2004年9月13日，第五屆中國金融信息化發(fā)展論壇在北京展覽館報(bào)告廳召開。以下為本次論壇實(shí)錄：

　　譚國安：各位領(lǐng)導(dǎo)、各位嘉賓，各位先生、女士們，第五屆中國金融信息化發(fā)展論壇第二部分的內(nèi)容今天上午正式開始，今天上午一共有六位嘉賓演講，他們是中國銀行信息科技部總經(jīng)理張建游先生，需要說明的是本來是中國銀行李早行副行長演講，他因有事出差

點(diǎn)點(diǎn)通個(gè)性天氣 讓眼鏡成為歷史 新浪彩信 幽雅個(gè)信 你的放心來自我的用心

外地，所以特地委托張總來代替。還有五位嘉賓分別是：中國銀行業(yè)監(jiān)督管理委員會(huì)信息中心主任佟建民、中國銀聯(lián)股份有限公司總裁萬建華、英特爾公司副總裁John E.Davies、sun公司大中國區(qū)金融行業(yè)總監(jiān)袁曉鋼、中國信息化推進(jìn)聯(lián)盟高級(jí)顧問黃守吉。我們的論壇同時(shí)也在網(wǎng)上直播，下面開始正式演講，第一位演講嘉賓是中國銀行信息科技部總經(jīng)理張建游先生，張總1978年進(jìn)入中國銀行，歷任中國深圳市銀行行長助理副行長，廣州省分行行長，深圳市分行行長，演講的題目是《重視金融信息安全，保持持續(xù)穩(wěn)定發(fā)展》。下面我們用熱烈的掌聲歡迎張總演講。

　　張建游：各位來賓、女士們、先生們，非常高興有機(jī)會(huì)跟大家就金融行業(yè)的信息化科技進(jìn)行廣泛的探討，金融信息化是一個(gè)熱點(diǎn)話題，關(guān)系金融行業(yè)的穩(wěn)定性和發(fā)展，今天我想就這個(gè)問題跟各位共同探討。我講四個(gè)部分，第一部分我國銀行業(yè)信息安全的新挑戰(zhàn)，隨著全球化和網(wǎng)絡(luò)化，世界全球內(nèi)的金融變革對(duì)我國的影響越來越大，銀行業(yè)遇到的挑戰(zhàn)越來越大，為了適應(yīng)這個(gè)挑戰(zhàn)，我國銀行業(yè)正在進(jìn)行大的重組和改革，這些變革包括建立良好的公司治理機(jī)制，調(diào)整發(fā)展戰(zhàn)略、組織架構(gòu)、經(jīng)營模式、業(yè)務(wù)流程重組等等，其中信息科技變革是一個(gè)重要的內(nèi)容，信息科技是發(fā)展的核心動(dòng)力核心使命是對(duì)金融資產(chǎn)進(jìn)行采集，處理、整合，分析，應(yīng)用并確保這些信息的安全，以保證銀行業(yè)務(wù)的可持續(xù)健康發(fā)展。因此保證金融信息的安全也是目前銀行業(yè)面臨的重要挑戰(zhàn)，為了適應(yīng)新的挑戰(zhàn)，變革對(duì)信息科技帶來的新的風(fēng)險(xiǎn)點(diǎn)也是銀行業(yè)正在認(rèn)真考慮，并在著手處理的問題。

　　第二，目前銀行業(yè)信息工作的進(jìn)展，銀行的信息安全以往是比較容易疏忽的問題，主要是回報(bào)不容易直觀計(jì)算，投資決策有一定難度，長期以來，銀行信息安全都存在的隱患，各種因?yàn)樾畔�安全問題導(dǎo)致的案件非常多，基于種種原因很少在媒體上宣揚(yáng)，大量所謂管理不善的金融案件甚至是上億元的案件很多都是金融信息安全管理出現(xiàn)了問題，比如密碼管理、權(quán)限劃分、軟件質(zhì)量等等問題，但我們也要看到和前些年信息分散、網(wǎng)絡(luò)安全薄弱，系統(tǒng)確保安全管理，應(yīng)用軟件安全幾乎無暇顧忌的情況相比，這些年來，我國銀行業(yè)的信息安全工作有了長足的發(fā)展。主要表現(xiàn)在以下幾個(gè)方面：

