火山口上的信息化

沒有現代化監管的信息化不僅談不上是真正的信息化，因為那樣的信息化不僅低效，而且注定是場極度危險的信息化

信息化程度的高低、優劣已經成為支撐銀行核心競爭能力的重要基石。

隨著信息技術越來越多地被應用于銀行的各項業務中，安全性對于銀行的興衰成敗舉足輕重，銀行面臨的信息技術安全隱患也在日益增加。

針對信息安全方面的問題，我們采訪了信息產業部太極聯合實驗室主任、國家信息安全測評認證管委會技術委員會副主任、國家金卡工程辦公室安全組組長屈延文教授。屈教授是新中國培養出的第一批計算機專家，近年來，他一直都參與國家信息產業政策的研究制定，全力推動我國的電子政務、電子商務、信息安全的健康發展。

信息化的風險何在

《經濟導刊》（以下簡稱“《導刊》”）:您能否談談目前金融行業的網絡特點及建設情況？

屈延文（以下簡稱“屈”）:隨著金融信息化進程加快，互聯網扮演著非常重要的角色，通信、計算機技術等高科技手段在銀行業廣泛運用，網絡銀行迅速發展。銀行業是國民經濟發展的核心與樞紐，涉及到社會生活的方方面面，它的信任臨界點很高，一旦有相關安全案件發生，就會使金融業的信譽受損，引發信用危機。

WTO給中國金融業帶來機遇的同時也帶來了新的挑戰。國內金融企業為了生存，爭奪優質客戶，必須打破原來封閉的環境，從以自我為中心走向以客戶為中心。從具體實施上看，各家金融機構都在增加金融產品品種、提高金融服務的質量，而這一切的基礎就是金融信息化建設。

現在國內商業銀行的計算機網絡是一個樹形的拓撲結構: 總行連接到省分行、省行連接到區縣一級的支行、支行與分理處及各類銀行自助設備相連。同時銀行網絡對外連接著電信、證券、稅務甚至每個家庭水電氣費等的支付。另外，銀行之間大量的數據交換也依賴網絡的互聯，以實現高效的資金清分和清算。這些使得風險產生的機會加大。

《導刊》：現在國內銀行紛紛在搞數據大集中，您怎么看待大集中的安全問題？

屈：目前大多數銀行做的數據集中就好比把自己送到了火山口上。為什么？數據大集中使用千萬個計算機終端和網絡連接成的一張縱橫交錯的數據網，萬一計算機出現故障，或網絡癱瘓，那全國銀行就都沒法開張了，這不等于是坐在“火山口”上嗎？

《導刊》：各銀行在數據集中的同時，不是專門建有災難備份中心嗎？

屈：是啊，災備中心大家都建了。但新的問題又出來了，銀行災備中心不能稱為真正的災備中心，而是建成了第二個工作中心，不僅數據、機器要拷貝一份，連人員、應用也得拷貝一份，成本高不說，兩個工作中心也不現實。

出現這個現象的根本原因就是，數據大集中沒有將數據與應用分離。真正的災備中心只有分離出來的數據的拷貝，應用是不跟著走的。因此銀行應該在建災備中心之前，拿出一至兩年時間真正地整合、分離其數據，那才是有意義的數據大集中。

《導刊》：這是否意味著信息化帶來了新的風險？

屈：的確如此，這就是信息化的“代價”。

《導刊》：與傳統風險相比，信息化如果實施不到位，將給銀行帶來的風險有哪些？

屈：在實施信息化之前，銀行有3大風險：信貸風險，操作風險和市場風險。但現在“信息化風險”成為銀行面臨的第4大風險，它已經從操作風險中單列出來。因為操作風險是指在銀行業務運作流程的控制上出現的風險，而信息化帶來的風險已超出了這個范疇。

信息化帶來的風險不勝枚舉，而且危害極大。以前劫匪搶運鈔車至多也就可以搶走幾十萬、幾百萬，現在的網絡犯罪則可能通過互聯網在彈指之間使幾千萬甚至上億的資金灰飛湮滅。而且，隨著計算機知識的日益普及，黑客呈現系統化、組織化、盈利化的趨勢，計算機犯罪案件逐年增加。

據統計，美國銀行業由于網絡安全而導致的計算機系統每次宕機的損失平均為1000萬美元；美國證券公司或基金公司每小時的產業停機時間成本是64.5萬美元。國內的金融系統也不例外，系統意外死機、黑客入侵、部分不法分子直接利用系統的安全漏洞實施犯罪的案例時有發生。

《導刊》：信息化除了對銀行的風險控制能力提出了新的挑戰，對銀行的自身管理能力有什么影響？據了解，現在很多銀行都是做手工賬與電子賬“兩套賬”。

屈：實施信息化的重要初衷之一就是提高企業管理的效率，但有時候事與愿違。“兩套賬”當然不是出于銀行自愿，只要風險問題沒有從技術上解決，就不敢完全無紙化。我國信息化建設所處的這個階段，估計10年之內都規避不了像“兩套賬”這樣的權宜之計。只要信息化的安全不能讓人放心到幾乎100%的程度，紙的這種備份形式就不會完全廢除。

全面實現監管現代化

《導刊》：有風險就要有監管，銀行的信貸風險是由央行來監管，那么，信息化帶來的風險，由誰來監管？

屈：嚴格來說，銀行信息化風險目前沒有明確的監管。雖然中國人民銀行有科技司，但它的全稱是“支付科技司”，主要管支付科技，但是對于信息化以及相關的科技監管目前還是空白。

理論上講，新成立的銀監會應該承擔起對銀行信息化的監管職能。但是，我們一定要走出一個誤區，那就是，無論誰來管，重點應該是制訂游戲規則，即框定范圍、設立標準，制定相應的法律、法規和政策，而不是要你去管哪家銀行用什么類型的產品、用什么樣的軟件，選哪個服務商。

