论文部分内容阅读
没有现代化监管的信息化不仅谈不上是真正的信息化,因为那样的信息化不仅低效,而且注定是场极度危险的信息化
信息化程度的高低、优劣已经成为支撑银行核心竞争能力的重要基石。
随着信息技术越来越多地被应用于银行的各项业务中,安全性对于银行的兴衰成败举足轻重,银行面临的信息技术安全隐患也在日益增加。
针对信息安全方面的问题,我们采访了信息产业部太极联合实验室主任、国家信息安全测评认证管委会技术委员会副主任、国家金卡工程办公室安全组组长屈延文教授。屈教授是新中国培养出的第一批计算机专家,近年来,他一直都参与国家信息产业政策的研究制定,全力推动我国的电子政务、电子商务、信息安全的健康发展。
信息化的风险何在
《经济导刊》(以下简称“《导刊》”):您能否谈谈目前金融行业的网络特点及建设情况?
屈延文(以下简称“屈”):随着金融信息化进程加快,互联网扮演着非常重要的角色,通信、计算机技术等高科技手段在银行业广泛运用,网络银行迅速发展。银行业是国民经济发展的核心与枢纽,涉及到社会生活的方方面面,它的信任临界点很高,一旦有相关安全案件发生,就会使金融业的信誉受损,引发信用危机。
WTO给中国金融业带来机遇的同时也带来了新的挑战。国内金融企业为了生存,争夺优质客户,必须打破原来封闭的环境,从以自我为中心走向以客户为中心。从具体实施上看,各家金融机构都在增加金融产品品种、提高金融服务的质量,而这一切的基础就是金融信息化建设。
现在国内商业银行的计算机网络是一个树形的拓扑结构: 总行连接到省分行、省行连接到区县一级的支行、支行与分理处及各类银行自助设备相连。同时银行网络对外连接着电信、证券、税务甚至每个家庭水电气费等的支付。另外,银行之间大量的数据交换也依赖网络的互联,以实现高效的资金清分和清算。这些使得风险产生的机会加大。
《导刊》:现在国内银行纷纷在搞数据大集中,您怎么看待大集中的安全问题?
屈:目前大多数银行做的数据集中就好比把自己送到了火山口上。为什么?数据大集中使用千万个计算机终端和网络连接成的一张纵横交错的数据网,万一计算机出现故障,或网络瘫痪,那全国银行就都没法开张了,这不等于是坐在“火山口”上吗?
《导刊》:各银行在数据集中的同时,不是专门建有灾难备份中心吗?
屈:是啊,灾备中心大家都建了。但新的问题又出来了,银行灾备中心不能称为真正的灾备中心,而是建成了第二个工作中心,不仅数据、机器要拷贝一份,连人员、应用也得拷贝一份,成本高不说,两个工作中心也不现实。
出现这个现象的根本原因就是,数据大集中没有将数据与应用分离。真正的灾备中心只有分离出来的数据的拷贝,应用是不跟着走的。因此银行应该在建灾备中心之前,拿出一至两年时间真正地整合、分离其数据,那才是有意义的数据大集中。
《导刊》:这是否意味着信息化带来了新的风险?
屈:的确如此,这就是信息化的“代价”。
《导刊》:与传统风险相比,信息化如果实施不到位,将给银行带来的风险有哪些?
屈:在实施信息化之前,银行有3大风险:信贷风险,操作风险和市场风险。但现在“信息化风险”成为银行面临的第4大风险,它已经从操作风险中单列出来。因为操作风险是指在银行业务运作流程的控制上出现的风险,而信息化带来的风险已超出了这个范畴。
信息化带来的风险不胜枚举,而且危害极大。以前劫匪抢运钞车至多也就可以抢走几十万、几百万,现在的网络犯罪则可能通过互联网在弹指之间使几千万甚至上亿的资金灰飞湮灭。而且,随着计算机知识的日益普及,黑客呈现系统化、组织化、盈利化的趋势,计算机犯罪案件逐年增加。
据统计,美国银行业由于网络安全而导致的计算机系统每次宕机的损失平均为1000万美元;美国证券公司或基金公司每小时的产业停机时间成本是64.5万美元。国内的金融系统也不例外,系统意外死机、黑客入侵、部分不法分子直接利用系统的安全漏洞实施犯罪的案例时有发生。
《导刊》:信息化除了对银行的风险控制能力提出了新的挑战,对银行的自身管理能力有什么影响?据了解,现在很多银行都是做手工账与电子账“两套账”。
屈:实施信息化的重要初衷之一就是提高企业管理的效率,但有时候事与愿违。“两套账”当然不是出于银行自愿,只要风险问题没有从技术上解决,就不敢完全无纸化。我国信息化建设所处的这个阶段,估计10年之内都规避不了像“两套账”这样的权宜之计。只要信息化的安全不能让人放心到几乎100%的程度,纸的这种备份形式就不会完全废除。
全面实现监管现代化
《导刊》:有风险就要有监管,银行的信贷风险是由央行来监管,那么,信息化带来的风险,由谁来监管?
