安全与服务,一个都不能少

人们在尽情享受信息化带来好处的同时，也面临着日益突出的信息安全问题。电信业“长周期”笑话、声讯台频频欺诈得手、银行只监管客户……

信息化是在对抗中发展的。随着不安全因素的增多，在信息系统建设与维护中，从上到下都在修改、添加各类“安全设施”，增加各种操作和“关卡”。虽然安全措施是必要的，但是有时本末倒置，为了安全而安全。其结果就是一方面增加了管理、操作使用的难度；另一方面则带来了新的漏洞和隐患。

信息安全的品质目标

信息系统安全的分类与结构可谓洋洋大观，简而言之，应分为系统安全、数据安全和利益安全。

安全系统规则贴切才能得到内外的遵从。规则不清，所属机构人员将以捷径绕过“机关”，必然也会给“窃贼”打开通路。总之，安全系统与员工、安全系统与客户的往来和品质评价，应当在安全系统建设、管理和应用中占有一席之地。

数据的权限控制与流程

财务、账务系统的数据监管是数据安全的基本功能，一线员工不能自行修改、调整数据。

电话资费系统曾采用了“零数累计”的功能，应收用户话费的分币，全部推迟到次月依次累计，使营业窗口不会因为找零而耽误客户的时间。

当用户需要“销户”时，虽然电信公司收取了服务费，却要用户在30天后，再来办理一次手续。原来，用户申请销户时，先收取的是应交话费整数款额。30天后，用户再次收到“欠费”通知，原来上次话费的尾数，还有6分钱，要再次到电信营业厅交纳。而从财务安全制度上也不允许用户将6分钱提前交纳给营业员，这样就产生了“长周期”服务的笑话。

可以认为这是流程设计问题，也可以说是“协同”问题。但是，其最终思考，还是究竟给一线操作人员的“安全操作”空间有多大。

系统监管和过程监管

为了对金融市场进行全面管理，银行将企业账户分为“基本户”和“一般户”。同时还建立了对“基本户”的信息监管。

由于客户和市场的诸多原因，企事业单位的迁移每日每时都在发生。客户依照规程要先到转入银行B办理“一般户”开办，再到原银行A办理销户，将存款转移到B行“一般户”，然后再到银行B更改为“基本户”。

但是当客户急需提取现金时，银行B宣布基本户资格还在银行A，不能办理现金取款。于是，客户和A行进行多次电话往来，终于解决了问题。因为A行一直没有注销央行的客户“基本户”资格，而B行发现“基本户”在央行登录不上之后，经办人员突然离职，无人交接检查。

问题显然在于银行的安全措施(宏观安全)和客户服务的保障。如果，一个监管系统只是监管客户，而不能够监管支行，就是不完善的，受到损害的就是客户，这样的监管品质应当改进。

声讯的监管技巧

“声讯电话”和“欺诈”是紧密相联的。虽然有关部门屡屡认为整顿合格、再合格。可是《北京晚报》的头版头条还是用“声讯收费”做过通栏标题的文章。

电信不必监控收费数据细节，而是监控到声讯台的“数据流”，随机或定时提供声讯台的服务次数、时长和加密标签，成为监管依据，使那些违法的声讯台无法做手脚。

铁打的电信平台，流水的声讯台，电信不应为不法声讯的恶行去买单。好的服务需要贴切的安全保障，而合理的安全措施，也将推进服务品质的提升。