(四)、銀行業(yè)信息的安全形勢(shì)嚴(yán)峻
我國的金融信息化經(jīng)過20多年的發(fā)展已初具規(guī)模。一方面，信息化已成為銀行機(jī)構(gòu)提高勞動(dòng)生產(chǎn)率、促進(jìn)金融業(yè)務(wù)創(chuàng)新和提高管理水平的主要推動(dòng)力；另一方面，信息化程度越來越高也使得信息安全工作日漸成為金融機(jī)構(gòu)的命脈。毫無疑問，信息安全已經(jīng)成為目前我國銀行信息化工作的核心問題之一，各家銀行機(jī)構(gòu)都在信息安全工作方面投入了大量的人力、財(cái)力和物力，并取得了不俗的成績。據(jù)不完全統(tǒng)計(jì)，“九五”期間我國銀行信息安全建設(shè)投資額為32億元，占當(dāng)
期信息化建設(shè)投資總額的7．1 6％。然而，我國的信息安全建設(shè)水平在{醍人程度上仍滯后于信息化建設(shè)水平，面臨著許多問題。為了滿足業(yè)務(wù)的進(jìn)一步發(fā)展，提高行業(yè)競爭力，近幾年來，我國各大銀行紛紛從原有的數(shù)據(jù)分布式處理模式，
逐漸轉(zhuǎn)向了數(shù)據(jù)大集中處理模式。隨著這一進(jìn)程的不斷推進(jìn)，數(shù)據(jù)集中為各金融機(jī)構(gòu)帶來的收益是巨大的，其優(yōu)勢(shì)不言而喻。同時(shí)，電子、通信及軟件技術(shù)的發(fā)展，對(duì)以信息為主體的銀行業(yè)的發(fā)展產(chǎn)生了巨大的沖擊。在網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境下，由于數(shù)據(jù)高度集中，銀行在經(jīng)營過程中除了面臨傳統(tǒng)金融業(yè)務(wù)所具有的風(fēng)險(xiǎn)外，各種風(fēng)險(xiǎn)也不斷的凸顯出來。近年來這些風(fēng)險(xiǎn)已在各銀行的業(yè)務(wù)實(shí)踐中不斷的得到了驗(yàn)證，輕者降低了銀行業(yè)務(wù)的服務(wù)水平，阻礙了業(yè)務(wù)的正常發(fā)展；嚴(yán)重的則導(dǎo)致了大范圍、長時(shí)間的停業(yè)，使銀行面臨著更大的信用危機(jī)和惡劣的社會(huì)影響。
l、銀行業(yè)信息化風(fēng)險(xiǎn)的特點(diǎn)
信息化服務(wù)產(chǎn)生的風(fēng)險(xiǎn)與其他領(lǐng)域的風(fēng)險(xiǎn)相比，具有其自身的特點(diǎn)。對(duì)于銀行業(yè)而言，信息化風(fēng)險(xiǎn)具有金融數(shù)據(jù)、客戶數(shù)據(jù)高度集中，服務(wù)對(duì)象構(gòu)成多樣性及物理分布廣泛，風(fēng)險(xiǎn)發(fā)生時(shí)影響較大；風(fēng)險(xiǎn)出現(xiàn)有不穩(wěn)定性；對(duì)風(fēng)險(xiǎn)的估計(jì)或防范手段不足等特點(diǎn)。因此，其信息化服務(wù)一旦中斷，單純用企業(yè)經(jīng)濟(jì)損失來度量是遠(yuǎn)遠(yuǎn)不夠的：狹義的看，服務(wù)質(zhì)量下降；廣義上，對(duì)社會(huì)、國家的政治、經(jīng)濟(jì)安定都有直接的影響。另外，根據(jù)IDC的統(tǒng)計(jì)，企業(yè)中信息化相關(guān)服務(wù)的中斷有78％以上是由于人為因素造成的，也就是說4／5以上的服務(wù)中斷是日常的維護(hù)工作所造成的，例如：應(yīng)用軟件由于增加新功能所作的變更、硬件結(jié)構(gòu)變化或升級(jí)；系統(tǒng)維護(hù)過程中不正確的判斷或處理等。