金融电子化

内 容 摘 要

随着改革开放和国家信息化建设步伐的加快，金融业电子化得到快速发展。不仅方便了广大储户，也促进了自身业务的开展。同时在计算机设备、网络、通迅、人员素质等方面也存在诸多亟需解决的问题，一定程度上也制约着金融电子化的进一步发展。金融业应当从整个国家发展的全局出发，制定统一的、切实可行的战略发展规划，加强网络安全建设，提高计算机相关人员素质。建立健全内控制度，加强网上监管。确保金融电子化建设安全、快捷向前发展。

关键词：金融电子化；存在问题；发展方向

目录

1、 操作系统、应用程序、数据库存在的安全风险。2

2、 计算机设备安全问题。3

3、 网络安全问题。4

4、 人员安全问题。5

5、资源共享性差。5

6、 网上银行监管。5

2、加强操作系统的安全管理。6

3、做好网络安全防范工作。7

4、制定科学的数据备份策略。8

5、加强对信息技术人员的管理。8

6、建立健全安全管理制度。9

7、加强网上银行监管。9

4、刘伯西 《浅析银行信息安全体系》， 《金融与科技》2003.711

金 融 电 子 化

近年来，随着计算机及网络通信技术的快速发展，我国金融电子化建设从无到有、从小到大、从单项业务到综合业务，从单一网点到全国联网，已逐步形成了银行电子化建设的基本框架，取得了显著的社会、经济效益。

金融电子化取得的发展。

电子化有力地促进了金融业务的发展，使得银行业务前后台分离，帮助银行建立起一套运作流畅、适用高效的应用平台，为资金清算、客户服务、风险管理、稽核等业务提供技术支持；电子化使银行可以利用电子技术整合银行内部的资源，推动银行管理的优化，从而大幅度提高工作效率和银行效益；电子化可以使现代银行由原来的储蓄、信贷基本业务，向储蓄、信贷、投资、理财、咨询、中间业务等多方向发展，为客户提供更为灵活的的服务；电子化也加快了金融创新的步伐，集中反映在网络金融服务的快速发展上，出现了ATM机、网络银行、移动银行、电子商务等，这促使了许多新兴服务的发展。

电子化发展中存在的问题。

银行内部网络上运行的众多业务系统，多分支、多层次的网络结构，以及复杂的人员构成，决定了银行信息系统安全方面存在以下几方面问题：

操作系统、应用程序、数据库存在的安全风险。

目前，国内计算机操作系统对外依赖性强，没有结合实际应用情况自行开发的操作系统，金融业也不例外，几乎全部采用Unix、Windows等操作系统、IE浏览器等应用软件，这些系统本身存在安全漏洞和缺陷，在使用的过程中需要不断的及时更新，如果这些漏洞和缺陷在更新前被一些不法分子发现，系统就可能被侵入，导致各类案件的发生甚至整个系统崩溃。另外，当国家与国家发生重大争端以致于进入战争状态时，就可能被掌握操作系统源代码国家直接攻击或者被他们利用事先在操作系统中加入的密钥程序直接破坏系统，而使整个金融业瘫痪。

金融业务处理系统在开发过程中也可能存在一定的缺陷，这些缺陷在具体程序的应用过程中可能随时暴发，并给金融业带来一定的危害。在数据库方面，可能由于没有加密或者加密程度不够，而被网络上不法之徒通过网上的计算机直接侵入数系统。尤其是银行内部工作人员的非法行为，对信息系统的安全危害更大。在数据库的参数方面，设置不当更可能影响程序的正常运行。