屈:严格来说,银行信息化风险目前没有明确的监管。虽然中国人民银行有科技司,但它的全称是“支付科技司”,主要管支付科技,但是对于信息化以及相关的科技监管目前还是空白。
理论上讲,新成立的银监会应该承担起对银行信息化的监管职能。但是,我们一定要走出一个误区,那就是,无论谁来管,重点应该是制订游戏规则,即框定范围、设立标准,制定相应的法律、法规和政策,而不是要你去管哪家银行用什么类型的产品、用什么样的软件,选哪个服务商。
现在,我国银行信息化的监管有两大“特点”:首先,监管对象在网内,监管者却在网外。我们所谓的监管就是看看报表,查查账,再就是多安些摄像头等。信息化前和信息化后的主要区别大概就是,原来审查时是看纸张,现在则“发展”为看电脑屏幕。这有根本性改变吗?
其次,在网内,信息技术使得数据的更换、服务的提供以“光速”计算;可在网外,监管者却是“人速”——我们的审计不就是以3个月、甚至半年一次的频率进行吗?这两个速度间的差距之大,使得所谓监管形同虚设。举个例子,国内某著名金融企业,花数亿元买了个大服务器、安装软件、采录数据,完成数据集中后,结果其数据库的利用价值仅在于偶尔的备查和统计,因为这大量的数据最终还是用“人眼”、靠“人速”来读取,效率之低下可想而知。何况根本就没人会看,必然埋下隐患。这就是为什么会出现类似中国银行的“开平之劫”的原因。
实际上,不仅金融行业的信息化监管处于这个状态,电子政务、电子商务、工商、税务、审计乃至社会治安的信息化皆同此理。
《导刊》:你认为怎样才能对信息化进行有效监管?
屈:为了实施有效的监管,我们提出了在信息化的进程中实现监管现代化。第一,能跟上信息化速度的监管才是现代化监管,才是有效的监管。第二,对信息化的监管也应该具有网络化、电子化的水平。第三,监管银行信息化的最大特点是“对监管的监管”。
根据新巴塞尔资本协议中内部审计法的要求,银行的内部信息必须透明,要有规范的自我披露制度、市场纪律等。也就是说,银行首先要根据本国本地区的法律、法规和国际惯例建立内部监管机制,实施有效的内部监管。以前我们喊了多年的内控机制、内部审计大都流于形式,没有发挥作用,外部的监管者只需要对银行内部监管的结果进行“再监管”,看银行的的自我监管是否到位。这就是所谓“对监管的监管”,也是有现代化特征的监管模式。
具体而言,现代化的银行监管就是要求对信息流的监管要与信息流本身同步。
《导刊》:那么,银行的信息流从原始票据的形式转为电子数据形式的这一步,该如何监管呢?
屈:对于ATM、电话银行、网上银行、呼叫中心等,银行从原始数据一开始生成就要实施监管,这是多层次、全环节、全过程的监管,并不是仅仅监管一个结果。就像质量监督体系一样,一条业务流水线,同时跟着一条监管流水线。最后,再把监管与业务匹配起来。
《导刊》:也就是说,监管要从银行职员在键盘上敲入第一个数字开始?
屈:实质上就是包括对数据与行为两个方面的监管。
监管现代化的条件
《导刊》:监管现代化对于银行信息化的意义是什么呢?
屈:它是银行改革的核心内容。现在银行和其他领域经常提到的信息安全问题,最根本的在于对信息化的现代化监管,没有现代化监管的信息化不仅谈不上是真正的信息化,而且比没有信息化更可怕。如果没有抓住这个核心,那么我们建出来的只能是火山口上的信息化。
目前,国务院信息化办公室的一个重要课题,就是研究在网络时代,从国家安全的角度来建立信息监管的现代化,其着眼点和着手处就是金融、财政、税收和司法4个环节,可见,对金融行业的监管现代化是国家信息监管的重要内容。
《导刊》:目前信息技术能够满足监管现代化的需求吗?
屈:从技术上说,计算机要做到这一点并不难,只是原来没有做而已。例如现在银行营业厅的每个柜台都有电视摄像头,虽然这只是浅层次的监管,但也是必要的。
更深层次的监管不是摄像头,而是每一台计算机里面都有一个“监管者”,也就是现在最新的“代理技术”(Agent技术),我们把它形象地叫做“探子”。这个技术可以开发成软件,安装在每个终端上。有了这个Agent,无论你在网络里干啥,它都能跟着,而且“看”得一清二楚。
Agent技术有四大职能为:键盘记录、屏幕抓取、网络监管、远程控制。信息爆炸时代,当人看信息、监管信息忙不过来时,就可在网络里雇个“代理”。
《导刊》:实现监管现代化除了技术以外还需要什么?
屈:一方面要储备人才。确保信息安全中很重要的一点是人员素质,管理人员的安全意识、技术水平将直接影响整个系统的安全性。我们已经有了许多成熟的安全技术、安全产品,但能否让这些技术和产品在实际应用中充分发挥作用,关键在于如何规划、组织、配置,这些都是和管理人员及工程技术人员的素质分不开的。因此,应该加强人才培养力度,根据信息安全的特殊性和各种不同人才需求层次,进行有针对性的培训,为金融信息安全建设培养一支实力强劲的专业队伍。现在高等院校计算机专业的教育脱离了我国信息化建设的实际需求。比如,为了研究、开发和推广Agent技术,我们应在全国的十几所大学就此专门开课或开设课题。
此外,最为关键的仍是加强信息化风险意识。银行应该真正把信息技术安全管理放到与银行基本业务管理同等重要的位置上,并相应设置专门的安全保障部门,还要将信息技术风险作为银行经营风险的一部分。
不安全的信息化猛于虎!我们要让所有银行切实意识到,没有现代化监管的信息化效率更低,风险更大,而且破坏性更大,那将是极度危险的信息化,不可控的信息化。