我国中小商业银行信息安全建设问题研究

随着我国银行业信息系统建设持续发展，核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用，在提升金融服务效率和增加服务品种的同时，信息系统潜在的风险也逐渐显现。而中小商业银行受人才和成本制约，信息系统建设存在一定滞后性，系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险也正逐渐暴露在我们的面前，形成了一定的安全隐患。现以XX市信合为例做一介绍。

一、信息化建设基本情况

（一）系统应用和研发模式

目前，XX市信合建成了以核心业务、信贷管理、财务总账管理三大业务处理系统为基础，以ATM、POS、电话银行、网上银行等自助银行服务为触角的集中式业务处理平台，同时提供人民银行大小额支付、农信银支付结算等柜面服务。投入运行的业务系统11大类50余种，核心业务平台是信合和中联公司（香港）联合开发，版权共同所有。布放特约商户POS设备210台，布放助农取款POS设备155台，自助设备45台。

（二）安全管理和制度建设

2009年XX省联社为加强综合业务网络系统生产运行安全管理，明确省联社科技信息部、各地市信息科、各联社运行管理部在安全管理中的职责范围，规范安全运行管理工作流程，建立了科学有效的安全运行问题响应解决机制，保证了XX省农信社综合业务网络系统安全、高效、稳定地运行，更好地为各级联社的业务发展和经营管理服务。省联社根据人民银行《银行类金融机构网络与信息安全防范工作指引》和中国银监会《银行业金融机构信息系统风险管理指引》的相关要求，结合省联社自身实际情况，制订了《XX省农村合作金融机构综合业务网络系统安全运行管理办法》。XX市信合在辖内对该办法进行了转发，并将其作为日常管理的依据。

（三）组织管理和人员配备

XX市信合营业网点20家，其中，10家信用社，1家直管分设，9家分社。信息科技从业人员9人，其中，中心机房工作人员3人，办事处1人，网点5人，计算机专业毕业4人。主要负责全市信息科技系统日常运行维护、故障处理及安全管理。

二、存在风险分析

（一）技术依赖于外部，底层技术难以掌握，存在安全隐患

目前，我国金融业信息系统和网络中，大量使用国外厂商生产的设备，这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利，我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查，一些重要网络系统中使用的信息技术产品，都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留，也可能是无意疏忽造成的。特殊情况下，特定安全漏洞可能被利用实施入侵，修改或破坏设备程序，或从设备中窃取机密数据和信息。曾经有段时间国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”，已经为我们敲响了警钟。

银行IT外包能够帮助银行全面提高信息产品的科技含量，缩短新产品的开发周期，全面提升IT服务水平，使银行能够专注于核心业务。但是，IT外包并非十全十美，而是一柄双刃剑，它在帮助银行提升服务水平的同时，也可能会带来一系列的不确定因素，从而使银行面临着长期的潜在风险。IT外包风险首先在于服务商能否长期稳定地为银行提供高质量服务，对于信息系统故障能否及时响应并修复，以保障银行业务的连续性。其次，外包服务商在和银行密切往来过程中会获取一些银行的内部机密信息，给银行带来商业秘密泄露的风险。再次，银行对于外包服务商的过度依赖性也是一种风险，将导致银行在合同谈判中处于不利地位，同时也会造成银行自身员工IT服务水平和创新能力受到限制。此外，外包公司人员长期和银行来往甚至常驻银行，但对银行规章制度的理解与执行上和银行员工相比存在一定差距，也可能会带来风险隐患等。

（二）制度局限于省联社制订的制度，与实际业务发展有不适应之处，执行力不够

目前，XX市信合在信息管理方面使用的《XX省农村合作金融机构综合业务网络系统安全运行管理办法》涵盖了系统运行管理、机房设备管理、通信网络及相关设备管理、信息系统变更管理、应急管理、信息系统问题管理等，对全省各社来说具有普遍性和指导性，但具体到各社，还需要结合自身的实际情况制订针对性、操作性较强的办法、规定。如：该制度应急管理部分，指导性的明确应急管理中部门职责，并没有明确应急领导小组成员和组织应急演练的内容、流程，这需要各社自己制定应急演练内容、流程、频度，并通过应急演练和生产实际环境的变化不断地进行补充和完善。

（三）科技人才不足，与实际业务需要不匹配，存在安全隐患

科技人才是信息化核心力量，是信息系统、网络系统安全运行的保障。XX市某区县信用联社科技人员1人，既是部门负责人，又是具体工作人员，天长日久从心理上会厌烦此项工作，不利于人才的稳定，不利于调动工作的积极性，不利于各项工作的开展，大大地降低了制度的执行力和落实力，从而造成一定的安全隐患。

