解决标准化问题是中国金融机构信息化的首要疑难

　　中国金融机构信息化建设近年来进一步取得显著进展，它对银行的改革与创新、提高金融服务质量和防范与化解金融风险作出了基础性贡献。但是，中国的银行信息化进程出现一些值得关注的问题，这些问题直接影响到信息化的成败，需引起我们高度重视。

 

 

　　中国的银行信息化进程中的信息安全监管职责分工、数据处理集中后的技术风险防范、关键设备国产化率低、网上金融服务的技术风险防范等问题要求银行信息化标准化。

 

 

　　信息安全监管职责需分工明确

 

 

　　当前，各家银行网上银行、移动银行、电话银行等新型银行服务发展迅速，第三方中介支付清算服务机构等增长很快。这些服务都直接涉及到银行庞大复杂的计算机应用系统的可用性和安全性，与此相关的监管工作主要包括：支撑相关银行业务的信息系统可用性、安全性的审查把关以及合规管理。

 

 

　　一段时间以来，社会有关方面对国内银行业的信息安全（包括金融信息系统的安全运营）到底是由何部门牵头监管不明确的问题反映较多。有关方面虽已十分重视此问题，但还需尽快协调解决。

 

 

　　数据处理集中后的技术风险防范

 

 

　　去一年中，个别金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断，产生了很大的社会影响，引起各方面的高度关注，其教训必须引起我们的高度重视。

 

 

　　这种现象的背后，是金融机构实现集中的计算机数据处理后带来的银行技术风险高度集中的新问题。由于我们完成数据处理集中的时间还不长，全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务连续管理还缺乏足够的经验，系统监控、分析、故障诊断等自动化程度还不高，应对突发事件和系统风险的能力还不强；对电力、通信等外部基础设施的依赖程度很高，抗风险的能力差；关键性技术、产品和服务由少数国外厂商垄断等。

 

 

　　银行全国数据处理中心的安全运营直接关系到该银行的正常运行，直接关系到经济、社会的稳定。目前，人民银行和四大国家商业银行等绝大多数银行的数据中心和灾备中心都集中选址在北京和上海。从各家银行的角度看皆符合相关规范要求，但从国家宏观的、战略的、长远的角度看，其隐含的安全问题不容忽视。高度集中于北京、上海等大城市，不利于抵御地震、海啸等重大自然灾害，不利于防范未来可能发生的战争、恐怖袭击等重大突发事件造成的风险。

 

 

　　建议国家和金融业进一步将金融信息安全保障工作列入重要议事日程，切实采取措施予以保证。国家应给予优惠政策，支持银行金融机构落实关键的信息安全措施，包括引导和支持在西部经济相对较发达地区建立金融灾备中心，合理建设金融同城数据中心和异地灾难备份中心等。应在加强监管、督促银行落实防范信息技术风险的同时，积极支持适宜的社会力量参与，充分调动其积极性，进一步按照市经济规律，提高金融信息安全保障工作的效率和质量，降低建设与运营的成本。

 

 

　　关键设备国产化率低

 

 

[page]　　目前，国内银行信息化所用的大型主机、高端服务器（小型机）、高端网络设备、存储设备以及系统软件、相关技术服务等，基本上依靠国外，仅在PC服务器、低端网络设备及部分技术服务方面使用国内产品。同时，在银行通信网络建设中，大量使用了国外某公司的产品，而该公司在其产品中大量使用自己的私有通信协议，造成较大的安全隐患和事实上的垄断，也不利于网络设备的国产化。

 

 

　　建议国家进一步重视相关信息产业的发展，切实提高信息技术关键产品，包括高端服务器（小型机）和高端网络通讯产品的研发与生产能力。研究成立相关国产设备孵化应用示范基地和相关工程研究中心的必要性和可行性，积极推动中国银行业信息化从设备到系统解决方案的国产化进程。

 

 

　　网上金融服务的技术风险防范

 

 

　　·网上银行的信息安全问题

 

 

　　网上银行是互联网在银行业务上的重要应用，是当今金融创新重要的内容，也是银行业竞争的主要服务领域之一。过去一段时间国内出现的网上银行的欺诈、盗窃资金等犯罪案件，应引起我们的高度重视。

 

 

　　网上银行使银行的核心业务系统不可避免地与为客户服务的互联网连接在一起，在给客户提供空前方便、快捷的金融服务的同时，也产生了新的技术风险和金融风险。互联网上新的、多元化的安全威胁手段与途径不断出现，还没有有效的技术手段事前防范病毒、黑客、自助设备作案等的发生。网上银行的安全性成了决定成败的关键。

 

 

　　我们应充分认识到：高度方便、快捷的互联网应用与信息的安全性、隐私性永远是一对矛盾，不能幻想“一劳永逸”地彻底解决。全世界的银行业都面临这个难题。从1995年网上银行诞生以来，美国等发达国家的主要商业银行都一直在致力于解决网上银行的信息安全问题。中国的银行金融机构在这方面作了大量的、有特色的工作，包括数字证书、USBKey（优盾）等的应用，构建了网上银行的安全保障平台，促进了国内网上银行的迅速发展。如何在网上银行如此众多的客户中，采取更加有效、方便、经济合理的信息安全防范手段，将是中国银行金融机构长期面临的管理、技术挑战，绝不可掉以轻心。

 

 

　　·移动（手机）银行的信息安全问题

 

 

　　手机通信是中国发展最快的通讯领域，目前用户已达5亿以上，超过了固定电话的装机数。手机通信无可替代的方便性，使之不可避免地将迅速应用于金融服务。手机银行正在成为银行金融服务创新的重要产品之一，这也是中国银行业赶超世界发达国家先进银行服务的一个很有希望的领域。

 

 

　　通过手机银行，可实现在手机上的账户查询、转账、汇款、缴费、外汇买卖、银证转账、信用卡等业务，其发展前途取决于两大因素：一是移动通信的资费及相关手机价格的市场接受性；二是其业务的安全性，包括手机银行的资金安全性、数据传送的完整性、客户个人信息、银行账户等私密资料在传输时的不可泄露性、以及手机丢失后相关资料的不可窃取性等。

 

 

　　国内很多商业银行正积极开拓手机银行业务，采取全系统全程端到端数据加密等方式确保其信息安全性。应看到，这是一个新兴的领域，与网上银行一样，面临着应用的方便性与安全性相矛盾的难题。

 

 

　　在此进程中，建议进一步加强互联网和移动通信安全理论方法的研究与创新，并以此为基础，研究与开发适应我国国情的安全技术与产品、制定相关的技术标准与规范、提出适应包括跨行业务在内的系统安全技术解决方案，处理好相关各参与方的责权利问题。