中国的银行信息化须先解决标准化问题
来源:国脉电子政务网 更新时间:2012-04-15

   中国的银行信息化进程中的信息安全监管职责分工、数据处理集中后的技术风险防范、关键设备国产化率低、网上金融服务的技术风险防范等问题要求银行信息化标准化。

  中国金融机构信息化建设近年来进一步取得显着进展,它对银行的改革与创新、提高金融服务质量和防范与化解金融风险作出了基础性贡献。但是,中国的银行信息化进程出现一些值得关注的问题,这些问题直接影响到信息化的成败,需引起我们高度重视。

  信息安全监管职责需分工明确

  当前,各家银行网上银行、移动银行、电话银行等新型银行服务发展迅速,第三方中介支付清算服务机构等增长很快。这些服务都直接涉及到银行庞大复杂的计算机应用系统的可用性和安全性,与此相关的监管工作主要包括:支撑相关银行业务的信息系统可用性、安全性的审查把关以及合规管理。

  一段时间以来,社会有关方面对国内银行业的信息安全(包括金融信息系统的安全运营)到底是由何部门牵头监管不明确的问题反映较多。有关方面虽已十分重视此问题,但还需尽快协调解决。

  数据处理集中后的技术风险防范

  去一年中,个别金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,产生了很大的社会影响,引起各方面的高度关注,其教训必须引起我们的高度重视。

  这种现象的背后,是金融机构实现集中的计算机数据处理后带来的银行技术风险高度集中的新问题。由于我们完成数据处理集中的时间还不长,全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务连续管理还缺乏足够的经验,系统监控、分析、故障诊断等自动化程度还不高,应对突发事件和系统风险的能力还不强;对电力、通信等外部基础设施的依赖程度很高,抗风险的能力差;关键性技术、产品和服务由少数国外厂商垄断等。

  银行全国数据处理中心的安全运营直接关系到该银行的正常运行,直接关系到经济、社会的稳定。目前,人民银行和四大国家商业银行等绝大多数银行的数据中心和灾备中心都集中选址在北京和上海。从各家银行的角度看皆符合相关规范要求,但从国家宏观的、战略的、长远的角度看,其隐含的安全问题不容忽视。高度集中于北京、上海等大城市,不利于抵御地震、海啸等重大自然灾害,不利于防范未来可能发生的战争、恐怖袭击等重大突发事件造成的风险。

  建议国家和金融业进一步将金融信息安全保障工作列入重要议事日程,切实采取措施予以保证。国家应给予优惠政策,支持银行金融机构落实关键的信息安全措施,包括引导和支持在西部经济相对较发达地区建立金融灾备中心,合理建设金融同城数据中心和异地灾难备份中心等。应在加强监管、督促银行落实防范信息技术风险的同时,积极支持适宜的社会力量参与,充分调动其积极性,进一步按照市经济规律,提高金融信息安全保障工作的效率和质量,降低建设与运营的成本。

  关键设备国产化率低

  目前,国内银行信息化所用的大型主机、高端服务器(小型机)、高端网络设备、存储设备以及系统软件、相关技术服务等,基本上依靠国外,仅在PC 服务器、低端网络设备及部分技术服务方面使用国内产品。同时,在银行通信网络建设中,大量使用了国外某公司的产品,而该公司在其产品中大量使用自己的私有通信协议,造成较大的安全隐患和事实上的垄断,也不利于网络设备的国产化。

  建议国家进一步重视相关信息产业的发展,切实提高信息技术关键产品,包括高端服务器(小型机)和高端网络通讯产品的研发与生产能力。研究成立相关国产设备孵化应用示范基地和相关工程研究中心的必要性和可行性,积极推动中国银行业信息化从设备到系统解决方案的国产化进程。

  网上金融服务的技术风险防范

  * 网上银行的信息安全问题

  网上银行是互联网在银行业务上的重要应用,是当今金融创新重要的内容,也是银行业竞争的主要服务领域之一。过去一段时间国内出现的网上银行的欺诈、盗窃资金等犯罪案件,应引起我们的高度重视。

  网上银行使银行的核心业务系统不可避免地与为客户服务的互联网连接在一起,在给客户提供空前方便、快捷的金融服务的同时,也产生了新的技术风险和金融风险。互联网上新的、多元化的安全威胁手段与途径不断出现,还没有有效的技术手段事前防范病毒、黑客、自助设备作案等的发生。网上银行的安全性成了决定成败的关键。

  我们应充分认识到:高度方便、快捷的互联网应用与信息的安全性、隐私性永远是一对矛盾,不能幻想”一劳永逸“地彻底解决。全世界的银行业都面临这个难题。从1995年网上银行诞生以来,美国等发达国家的主要商业银行都一直在致力于解决网上银行的信息安全问题。中国的银行金融机构在这方面作了大量的、有特色的工作,包括数字证书、USBKey(优盾)等的应用,构建了网上银行的安全保障平台,促进了国内网上银行的迅速发展。如何在网上银行如此众多的客户中,采取更加有效、方便、经济合理的信息安全防范手段,将是中国银行金融机构长期面临的管理、技术挑战,绝不可掉以轻心。

