浅谈银行信息安全存在的问题.pdfVIP

SCI-TECHINFORMATIONDEVELOPMENTECONOMY200616211我国银行信息

安全的现状

随着信息技术越来越多地被应用于银行的各项业务，银行面临的信

息技术安全隐患也在日益增加。互联网和电子商务的发展使银行遭受攻击的可能性大大

增加，尤其是相对于发达国家，我国的信息技术还不成熟。首先，从国家范围来看，系统设

施还不完善，无论是信息系统设施的完备性、尖端性，还是其应用的广泛性、多样性，都与

发达国家银行体系存在着差距；其次，信息人才非常缺乏，尤其是缺乏维护银行信息安全的

复合型人才；再次，从国家法律对银行信息安全的保护来看，我国人民银行尽管已经制定了

一些法规，但是其权威性和实际管理力度还不够。近年来，信息犯罪在我国已呈上升趋势，

如果没有强有力的保障，针对银行系统的信息犯罪必然还会增多。目前无论是从管理的角度

还是从技术的角度，银行信息安全存在许多问题，最为核心的问题有：

(1)信息安全的观念、

意识和基础内容尚未深入人心。对银行业信息安全来讲，首要的问题是观念和意识的问

题。从管理层到员工，能否意识到信息安全的重要性，知晓信息安全的基本内涵和在业务工

作中的具体体现是很重要的，目前银行的管理层对信息安全的重要性是重视的，但对信息安

全到底指的是什么知道的并不是很多，因此主要工作还是落到了口头上。在信息安全上，由

于其技术壁垒的原因，容易形成自下而上的推动力，缺乏联动性和群众性。信息安全的基础

至关重要，大部分的核心安全效果并不取决于核心技术，而取决于基本规范的落实和常见的

安全手段的应用。比如说密码的周期性修改和长度的最小设定就是最简单的安全设施，但员

工在执行密码设定时嫌麻烦，执行得不好。信息安全观念的缺乏也是银行安全意识淡薄的重

要原因。

(2)网络安全技术上存在的偏差。应该说，这几年银行在网络安全和主机系统上的安

全投资还是不少的，但也存在一些问题。首先，许多人认为信息安全就是网络安全，最多认

为是计算机的安全，因此把安全防范的责任压在网络上，使网络系统相当复杂，在信息高速

公路上设置各种关卡，漫无目的地围追堵截，最终的结果却是事倍功半。事实上从根本上来

讲，真正确保的是信息，要防范的也是信息，因此防护源头是最重要的，也就是金融信息本

身的采集、存储、处理、分析、增值的安全是最重要的。在应用程序安全、主机操作系统安

全、存储安全、管理安全以及人力资源安全等方面下大功夫，盲目依赖网络安全是舍本取末。

(3)重视工具投资而忽视管理投资。网络的安全投资不完全是安全产品和工具的投

资，还应包括策略、操作流程和应急处理机制等方面的投资。安全产品和工具的使用应有相

应配套的流程管理机制，否则报警无人处理，入侵无人响应，效果并不好。但是要建立合理

的流程管理机制也同样需要投资，如流程资讯投资等等，这些投资和整个安全系统的完整性

息息相关。但在目前的银行信息安全建设中，这方面的投入还不是很多，整个安全的思路还

局限在技术层面上。

(4)银行的应用软件很薄弱。银行的应用软件是整个信息的载体，软件的安全质量

是非常重要的，目前银行业的软件开发体系，包括软件开发生命周期和项目管理体系比较注

重功能、速度和市场，而较少优先考虑安全。现在发现那么多安全的漏洞，包括技术和管理

上的漏洞，其主要

问题出在软件生产的质量上。银行的核心应用软件大多都是银行自行开发，由于技术、

管理以及实效等方面的原因，安全问题如果在软件设计和开发中未认真考虑，其后果是难以

想象的。

(5)银行的信息数据管理存在安全漏洞。大型银行的应用系统大多应用在主机上，操

作系统也相对封闭，其信息的储存相对安全。但是各银行的信息管理数据在管理上存在较大

的风险，这些数据包括各种核心的业务报表、客户关系数据、办公电子功能、风险控制信息

等等，这些信息在系统上通过开放的IP网络传送，由于系统的安全漏洞较多，病毒容易侵

入，管理信息的损失有时候比业务数据的损失后果更严重。这些数据的安全性尚未引起足够

的重视，很少有银行考虑采用安全操作系统，安全文件系统也很少在管理信息技术传输前进

行加密。这方面意识不强，技术关注不够，投入不多，也将可能给银行带来损失。

(6)灾难防范是当务之急。随着数据的大集中，安全风险也集中了，一个数据中心

往往管几个甚至十几个的金融信息处理，直接关系到