大數據時代考驗金融安全

6月6日，美國《華盛頓郵報》披露稱，過去6年間，美國國家安全局和聯邦調查局通過進入微軟、谷歌、蘋果、雅虎等九大網絡巨頭的服務器，監控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。

此事件讓人們對互聯網再次提高了警惕，大數據是互聯網時代的重要特征，其發展方向是數據共享和數據開放。隨著云服務的推出，很多互聯網企業把一些敏感數據放在互聯網云端，通過對數據的挖掘、分析，最后形成有用的信息。在互聯網金融的大環境下，這將對信息安全，包括資金安全提出更大挑戰。

小隱私中的大隱患

從近期的案件分析來看，犯罪分子更多把目光放在數據挖掘和數據分析上，互聯網金融的發展使他們容易竊取到一些更精準的企業信息和個人信息，作案成功率也會更高。

類似于已被人們熟知的信用卡欺詐、套現洗錢等事件還在不斷發生。而且從互聯網到手機，從電話到電視，從pos機到pad，第三方支付渠道愈加增多。互聯網金融最基本的核心還是金融的屬性和金融的特性，所以還是要以金融的風險管理角度來直面互聯網金融所帶來的風險。

中國金融認證中心助理總經理王梅認為，金融機構在面臨這些信息安全隱患時，需要加強新技術和新應用這方面的研究。隨著現在銀行業務不斷的創新，電子銀行的渠道也越來越多，復雜度越來越高。銀行金融機構要從業務架構和技術架構兩方面人手，考慮如何更好的融合。尤其是信息安全建設方面，系統建設要同時啟動規劃、開發、測試、上線，要充分認識重視信息安全。最重要的是加強信息安全的宣傳、引導，尤其是電子銀行安全方面的引導。

“很多時候，客戶發生信息泄露事件，是客戶自身對信息安全意識不足。”一位銀行人士表示，對于一些詐騙信息，百姓應分辨清楚，不輕信對方。

中國互聯網絡信息中心（CNNIC）發布的《2012年中國網民信息安全狀況研究報告》顯示，我國信息安全狀況不容樂觀，而網民對信息安全危害意識程度不夠。

有84.8%的網民遇到過信息安全事件，在這些網民中，平均每人遇到2.4類信息安全事件。在眾多信息安全事件中垃圾短信和手機騷擾電話發生比例最高，分別有68.3%和56.5%。而“欺詐誘騙信息”、“假冒網站”等新型信息安全事件甚至超過了部分傳統信息安全事件。38.2%的網民遇到過“欺詐誘騙信息”，這一比例甚至比傳統的“中病毒或木馬”的網民比例高出15.1個百分點。但在遇到信息安全事件的網民中，高達47.5%的網民不做任何處理，網民對信息安全事件的危害并不了解或不在意。

中國金融認證中心副總經理曹小青撰文表示，對消費者而言，面臨的風險主要包含電子貨幣形式的資金的損失和電子信息形式的隱私泄露兩類。目前看消費者一方風險產生的原因，主要是消費者安全意識薄弱、消費者操作不當、木馬軟件泛濫及黑客攻擊猖獗。

他提醒消費者，要注意保護個人的隱私信息。如電話號碼、家庭住址、身份證號碼、公司地址、E-mail等信息。不要將對自己至關重要的敏感信息暴露在網上；不使用弱密碼，也不在多處使用同一密碼；加強安全支付意識，不在網吧進行支付，不使用公共網絡進行支付；在線交易操作需要反復確認，隨時注意瀏覽器地址欄、彈出窗口的各項內容等細節信息；認清不同種支付方式所面臨的風險，對短信支付、手機銀行支付、信用卡支付等支付方式，要通過設置交易資金限制等方式來降低風險。

