银行业信息化的保证－安全管理（AMT 宋亮）

银行业信息化的保证－安全管理
AMT 宋亮

随着整个社会信息化程度的提高，随着银行的广大客户对银行金融服务水准要求的提高，作为国民经济重要组成部分的银行必将引领信息化时代的潮流，建设符合本行业，本领域特点的、可促进服务客户自动化、流程管理电子化，管理现代化的业务和办公网络，安全、可靠的网络在支撑和保障金融服务方面将发挥越来越重要的作用。

目前，利用电脑或其它高科技手段进行金融犯罪的案件频频发生，每年所造成的损失达数亿元人民币。利用计算机实施金融犯罪不仅在发达国家，而且在发展中国家也日渐成为一种严重的社会犯罪现象。

同时，近年来，国际金融界的许多大型银行因为内部风险管理失当而频频陷入经营的困境，尤其是信息技术和电子商务的发展，更是对银行风险管理提出了更新和更高的要求。由此，风险管理也正在成为当前我国银行业信息技术应用的前沿课题之一。

银行对技术性风险的控制和管理能力，在很大程度上取决于其信息技术的先进程度，以及所选择的开发商、供应商、咨询或评估公司的水平，而不像传统银行业务风险仅取决于银行自身的管理水平和内控能力。因此在银行业信息管理的安全方面有很多与传统的企业信息管理不同的地方。

银行业信息管理的风险和解决方案

银行计算机信息系统安全是一个涉及范围广、互连性强、动态性强的课题，而信息系统的实时性、不间断性、高可靠性、高可用性的要求使对计算机信息系统安全工作的要求更为苛刻。银行业信息管理的风险主要有以下几个方面：

1、基础设施

随着银行业务的发展，业务主机不可避免地需要和外部系统互联。比如为了实现跨系统银行间资金汇划的电子联行系统采用的天地对接基本上建立在电信局的公共通信网上，开放的网络环境和网络协议为系统互联提供了方便，但同时也降低了系统的安全性。正在蓬勃兴起的银行中间业务的发展更是促进了不同行业之间的网络连通。这就给银行的信息系统带来了潜在的被攻击的可能。目前，网络攻击的表现形式主要有两种：第一，人为入侵（包括内部和外部）；第二，病毒的网络渗透和传播。在这两种网络入侵中，有网络的连接是造成安全风险的重要源头，因此一定需要对不同安全级别的网络之间进行安全隔离。

信息化作为现代商业银行的生命线，这一点已经被达成共识。在银行信息化领域，数据大集中是最近数年以来最为火热的主题。但是，信息技术风险并不因数据集中而减小。相反，数据大集中对技术、业务和生产运营的统一规范管理提出了更多要求，对软件开发和系统运行的质量要求大大提高，对数据安全和灾备的保障要求更是刻不容缓。

操作系统的安全是银行信息系统安全的重要方面。为了更加有效地避免金融犯罪，杜绝银行内部人员作案，银行要求采用的操作系统具有相当高的抗攻击能力，有必要时需要采用B1级别的安全操作系统。

网上银行的兴起决定了在整个银行的安全体系的建设中，确立一个稳固的身份认证机制是根本的前提条件，防止网络欺诈行为和交易抵赖行为。而且，计算机通信网络作为银行业的重要基础设施，也受到各家银行的高度重视，我国的四大国有商业银行和交通银行、光大银行、中信实业银行、招商银行等商业银行，都已经相继建成了支持各家银行业务服务系统运行的内联网系统。中国人民银行出于货币政策、金融监管和金融信息服务的需要，也建立了与主要商业银行实现互联的内联网系统。2001年在继续进行配套完善的网络建设的同时，都在对子系统的安全可靠性进行强化，自动系统监控和网络的安全性，也在2001年进一步强化完善，为网络银行、电子商务网上支付的可靠运行，逐步创造条件。

为了解决银行信息系统安全的问题，银行业由于自身的需要，在网络通讯、应用系统等各方面，大量使用高安全性的加密设备，尤其是当需要在非银行控制的公网上传输机密信息时，必须采用有效的措施对网络上传输的数据进行加密处理。例如，防火墙设备、可信操作系统、数字签名和身份认证技术、各类信息的加密技术、支付密码等。同时国内的银行业也采用了一些业界领先的安全解决方案，如Computer Associates (CA)有限公司与公安部中国金辰技术实业公司于1998年共同出资成立的中外合资企业，冠群金辰公司的产品。冠群金辰公司的网络安全系列产品，是包括入侵检测、服务器核心防护、防火墙、虚拟专用网、邮件过滤网关、漏洞扫描与防病毒等在内的一整套企业级网络安全解决方案。而且采用了CA公司Unicenter TNG的无缝连接的最新技术。

2、信息管理体制

计算机信息系统的安全并不只是计算机本身的安全，而是信息系统的安全，是一个综合性的概念，一项系统工程。由于银行业已经实现了业务手段的电子化，电子化业务渗透了我行的各个角落，信息系统应用安全的外延大大扩大了，实现信息系统安全单靠技术部门显然不能发挥应有的作用。目前，国际上对银行业的信息安全标准规范问题十分重视，原有的标准规范也随着有关技术的进步而不断更新。国际标准化组织（ISO）、互联网工程技术组（IETF）、发达国家的国家标准组织（如美国商务部的国家技术标准研究所NIST等），都更新或提出了大量信息网络化系统安全保密的新版本、新标准。ISO有关银行业信息安全的标准已经发展到60多类，数百个文本。这些标准是银行业信息网络化新型业务信息安全的基础。我国许多银行也都开始了这方面的研究，并制定了一些相应的标准。

结论

现代金融业作为基于信息的、高度计算化的、分散的、相互依存的产业，信息系统已经被归结为银行的“核心资产”。基于高科技手段武装起来的信息系统给银行业带来先进生产力及低成本金融产品的同时，也带来了巨大的风险，建立银行信息安全体系是提高风险管理水平的根本保障。商业银行必须加强银行计算机信息系统安全工作的领导，完善组织管理体系，加强对广大员工的计算机信息系统安全教育，提高安全管理水平和事件处理能力；要加速计算机信息系统技术风险防范体系的建设，研究制订安全技术标准和技术规范，逐步建立银行信息系统安全应用平台，完成计算机病毒防范系统的建设，完成计算机安全系统漏洞扫描、入侵实时监测和报警系统的建设；要实现对系统资源、网络资源、设备性能、作业控制、故障对策和安全策略的自动化管理，增强银行计算机系统的稳定性，保证系统的不停顿运行；要加强网上银行、电子商务等新型银行业务安全机制的研究，建立完善的电子银行业务安全机制。这样才能真正为我国银行业的发展保驾护航。