【IT168 信息化】

　　经济社会发展对信息化的要求和依赖程度越来越高，面临激烈的竞争，包括物联网、云计算在内的信息技术迅猛发展，不仅极大加速全球化进程，而且正在飞速改变金融行业的发展方向和形态，在这场深刻的技术变革中谁能在信息化上先人一步，高人一筹，谁就能够在激烈的竞争中处于有利的地位，抢占到行业制高点。

▲

　　北京农村商业银行信息技术部副总经理 陈扬宁

　　2010中国金融科技大会在京召开，记者在大会上联系了北京农村商业银行公司（以下简称农商行）信息技术部副总经理陈扬宁，陈扬宁就农商行的信息安全等话题进行了探讨，分享了有关农商行近年来在信息安全方面发展的经验和教训，给我们带来一定的借鉴作用。

　　农商行信息安全的问题和挑战

　　随着近年来金融监管机构对银行业加大监管的力度，同时从2006年到10年逐步出台了有关加强银行业的金融机构信息安全保障工作的一些指导意见，包括2007年信息安全等级保护管理办法，以及2009年商业银行信息科技风险管理指引，从制度方面，包括实际行动方面，逐渐加深对银行业信息安全的监管，同时对银行业的信息安全进行了更高的要求。

　　在区域银行信息安全建设方面整体的水平相对落后于股份制商业银行，主要表现在，因为股份制商业银行经过2004年、2005年左右核心系统、后台管理系统的一些改造开发，信息化发展水平相对比较高，同时信息安全体系相对比较健全。而我们区域银行在这方面主要体现在，我们整个信息化建设的发展是落后于业务的发展，因为涉及到一些投入，涉及到一些信息方面的议程，所以整个投入上、发展上依然落后于股份制银行，而且还落后于自身业务的发展，因为在这方面我想很多区域银行逐渐逐年在信息化方面加大投入。

　　其次，随着区域银行业务的发展，安全的隐患出现。如原有的机房的选址，安保措施、供电等等，无自身的异地备份中心。因为前期没有灾备中心，数据中心发生断电的情况，数据就面临写危险。其次对信息安全的缺乏意识缺失，比如对诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再就是在整个相对来说区域银行未来发展网银，我们自己认为安全要求比较高，从我们分析来说，我们安全做得跟股份制银行来说做得比较好，其实是我们自己的网银这一块知名度不高，所以很少人关注这方面发生的案件。但是随着业务的发展，银行知名度的发展越来越提高，越来越关注你的网银，关心你的业务的时候，你的电子渠道的一些隐患，安全隐患逐渐就会提到更加高的高度上。

　　第三、运行维护方面，因为区域性银行相对技术管理能力不足，目前较多依靠系统承包商，人力风险明显。这几个方面，我们认为区域银行这一块还是跟股份制相比差距还是比较明显。

　　在整个信息安全的风险发展趋势来看，随着业务的开放化，在网银、电子银行等业务渠道对互联网的开放，对整个信息安全的管理、技术控制提出了更高的要求。还有一些关于互联网访问终端的无意识的信息泄露，造成攻击等等，都可能对整个区域行业的发展带来一些安全的隐患。攻击的成熟化，因为现在有很多大量的自动化的攻击工具可以在互联网上下载，造成整个攻击的成本逐渐下降。从分析来看，发现遭受的攻击越来越多，手段和方法也更多了，对我们的要求更高了。

　　软件的多样化使漏洞数量超过了操作系统，对于整个应用系统来说补丁怎么打？利益的驱动，这方面无论是区域银行还有所有银行都面临这个问题，包括股份制商业银行都是这样，还有内部员工、第三方人员，掌握一些信息权限等等，谋取一些非法的收入。

　　信息安全建设的关注点趋势也发生变化传统的基于网络的防护依然是基础，但是关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。高效的信息管理，安全的信息管理已经成为区域银行需要密切关注的问题。

　　其次区域银行也开始重视评价信息安全的风险，关注信息安全的监控和综合分析。随着危险不断的变化，使区域银行在安全方面的投入更加注重长期性，而不是短期的一次性投入，因此以技术平台支撑的合规管理工作正在越来越受到重视。最后业务的发展对系统和数据的高可靠性要求不断提高，安全威胁的破坏性越来越大，区域银行需要在系统和数据的可控性方面不断优化和改进。这一点从奥运会开始，这方面相关的问题越来越提上比较高的高度上。