  * 移动(手机)银行的信息安全问题

  手机通信是中国发展最快的通讯领域,目前用户已达5亿以上,超过了固定电话的装机数。手机通信无可替代的方便性,使之不可避免地将迅速应用于金融服务。手机银行正在成为银行金融服务创新的重要产品之一,这也是中国银行业赶超世界发达国家先进银行服务的一个很有希望的领域。

  通过手机银行,可实现在手机上的账户查询、转账、汇款、缴费、外汇买卖、银证转账、信用卡等业务,其发展前途取决于两大因素:一是移动通信的资费及相关手机价格的市场接受性;二是其业务的安全性,包括手机银行的资金安全性、数据传送的完整性、客户个人信息、银行账户等私密资料在传输时的不可泄露性、以及手机丢失后相关资料的不可窃取性等。

  国内很多商业银行正积极开拓手机银行业务,采取全系统全程端到端数据加密等方式确保其信息安全性。应看到,这是一个新兴的领域,与网上银行一样,面临着应用的方便性与安全性相矛盾的难题。

  在此进程中,建议进一步加强互联网和移动通信安全理论方法的研究与创新,并以此为基础,研究与开发适应我国国情的安全技术与产品、制定相关的技术标准与规范、提出适应包括跨行业务在内的系统安全技术解决方案,处理好相关各参与方的责权利问题。

  外包机制的风险控制

  探索与实施信息化建设与运行维护向国内外相关IT企业开放外包服务,是中国银行业重视信息化建设的效率与质量、强化建设与管理机制改革的重要内容之一,也标志着信息化建设进入新的发展阶段。

  国内的一些银行金融机构在这方面已做了大量工作,加快了创新业务的发展,学习与借鉴了国内外的好经验,节省了成本,提高了维护、管理水平等。与之同时,我们也应看到存在的问题与风险。

  首先是这方面的监管法律法规不健全,相关的金融信息安全的监管要求缺位,如银行何种业务可以外包、何种业务不可外包、何种业务不可外包给国外厂商,以及何种业务经过批准可以外包等,都缺乏清晰、明确的规定。再如,银行的数据处理中心可否外包给外资企业、可否放置境外等,也都缺乏明确的、严谨的法律、监管规定。对此,日本、韩国等都明确规定,其银行的数据处理中心不能放置境外。

  同时,银行的信息化建设或运维管理外包后,如何切实依法加强对承包商的协调与管理也存在不少问题。如何切实保证IT系统的可用性和安全性,如何切实保证银行核心数据和敏感资料的安全和保密等。建议国家和相关监管部门高度关注,从建立和完善相关法律、法规入手,一方面积极支持银行这方面的改革,按市场经济规律办事;一方面切实加强监管,防范产生新的风险。

  支撑服务产业化程度低

  当前,我国各家银行的核心业务系统及几乎所有服务产品的信息系统,都是各家银行自行组织单独设计、开发的,个别银行整体引进了如信用卡等产品的国外系统,每家银行的信息系统尤其是应用软件系统等都是定制的、非商品化的。这种情况甚至扩展到国内的城市商业银行和农村信用社,必然造成信息化建设投入高,开发周期长,运行维护难等问题。即便全国性大银行还能承受,规模较小的城市商业银行和农村信用社等中小金融机构也难以承受,而且这对其也十分不合理。

  与之同时,长期提供定制的技术支持与服务,也导致国内外的IT厂商报怨产业化程度低、效率低,难以在国内形成产业化规模,难以提高服务水平、降低成本。这严重不利于我国银行信息化的发展与进步。

  造成上述问题的原因是多方面的,是国内未实现工业化、现在又面临信息化历史重任不适应的现象之一。银行信息化的实践教育我们,重要原因之一是金融标准化工作不适应业务及信息化发展要求:各家银行的业务规范、管理规范都不一致,包括金融业务的基础数据元、管理工作的基础数据元等都没有规范化、标准化。相关的业务管理流程等更不规范。在此基础上只有各行自己单独设计开发应用系统,而无法采用商品化、成熟的应用系统经过客户化形成自己的系统。

  因此,建议相关金融监管部门高度重视金融标准化等基础性工作,切实加强领导,组织力量认真总结信息化的经验与教训,协同攻关,高瞻远瞩地解决好这些影响深远和整体效益的基础性问题,会有效地促进中国金融信息服务产业的发展。

  各商业银行基本完成了数据全国集中处理(称为数据大集中),进一步建设完善了新一代核心业务应用处理系统。银行金融服务创新加快,服务水平进一步提高。重要的标志是银行卡的应用和网上金融服务的迅速发展。