安全：金融信息化的命脉

　　安全性受质疑，金融信息化面临严峻挑战

　　金融信息化是一个热点话题，关系金融行业的稳定性和发展。所谓“金融信息化”，是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上，由具有统一技术标准，能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络，将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起，创造金融经营、管理、服务新模式的长期系统工程。

　　金融是现代经济的核心，金融信息化在国民经济信息化中的重要性不言而喻。与此同时，现代金融作为知识密集型产业，客观上要求以飞速发展的信息技术为支撑，不断推行金融创新，实现自身的信息化和知识化。“传统的商业银行是要在21世纪灭绝的一群恐龙。”这曾是比尔·盖茨的预言。然而，各种伸向网上银行的黑手，使得“恐龙”的灭绝似乎成为一个预想的神话。

　　当今世界经济全球化趋势日益明显，经济全球化，首先是信息全球化，随着人类社会进入信息时代，金融信息化进程加快，因特网在信息全球化中扮演着非常重要的角色。通信、计算机技术等高科技手段在银行业广泛运用，外资银行大举进入，网络银行迅速发展，给人们带来方便的同时，利用信息网络技术犯罪也在迅速增长。曾几何时，银行存折和信用卡明明在自己手里，银行支票和印章明明锁在保险柜里，计算机操作密码慎之又慎，账户上的存款却不翼而飞。据CERT统计，2002年中心接到的事件报告82094件，相比2001年度的52658件增加了36%。这些事件包括了电脑病毒、网络攻击以及利用电脑系统或应用软件进行的攻击事件。2005年12月，日本瑞穗证券公司误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”。东京股票交易所计算机系统对该公司取消下单的指令不能给予及时回应导致错误的订单全部成交，导致瑞穗证券损失超过400亿日元。2006年，花旗银行日本分行出现交易系统故障，5天内约27。5万笔公用事业缴费遭重复扣划，或者交易后未做相应记录，造成花旗银行在日本的重大声誉损失。金融业尤其是银行业，作为国民经济发展的核心与枢纽，涉及到社会生活的方方面面，它的信任临界点很高，一旦有相关案件发生，将引发信用危机，造成社会不稳定。

　　近年来，我国一些银行机构也相继出现过系统宕机和网络瘫痪，其中影响较大的是银联系统瘫痪事件。2006年4月，银联全国跨行交易系统瘫痪6小时，国内大部分商户的POS机无法刷卡，所有银行的ATM终端无法进行跨行操作，“停刷”阻断交易量246。6万笔，金额1287。7亿元，造成了重大的社会影响。中国金融认证中心CFCA发布的《2007年中国网上银行调查报告》显示，在2007年调查的10个经济发达城市中，使用网上银行服务的个人仅37。8%，安全性是导致大家不敢使用网上银行的主要原因。在那些没有使用网上银行的网民中，有71。7%的用户认为网上银行的安全性偏低。2008年春，中国银监会副主席郭利根在银行业信息科技风险奥运专项自查工作部署会上，通报了2007年以来银行业金融机构发生的信息科技风险事件：2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近四个小时，所有营网点无法正常开展业务。2007年8月15日，工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，在持续五个半小时之后，系统才逐步恢复正常。2008年1月7日，北京银行因主干专线的入户接入设备发生故障，造成在京的117家支行所属网点柜台交易缓慢，业务无法正常进行，故障持续一个多小时。

　　经过20多年的建设和发展，我国的金融系统信息化水平有了较大提高，呈现出经营集约化、数据集中化、用户个人化等三大趋势。

　　随着金融信息化的迅猛发展，我国的金融信息安全形势越来越严峻：

　　(1)金融信息化的加速和信息网络化的推进，使得金融行业在国民经济中的地位进一步得到提高。因此，其他行业对金融的依赖性也进一步加强，但是越来越多的信息电子化，使金融信息系统内部采集、存储、传输、处理的信息量越来越大，信息的重要程度也越来越高。而如何确保这些关系到国计民生的金融数据的安全采集、安全存储、安全传输和安全处理，是金融信息系统建设面临的重要挑战。

　　(2)随着金融网上业务的拓展，诸如信用卡号失窃、电子欺骗等金融犯罪活动将逐年增加。作为开展网上交易活动的基础设施——金融信息系统，应该具备对此类活动的事前监控预警、事中保护反击、事后审计分析的能力。

