2004年9月13日，第五届中国金融信息化发展论坛在北京展览馆报告厅召开。以下为本次论坛实录：

　　谭国安：各位领导、各位嘉宾，各位先生、女士们，第五届中国金融信息化发展论坛第二部分的内容今天上午正式开始，今天上午一共有六位嘉宾演讲，他们是中国银行信息科技部总经理张建游先生，需要说明的是本来是中国银行李早行副行长演讲，他因有事出差

点点通个性天气 让眼镜成为历史 新浪彩信 幽雅个信 你的放心来自我的用心

外地，所以特地委托张总来代替。还有五位嘉宾分别是：中国银行业监督管理委员会信息中心主任佟建民、中国银联股份有限公司总裁万建华、英特尔公司副总裁John E.Davies、sun公司大中国区金融行业总监袁晓钢、中国信息化推进联盟高级顾问黄守吉。我们的论坛同时也在网上直播，下面开始正式演讲，第一位演讲嘉宾是中国银行信息科技部总经理张建游先生，张总1978年进入中国银行，历任中国深圳市银行行长助理副行长，广州省分行行长，深圳市分行行长，演讲的题目是《重视金融信息安全，保持持续稳定发展》。下面我们用热烈的掌声欢迎张总演讲。

　　张建游：各位来宾、女士们、先生们，非常高兴有机会跟大家就金融行业的信息化科技进行广泛的探讨，金融信息化是一个热点话题，关系金融行业的稳定性和发展，今天我想就这个问题跟各位共同探讨。我讲四个部分，第一部分我国银行业信息安全的新挑战，随着全球化和网络化，世界全球内的金融变革对我国的影响越来越大，银行业遇到的挑战越来越大，为了适应这个挑战，我国银行业正在进行大的重组和改革，这些变革包括建立良好的公司治理机制，调整发展战略、组织架构、经营模式、业务流程重组等等，其中信息科技变革是一个重要的内容，信息科技是发展的核心动力核心使命是对金融资产进行采集，处理、整合，分析，应用并确保这些信息的安全，以保证银行业务的可持续健康发展。因此保证金融信息的安全也是目前银行业面临的重要挑战，为了适应新的挑战，变革对信息科技带来的新的风险点也是银行业正在认真考虑，并在着手处理的问题。

　　第二，目前银行业信息工作的进展，银行的信息安全以往是比较容易疏忽的问题，主要是回报不容易直观计算，投资决策有一定难度，长期以来，银行信息安全都存在的隐患，各种因为信息安全问题导致的案件非常多，基于种种原因很少在媒体上宣扬，大量所谓管理不善的金融案件甚至是上亿元的案件很多都是金融信息安全管理出现了问题，比如密码管理、权限划分、软件质量等等问题，但我们也要看到和前些年信息分散、网络安全薄弱，系统确保安全管理，应用软件安全几乎无暇顾忌的情况相比，这些年来，我国银行业的信息安全工作有了长足的发展。主要表现在以下几个方面：

　　第一，是以问题为契机，银行业逐步重视信息安全工作，建立计算机信息安全规范，各银行从安全组织架构入手，陆续成立了信息安全小组和委员会，在科技部门内专门设立了信息安全和生产安全的机构，从组织上和职能上开始了信息安全的领导和实施工作。

　　第二，从投入来看，各银行的信息安全投入力度有明显加大的趋势，各大银行在安全生产的投资的比例可占到10—15%，投资的方向不在是传统的加密，而是系统、应用和网络全方位的管理和防范工具，比如说软件加密，系统完整性检查，网络访问控制等等。新的信息集合工具也成为了安全投资的一个重点。

　　第三，安全策略开始受到重视，许多银行也着手聘请专业的信息安全方面的咨询顾问公司进行风险评估和协助制定安全策略。

　　第四，信息安全的各个层面的工作已经展开，网络、系统、应用、管理等信息安全的组成部分开始联动，网络安全的工作包括防火墙等基本安全工具，在网络外联、因特网出口，高速服务器群保护等方面的入手，漏斗扫描等工具对日益工作的检查加强，网络防范工作的策略和控制部署，部分网络加密设备对技术的采用提供了网络的保密性，在网络系统方面更强调的是系统的完整性、可恢复性以及性能的可监控性，以保证系统持续、稳定、忠实和完整的工作，运用软件的安全虽然薄弱，但是对用户层的控制和机制有比大的提高。而组织管理方面，特别是人员的管理安全培训已经纳入银行的基本管理当中，这是非常大的进步。

　　第五，网络银行的安全在这几年银行信息安全的建设成为一个重要的内容，目前各行都推出了网络银行服务，内容上有较大的区别，在安全上也有较大的区别，CA中心的建设是重点，关心在银行和客户间的可保密性和可信、完整不可抵赖、交易的安全是否得以实现，目前国内许多银行都已运行CA中心，人民银行也已建立了CA中心，但是这些CA中心将来如何整合，包括对公和对私的客户管理手段方面的差异性管理是一个潜在的问题，客户是否因为获得各银行的服务而需要不同的证书也是不容回避的问题。

