我国银行信息化现状及问题

(四)、银行业信息的安全形势严峻
我国的金融信息化经过20多年的发展已初具规模。一方面，信息化已成为银行机构提高劳动生产率、促进金融业务创新和提高管理水平的主要推动力；另一方面，信息化程度越来越高也使得信息安全工作日渐成为金融机构的命脉。毫无疑问，信息安全已经成为目前我国银行信息化工作的核心问题之一，各家银行机构都在信息安全工作方面投入了大量的人力、财力和物力，并取得了不俗的成绩。据不完全统计，“九五”期间我国银行信息安全建设投资额为32亿元，占当
期信息化建设投资总额的7．1 6％。然而，我国的信息安全建设水平在{醍人程度上仍滞后于信息化建设水平，面临着许多问题。为了满足业务的进一步发展，提高行业竞争力，近几年来，我国各大银行纷纷从原有的数据分布式处理模式，
逐渐转向了数据大集中处理模式。随着这一进程的不断推进，数据集中为各金融机构带来的收益是巨大的，其优势不言而喻。同时，电子、通信及软件技术的发展，对以信息为主体的银行业的发展产生了巨大的冲击。在网络经济环境下，由于数据高度集中，银行在经营过程中除了面临传统金融业务所具有的风险外，各种风险也不断的凸显出来。近年来这些风险已在各银行的业务实践中不断的得到了验证，轻者降低了银行业务的服务水平，阻碍了业务的正常发展；严重的则导致了大范围、长时间的停业，使银行面临着更大的信用危机和恶劣的社会影响。
l、银行业信息化风险的特点
信息化服务产生的风险与其他领域的风险相比，具有其自身的特点。对于银行业而言，信息化风险具有金融数据、客户数据高度集中，服务对象构成多样性及物理分布广泛，风险发生时影响较大；风险出现有不稳定性；对风险的估计或防范手段不足等特点。因此，其信息化服务一旦中断，单纯用企业经济损失来度量是远远不够的：狭义的看，服务质量下降；广义上，对社会、国家的政治、经济安定都有直接的影响。另外，根据IDC的统计，企业中信息化相关服务的中断有78％以上是由于人为因素造成的，也就是说4／5以上的服务中断是日常的维护工作所造成的，例如：应用软件由于增加新功能所作的变更、硬件结构变化或升级；系统维护过程中不正确的判断或处理等。而这些负面后果，无一例外，都不是变更实施人所预期的(恶意破坏除外)。随着这几年金融业信息化大集中的进展，国内各银行信息化服务大范围中断的案例频繁发生，通过事后分析，生产数据缺乏备份机制、IT架构前期规划不合理等漏洞也是风险凸现的一个重要原因。信息系统安全、平稳、可靠的运行，是银行业系统安全的重要保障，软硬件的故障、基于信息技术带来的技术风险，不仅会带给银行直接的经济损失，还会影响银行形象以及客户对其的信任，引发一系列的法律风险、信誉风险等。
2、信息网络系统本身存在风险
目前，网上银行、手机银行、流动银行、在线支付等新业务已成为各个银行竞相开展的新业务领域。但是随之而来的利用手机短信和虚假网站等手段进行银行交易的诈骗事件也频频发生，引发了人们对银行业信息系统安全问题的普遍关注。从信息网络系统本身来看，其存在风险的主要原因有：
(1)TCP／IP协议本身有缺陷，而且网络上的协议大部分都是TCP／IP协议，有经验的黑客就会利用TCP／IP的缺陷攻击银行业的各种应用系统。网络经济条件下，银行进行网络金融交易必须依靠计算机，依靠Internet，所有的交易资料都存储在计算机上，通过互联网传递的信息很容易成为众多网络黑客的攻击目标。随着银行业信息化的发展，金融业务的增多以及金融终端向社会延伸，黑客攻击和网络金融发生技术性风险的可能性越来越大，危害越来越严重。
(2)银行业内部网上有些数据没有加密或只有简单加密，现有不少软件工具对此只能进行拦截和监听。而计算机病毒的入侵往往会造成网络主机系统崩溃，带来数据丢失等严重后果。计算机病毒普遍具有再生异化功能，可通过网络进行扩散、传播。如不能对病毒进行有效防范，将毁坏所有数据，给银行系统带来致命威胁。
(3)信息系统规划考虑不周，没有长远打算，服务类型、范围、权限、可扩展性等设置都不合理。我国目前银行信息化的整体结构不够完善且相当凌乱：银行与相关领域的信息系统互联、互通和互操作依然未能很好的解决，信息孤岛现象产重；银行业信息系统备份体制不完善，系统可靠性服务保障欠缺．业务连续性与应急措施不够，抗击灾害的能力有待加强。
(4)不同厂商不同产品集成时，安全问题会变得相当复杂，很容易出现联接或配置错误，导致出现未授权的非法访问。例如，在客户信息的传输中，如果使用的系统与客户终端的软件互不兼容，就可能导致传输中断或速度降低。甚至于银行选择何种金融解决方案，都会面临潜在的风险，一旦选择错误，可能造成巨大的技术机会损失，商业机会损失，使银行的竞争力处于劣势。
3、银行业信息风险防范缺乏多层次、多角度的考虑对于银行业而言，适应大集中的信息化架构势必非常庞大而复杂，从物理分布来看，涉及多机构、多层次的信息化设施；从技术方面考虑，综合了应用系统、操作系统、网络、数据库等多方面组成部分，而这些方面的任何一项缺陷，都会影响到整体信息化架构，需要
运作一个同样庞大而复杂的组织机构，如果因为人员分配、管理制度、作业流程等方面发生差错，同样会给整个信息化系统带来很大的风险。因此，如果要对风险进行有效的管理和防范，就技术而言，要对系统、网络、存储多方面提出安全防范方案并实施灾难备份方案；就整个企业而言，就要对所涉及的人力资源、规章制度、后勤保障等方面进行全方位多层次的妥善考虑，缺一不可。正如有名的木桶效应所形容的，各方面的风险正如木桶的每一个木条，即使大部分风险防范都做得很完美，而一个极小的不足(即最短的木条)，将直接导致信息化架构的
整体安全性能下降(原意为桶的容量)从银行业信息化起步的第一天起，安全就成为一个永恒的重要主题。当“0”和“l”成为货币的主要表现形式，当计算机存储系统内保管的虚拟财富超过了任何一家银行的实体金库，当数以亿计的资金
以信息流的形式跨越不同地区、不同国度甚至于不同半球高速流转时，银行业信息安全实际上已经成为银行业安全的核心部分，成为关系到银行业生死存亡的关键性问题，同时也是整个国家经济安全和国民经济的稳定运行的重要保证，切实加强银行业信息安全管理已成当务之急。