　　(3)金融信息化的加速，必然使金融信息系统与国内外公共互联网进行互联，那么，来自公共互联网的各类攻击、病毒及入侵将对金融信息系统的可用性带来巨大威胁和侵害。信用卡、网上支付经常出现的金融诈骗，严重威胁了银行资金安全和金融管理秩序。

　　(4)随着金融信息化的加速，使金融信息系统的规模逐步扩大，同时金融信息资产的数量也将急剧增加，如何对这些大量的信息资产进行有效的管理，使不同程度的信息资产都能得到不同级别的安全保护，是金融信息系统安全管理面临的巨大挑战。金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统，随着全球信息技术的快速发展，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构所面临的信息科技风险也随之增大。

　　安全是金融信息系统的生命。在金融信息系统日益发展，信息越来越向上集中，规模越来越大，金融业对它的依赖性不断增加的同时，金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败，所以，应把金融信息化系统的安全视同资金的安全一样作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题，它与我国的经济安全、社会安全和国家安全紧密相连，是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分，金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。

　　加快金融信息化安全保障体系的建设在经历了网络建设、数据大集中、网络安全基础设施建设等阶段后，如今，我国金融信息化已进入了体系化信息安全管理的阶段，亟待建立一套金融信息安全保障体系，有效地防范和化解安全风险，统一安全问题处理规范和流程，增强金融系的信息安全整体防范能力，以保证金融机构的信息系统平稳运行及各项业务的持续展开。

　　1。要进一步加强金融信息的保密工作。随着信息技术的迅猛发展与广泛应用，窃密手段更加隐蔽，泄密的隐患增多，泄密所造成的危害程度大，保密工作面临许多新情况新问题。金融行业具备特有的高保密性，对于各种涉及安全性信息的上传下达要求高，因此我们要：(1)树立正确的保密意识。通过对领导干部、涉密人员、保密干部的教育培训，通过广泛开展群众的保密法制宣教活动，使广大员工认识到，金融保密工作是关系到国家安全和利益的大事，彻底摒弃金融加入世贸组织“无密可保”、“有密难保”、“保密无用”的错误思想。(2)要抓好保密管理。金融系统要进一步建立健全保密管理的专门机构，配备专兼职人员，实施规范化管理，重点要加强定密管理、涉密人员的管理和要害部位的管理。(3)要抓好加密技术创新。我们要大力开发关键性技术，使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用，同时要把研究开发CPU和操作系统内核技术作为长期性策略，尽快开发我国自己的操作系统、密码专用芯片和安全器。要大力推行网络隔离技术，推广电子认证技术。

　　2。要建立和完善金融信息标准化体系。金融信息标准化体系是带动我国金融IT技术与应用发展的关键，是我国金融信息应用成熟发展的主要措施之一。我国在新世纪的金融信息化必须强调金融信息基础设施的建设，包括公共操作环境(COE)的建设，在此基础上建设我国统一的现代化的金融支付清算系统、银行卡系统、银行信誉系统、金融监管信息系统和金融信息系统安全系统等，从而实现金融IT资源的最大限度重复利用和共享信息，实现金融信息系统之间的互连、互通和互相操作及其基础上的安全性。

　　对于我国来说，目前要做的主要具体工作是：

　　(1)要完善金融信息化标准体系总体规划，确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等，全面规划银行通讯和网络技术设施建设，区分银行面向社会服务、银行内部服务和中国银行监管的工作，实现这些网络的业务分开，提出统一业务平台体系，提出银行信息认证技术框架和公共的必要设施。

　　(2)要建设我国自助的信息化标准体系，必须与国际接轨，同时我国金融信息化标准又必须维护国家主权和安全。考虑到我国的文化特色，必须自主独立地制定金融信息化应用平台标准和信息安全标准体系。

　　(3)要逐步建立我们金融行业系统的互操作性、安全性和应用平台的一致性及对技术应用成熟的评估。

　　(4)要加强我国金融信息基础设施公共环境的建设。金融信息基础设施公共环境是金融信息系统应用于管理最重要的技术关系条件。公共操纵环境建设不仅是一种标准结构，更是IT产业在互联网时代的新兴产业模式的样板。应该说它是应用化系统走向成熟的主流技术之一，也是我国信息管理的最重要的技术标准体系。

　　(5)要建立和应用信息安全标准体系。