中国金融机构信息化建设近年来进一步取得显著进展,它对银行的改革与创新、提高金融服务质量和防范与化解金融风险作出了基础性贡献。但是,中国的银行信息化进程出现一些值得关注的问题,这些问题直接影响到信息化的成败,需引起我们高度重视。
信息安全监管职责需分工明确
当前,各家银行网上银行、移动银行、电话银行等新型银行服务发展迅速,第三方中介支付清算服务机构等增长很快。这些服务都直接涉及到银行庞大复杂的计算机应用系统的可用性和安全性,与此相关的监管工作主要包括:支撑相关银行业务的信息系统可用性、安全性的审查把关以及合规管理。
一段时间以来,社会有关方面对国内银行业的信息安全(包括金融信息系统的安全运营)到底是由何部门牵头监管不明确的问题反映较多。有关方面虽已十分重视此问题,但还需尽快协调解决。
数据处理集中后的技术风险防范
去一年中,个别金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,产生了很大的社会影响,引起各方面的高度关注,其教训必须引起我们的高度重视。
这种现象的背后,是金融机构实现集中的计算机数据处理后带来的银行技术风险高度集中的新问题。由于我们完成数据处理集中的时间还不长,全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务连续管理还缺乏足够的经验,系统监控、分析、故障诊断等自动化程度还不高,应对突发事件和系统风险的能力还不强;对电力、通信等外部基础设施的依赖程度很高,抗风险的能力差;关键性技术、产品和服务由少数国外厂商垄断等。
银行全国数据处理中心的安全运营直接关系到该银行的正常运行,直接关系到经济、社会的稳定。目前,人民银行和四大国家商业银行等绝大多数银行的数据中心和灾备中心都集中选址在北京和上海。从各家银行的角度看皆符合相关规范要求,但从国家宏观的、战略的、长远的角度看,其隐含的安全问题不容忽视。高度集中于北京、上海等大城市,不利于抵御地震、海啸等重大自然灾害,不利于防范未来可能发生的战争、恐怖袭击等重大突发事件造成的风险。
建议国家和金融业进一步将金融信息安全保障工作列入重要议事日程,切实采取措施予以保证。国家应给予优惠政策,支持银行金融机构落实关键的信息安全措施,包括引导和支持在西部经济相对较发达地区建立金融灾备中心,合理建设金融同城数据中心和异地灾难备份中心等。应在加强监管、督促银行落实防范信息技术风险的同时,积极支持适宜的社会力量参与,充分调动其积极性,进一步按照市经济规律,提高金融信息安全保障工作的效率和质量,降低建设与运营的成本。
关键设备国产化率低
目前,国内银行信息化所用的大型主机、高端服务器(小型机)、高端网络设备、存储设备以及系统软件、相关技术服务等,基本上依靠国外,仅在PC服务器、低端网络设备及部分技术服务方面使用国内产品。同时,在银行通信网络建设中,大量使用了国外某公司的产品,而该公司在其产品中大量使用自己的私有通信协议,造成较大的安全隐患和事实上的垄断,也不利于网络设备的国产化。
建议国家进一步重视相关信息产业的发展,切实提高信息技术关键产品,包括高端服务器(小型机)和高端网络通讯产品的研发与生产能力。研究成立相关国产设备孵化应用示范基地和相关工程研究中心的必要性和可行性,积极推动中国银行业信息化从设备到系统解决方案的国产化进程。
网上金融服务的技术风险防范
- 网上银行的信息安全问题
网上银行是互联网在银行业务上的重要应用,是当今金融创新重要的内容,也是银行业竞争的主要服务领域之一。过去一段时间国内出现的网上银行的欺诈、盗窃资金等犯罪案件,应引起我们的高度重视。
网上银行使银行的核心业务系统不可避免地与为客户服务的互联网连接在一起,在给客户提供空前方便、快捷的金融服务的同时,也产生了新的技术风险和金融风险。互联网上新的、多元化的安全威胁手段与途径不断出现,还没有有效的技术手段事前防范病毒、黑客、自助设备作案等的发生。网上银行的安全性成了决定成败的关键。