　　第一，是以問題為契機(jī)，銀行業(yè)逐步重視信息安全工作，建立計(jì)算機(jī)信息安全規(guī)范，各銀行從安全組織架構(gòu)入手，陸續(xù)成立了信息安全小組和委員會(huì)，在科技部門內(nèi)專門設(shè)立了信息安全和生產(chǎn)安全的機(jī)構(gòu)，從組織上和職能上開始了信息安全的領(lǐng)導(dǎo)和實(shí)施工作。

　　第二，從投入來看，各銀行的信息安全投入力度有明顯加大的趨勢(shì)，各大銀行在安全生產(chǎn)的投資的比例可占到10—15%，投資的方向不在是傳統(tǒng)的加密，而是系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)全方位的管理和防范工具，比如說軟件加密，系統(tǒng)完整性檢查，網(wǎng)絡(luò)訪問控制等等。新的信息集合工具也成為了安全投資的一個(gè)重點(diǎn)。

　　第三，安全策略開始受到重視，許多銀行也著手聘請(qǐng)專業(yè)的信息安全方面的咨詢顧問公司進(jìn)行風(fēng)險(xiǎn)評(píng)估和協(xié)助制定安全策略。

　　第四，信息安全的各個(gè)層面的工作已經(jīng)展開，網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等信息安全的組成部分開始聯(lián)動(dòng)，網(wǎng)絡(luò)安全的工作包括防火墻等基本安全工具，在網(wǎng)絡(luò)外聯(lián)、因特網(wǎng)出口，高速服務(wù)器群保護(hù)等方面的入手，漏斗掃描等工具對(duì)日益工作的檢查加強(qiáng)，網(wǎng)絡(luò)防范工作的策略和控制部署，部分網(wǎng)絡(luò)加密設(shè)備對(duì)技術(shù)的采用提供了網(wǎng)絡(luò)的保密性，在網(wǎng)絡(luò)系統(tǒng)方面更強(qiáng)調(diào)的是系統(tǒng)的完整性、可恢復(fù)性以及性能的可監(jiān)控性，以保證系統(tǒng)持續(xù)、穩(wěn)定、忠實(shí)和完整的工作，運(yùn)用軟件的安全雖然薄弱，但是對(duì)用戶層的控制和機(jī)制有比大的提高。而組織管理方面，特別是人員的管理安全培訓(xùn)已經(jīng)納入銀行的基本管理當(dāng)中，這是非常大的進(jìn)步。

　　第五，網(wǎng)絡(luò)銀行的安全在這幾年銀行信息安全的建設(shè)成為一個(gè)重要的內(nèi)容，目前各行都推出了網(wǎng)絡(luò)銀行服務(wù)，內(nèi)容上有較大的區(qū)別，在安全上也有較大的區(qū)別，CA中心的建設(shè)是重點(diǎn)，關(guān)心在銀行和客戶間的可保密性和可信、完整不可抵賴、交易的安全是否得以實(shí)現(xiàn)，目前國內(nèi)許多銀行都已運(yùn)行CA中心，人民銀行也已建立了CA中心，但是這些CA中心將來如何整合，包括對(duì)公和對(duì)私的客戶管理手段方面的差異性管理是一個(gè)潛在的問題，客戶是否因?yàn)楂@得各銀行的服務(wù)而需要不同的證書也是不容回避的問題。