業務連續性管理新課題

如果說，隱私泄露帶來的信息安全問題，自己稍加注意便能避免，那如果是因為銀行管理失誤，導致民眾無法正常辦理金融業務，這會讓信息金融時代的民眾最缺乏安全感。

根據中國金融認證中心發布的《2012中國電子銀行調查報告》顯示，中國電子銀行業務連續三年呈增長態勢，68%的用戶使用網上銀行替代了一半以上的柜臺業務，部分銀行網銀替代率超過85%。而40%的個人網銀用戶擁有多個網銀賬戶，最近1年內的網銀賬戶主動開通率為75%；個人手機銀行用戶比例為8.9%，較2011年增長2.6個百分點，連續三年呈增長趨勢。

在此大背景下，各大銀行的信息系統一旦出現問題，將帶來難以估量的損失。

6月23日，中國資產規模最大的銀行中國工商銀行出現系統“癱瘓”，柜面取款、自動取款機、網上銀行、電話銀行等業務辦理均大受影響，多個網點更貼出“機器故障”告示停辦所有業務。此次事件涉及北京、上海、武漢、四川等中國多個省市。

中國工商銀行在內地擁有數萬家營業網點，電話銀行注冊客戶已超過1億戶，短信銀行累計服務客戶達2150萬戶，因此，此次系統故障影響范圍頗大。隨后工行證實事件乃系統升級所致，但此次“意外”已經引起坊間一些過度“解讀”。

7月初，中國工商銀行就6·23事件內部通報指出，故障原因是由于供應商提供的主機版本內存清理機制存在缺陷引發的。小概率，高風險的系統故障再一次將銀行災備與風險管理的重要性凸顯出來，也讓業務連續性管理（BCM）這一普通人覺得陌生的術語浮出水面。

銀行業信息系統承載著金融機構核心業務和金融服務的穩定運行，一個環節出現問題，就可能引發“多米諾骨牌”式的傳遞效應，引發系統性金融信息安全風險，巨大的經濟損失尚且可估算，但對銀行社會聲譽的巨大損失甚至容易引發全社會的恐慌所帶來的巨大沖擊則是不可估量的。

顯然，在6月多家銀行系統故障頻發的現實證明我國銀行業風險管控意識亟待升級。我國銀行業IT應用早已步入集中時代，但在數據和業務系統的連續性管理上，大多金融機構起步較晚，中小型金融機構更是如此。

2008年，現任銀監會副主席郭利根曾就多起國內銀行信息科技風險事件發表講話。他指出，基礎建設滯后、軟硬件及核心技術受制于人和系統管理粗放是當時銀行業信息科技建設存在的主要問題，特別是在業務連續性規劃、業務恢復機制、風險化解和轉移措施、技術恢復方案等方面，存在明顯的“短板”。

從銀行信息化大集中角度看，業務連續性管理貫穿銀行服務始終。從業務戰略層面。統一應急管理工作保障制度、規范應急體系和流程、完善應急管理體系整體規劃、完善信息系統和基礎設施應急預案及必要的演練等業務連續性管理措施應當是銀行業務保障的基礎；規范與業務連續性管理相配套銜接的服務流程，保障管理措施的規范執行是銀行主管部門、執行部門、保障部門都應重視的重要內容；建立預案體系、演練體系和應急體系，明確突發危機場景、技術、手冊等方面的預案，通過積極演練和科學的應急體系維護業務連續性；在IT層面，除了設立科學合理的異地災備與應急體系外，還需建設BCM平臺，全面覆蓋風險分析、業務影響度分析、預案開發和管理、應急演練、應急響應、應急恢復等領域，形成一套完整的IT業務連續性管理閉環。另外，在企業文化方面，也需強調、培訓業務連續性和危機保障的重要性。

對于安全問題，中國人民銀行科技司司長王永紅曾表示，從人民銀行角度來看，金融信息系統與網絡系統出問題，不僅僅是一種經濟安全問題，由于它存在一種共振，有可能從一種單純的技術問題或者說單純的信息安全問題，演變為一種社會政治的穩定問題。