我们应充分认识到:高度方便、快捷的互联网应用与信息的安全性、隐私性永远是一对矛盾,不能幻想“一劳永逸”地彻底解决。全世界的银行业都面临这个难题。从1995年网上银行诞生以来,美国等发达国家的主要商业银行都一直在致力于解决网上银行的信息安全问题。中国的银行金融机构在这方面作了大量的、有特色的工作,包括数字证书、USBKey(优盾)等的应用,构建了网上银行的安全保障平台,促进了国内网上银行的迅速发展。如何在网上银行如此众多的客户中,采取更加有效、方便、经济合理的信息安全防范手段,将是中国银行金融机构长期面临的管理、技术挑战,绝不可掉以轻心。
- 移动(手机)银行的信息安全问题
手机通信是中国发展最快的通讯领域,目前用户已达5亿以上,超过了固定电话的装机数。手机通信无可替代的方便性,使之不可避免地将迅速应用于金融服务。手机银行正在成为银行金融服务创新的重要产品之一,这也是中国银行业赶超世界发达国家先进银行服务的一个很有希望的领域。
通过手机银行,可实现在手机上的账户查询、转账、汇款、缴费、外汇买卖、银证转账、信用卡等业务,其发展前途取决于两大因素:一是移动通信的资费及相关手机价格的市场接受性;二是其业务的安全性,包括手机银行的资金安全性、数据传送的完整性、客户个人信息、银行账户等私密资料在传输时的不可泄露性、以及手机丢失后相关资料的不可窃取性等。
国内很多商业银行正积极开拓手机银行业务,采取全系统全程端到端数据加密等方式确保其信息安全性。应看到,这是一个新兴的领域,与网上银行一样,面临着应用的方便性与安全性相矛盾的难题。
在此进程中,建议进一步加强互联网和移动通信安全理论方法的研究与创新,并以此为基础,研究与开发适应我国国情的安全技术与产品、制定相关的技术标准与规范、提出适应包括跨行业务在内的系统安全技术解决方案,处理好相关各参与方的责权利问题。
外包机制的风险控制
探索与实施信息化建设与运行维护向国内外相关IT企业开放外包服务,是中国银行业重视信息化建设的效率与质量、强化建设与管理机制改革的重要内容之一,也标志着信息化建设进入新的发展阶段。
国内的一些银行金融机构在这方面已做了大量工作,加快了创新业务的发展,学习与借鉴了国内外的好经验,节省了成本,提高了维护、管理水平等。与之同时,我们也应看到存在的问题与风险。
首先是这方面的监管法律法规不健全,相关的金融信息安全的监管要求缺位,如银行何种业务可以外包、何种业务不可外包、何种业务不可外包给国外厂商,以及何种业务经过批准可以外包等,都缺乏清晰、明确的规定。再如,银行的数据处理中心可否外包给外资企业、可否放置境外等,也都缺乏明确的、严谨的法律、监管规定。对此,日本、韩国等都明确规定,其银行的数据处理中心不能放置境外。
同时,银行的信息化建设或运维管理外包后,如何切实依法加强对承包商的协调与管理也存在不少问题。如何切实保证IT系统的可用性和安全性,如何切实保证银行核心数据和敏感资料的安全和保密等。建议国家和相关监管部门高度关注,从建立和完善相关法律、法规入手,一方面积极支持银行这方面的改革,按市场经济规律办事;一方面切实加强监管,防范产生新的风险。
支撑服务产业化程度低
当前,我国各家银行的核心业务系统及几乎所有服务产品的信息系统,都是各家银行自行组织单独设计、开发的,个别银行整体引进了如信用卡等产品的国外系统,每家银行的信息系统尤其是应用软件系统等都是定制的、非商品化的。这种情况甚至扩展到国内的城市商业银行和农村信用社,必然造成信息化建设投入高,开发周期长,运行维护难等问题。即便全国性大银行还能承受,规模较小的城市商业银行和农村信用社等中小金融机构也难以承受,而且这对其也十分不合理。
与之同时,长期提供定制的技术支持与服务,也导致国内外的IT厂商报怨产业化程度低、效率低,难以在国内形成产业化规模,难以提高服务水平、降低成本。这严重不利于我国银行信息化的发展与进步。
造成上述问题的原因是多方面的,是国内未实现工业化、现在又面临信息化历史重任不适应的现象之一。银行信息化的实践教育我们,重要原因之一是金融标准化工作不适应业务及信息化发展要求:各家银行的业务规范、管理规范都不一致,包括金融业务的基础数据元、管理工作的基础数据元等都没有规范化、标准化。相关的业务管理流程等更不规范。在此基础上只有各行自己单独设计开发应用系统,而无法采用商品化、成熟的应用系统经过客户化形成自己的系统。
因此,建议相关金融监管部门高度重视金融标准化等基础性工作,切实加强领导,组织力量认真总结信息化的经验与教训,协同攻关,高瞻远瞩地解决好这些影响深远和整体效益的基础性问题,会有效地促进中国金融信息服务产业的发展。