　　第六，集中式的數(shù)據(jù)處理中心的建設(shè)，從機(jī)制上解決了數(shù)據(jù)分散，權(quán)限控制不利導(dǎo)致的安全隱患，以前每個(gè)地市分行，甚至縣市行都是小的數(shù)據(jù)中心，管理數(shù)據(jù)的采集和處理，各種核心業(yè)務(wù)包括存、貸款業(yè)務(wù)，信用卡業(yè)務(wù)處理很分散，IT人員較少，能讓系統(tǒng)正常運(yùn)作已是難事，要做好安全檢查就更難。因此一個(gè)人管理系統(tǒng)，通曉全部密碼的人較多，造成很多隱患，也出現(xiàn)很多內(nèi)部作案的情況。在銀行進(jìn)行處理集中的過程中，就發(fā)現(xiàn)和查處許多以前并未發(fā)現(xiàn)的案件，因?yàn)閿?shù)據(jù)大集中的過程，本身也是安全檢查、業(yè)務(wù)稽核的過程。

　　第七，稽核成為信息安全的一個(gè)有利環(huán)節(jié)和手段，除了對(duì)信息安全的重視。銀行開始在稽核部門內(nèi)部設(shè)置專門的電腦稽核機(jī)構(gòu)，對(duì)數(shù)據(jù)處理本身進(jìn)行稽核，在安全訪問等方面進(jìn)行全方位的稽核，這對(duì)信息安全來說是不可忽視的保障力量。

　　第三大部分是銀行信息安全的主要問題及其分析，前面介紹的是近年來銀行在信息安全方面取得的一些主要進(jìn)展，這些進(jìn)展對(duì)于提供銀行信息的安全性都起了很好的作用。但目前無論是從管理的角度還是從技術(shù)的角度，銀行信息安全還存在許多問題，最為核心的問題有：

　　第一是信息安全的觀念、意識(shí)和基礎(chǔ)內(nèi)容尚未深入人心，對(duì)銀行業(yè)信息安全來講，首要的問題是觀念和意識(shí)的問題。從管理層到員工，能否意識(shí)到信息安全的重要性，知曉信息安全的基本內(nèi)涵和在業(yè)務(wù)和工作中的具體體現(xiàn)是很重要的，目前銀行的管理層對(duì)信息安全的重要性是重視的，對(duì)信息安全到底指的是什么知道的并不是很多，因此主要工作主要還是落到口頭上。在信息安全上由于技術(shù)壁壘的原因，容易形成自下而上的推動(dòng)力，這種決策容易缺乏聯(lián)動(dòng)性和群眾性。信息安全的基礎(chǔ)是至關(guān)重要，大部分的核心安全效果并不取決于核心技術(shù)，而取決于基本的規(guī)范落實(shí)和常見的安全手段的應(yīng)用。比如說密碼的周期性修改和長度的最小設(shè)定就是最簡(jiǎn)單的安全設(shè)施，但員工執(zhí)行中嫌麻煩，執(zhí)行的不好。信息安全的缺乏也是銀行安全淡薄的重要原因。

　　第二，安全策略尤如空中樓閣。前面已提到許多銀行開始意識(shí)到安全策略的重要性，但問題是在制定安全策略的時(shí)候往往采用移植套用的方式，落不到實(shí)處。

　　第三，網(wǎng)絡(luò)安全，技術(shù)上存在的偏差。應(yīng)該說這幾年銀行在網(wǎng)絡(luò)安全和主機(jī)系統(tǒng)上的安全投資還是不少的，但也存在一些問題，首先許多人認(rèn)為信息安全就是網(wǎng)絡(luò)安全，最多認(rèn)為是計(jì)算機(jī)的安全，因此在安全防范的的責(zé)任壓在網(wǎng)絡(luò)上，使網(wǎng)絡(luò)系統(tǒng)相當(dāng)復(fù)雜，在高速公路上設(shè)置各種關(guān)卡，導(dǎo)致漫無目的的圍追堵截，事倍功半。事實(shí)上從根本上來講，真正確保的是信息，要防范的也是信息，因此防護(hù)源頭是最重要的，這也是金融信息本身的采集、存儲(chǔ)、處理、分析、增值的安全是最重要的。在應(yīng)用程序安全，主機(jī)操作系統(tǒng)安全，存儲(chǔ)安全，管理安全以及人力資源安全等方面下大功夫，盲目依賴網(wǎng)絡(luò)安全是舍本取末。