　　第六，集中式的数据处理中心的建设，从机制上解决了数据分散，权限控制不利导致的安全隐患，以前每个地市分行，甚至县市行都是小的数据中心，管理数据的采集和处理，各种核心业务包括存、贷款业务，信用卡业务处理很分散，IT人员较少，能让系统正常运作已是难事，要做好安全检查就更难。因此一个人管理系统，通晓全部密码的人较多，造成很多隐患，也出现很多内部作案的情况。在银行进行处理集中的过程中，就发现和查处许多以前并未发现的案件，因为数据大集中的过程，本身也是安全检查、业务稽核的过程。

　　第七，稽核成为信息安全的一个有利环节和手段，除了对信息安全的重视。银行开始在稽核部门内部设置专门的电脑稽核机构，对数据处理本身进行稽核，在安全访问等方面进行全方位的稽核，这对信息安全来说是不可忽视的保障力量。

　　第三大部分是银行信息安全的主要问题及其分析，前面介绍的是近年来银行在信息安全方面取得的一些主要进展，这些进展对于提供银行信息的安全性都起了很好的作用。但目前无论是从管理的角度还是从技术的角度，银行信息安全还存在许多问题，最为核心的问题有：

　　第一是信息安全的观念、意识和基础内容尚未深入人心，对银行业信息安全来讲，首要的问题是观念和意识的问题。从管理层到员工，能否意识到信息安全的重要性，知晓信息安全的基本内涵和在业务和工作中的具体体现是很重要的，目前银行的管理层对信息安全的重要性是重视的，对信息安全到底指的是什么知道的并不是很多，因此主要工作主要还是落到口头上。在信息安全上由于技术壁垒的原因，容易形成自下而上的推动力，这种决策容易缺乏联动性和群众性。信息安全的基础是至关重要，大部分的核心安全效果并不取决于核心技术，而取决于基本的规范落实和常见的安全手段的应用。比如说密码的周期性修改和长度的最小设定就是最简单的安全设施，但员工执行中嫌麻烦，执行的不好。信息安全的缺乏也是银行安全淡薄的重要原因。

　　第二，安全策略尤如空中楼阁。前面已提到许多银行开始意识到安全策略的重要性，但问题是在制定安全策略的时候往往采用移植套用的方式，落不到实处。

　　第三，网络安全，技术上存在的偏差。应该说这几年银行在网络安全和主机系统上的安全投资还是不少的，但也存在一些问题，首先许多人认为信息安全就是网络安全，最多认为是计算机的安全，因此在安全防范的的责任压在网络上，使网络系统相当复杂，在高速公路上设置各种关卡，导致漫无目的的围追堵截，事倍功半。事实上从根本上来讲，真正确保的是信息，要防范的也是信息，因此防护源头是最重要的，这也是金融信息本身的采集、存储、处理、分析、增值的安全是最重要的。在应用程序安全，主机操作系统安全，存储安全，管理安全以及人力资源安全等方面下大功夫，盲目依赖网络安全是舍本取末。

　　其次重视工具投资而忽视管理投资，网络的安全投资是策略、操作流程和应急处理机制，不完全只是安全产品和工具。这类工具的使用应有相应配套的流程管理机制，否则报警无人处理，入侵无人响应，效果并不好。但是要建立合理的流程管理机制也同样需要投资，流程资讯投资等等，这些投资和整个安全系统的完整性息息相关， 但在目前的银行信息安全建设中，这方面的投入还不是很多，整个安全的思路还局面在技术层面。

　　第四，银行的运用软件很薄弱，银行运用软件的安全是整个信息的载体，软件的安全质量是非常重要的，目前银行业的软件开发体系，包括软件开发生命周期和项目管理体系比较注重功能、速度和市场，而较少优先考虑安全。开发队伍中也少有安全专家，开发人员对安全的认知程度不高。在银行安全软件的管理中缺乏安全管理的概念，软件的功能性、安全性是一种平衡的关系，必须用风险管理的思想指导软件开发。

　　现在发现那么多安全的漏洞，包括技术和管理上的漏洞，其主要问题出在软件生产的质量上，但是长期以来，人们认为修补才是解决之道，于是对安全漏洞进行修补，这就是人们所共知的、所谓的穿透、补丁的怪圈。事实上，有许多安全的原则和基本开发原则，可以使软件更好。坏的软件才导致信息安全出问题和被攻击。银行的核心应用大多都是银行自行开发，由于技术、管理以及对实效方面等原因，安全问题如果在软件设计和开发中未认真考虑，导致的问题不容忽视。

　　大型银行的应用系统大多应用在主机上，操作系统也相对封闭，其信息的储存相对安全。但是各银行的信息管理数据在管理上存在较大的风险，这些数据包括各种核心的业务报表、客户关系数据，办公电子功能、风险控制信息等等，这些功能在IP系统上，通过开放的IP网络传送，由于系统的安全漏洞较多，病毒容易侵入，这些管理信息的损失，有时候比业务数据的损失后果更大。这些数据的安全性尚未引起足够的重视，很少有银行考虑采用安全操作系统，安全文件系统，也很少对管理信息技术传输前的加密。这方面意识不强，技术关注不够，投入不多，也将可能给银行带来可能的损失。