2002年底，我县基层的一个电子化网点，在当天结帐时，一切正常，而当第二天开工记完帐务后，进行帐务检查，提示总分帐务不平。开始以为记帐错误，恢复数据，重新登记当日帐务，故障依旧。将数据恢复到另一台主机上，问题仍不能解决。与软件开发商山东中创软件公司联系，他们说已将程序源代码交给省信合办，不再提供技术支持。给省办打电话，省信合办没有人员可以解决，联系市区几家兄弟联社的科技人员，均没在遇到过类似情况。没办法，只好自己查资料，反复调试，花费了将近一周时间，终于找到了问题的症结。原来是informix 数据库的一个逻辑锁（lock）参数设置太小，在安装数据库时，选用的是默认参数值，而当数据记录连续增加时，造成数据库不能正常索引，出现一些帐务不能正常登记。而该电子化网点贷款余额达1.2亿元，且小额农户贷款较多，加上贷户归还贷款后，没有及时消户，造成数据库中贷款户记录过多，因此出现不能正常记帐的错误。问题总算得到了解决，但却一定程度的影响了该网点的业务。

计算机设备安全问题。

尽管金融业购进计算机设备时，基本上都是选择IBM 、HP、EPSON、OKI等进口品牌，但并不等于能把故障率降为0%。特别是近两年以来，商家竞相打价格战，使得产品质量有所下降。内存经常出现报警，特别是在冬天和夏天的雨季，只好用橡皮擦内存条上的金手指，将上面的氧化膜擦拭掉。有时候插好内存后，机器平放可以，而机器立起后，内存仍然报警（出现在HP 的D220M机型上）。新购的几台HP计算机，使用不能半年，几块软驱先后出现不能正常备份数据。只好让厂家重新更换新的软驱。而前几年购置的HP计算机，三年之内一般不会出现问题。对于备份介质， 现在根本找不到适合UNIX操作系统的软盘，IBM、SONY等都用不了几次就会损坏。前两年用深圳产的金田磁盘，质量还不错，但不知什么原因，后来改名为汶禹，质量大减。现在不管愿意出多少钱，市场买不到质量好的。电子化营业网点的磁盘经常需要更换。而我们使用的程序在磁盘出错时，有时也提示备份成功，不能保证备份的数据盘安全可靠。

ATM取款机出现的问题更多，有的储户存款被盗取，有的因内部管理不善，在储户取款时，竞然将垫在真币下的点钞纸吐出；有人捡到的多功能医疗卡能在ATM机上多次取款；南方某高校内的ATM机上曾出现取款后帐户余额不减少的情况，一个中午内，几十个大学生支取存款，幸好一个大学生在发现异常后报了案。尽管大部分学生主动退回的取款。但仍有个别大学生不承认多取了存款。不仅暴露出金融机构在管理上的漏洞，也反映了在少数大学生中存一定的道德风险。

网络安全问题。

银行计算机网络一般是租用电信部门DDN、X.25专线和电话模拟专线，由于业务数据利用公共通讯线路进行传输，存在被非法窃取的危险数据的安全性和保密性就受到一定威胁；另外，通讯线路的可靠性不高，网络通讯不稳定，线路本身存在自然老化或人为破坏的因素，影响网络的正常使用，甚至导致部分或全部网络瘫痪，不但会给银行带来很大的经济损失，而且还会影响银行的社会声誉。

在网络环境中，计算机病毒的传播速度更快、扩散更广，几乎达到防不胜防的地步，没有任何人敢断言自已的计算机能不会被病毒感染。病毒的泛滥轻则导致一、两台计算机不能正常运行，重则导致成百上千台机器甚至整个信息系统不能正常运行，银行内部网络上的计算机病毒主要来源于与Internet互联网连接的Windows系统机器，这些被病毒感染的计算机成为银行内部网络上病毒传播之源。

另外，银行内部网络分布广泛，网络设备型号众多，增加了网络安全控制和管理的难度，网络黑客可能利用网络管理上漏洞非法侵入并伺机破坏。同时，随着银行中间业务的兴起，银行与外单位网络互联越来越多，银行与互联网信息交换与日俱增，新兴网上银行更是建立在Interent 互联之上，为黑客入侵、病毒传播提供了方便之门。对网络安全构成极大威胁。