　　其次重視工具投資而忽視管理投資，網(wǎng)絡(luò)的安全投資是策略、操作流程和應(yīng)急處理機(jī)制，不完全只是安全產(chǎn)品和工具。這類工具的使用應(yīng)有相應(yīng)配套的流程管理機(jī)制，否則報(bào)警無人處理，入侵無人響應(yīng)，效果并不好。但是要建立合理的流程管理機(jī)制也同樣需要投資，流程資訊投資等等，這些投資和整個(gè)安全系統(tǒng)的完整性息息相關(guān)， 但在目前的銀行信息安全建設(shè)中，這方面的投入還不是很多，整個(gè)安全的思路還局面在技術(shù)層面。

　　第四，銀行的運(yùn)用軟件很薄弱，銀行運(yùn)用軟件的安全是整個(gè)信息的載體，軟件的安全質(zhì)量是非常重要的，目前銀行業(yè)的軟件開發(fā)體系，包括軟件開發(fā)生命周期和項(xiàng)目管理體系比較注重功能、速度和市場(chǎng)，而較少優(yōu)先考慮安全。開發(fā)隊(duì)伍中也少有安全專家，開發(fā)人員對(duì)安全的認(rèn)知程度不高。在銀行安全軟件的管理中缺乏安全管理的概念，軟件的功能性、安全性是一種平衡的關(guān)系，必須用風(fēng)險(xiǎn)管理的思想指導(dǎo)軟件開發(fā)。

　　現(xiàn)在發(fā)現(xiàn)那么多安全的漏洞，包括技術(shù)和管理上的漏洞，其主要問題出在軟件生產(chǎn)的質(zhì)量上，但是長期以來，人們認(rèn)為修補(bǔ)才是解決之道，于是對(duì)安全漏洞進(jìn)行修補(bǔ)，這就是人們所共知的、所謂的穿透、補(bǔ)丁的怪圈。事實(shí)上，有許多安全的原則和基本開發(fā)原則，可以使軟件更好。壞的軟件才導(dǎo)致信息安全出問題和被攻擊。銀行的核心應(yīng)用大多都是銀行自行開發(fā)，由于技術(shù)、管理以及對(duì)實(shí)效方面等原因，安全問題如果在軟件設(shè)計(jì)和開發(fā)中未認(rèn)真考慮，導(dǎo)致的問題不容忽視。

　　大型銀行的應(yīng)用系統(tǒng)大多應(yīng)用在主機(jī)上，操作系統(tǒng)也相對(duì)封閉，其信息的儲(chǔ)存相對(duì)安全。但是各銀行的信息管理數(shù)據(jù)在管理上存在較大的風(fēng)險(xiǎn)，這些數(shù)據(jù)包括各種核心的業(yè)務(wù)報(bào)表、客戶關(guān)系數(shù)據(jù)，辦公電子功能、風(fēng)險(xiǎn)控制信息等等，這些功能在IP系統(tǒng)上，通過開放的IP網(wǎng)絡(luò)傳送，由于系統(tǒng)的安全漏洞較多，病毒容易侵入，這些管理信息的損失，有時(shí)候比業(yè)務(wù)數(shù)據(jù)的損失后果更大。這些數(shù)據(jù)的安全性尚未引起足夠的重視，很少有銀行考慮采用安全操作系統(tǒng)，安全文件系統(tǒng)，也很少對(duì)管理信息技術(shù)傳輸前的加密。這方面意識(shí)不強(qiáng)，技術(shù)關(guān)注不夠，投入不多，也將可能給銀行帶來可能的損失。

