够健全。第三，国际级的安全标准使用性还有待于进一步提高。

　　从行业整体上来说，我们有行业整体目标，就是不断去推进实施，在做各方面的努力。还有关于推进行业安全基本原则，坚持积极防御，综合防范，坚持发展与安全并进，坚持防御与长效机制结合，坚持统筹结合。我们坚持六加二机制，交易所、登记决算公司作为核心，这是行业的特点，它们作为主体。所谓二是证券协会和期货协会，在行业中去督促期货公司、基金公司、证券投资咨询公司等，做出信息保障工作。还有证券会作为行业主体进一步推进信息安全的工作。最终基本要求是要做到，从安全问责、风险评估等等方面去做，还有建立健全危机处理机制、通报机制、打击信息犯罪。