人员安全问题。

银行信息系统受到的攻击主要来自银行内部。尤其是系统管理、开发和操作人员由于其特殊的工作环境，对网络构成、操作系统数据库结构、应用程序的流程以及系统存在的安全漏洞，他们在特定条件下出于某种目的可能攻击网络系统。

2001年，铁东开发区一家金融机构的某电子化营业网点，就出现过一名操作员盗取储户存款的现象。该操作员在99年时曾参加过全市统一组织的维护员培训班，培训结束后，仍留在基层网点操作业务。他通过修改帐户信息将一长期不动户的存款改为自已的户名，然后称存单丢失，进行挂失冻结处理，挂失期满期后，将存款取为已有。幸好有内部人举报。才没有造成资金损失。否则，当储户来取款时，将给金融机构带来严重的信誉危机。

5、资源共享性差。

银行之间在计算机设备、网络、软件系统等技术方面各自为政，仅从自已发展的实际需求出发，实力强的银行不愿将自已斥巨资取得了资源拱手让给其他银行使用。人力资源方面，缺乏统一人力资源库，降低了整个金融业抗拒风险的能力。

网上银行监管。

 网上银行特殊的运作方式和网上环境，决定网上银行的系统安全风险，主要是数据传输风险、应用系统设计缺陷、计算机病毒攻击、网络黑客入侵等。如果防范不严，可能造成银行资料密、威胁用户资金安全的严重后果。

三、电子化发展方向。

要解决电子化发展中存在的诸多问题，保障商业银行电子化建设健康、快速的向前发展，应该解决以下几方面的问题：

1、从整个国家金融业发展的全局出发，制定统一的、切实可行战略发展规划。

（1）统一程序、统一接口。

商业银行应在人民银行科技司的统一领导下，独立自立的开发金融业统一的业务处理程序，降低开发费用，集中所有资源，尽可能减少程序的缺陷和漏洞，提高业务程序在实际操作中安全性，增强抗拒各种风险的能力。统一程序接口，为商业银行之间互联互通打下好基础。

（2）培养金融界高科技人员队伍。

组建商业银行统一的科技人员队伍，加强职业道德教育，增强科技人员遵纪守法和抵制各种不安全行为的自觉性，提高科技攻关能力。为整个金融业电子化的正常运转提供保障。

（3）完善电子化设施。

银行在购进信息系统设施时，要树立超前意识，向国际先进水平看齐，在设施的完备性、尖端性及其应用的广泛性、多样性方面，要尽可能缩小与发达国家银行体系的差距。同时，所选用的网络硬件设施应当是经过国家公安部门认定、国家保密部门推荐使用的高科技网络安全产品，这些设备的使用和管理要按严格的制度和身份认证。另外,要有专门的技术维护人员定期对设备进行安全检查，杜绝各类事故发生。

（4）数据处理要集中。

数据集中处理有利于构建集中高效的计算机处理平台，将分散的、功能较弱的、以业务自动化处理为主的单一计算机系统改造为功能强大的集中式计算机系统，这种系统已经成国外金融企业经营管理和业务运作的核心基础和最重要的竞争武器。数据集中后，银行信息化基础性平台已经建成，不应也不会再做大量的硬件投资，有效地消除银行内部分支机构各自为政、重复开发、资源浪费、相互割裂的局面。有利于银行集中科技力量，充分利用系统先进的模块化和参数配置等技术，能够快速支持金融产品和服务的创新，迅速应对市场的变化。

2、加强操作系统的安全管理。

针对目前金融业计算机普遍安装的UNIX和WINDOWS操作系统，在系统漏洞和缺陷方面应加强管理。

建立健全操作系统与业务系统各级别操作、维护、管理的规章制度；制定详细的操作流程明确岗位职责，严格照章办事，各负其责。指定专人管理操作系统，合理分配用户权限，定期检查系统配置参数，优化系统资源，清理系统临时文件。集中管理各网点服务器，严格按照操作流程规范操作；及时安装系统补丁程序，避免因系统漏洞造成重大损失。提高系统安全性。