而這些負(fù)面后果，無一例外，都不是變更實(shí)施人所預(yù)期的(惡意破壞除外)。隨著這幾年金融業(yè)信息化大集中的進(jìn)展，國內(nèi)各銀行信息化服務(wù)大范圍中斷的案例頻繁發(fā)生，通過事后分析，生產(chǎn)數(shù)據(jù)缺乏備份機(jī)制、IT架構(gòu)前期規(guī)劃不合理等漏洞也是風(fēng)險(xiǎn)凸現(xiàn)的一個(gè)重要原因。信息系統(tǒng)安全、平穩(wěn)、可靠的運(yùn)行，是銀行業(yè)系統(tǒng)安全的重要保障，軟硬件的故障、基于信息技術(shù)帶來的技術(shù)風(fēng)險(xiǎn)，不僅會(huì)帶給銀行直接的經(jīng)濟(jì)損失，還會(huì)影響銀行形象以及客戶對(duì)其的信任，引發(fā)一系列的法律風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)等。
2、信息網(wǎng)絡(luò)系統(tǒng)本身存在風(fēng)險(xiǎn)
目前，網(wǎng)上銀行、手機(jī)銀行、流動(dòng)銀行、在線支付等新業(yè)務(wù)已成為各個(gè)銀行競相開展的新業(yè)務(wù)領(lǐng)域。但是隨之而來的利用手機(jī)短信和虛假網(wǎng)站等手段進(jìn)行銀行交易的詐騙事件也頻頻發(fā)生，引發(fā)了人們對(duì)銀行業(yè)信息系統(tǒng)安全問題的普遍關(guān)注。從信息網(wǎng)絡(luò)系統(tǒng)本身來看，其存在風(fēng)險(xiǎn)的主要原因有：
(1)TCP／IP協(xié)議本身有缺陷，而且網(wǎng)絡(luò)上的協(xié)議大部分都是TCP／IP協(xié)議，有經(jīng)驗(yàn)的黑客就會(huì)利用TCP／IP的缺陷攻擊銀行業(yè)的各種應(yīng)用系統(tǒng)。網(wǎng)絡(luò)經(jīng)濟(jì)條件下，銀行進(jìn)行網(wǎng)絡(luò)金融交易必須依靠計(jì)算機(jī)，依靠Internet，所有的交易資料都存儲(chǔ)在計(jì)算機(jī)上，通過互聯(lián)網(wǎng)傳遞的信息很容易成為眾多網(wǎng)絡(luò)黑客的攻擊目標(biāo)。隨著銀行業(yè)信息化的發(fā)展，金融業(yè)務(wù)的增多以及金融終端向社會(huì)延伸，黑客攻擊和網(wǎng)絡(luò)金融發(fā)生技術(shù)性風(fēng)險(xiǎn)的可能性越來越大，危害越來越嚴(yán)重。
(2)銀行業(yè)內(nèi)部網(wǎng)上有些數(shù)據(jù)沒有加密或只有簡單加密，現(xiàn)有不少軟件工具對(duì)此只能進(jìn)行攔截和監(jiān)聽。而計(jì)算機(jī)病毒的入侵往往會(huì)造成網(wǎng)絡(luò)主機(jī)系統(tǒng)崩潰，帶來數(shù)據(jù)丟失等嚴(yán)重后果。計(jì)算機(jī)病毒普遍具有再生異化功能，可通過網(wǎng)絡(luò)進(jìn)行擴(kuò)散、傳播。如不能對(duì)病毒進(jìn)行有效防范，將毀壞所有數(shù)據(jù)，給銀行系統(tǒng)帶來致命威脅。