　　第六，對(duì)電子銀行的風(fēng)險(xiǎn)管理關(guān)注不夠，銀行業(yè)清楚的認(rèn)識(shí)到，電子銀行是未來銀行的核心競(jìng)爭(zhēng)力，因此各大銀行加大了這方面的研發(fā)和投產(chǎn)力度，并紛紛成立電子銀行部，大力開拓電子銀行市場(chǎng)，但市場(chǎng)的壓力也使許多銀行在電子銀行業(yè)務(wù)系統(tǒng)的安全和風(fēng)險(xiǎn)控制上存在關(guān)注不足，需要引起我們高度的認(rèn)識(shí)。

　　第七，災(zāi)難防范是當(dāng)務(wù)之急，隨著數(shù)據(jù)的大集中，安全風(fēng)險(xiǎn)也集中了，一個(gè)數(shù)據(jù)中心往往管幾個(gè)甚至十幾個(gè)的金融信息處理，直接關(guān)系到網(wǎng)點(diǎn)的正常營業(yè)，不管是軟件、主機(jī)或者網(wǎng)絡(luò)出現(xiàn)的問題，都會(huì)對(duì)社會(huì)產(chǎn)生很大的負(fù)面影響。另外各種災(zāi)難發(fā)生，包括可能發(fā)生的恐怖活動(dòng)都可能導(dǎo)致數(shù)據(jù)中心不能正常工作，甚至金融信息的損失。如何從災(zāi)難的角度進(jìn)行信息安全設(shè)計(jì)，如何在投資和信息安全上取得平衡，均是一個(gè)不能回避的問題。

　　除了上述幾大問題以外，銀行信息安全尚缺乏貼近銀行特點(diǎn)的安全工具和安全產(chǎn)品，另外在安全認(rèn)識(shí)上存在技術(shù)上的誤區(qū)。在這里不再一一敘述。

　　下面是基本對(duì)策，上面對(duì)銀行信息的安全挑戰(zhàn)等方面做了介紹，并進(jìn)行了初步分析，下面提幾點(diǎn)基本對(duì)策和建議。

　　一、要從全球化的角度高度重視信息化安全問題，從組織和管理上將信息安全納入銀行的整體發(fā)展戰(zhàn)略中。

　　二、特別要注重培養(yǎng)信息安全的業(yè)務(wù)骨干，還應(yīng)將信息安全培訓(xùn)主要是素質(zhì)培訓(xùn)和嘗試培訓(xùn)作為銀行的基礎(chǔ)培訓(xùn)的重要內(nèi)容。此外，要重視針對(duì)員工的信息安全制度，操作流程和規(guī)范上加以落實(shí)。

　　三、安全投資上加大安全咨詢，軟件安全和系統(tǒng)安全的投資力度。

　　四、重視核心管理信息的安全，對(duì)涉密信息以及銀行和客戶關(guān)鍵業(yè)務(wù)的統(tǒng)計(jì)數(shù)據(jù)應(yīng)保持安全操作系統(tǒng)和安全文件系統(tǒng)的電腦上，會(huì)應(yīng)用目前普通的操作系統(tǒng)和網(wǎng)絡(luò)管理數(shù)據(jù)并進(jìn)行傳送。

　　五、加大貼近銀行需求的安全產(chǎn)品和工具的開發(fā)和服務(wù)。

　　六、將安全引入銀行軟件開發(fā)流程中，將風(fēng)險(xiǎn)管理的思想進(jìn)行軟件開發(fā)管理，并貫徹一系列軟件安全原則，特別是在銀行應(yīng)用軟件設(shè)計(jì)功能和系統(tǒng)測(cè)試方面要特別強(qiáng)調(diào)業(yè)務(wù)人員參與測(cè)試的力度。軟件后期管理主要是應(yīng)用反饋和升級(jí)管理等方面有規(guī)范的流程和回饋，從而使軟件的質(zhì)量有明顯提高，這對(duì)銀行信息資產(chǎn)的安全至關(guān)重要。