現在，我國銀行信息化的監管有兩大“特點”：首先，監管對象在網內，監管者卻在網外。我們所謂的監管就是看看報表，查查賬，再就是多安些攝像頭等。信息化前和信息化后的主要區別大概就是，原來審查時是看紙張，現在則“發展”為看電腦屏幕。這有根本性改變嗎？

其次，在網內，信息技術使得數據的更換、服務的提供以“光速”計算；可在網外，監管者卻是“人速”——我們的審計不就是以3個月、甚至半年一次的頻率進行嗎？這兩個速度間的差距之大，使得所謂監管形同虛設。舉個例子，國內某著名金融企業，花數億元買了個大服務器、安裝軟件、采錄數據，完成數據集中后，結果其數據庫的利用價值僅在于偶爾的備查和統計，因為這大量的數據最終還是用“人眼”、靠“人速”來讀取，效率之低下可想而知。何況根本就沒人會看，必然埋下隱患。這就是為什么會出現類似中國銀行的“開平之劫”的原因。

實際上，不僅金融行業的信息化監管處于這個狀態，電子政務、電子商務、工商、稅務、審計乃至社會治安的信息化皆同此理。

《導刊》：你認為怎樣才能對信息化進行有效監管？

屈：為了實施有效的監管，我們提出了在信息化的進程中實現監管現代化。第一，能跟上信息化速度的監管才是現代化監管，才是有效的監管。第二，對信息化的監管也應該具有網絡化、電子化的水平。第三，監管銀行信息化的最大特點是“對監管的監管”。

根據新巴塞爾資本協議中內部審計法的要求，銀行的內部信息必須透明，要有規范的自我披露制度、市場紀律等。也就是說，銀行首先要根據本國本地區的法律、法規和國際慣例建立內部監管機制，實施有效的內部監管。以前我們喊了多年的內控機制、內部審計大都流于形式，沒有發揮作用，外部的監管者只需要對銀行內部監管的結果進行“再監管”，看銀行的的自我監管是否到位。這就是所謂“對監管的監管”，也是有現代化特征的監管模式。

具體而言，現代化的銀行監管就是要求對信息流的監管要與信息流本身同步。

《導刊》：那么，銀行的信息流從原始票據的形式轉為電子數據形式的這一步，該如何監管呢？

屈：對于ATM、電話銀行、網上銀行、呼叫中心等，銀行從原始數據一開始生成就要實施監管，這是多層次、全環節、全過程的監管，并不是僅僅監管一個結果。就像質量監督體系一樣，一條業務流水線，同時跟著一條監管流水線。最后，再把監管與業務匹配起來。

《導刊》：也就是說，監管要從銀行職員在鍵盤上敲入第一個數字開始？

屈：實質上就是包括對數據與行為兩個方面的監管。

監管現代化的條件

《導刊》：監管現代化對于銀行信息化的意義是什么呢？

屈：它是銀行改革的核心內容。現在銀行和其他領域經常提到的信息安全問題，最根本的在于對信息化的現代化監管，沒有現代化監管的信息化不僅談不上是真正的信息化，而且比沒有信息化更可怕。如果沒有抓住這個核心，那么我們建出來的只能是火山口上的信息化。

目前，國務院信息化辦公室的一個重要課題，就是研究在網絡時代，從國家安全的角度來建立信息監管的現代化，其著眼點和著手處就是金融、財政、稅收和司法4個環節，可見，對金融行業的監管現代化是國家信息監管的重要內容。

《導刊》：目前信息技術能夠滿足監管現代化的需求嗎？

屈：從技術上說，計算機要做到這一點并不難，只是原來沒有做而已。例如現在銀行營業廳的每個柜臺都有電視攝像頭，雖然這只是淺層次的監管，但也是必要的。

更深層次的監管不是攝像頭，而是每一臺計算機里面都有一個“監管者”，也就是現在最新的“代理技術”（Agent技術），我們把它形象地叫做“探子”。這個技術可以開發成軟件，安裝在每個終端上。有了這個Agent，無論你在網絡里干啥，它都能跟著，而且“看”得一清二楚。

Agent技術有四大職能為：鍵盤記錄、屏幕抓取、網絡監管、遠程控制。信息爆炸時代，當人看信息、監管信息忙不過來時，就可在網絡里雇個“代理”。

《導刊》：實現監管現代化除了技術以外還需要什么？

屈：一方面要儲備人才。確保信息安全中很重要的一點是人員素質，管理人員的安全意識、技術水平將直接影響整個系統的安全性。我們已經有了許多成熟的安全技術、安全產品，但能否讓這些技術和產品在實際應用中充分發揮作用，關鍵在于如何規劃、組織、配置，這些都是和管理人員及工程技術人員的素質分不開的。因此，應該加強人才培養力度，根據信息安全的特殊性和各種不同人才需求層次，進行有針對性的培訓，為金融信息安全建設培養一支實力強勁的專業隊伍。現在高等院校計算機專業的教育脫離了我國信息化建設的實際需求。比如，為了研究、開發和推廣Agent技術，我們應在全國的十幾所大學就此專門開課或開設課題。

此外，最為關鍵的仍是加強信息化風險意識。銀行應該真正把信息技術安全管理放到與銀行基本業務管理同等重要的位置上，并相應設置專門的安全保障部門，還要將信息技術風險作為銀行經營風險的一部分。

不安全的信息化猛于虎！我們要讓所有銀行切實意識到，沒有現代化監管的信息化效率更低，風險更大，而且破壞性更大，那將是極度危險的信息化，不可控的信息化。