证券时报多媒体数字报

  证券时报记者 潘玉蓉

  日前，面对中央采购部门停止采购Win8引发的安全顾虑，微软在声明中连抛五个“从来没有”向中国消费者给出定心丸。

  然而，由此引发的国内重点行业信息技术（IT）安全之忧并没有减轻。一条关于“中国政府正在推动国内银行放弃IBM”的传闻，让金融机构信息技术安全的神经绷紧。

  对于金融机构而言，这是一场没有旁观者的战役。多位金融机构IT部门人士对证券时报记者表示，近来关于IT安全的争论已经引起公司内部高度关注，下一步不排除通过自查、加强IT部门管理来应对。

  “后门”引警惕

  5月份，微软的Win8操作系统被列入中国政府采购黑名单。在此前，国内不少信息技术安全领域的专家曾对Win8的安全性提出质疑——包括该系统可能被植入了后门程序。

  6月6日，微软发出五个“从来没有”的声明，表示从来没有向任何政府提供直接访问微软产品及服务的权限、从来没有在产品和服务中开所谓的“后门”等等。但是，由于没有列出有力证据，这一争论继续发酵。

  日前，一条关于“中国政府正在推动国内银行放弃IBM”的传闻也在市场上广为流传。证券时报记者向多位金融机构IT部门负责人询问此消息，得到的回复均是尚未收到相关通知，但是近年监管部门倡导金融机构的IT系统建设向自主和可控靠近，减少对外资供应商的依赖。

  那么，IBM等供应商是否也存在类似的“后门”？如果植入后门程序，被发现的可能有多大？对此，一位大型保险公司IT部门负责人表示，金融机构被植入后门程序的可能性是存在的。在外包逐渐深化的过程中，金融机构将自己的关键信息提供给服务商去管理维护和开发，这些金融机构的敏感信息、核心技术就存在泄密的可能性；另外，一些外包商的远程控制系统和运营维护系统本身就为恶意访问提供了可能。

  该负责人透露，日渐升级的IT系统安全问题已引起不少公司内部的警惕，他所在的公司近期就加强了IT系统安全管理，但自查仅能发现一些管理上的漏洞，对于技术缺陷和系统后门程序引起的操作风险，几乎无法提前发现和避免。

  金融机构对IT系统供应商的动向非常敏感，今年3月阿里巴巴董事局主席马云入主恒生电子后引发的口水仗就是一例。由于恒生电子是国内传统金融机构最大的IT供应商之一，马云控股恒生电子后，业内担心阿里掌握绝大部分金融机构的后门。后来，恒生电子不得不出面澄清，该公司只是向金融机构提供金融IT软件，软件交付后由客户自行运营与管理，相关人员不可能获取和泄露金融机构客户的数据。

  信息安全之患

  由于牵涉公共利益和国家经济安全，金融机构的信息安全备受关注。

  赛迪智库今年4月份发布的一份报告称，调查显示，对重要信息系统的停机容忍时限，民航系统不超过20分钟，银行系统是30分钟，证券交易系统是秒的数量级。这些重要信息系统如果停机，将给社会、国家带来非常严重的损失。

  一位股份制银行相关部门负责人对证券时报记者介绍，银行IT系统结构以账务系统为核心，外围系统搭建于账务系统之上。随着银行中间业务越来越多，银行的IT系统架构变得十分复杂，而基础建设滞后于业务高速增长，使得国内很多银行核心业务系统主机容量使用率超过60%，这高于国际标准。

  由于银行系统与个人、企业财产挂钩，差错容忍度为百万分之一的级别，对IT系统硬件和软件的可靠性提出了相当高的要求。目前能满足银行核心系统的供应商的数量十分有限。为规避风险，不少银行都习惯性选择进口高端设备，然而核心系统过于依赖海外第三方，又构成了另一重风险。

  对证券公司而言，IT系统风险特点又有所不同。国泰君安信息技术相关部门人士对证券时报记者表示，证券期货行业的IT风险最多发生在与交易所连接的行情系统上，没有响应或响应不及时都会酿成事故。

  去年8月，光大证券乌龙指事件引发市场震动，作为光大证券软件提供商，铭创公司也遭到调查。上述人士表示，其实证券公司IT系统出现问题的情况时有发生，光大证券事件引起了监管部门对金融机构IT系统治理的重视，目前证券公司IT系统管理比此前大幅升级。

  相对银行证券业，保险行业的IT系统安全层级略低。据保险公司人士透露，保险公司IT应用系统的最高等级是通过公安部测评的安全等级第三级，但目前达到这一标准的公司不多。为节省成本，保险公司的IT系统在满足监管要求的前提下，正朝着低端化、增加数量和拓展宽度的方向发展。

  尽管如此，保险行业IT系统一旦出现安全事件，也会触及公众利益。去年年初，中国人寿近80万在网络中介机构在线购买意外险的客户信息被泄露，国寿和该网络中介机构双双对外发表致歉声明，由此引发的保单信息安全问题一度令市场担忧。