各商业银行基本完成了数据全国集中处理(称为数据大集中),进一步建设完善了新一代核心业务应用处理系统。银行金融服务创新加快,服务水平进一步提高。重要的标志是银行卡的应用和网上金融服务的迅速发展。
截至2007年6月,中国银行卡发卡总量已达12.9亿张,人民币“银联”标识卡在国外26个国家和地区已开通使用。
2007年上半年,全国使用银行卡办理支付业务61.7亿笔,同比增加28.4%;金额50万亿元,同比增加73%。
自助提款机(ATM)已达10.7万台,同比增加19%;销售终端(POS)已达98.5万台,同比增加42.3%。特约商户达61.7万户,同比增加38%。
国内各家商业银行目前均建立了网上银行、电话银行、企业银行、自助银行、移动(手机)银行等多种先进、方便的新型服务手段,形成功能较完善的电子银行服务体系,向客户提供网上支付、转账、贷款、代收代缴多种公用事业费用、个人理财、代购保险、债券买卖、代理股票、基金买卖等一揽子金融服务。
2006年6月26日,小额支付系统推广应用到全国,标志中国现代化支付清算系统已基本建成,国内银行间的支付清算能力接近世界先进水平,极大地提升了中央银行的金融服务能力。全年小额支付系统处理异地业务741.7万包,1355.9万笔,金额3132.3亿元;处理同城业务376.8万包,1980.5万笔,金额18419.8亿元。
2006年12月18日,全国支票影像交换系统在北京、天津、上海、广东、河北和深圳等六省市成功试点,现已推广到全国,实现了支票的全国通用。
2006年2月15日,国库信息处理系统在部分地区开始试点,11月底扩大到8个省市,联网银行34家,联网税务部门包括湖南省国税局和8省市的地税局,联网国库机构207个。该系统截至2007年11月26日,已推广到18省市,解决了国库、财政、税务、银行相关数据不能联网处理的问题,有效地改善对纳税人的服务和税款准确、及时征收入库的效率。全国采用新模式缴税的纳税人超过900万户。
中国人民银行改进和完善了企业信用信息基础数据库,顺利实现与所有中、外资商业银行和有条件的农村信用社的全国联网。2006年1月16日,全国个人信用信息基础数据库正式投入运行。
到2006年底,企业征信系统共收录496.6万户借款人的信息,比年初增加42.6万户。开通查询网点6.5万个,开立用户12.8万个,全年日均查询量达6.8万次。
个人征信系统收录了5.36亿自然人的相关信息,比年初增加了3.06亿人。其中有贷款或信用卡记录的达到6672万人,比年初增加了3272万人。收录贷款和信用卡账户1.03亿个。联网的金融机构达307家。全年查询量4091万笔,日均16.4万笔。为提高银行金融机构的信贷服务水平,防范金融风险作出了基础性贡献。
反洗钱系统建设稳步推进。反洗钱工作是人民银行职能调整后的新职责,在制定和完善反洗钱法规,建立国家反洗钱的协调机制的基础上,开发建立了大额异常支付监测系统。该系统初步实现了对本币大额和可疑支付交易的监测,发现、协查、破获了一批洗钱案件。目前反洗钱系统根据反洗钱工作发展需要,进一步扩大系统监测范围、完善系统功能以实现对本外币统一监测分析。
银行业信息安全应急协调机制初步建立,信息安全工作进一步加强。在部分银行建成全国数据灾备中心的基础上,相当一部分银行已启动了应急灾难备份中心的建设。基础安全设施建设加快。切实加强了信息安全教育培训与相关人才培养的工作。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
勒索软件给事件响应带来压力
研究表明,随着网络罪犯将注意力转向勒索软件攻击,2017年泄露数据记录数量下降近25%。 根据2018年IBM […]
-
企业有望通过安全分析来应对网络威胁
几十年以来,安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产,同时,随着企业越来越依靠技 […]
-
云栖大会前夕:阿里云安全来了场神秘发布
国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……
-
当安全团队在寻求解决方案的时候,他们在寻找什么?
如果你问一些安全购买者在找什么样的方案或产品,其中的多数可能会说还没有找到正在找的东西……