3、做好网络安全防范工作。

网络安全是银行信息系统安全的关键。

尽量减少与外部网络的接口，充分利用防火墙技术，隔离内部和外部网络，阻挡外部网络的非法入侵者。在防火墙上设定周密的安全规则，在保护内部网络安全的前提下，提供内、外网的通迅。

数据中心和重要的运行中心采用入侵检测技术。

利用入侵检测技术，实时监视网络上的异常行为，并记录异常细节，采取跟踪、恢复和断开网络连接等手段，有效的对付来自银行系统内部的攻击，缩短黑客的入侵时间。有效地阻止入侵者尤其是来自银行网络内部入侵者对网络和服务器进行的攻击。

利用安全扫描技术评估系统的安全性。

采用安全扫描仪技术，及时发现网络安全漏洞，基于服务器的安全扫描软件能够发现主机系统存在的问题，如系统开放的端口和服务，目录和文件访问权限，各种应用软件和系统存在的安全漏洞等，并给出相应的解决办法或建议；基于网络的安全扫描软件可以发现网络内的路由器、交换机、防火墙等设备的安全漏洞。尽管安全扫描技术不能实时监控网络上的入侵者，但它能够测试和评价网络系统的安全强度，并能及时发现存在地问题。

减少网络层次。

尤其是取消支行到网点的连接，不但有利于采用技术手段加强网络的监控和管理，而且极大地避免了由于支行网络故障造成所辖网点的的业务瘫痪，提高了系统的可用性。建议将支行的营业网点直接与二级分行数据中心相连，取消支行网络汇聚功能。另外，与外部业务网络的连接尽量设在一级分行，坚决取消二级分行以下的网络外联，最大限度地减少网络复杂程度。

加快防火墙体系建设。

要在全国银行系统的计算机网络与公网、银行之间的连接处和网上银行采用高强度防火墙，对国际互联网接口和银行间网络系统接口配备入侵检测 系统。加强网络防病毒软件的开发和利用，实时地检测计算机设备和网络系统，发现病毒及时清除或隔离。建立防病毒通报制度，定期公布辖内计算机感染病毒情况、消除方法和防范措施。规范所有计算机的标识名称和工作组名称，便于病毒的迅速定位和切断。严禁银行内部计算机随意访问国际互联网，从源头上切断病毒传播途径。外来各种数据和文件在使用之前必须进行病毒检测。在Windows系统中，严禁各种共享文件夹的存在，避免病毒利用共享文件夹感染、寄存、传播。

4、制定科学的数据备份策略。

数据备份是信息系统安全运行的重要工作之一，是系统进行灾难恢复的有力保障。备份内容包括业务数据和各种设备参数。在实际工作中，必须制定科学的备份方案，在日常操作中，必须严格按照操作流程备份，确保备份数据的完整性和正确性。在计算机系统发生故障或数据破坏时，保证数据的及时恢复，使系统在最短的时间内恢复正常运行，尽量减少经济损失和给社会带来的负面影响。

根据业务处理的要求不同，应采取不同的数据备份方法。如硬盘镜像热备份将业务数据和系统环境参数实时写入不同的硬盘，适用于高可靠性的业务处理；磁带备份适用于大量业务数据的长期保存；远程备份则适用可靠性要求高、数据量少的备份方案。

5、加强对信息技术人员的管理。

人是信息系统安全的最重要因素，在所有的信息安全带事故中，有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的，金融业了不例外，站在较高的层次上看信息和网络安全的全貌就会发现安全问题实际上是人的问题。人的行为是信息安全保障最主要的方面。特别是银行内部员工既可以是信息系统的最大潜在威胁，也可以是最可靠的安全防线，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低“人”的安全风险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。