　　第六，对电子银行的风险管理关注不够，银行业清楚的认识到，电子银行是未来银行的核心竞争力，因此各大银行加大了这方面的研发和投产力度，并纷纷成立电子银行部，大力开拓电子银行市场，但市场的压力也使许多银行在电子银行业务系统的安全和风险控制上存在关注不足，需要引起我们高度的认识。

　　第七，灾难防范是当务之急，随着数据的大集中，安全风险也集中了，一个数据中心往往管几个甚至十几个的金融信息处理，直接关系到网点的正常营业，不管是软件、主机或者网络出现的问题，都会对社会产生很大的负面影响。另外各种灾难发生，包括可能发生的恐怖活动都可能导致数据中心不能正常工作，甚至金融信息的损失。如何从灾难的角度进行信息安全设计，如何在投资和信息安全上取得平衡，均是一个不能回避的问题。

　　除了上述几大问题以外，银行信息安全尚缺乏贴近银行特点的安全工具和安全产品，另外在安全认识上存在技术上的误区。在这里不再一一叙述。

　　下面是基本对策，上面对银行信息的安全挑战等方面做了介绍，并进行了初步分析，下面提几点基本对策和建议。

　　一、要从全球化的角度高度重视信息化安全问题，从组织和管理上将信息安全纳入银行的整体发展战略中。

　　二、特别要注重培养信息安全的业务骨干，还应将信息安全培训主要是素质培训和尝试培训作为银行的基础培训的重要内容。此外，要重视针对员工的信息安全制度，操作流程和规范上加以落实。

　　三、安全投资上加大安全咨询，软件安全和系统安全的投资力度。

　　四、重视核心管理信息的安全，对涉密信息以及银行和客户关键业务的统计数据应保持安全操作系统和安全文件系统的电脑上，会应用目前普通的操作系统和网络管理数据并进行传送。

　　五、加大贴近银行需求的安全产品和工具的开发和服务。

　　六、将安全引入银行软件开发流程中，将风险管理的思想进行软件开发管理，并贯彻一系列软件安全原则，特别是在银行应用软件设计功能和系统测试方面要特别强调业务人员参与测试的力度。软件后期管理主要是应用反馈和升级管理等方面有规范的流程和回馈，从而使软件的质量有明显提高，这对银行信息资产的安全至关重要。

　　七、安全操作中的风险管理同样重要，岗位、职责、服务评估要有规程，通过规范的方法进行解决，这对化解内部问题是非常有效的。对银行的安全管理和安全服务中，引入银行安全管理的思想，将安全服务进行量化和银行业务保障管理结合起来，将是提高银行业务整体水平的方法。

　　八、在风险管理和服务管理的基础上，银行要形成一套信息安全工作的绩效体制，从机制上解决安全问题。

　　九、银行信息安全建设是一个体系建设，它和应用系统、网络都有极大的关联性，是一种紧密的偶合。因此避免安全建设脱离银行的本身建设之外，建立独立的安全体系是不现实的，唯一能够相对独立的系统是针对安全的稽核系统，是检查、评估、安全程度强度的系统，可以独立于基础建设和应用建设之外。

　　十、对于新兴的电子银行建设，要加强安全建设，根据银行监管，关于电子银行风险管理的原则重新规范电子银行的技术、服务、管理，这些方面的工作是相当有挑战性的，也是在国际中立足的必经之道。

　　十一，做好灾难备份的建设，防止金融信息在灾难发生时损失和丢失信息，也是安全的防范，也是银行信用的防范。

　　上面我们讨论到银行信息安全的形式，并提出一些基本对策。但归根结底，我们必须清醒的认识到加强金融信息安全的根本认识是保障银行业务的连续性，是促进银行的可持续发展，为此我们必须平衡安全和效率，安全和发展之间的关系，既不过度建设，也不放松警惕；有所为，有所不为。牢牢把握银行业务发展和连续运行基本原则。银行信息安全建设是一个复杂的系统工程，大部分工作牵扯到银行业务管理和技术，技术仅仅是手段，我们都非常清楚，银行在这方面付出的路线，特别是近年来所作出的艰苦工作，但随着网络和全球化的挑战，银行的工作仍然是任重道远。谢谢大家。

　　中国金融电脑杂志社记者：请问目前在中行进行的股份制改造过程中，会不会考虑对目前的科技管理体制进行相应的调整？谢谢。

　　张建游：中国银行8月26号是重组的开始，在科技体系上，应该讲这几年非常重视，科技体系无论在组织架构上还是发展战略上都相应作出了安排。那么，近期对组织架构已经基本完成，在信息安全管理上，我们也是正在加紧建设。

　　主持人：谢谢张总的精彩演讲。