信用社（银行）培训：对加强基层联社科技风险稽核的探讨

1、 对加强基层联社 科技风险稽核的探讨 近年来，我国各大银行纷纷从原有的数据 分布式处理模式，逐渐转向了数据大集中 处理模式。数据集中为各金融机构带来巨 大的收益，但是也引发了各种风险。 根据银监会最新公布的数据，08年底我国 银行业金融机构总资产规模已达62.4万亿元。 如此大的资产规模，一旦出现重大的系统 事故，后果不堪设想。 科技风险的特点，主要表现为风险发生时影响较 大、风险出现具有不确定性、对风险的估计或防 范手段不足。 金融行业具有金融数据和客户数据高度集中，服 务对象构成复杂、分布广泛，所提供服务与个人、 企业利益乃至国民经济息息相关等特点。科技服 务一旦中断，所带来的危害，仅用企

2、业经济损失 来度量远远不够。 因此，对于it风险的隐患，新巴塞尔资本协议中 有着明确的阐述，并将其作为操作风险中的重点 进行防控。 据统计，美国、日本和西欧等发达国家和 地区，每年仅计算机犯罪给金融业造成的 损失就达数百亿美元。 一个叫做列文的俄罗斯黑客，他在1995从 花旗银行的多个账户中盗取370万美元。 2005年美国银行发生黑客事件，导致4000 多万信用卡用户的资料泄密 1997年4月，香港汇丰银行和恒生银行计算机系 统的不间断电源（ups）严重失效，导致中枢电 脑系统停机。根据汇丰银行的记录，除该行的服 务外，与该行中枢电脑系统联网的恒生银行，亦 同样遭受影响，影响范围包括：两家银

3、行的电话 理财服务全部中断；两家银行的数百台自动柜员 机不能操作；故障期间，各银行的提款、外币兑 换服务无法进行。这次事故，是汇丰银行成立一 百二十三年以来最大的事故，香港各大媒体纷纷 大幅报道，给汇丰银行和恒生银行的声誉和业务 造成了重大损失。 2008年初中国银监会副主席郭利根在银行 业信息科技风险奥运专项自查工作部署会 上，通报了07年以来银行业金融机构发生 的5起信息科技风险事件： 案例一、2007年3月21日，交通银行因主机监控软 件存在缺陷，导致业务交易阻塞，系统瘫痪近4个 小时，所有营业网点无法正常开展业务。 案例二、2007年8月15日，工商银行对计算机系统 进行升级，但由于没

4、有避开业务高峰期，导致个 人业务系统运行不畅，业务办理速度缓慢，部分 代理证券业务受阻，在持续5个半小时之后，系统 才逐步恢复正常。 案例三、2007年10月18日，建设银行股民保 证金第三方存管系统出现故障，与券商的 交易无法正常进行，持续了两个小时后， 在证券交易收盘后才恢复正常。 案例四、2007年12月21日，招商银行因运行 中心核心网络设备出现故障，造成业务无 法正常进行。虽启动应急预案，但仍然中 断营业近1个小时。 案例五、2008年1月7日，北京银行因主干专 线的入户接入设备发生故障，造成在京117 家支行所属网点柜台交易缓慢，业务无法 正常进行，故障持续1个多小时后才得以解 决

5、。 更早前案例： 2006年4月20日上午10时56分，银联通信 网络和主机出现故障，造成银行卡跨行交 易不能正常进行。至当晚8点，银联跨行交 易网络全面恢复正常。故障造成全国近9亿 张银联卡跨行atm机取款和交易均被“卡” 住，全国数百万笔交易无法完成。 09年最新案例： 案例一：2008年12月31日至2009年1月4日， 某银行成都分行发生一起网上银行客户资 金被盗事件，涉及被盗账号12个，总金额 12万元。（银监办发2009104号文） 案例二： 2009年1月下旬，某银行综合业务系统发 生故障，造成综合业务系统故障时间约11 个小时，对客户服务中断达4个多小时。 （银监办发20091

6、04号文） 一、对计算机安全认识不足，由于管理滞后 带来的安全风险。如部分银行的主要领导 对计算机系统的安全管理认识不清，重视 不够，对基层分支行没有配备或配备不足 计算机专业人员；日常安全管理远远不能 适应业务开展的需要，没有一套完整的管 理制度和办法，因而留下了许多漏洞和隐 患。 二、非法用户，即所谓“黑客”的侵入带来 的安全风险。某些“黑客”利用高科技手 段，通过窃取银行合法用户密码、网址等 信息，以合法身份联入金融计算机网络系 统进行破坏活动。由于网络系统分散在各 地，任何侵害行为的发生极不容易察觉， 所以其造成的危害将更加严重。 三、由于电子设备所处的环境不良带来的安全风险。 环境对

7、电子化安全威胁主要表现在两个方面：一 是运行环境中计算机病毒的侵害；二是计算机实 体的物理环境不符合安全要求造成的风险。目前， 省市地行计算机机房设置标准较好，物理环境的 安全威胁不突出。而基层行处各营业网点的计算 机设备安装环境较差，安全威胁较大。如有的无 专用机房，灰尘侵蚀严重 ；有的未设专用电源或 地线，有的工作间未装空调，夏天设备运行温度 过高 ；有的缺乏安全常识，ups电源挂接电水壶、 电炉子等。所有这些都对电子化设备的安全运行 构成威胁。 四、软件问题带来的运行风险。由于应用软 件在研制过程中考虑不周或在编制程序时 不够严密，出现应用系统在超级用户下运 行，文件权限设置不正确，业务数据以明 码形式存放，容错能力差等现象，导致系 统在运行过程中账务错乱，数据信息被破 坏等，严重的还会导致系统崩溃，从而引 发系统运行风险。 五、由于银行网点业务人员对计算机设备和 金融电子产品使用不当引起的安全风险。 基层网点业务人员素质跟不上高速发展的 金融电子化建设的步伐，对银行推出的硬 件设备以及金融电子化