(3)信息系統(tǒng)規(guī)劃考慮不周，沒有長遠(yuǎn)打算，服務(wù)類型、范圍、權(quán)限、可擴(kuò)展性等設(shè)置都不合理。我國目前銀行信息化的整體結(jié)構(gòu)不夠完善且相當(dāng)凌亂：銀行與相關(guān)領(lǐng)域的信息系統(tǒng)互聯(lián)、互通和互操作依然未能很好的解決，信息孤島現(xiàn)象產(chǎn)重；銀行業(yè)信息系統(tǒng)備份體制不完善，系統(tǒng)可靠性服務(wù)保障欠缺．業(yè)務(wù)連續(xù)性與應(yīng)急措施不夠，抗擊災(zāi)害的能力有待加強(qiáng)。
(4)不同廠商不同產(chǎn)品集成時(shí)，安全問題會(huì)變得相當(dāng)復(fù)雜，很容易出現(xiàn)聯(lián)接或配置錯(cuò)誤，導(dǎo)致出現(xiàn)未授權(quán)的非法訪問。例如，在客戶信息的傳輸中，如果使用的系統(tǒng)與客戶終端的軟件互不兼容，就可能導(dǎo)致傳輸中斷或速度降低。甚至于銀行選擇何種金融解決方案，都會(huì)面臨潛在的風(fēng)險(xiǎn)，一旦選擇錯(cuò)誤，可能造成巨大的技術(shù)機(jī)會(huì)損失，商業(yè)機(jī)會(huì)損失，使銀行的競爭力處于劣勢(shì)。
3、銀行業(yè)信息風(fēng)險(xiǎn)防范缺乏多層次、多角度的考慮對(duì)于銀行業(yè)而言，適應(yīng)大集中的信息化架構(gòu)勢(shì)必非常龐大而復(fù)雜，從物理分布來看，涉及多機(jī)構(gòu)、多層次的信息化設(shè)施；從技術(shù)方面考慮，綜合了應(yīng)用系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫等多方面組成部分，而這些方面的任何一項(xiàng)缺陷，都會(huì)影響到整體信息化架構(gòu)，需要
運(yùn)作一個(gè)同樣龐大而復(fù)雜的組織機(jī)構(gòu)，如果因?yàn)槿藛T分配、管理制度、作業(yè)流程等方面發(fā)生差錯(cuò)，同樣會(huì)給整個(gè)信息化系統(tǒng)帶來很大的風(fēng)險(xiǎn)。因此，如果要對(duì)風(fēng)險(xiǎn)進(jìn)行有效的管理和防范，就技術(shù)而言，要對(duì)系統(tǒng)、網(wǎng)絡(luò)、存儲(chǔ)多方面提出安全防范方案并實(shí)施災(zāi)難備份方案；就整個(gè)企業(yè)而言，就要對(duì)所涉及的人力資源、規(guī)章制度、后勤保障等方面進(jìn)行全方位多層次的妥善考慮，缺一不可。正如有名的木桶效應(yīng)所形容的，各方面的風(fēng)險(xiǎn)正如木桶的每一個(gè)木條，即使大部分風(fēng)險(xiǎn)防范都做得很完美，而一個(gè)極小的不足(即最短的木條)，將直接導(dǎo)致信息化架構(gòu)的
整體安全性能下降(原意為桶的容量)從銀行業(yè)信息化起步的第一天起，安全就成為一個(gè)永恒的重要主題。當(dāng)“0”和“l”成為貨幣的主要表現(xiàn)形式，當(dāng)計(jì)算機(jī)存儲(chǔ)系統(tǒng)內(nèi)保管的虛擬財(cái)富超過了任何一家銀行的實(shí)體金庫，當(dāng)數(shù)以億計(jì)的資金
以信息流的形式跨越不同地區(qū)、不同國度甚至于不同半球高速流轉(zhuǎn)時(shí)，銀行業(yè)信息安全實(shí)際上已經(jīng)成為銀行業(yè)安全的核心部分，成為關(guān)系到銀行業(yè)生死存亡的關(guān)鍵性問題，同時(shí)也是整個(gè)國家經(jīng)濟(jì)安全和國民經(jīng)濟(jì)的穩(wěn)定運(yùn)行的重要保證，切實(shí)加強(qiáng)銀行業(yè)信息安全管理已成當(dāng)務(wù)之急。