要建立科技创新机制，提高科技人员待遇，吸收和培养科技人才。制定人才战略规划和倾斜政策，合理集中、分配和使用科技人员，充分发挥他们的作用。同时，银行要加强科技人员的思想道德建设，从中选拔政治立场坚定、事业心强，技术过硬的人中来充实信息技术安全管理队伍。银行要建立严格的分级管理体制，各级管理人员的权利和责任明确划分，减少个人对整个银行经营带来的影响。

6、建立健全安全管理制度。

目前，商业银行数据集中工作基本完成，新系统在风格结构、业务处理流程等方面发生了很大的变化，原来的规章制度在很多方面已不能适应当前业务运行和管理的要求，需要进行修改、完善和补充。如果没有统一的安全管理制度安全管理将无章可循，无法可依，系统漏洞百出，最终关键将影响信息系统和安全运行，导致各类事故发生。各项安全制度建设的重点要放在规范内部员工行为和健全内部制约机制方面。紧密系统特点，从网络管理、机房管理、操作系统和数据库管理、应用软件和数据管理、日常操作管理、设备管理和基层行科技管理，到项目开发管理、运行管理、应急管理等各项制度进行修改和完善，规范业务流程和操作步骤，建立统一的安全管理制度。保障各项金融业务健康发展。

7、加强网上银行监管。

网上银行业务在我国正处于起步阶段，在给人们带来极大便利的同时，也具有较大的风险。必须加强网上业务的监管。

加强网上银行基础立法。

建立健全网上银行业务监管标准。政府有关部门应就网上银行的通讯安全、控制权的法律责任、存款保险、保护措施和争端的适应条文等问题加以立法，确保监管制度能配合银行业因科技发展而出现的转变。建立一套完整的网上银行业务审批和监管制度。结合我国具体情况，借鉴国外经验，成立有关机构，对网上银行的设立、管理、具体业务功能的实现及硬件和软件系统的应用等进行监管，为网上银行的持续发展提供技术服务、支持和指导，并利用互联网为中央银行加强非现场监管创造条件。制定电子货币的发行、支付与管理的制度以及网上银行业务结算、电子设备使用等标准。

（2）解决网上银行业务安全问题。

网上银行服务过程中交易指令能否真实准确地反映当事人的意志，很大程序上取决于电子指令真实性、完整性的认定。首先要明确安全签字的构成要件，使有关当事人能有针对性制定签字的安全与否；确立有效的识别机制，诸如选择或结合使用口令、密钥识别、指纹识别、声音识别等方法。其次，要明确规定当事人对有关签字风险的责任，以督促当事人谨慎地判断是否安全的签字。另外，电子交易的无纸化使得纠纷发生时，证据的提供甚为困难。表明交易信息的数据电文的客观性、真实性是主要关注的问题。银行应对有关服务的信息处理过程负管理责任。有义务谨慎保管好记录交易信息的电文数据，并对篡改、伪造电文数据的违法者予以严厉的制裁。

 总之，我国的金融电子化建设要取得长足的发展，应该组建国家统一的金融业计算机管理信息系统，建立数据通信网，实现互联互通、资源共享；建立现代化支付清算体系，为全社会提供安全、快捷、方便的支付结算服务；全面推广综合柜面业务系统、网上银行、电子商务等新型金融业务系统和金融信息服务系统；完善金融监管体系，加强网上监管，完善金融管理信息系统和办公自动化系统，提高防范金融风险的能力和办公效率；建立金融业计算机安全体系，保障银行业务应用系统安全运行，促进我国金融业各项业务健康、快速的向前发展。

资 料 来 源

1、韩留卿 《信息化时代银行业发展的发思》， 《金融理论与实践》2002.02

2、牛夏飞 《加快银行业监管专业化步伐的发建议》，《金融理论与实践》2004.01

3、 顾浩 《中国金融企业信息化任重道远》，《上海金融高等专科学校校报》2003.03

4、刘伯西 《浅析银行信息安全体系》， 《金融与科技》2003.7