金融业信息安全的竞争与策略

金融业信息安全的竞争与策略

近年来，随着经济全球化不断扩展，金融创新的广度和深度不断扩展，我国的金融业信息化工作得到快速发展，规范、方便、高效、安全的金融业信息化服务体系初步建成。与此同时，金融业对信息技术的依赖程度越来越大，金融业信息安全保障难度持续加大，给我国金融业信息安全带来新的更大的挑战。如何应对，要求我们必须高度重视。

一、面临的挑战

目前，金融业的业务开展更加依赖于信息技术的应用，特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而，信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势，围绕信息网络空间的斗争日趋尖锐，境内外网络违法犯罪活动呈快速递增趋势，恶意代码和网络攻击呈多样化局面，金融业信息系统安全运行的难度加大，挑战增多。

一是人民银行的业务指导、监督管理滞后于金融业信息化发展。

与金融业信息化的高速发展相比，金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出，在金融信息化、网络化时代，“信息资产风险监管是现代金融

监管体系的核心理念。”信息资产风险指在信息化中，信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责，在2008奥运年中发挥了重要、积极的作用。但总体来看，人民银行及其分支行对金融机构信息安全工作的指导和监管，还处于初级阶段，由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识，以及缺乏监督管理的依据和标准，从而导致监管措施不到位，监管手段缺失，致使基层行监管缺乏主动性。

二是核心设备和技术依赖于国外，底层技术难以掌握，存在安全隐患。

目前，我国金融业信息系统和网络中，大量使用国外厂商生产的设备，这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利，我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查，一些重要网络系统中使用的信息技术产品，都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留，也可能是无意疏忽造成的。特殊情况下，特定安全漏洞可能被利用实施人侵，修改或破坏设备程序，或从设备中窃取机密数据和信息。前

一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”，已经为我们敲响了警钟。

三是境内外网络违法犯罪活动呈快速递增趋势，新技术的应用使我们面临更大的挑战。

金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击，整体信息安全形势严峻。2009年国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人，其中银行、金融和证券机构是攻击重点。

2005年6月18日，被称为有史以来最严重的信息安全案件在美国爆发，万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人，导致4000万个账户信息被黑客截获，使客户资金处于十分危险的状态。

由此可见，基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。

四是数据大集中的同时，也使技术风险相对集中。

伴随着数据大集中的实现，风险也相对集中.一旦数据中心发生灾难，将导致金融业的所有分支机构、营业网点和全部的业务处理停顿，或造成客户重要数据的丢失，其后果不堪设想。

近年来，国内外金融机构因为信息技术系统故障导致大

面积、较长时问业务中断的事件时有发生。2006年，日本花旗银行出现交易系统故障，5天内约27．5万笔公用事业缴费遭重复扣划或交易后未作月结记录，造成该行的重大声誉损失。

信息系统潜在的风险已引起金融业的高度重视，如何保障后数据大集中时代金融业信息系统安全稳定运行，是需要整个金融业深入研究的课题。

五是我国金融业的灾难处理能力有待加强。

据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示，仅有3家建立了同城和异地灾备中心，9家建立了同城灾备中心，6家建立了异地灾备中心，尚有3家没有建立灾备中心。返观国外同业．多数国外银行已经做到了分行一级的灾难备份与恢复。这表明，我国金融业灾备中心建设同国外相比存在较大差距。

此外，国内金融机构的现有灾难备份中心布局不合理，过度集中在北京、上海两地，一旦发生区域性重大灾难，将对我国金融业整体运行状况带来极大危害，并造成过高的重建成本。

二、应对措施

按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案)规定，人民银行的主要职责之一是组织制定金融业信息化发展规划，负

责金融标准化的组织管理协调工作，指导金融业信息安全工作。

在新形势下如何指导和协调金融业信息化建设和信息安全，是人民银行尤其是人民银行分支机构需要认真思考的问题。

金融业信息系统的安全是防范和化解金融风险的重要组成部分，要依靠法律、管理机制、技术保障等多方面相互配合，形成一个完整的安全保障体系。

一是加强金融服务指导和行业监管。

应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制，强化信息安全手段和队伍建设，加强信息安全检测和准人制度，实施信息安全等级保护，建立信息资产风险评估体系，提高信息安全水平，保证金融稳定和经济发展。

人民银行分支机构应加强对中小金融机构的服务指导，尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导，帮助中小金融机构借鉴成功经验，规避风险，实现跨越式发展。

各级人民银行，应牵头成立金融业信息安全领导小组，并建立和完善信息安全通报制度、报告制度和联席会议制度，建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制，随时处置和协调金融机构安全事件，以迅速应对