中国金融机构信息化建设近年来进一步取得显著进展,它对银行的改革与创新、提高金融服务质量和防范与化解金融风险作出了基础性贡献。但是,中国的银行信息化进程出现一些值得关注的问题,这些问题直接影响到信息化的成败,需引起我们高度重视。
信息安全监管职责需分工明确
当前,各家银行网上银行、移动银行、电话银行等新型银行服务发展迅速,第三方中介支付清算服务机构等增长很快。这些服务都直接涉及到银行庞大复杂的计算机应用系统的可用性和安全性,与此相关的监管工作主要包括:支撑相关银行业务的信息系统可用性、安全性的审查把关以及合规管理。
一段时间以来,社会有关方面对国内银行业的信息安全(包括金融信息系统的安全运营)到底是由何部门牵头监管不明确的问题反映较多。有关方面虽已十分重视此问题,但还需尽快协调解决。
数据处理集中后的技术风险防范
去一年中,个别金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,产生了很大的社会影响,引起各方面的高度关注,其教训必须引起我们的高度重视。
这种现象的背后,是金融机构实现集中的计算机数据处理后带来的银行技术风险高度集中的新问题。由于我们完成数据处理集中的时间还不长,全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务连续管理还缺乏足够的经验,系统监控、分析、故障诊断等自动化程度还不高,应对突发事件和系统风险的能力还不强;对电力、通信等外部基础设施的依赖程度很高,抗风险的能力差;关键性技术、产品和服务由少数国外厂商垄断等。
银行全国数据处理中心的安全运营直接关系到该银行的正常运行,直接关系到经济、社会的稳定。目前,人民银行和四大国家商业银行等绝大多数银行的数据中心和灾备中心都集中选址在北京和上海。从各家银行的角度看皆符合相关规范要求,但从国家宏观的、战略的、长远的角度看,其隐含的安全问题不容忽视。高度集中于北京、上海等大城市,不利于抵御地震、海啸等重大自然灾害,不利于防范未来可能发生的战争、恐怖袭击等重大突发事件造成的风险。
建议国家和金融业进一步将金融信息安全保障工作列入重要议事日程,切实采取措施予以保证。国家应给予优惠政策,支持银行金融机构落实关键的信息安全措施,包括引导和支持在西部经济相对较发达地区建立金融灾备中心,合理建设金融同城数据中心和异地灾难备份中心等。应在加强监管、督促银行落实防范信息技术风险的同时,积极支持适宜的社会力量参与,充分调动其积极性,进一步按照市经济规律,提高金融信息安全保障工作的效率和质量,降低建设与运营的成本。
关键设备国产化率低
目前,国内银行信息化所用的大型主机、高端服务器(小型机)、高端网络设备、存储设备以及系统软件、相关技术服务等,基本上依靠国外,仅在PC服务器、低端网络设备及部分技术服务方面使用国内产品。同时,在银行通信网络建设中,大量使用了国外某公司的产品,而该公司在其产品中大量使用自己的私有通信协议,造成较大的安全隐患和事实上的垄断,也不利于网络设备的国产化。
建议国家进一步重视相关信息产业的发展,切实提高信息技术关键产品,包括高端服务器(小型机)和高端网络通讯产品的研发与生产能力。研究成立相关国产设备孵化应用示范基地和相关工程研究中心的必要性和可行性,积极推动中国银行业信息化从设备到系统解决方案的国产化进程。
网上金融服务的技术风险防范
■网上银行的信息安全问题
网上银行是互联网在银行业务上的重要应用,是当今金融创新重要的内容,也是银行业竞争的主要服务领域之一。过去一段时间国内出现的网上银行的欺诈、盗窃资金等犯罪案件,应引起我们的高度重视。