　　七、安全操作中的風(fēng)險(xiǎn)管理同樣重要，崗位、職責(zé)、服務(wù)評(píng)估要有規(guī)程，通過規(guī)范的方法進(jìn)行解決，這對(duì)化解內(nèi)部問題是非常有效的。對(duì)銀行的安全管理和安全服務(wù)中，引入銀行安全管理的思想，將安全服務(wù)進(jìn)行量化和銀行業(yè)務(wù)保障管理結(jié)合起來，將是提高銀行業(yè)務(wù)整體水平的方法。

　　八、在風(fēng)險(xiǎn)管理和服務(wù)管理的基礎(chǔ)上，銀行要形成一套信息安全工作的績效體制，從機(jī)制上解決安全問題。

　　九、銀行信息安全建設(shè)是一個(gè)體系建設(shè)，它和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)都有極大的關(guān)聯(lián)性，是一種緊密的偶合。因此避免安全建設(shè)脫離銀行的本身建設(shè)之外，建立獨(dú)立的安全體系是不現(xiàn)實(shí)的，唯一能夠相對(duì)獨(dú)立的系統(tǒng)是針對(duì)安全的稽核系統(tǒng)，是檢查、評(píng)估、安全程度強(qiáng)度的系統(tǒng)，可以獨(dú)立于基礎(chǔ)建設(shè)和應(yīng)用建設(shè)之外。

　　十、對(duì)于新興的電子銀行建設(shè)，要加強(qiáng)安全建設(shè)，根據(jù)銀行監(jiān)管，關(guān)于電子銀行風(fēng)險(xiǎn)管理的原則重新規(guī)范電子銀行的技術(shù)、服務(wù)、管理，這些方面的工作是相當(dāng)有挑戰(zhàn)性的，也是在國際中立足的必經(jīng)之道。

　　十一，做好災(zāi)難備份的建設(shè)，防止金融信息在災(zāi)難發(fā)生時(shí)損失和丟失信息，也是安全的防范，也是銀行信用的防范。

　　上面我們討論到銀行信息安全的形式，并提出一些基本對(duì)策。但歸根結(jié)底，我們必須清醒的認(rèn)識(shí)到加強(qiáng)金融信息安全的根本認(rèn)識(shí)是保障銀行業(yè)務(wù)的連續(xù)性，是促進(jìn)銀行的可持續(xù)發(fā)展，為此我們必須平衡安全和效率，安全和發(fā)展之間的關(guān)系，既不過度建設(shè)，也不放松警惕；有所為，有所不為。牢牢把握銀行業(yè)務(wù)發(fā)展和連續(xù)運(yùn)行基本原則。銀行信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，大部分工作牽扯到銀行業(yè)務(wù)管理和技術(shù)，技術(shù)僅僅是手段，我們都非常清楚，銀行在這方面付出的路線，特別是近年來所作出的艱苦工作，但隨著網(wǎng)絡(luò)和全球化的挑戰(zhàn)，銀行的工作仍然是任重道遠(yuǎn)。謝謝大家。

　　中國金融電腦雜志社記者：請(qǐng)問目前在中行進(jìn)行的股份制改造過程中，會(huì)不會(huì)考慮對(duì)目前的科技管理體制進(jìn)行相應(yīng)的調(diào)整？謝謝。

　　張建游：中國銀行8月26號(hào)是重組的開始，在科技體系上，應(yīng)該講這幾年非常重視，科技體系無論在組織架構(gòu)上還是發(fā)展戰(zhàn)略上都相應(yīng)作出了安排。那么，近期對(duì)組織架構(gòu)已經(jīng)基本完成，在信息安全管理上，我們也是正在加緊建設(shè)。

　　主持人：謝謝張總的精彩演講。