三、对策建议

（一）提高政府部门对银行业信息化建设统筹指导的力度

一是目前国内没有哪个科技企业能“通吃”一个银行的所有业务系统，建议国家扶持几个具有一定基础且综合实力相对雄厚的民族企业，解决业务系统由不同IT企业建设带来的系统之间不能很好的整合和数据难以深度利用的问题；二是四大国有商业银行具有庞大的开发团队，国家应鼓励四大国有商业银行在信息化建设方面帮扶中小商业银行，在政策上给予优惠；三是人民银行、银监会要从国家的宏观方面出发，提升对银行业的信息化建设统筹指导能力；四是政府鼓励信息科技风险防范技术创新性研究。加强金融技术创新性研究，用新技术装备信息系统，以提高信息系统的自我风险抵御能力，是中小商业银行提高信息科技风险防御能力的一个重要方法。只有不断通过创新性技术完善信息系统，抵御新的风险，才能有效提高信息系统的安全性。由于电子支付系统直接面向客户，其脆弱点更容易为外界所熟悉并利用，因此，各中小商业银行应重点关注电子银行系统的风险防范创新性技术。一方面是通过智力投入并辅以激励机制提高内部员工的创新能力；另一方面，中小商业银行可以借鉴大行做法，借助科研机构力量，提供业务需求，而由科研机构完成具体的研发工作。比如，中国工商银行率先在网上银行中引入预留信息方法，可以有效防范钓鱼网站的欺骗。中小商业银行可以利用模式识别、图像处理技术开发自助设备的实时监控系统，利用生物特征开发虹膜认证和指纹认证等产品，从而有效提高电子银行系统的安全性能。

（二）提高IT外包管理服务精度

IT外包的本质是银行与外包服务商的一种商业合作，与银行内部的其他信息科技风险相比，它所产生的风险虽不直接影响到银行业务，却关系到商业银行能否保持信息服务的竞争力，进而影响到商业银行的市场地位，具有一定的特殊性。IT外包风险存在于外包服务过程中的每一个环节，需要对外包服务进行全程的精细化管理。一是通过对外包服务商所提供的服务作全面准确的评估，选择一个值得信赖、具有相当资质、能够长期合作的IT服务商，这是对技术外包服务进行精细化管理的前提条件。二是签署详细、具体的外包合同，包括外包服务的内容和服务范围、双方在合同中的权利和义务、产权转移方式、后续维护方案、安全性和保密性的要求等。三是在IT外包合同执行期间，银行要对服务商进行持续、有效的监督，IT专家、风险管理专家、审计专家要定期和不定期地对服务商进行检查，及时掌握合同的履行情况，并督促服务商按期保质地完成合同规定的各项任务。四是在外包服务中，商业银行要积极主动地学习，积累经验，尽可能地掌握技术要点，以降低依赖性风险，并争取开发和生产具有完全自主知识产权的信息系统。

（三）建立完善的信息科技风险管理制度

制度是安全生产的生命线，要有效防控信息科技风险，首要是建立完善的信息科技安全管理制度，以制度约束人的行为，以制度明确人的责任，以制度指导人的思想。中小商业银行务必高度重视信息科技安全管理制度的建立与完善，以安全生产为主线，深入分析信息系统风险点，有的放矢，从快、从严建立内部管理制度。同时还应积极跟踪信息系统运行状况，及时发现新问题、新风险点，并及时完善制度，从源头上尽可能地排除隐患。信息科技工作者必须不折不扣地执行制度，或者提出合理化建议来修订制度，使制度成为一切工作的基本准则，人人“重制度，守制度”，真正给安全生产拉起一道难以跨越的防御线。中小商业银行的董事会、监事会和高级管理层要切实监督信息科技安全管理制度的执行情况，对整个信息科技风险的防控工作全盘把握，其责任覆盖商业银行自上而下的信息科技风险管理体系。

（四）培养和选拔优秀的科技人才

中小金融机构应当制定并实施中长期培训计划，加强对员工从业知识、风险管理要求及道德思想方面的培训，强化案件警示作用。培训计划应定期评审，充分考虑不同层次员工职责、能力和文化程度以及所面临的风险。应根据风险管理的要求管理与配置人力资源，实施主要风险岗位人员准入与退出管理制度，从数量和质量上合理配备能够达到风险管理岗位资质要求的人员，并根据风险管理状况的变化进行相应的调整。

中小商业银行要建立与信息科技工作岗位相适应、与业务发展程度紧密联系的培训制度，同时还应鼓励员工积极参与国家认可的考试认证，以提高信息科技工作者的业务水平和对各项信息科技风险的认知深度，从而也能提升整个中小商业银行的IT服务档次。要对人员采取适当的激励措施，建立与经济发展相协调、与中小银行业金融机构工资水平相适应、与工作业绩挂钩的工资决定机制，以吸引人才、使用人才，尽可能地调动人才的主观能动性，充分发挥其聪明才智。有了相当的人才储备，从长远来说，不仅仅是对于商业银行的信息科技风险防范水平的提升，整个商业银行的服务水平都将得到质的提高。