伴随2008北京奥运会的日益临近，国内商业银行，尤其是为奥运服务的银行，都在做应急管理、灾备预案的工作。奥运对银行的安全性和可靠性的高标准要求，不仅对银行信息科技风险管理提出了挑战，也为其健全和提高管理能力创造了机会。

    “奥运期间不上新系统、不打补丁，并且要为每个业务系统做一本预案，反复演练。”刘强（化名）谈起自己正在做的某银行软件评测项目很平淡。大概是习惯了和IT设备打交道，他的讲述逻辑清晰，缺少一些情绪化的形容词。作为一家银行外包软件评测公司的员工，刘强的工作是为确保银行系统奥运期间正常运行进行提前评测。

    早晨8点半上班，第一件事就是填日报，根据前一天的日报跟踪解决问题。刘强的工作都是提前一个月计划好的，按部就班即可。每周五是开例会的时间，总结工作、分析风险。在他看来，这次的奥运项目就是多了一些培训会或者大家一起讨论方案的沟通机会。晚上的日报是必须要写的，如果不加班，5点钟下班还是有保证的。“并没有特别的为奥运而加班，”刘强说道。他不会说太多感触，可能是工作性质所致，语言追求准确和平实。刘强的核心工作是要在奥运前对某银行的业务系统作峰值计算，评估哪些业务会达到高峰，峰值要达到多少，并依此作性能测试。如果不达标怎么办？这就是接着要做的调优工作。以结汇和售汇业务来说，考虑到奥运期间结汇业务比较多，这方面的压力测试——性能测试也就相对高些。

    刘强和奥运信息安全结缘，起因于他所在的公司在某银行的某测试项目中中标。而该项目的背后却是银监会开展的2008信息科技风险奥运专项检查工作。就在刘强严谨工作的背后，国内的商业银行信息主管部门正在为即将到来的可能性风险攻击紧急备战着。从2008年1月到7月，按照“先自查，后进场；边检查，边整改”的方式，银监会对国内各家银行开展奥运专项检查工作。虽然时间已经到达7月中旬，这项工作并却没有结束，反而有更加急迫的趋势。而这一切，都是为了那等待了7年的2008北京奥运会。

    “科技奥运”的口号要落地，无疑对各种直接或间接为奥运会服务的信息网络系统的安全性、可靠性都提出了严峻的挑战。压力测试、检验设备处理能力、及时修补系统安全漏洞等等，国内银行业的这些工作都将指针瞄准了奥运网络安全的方向。这种担忧并非杞人忧天。

    从历届奥运会来看，自1992年巴塞罗那奥运会首次运用计算机网络以来，奥运网络安全受到的冲击就呈现出不断加剧的趋势。据统计，仅2000年悉尼奥运会期间，官方网站经受了113亿次攻击，比1998年的长野冬奥会增加了1700%。悉尼奥运会开幕第二天，网络安全维护人员处理了70万次攻击，奥运会期间平均每天处理的攻击数达到2.5万次。2004年，雅典方面对奥运网络安全的重视程度超过了“恐怖分子”，整个电脑保安系统价值高达4亿美元。2006年2月意大利都灵冬奥会期间，网络安全系统平均每天生成300多万件安全事件报告，并成功挫败了158起可能造成网络中断的重大事件，其中有10起事件被认为是非常严重的。

    国际奥委会主席雅克·罗格说：如果没有信息技术的应用，奥运会就不可能成功举行。伴随信息网络技术贯穿奥运会始终，网络与信息安全问题也日益严重。近年来，作为信息化程度高且对安全性敏感的行业，国内银行业已经开始广泛应用各种网络安全技术和产品，但安全形势依然不容乐观。日益增加的对信息技术与安全的灵活性、敏捷性和协同性方面的需求既使得各种媒介成指数级增长，也为新类型风险的产生开启了大门。即便从全球金融业来看，电子邮件攻击（间谍软件）对全球金融机构的重复发生的破坏率仍然位列榜首（见图3）。

    德勤华永会计师实务所有限公司合伙人薛梓源表示，德勤对2007年全球金融业信息安全调查显示，目前，国内银行在信息安全方面存在的问题主要表现在：

    i. 安全管理的体系化不足，如很多金融机构都发生过与往年相同的安全事件，安全建设体系化不足导致容易出现安全管理的灰色地带，无法发现问题发生的真正原因并从根本上解决问题；

     ii. 应用开发的安全关注不够，如银行业很多业务系统都是自行开发，开发过程中缺乏对于安全措施的充分考虑，造成在系统上线后，系统安全得不到有效保障；

    iii. 安全体系运作的衡量，如管理层无法得知安全管理的状态，不能有效地分配安全建设所需的资源。

    由此可见，技术性的网络安全威胁固然对银行信息安全构成了严峻挑战，银行业如何提高信息科技管理政策和战略规划的水平也是银行信息安全管理的当务之急。在这历史性的关键时刻，银行业惟有正视IT风险的存在，将IT风险纳入到银行的全面风险管理之中，切实加强制度建设和风险监控，才能够做到确保银行业信息系统安全稳定，为平安奥运护航。

    图1 金融机构面临的威胁

    图2 组织内信息系统失败根本原因的认识

    图3 金融机构遭遇外部破坏的经历

    金融风险管理进行时

    巴赛尔新资本协议使银行的风险管理进入一个精细管理的时代。

    去年刚退休的许成军主任最近又有了个新头衔：对外经济贸易大学的金融科技中心执行主任、教授。作为自20世纪70年代就工作在金融信息化一线的老兵，这位原国家开发银行营运中心主管IT副主任对于自己的新职位也有着务实的思考。“风险管理，对于银行业而言，现在是非常重要，但又比较弱。”许成军认为，建设银行业信息化风险管理体系已成为当务之急，他也正在就此作一些研究。

    如果说别人对金融风险管理的紧迫感是从大众媒体广泛报道的钓鱼网站，电子银行失窃案等新闻媒体获得，许成军对金融业风险管理的认识则更多是来自亲身体会。中国银行业的信息化建设起始于20世纪70年代，经历了自动化、电子化才发展到现在信息化的阶段。许成军最早参与的银行业信息化工程是1977年的“银行核算网试点工程（三点二线）”。这里的三点是指：北京、上海和西安。两线则指西安到北京、上海到北京这两线。他由此开始了长达20多年的信息化建设生涯。在自动化建设阶段，银行内的业务系统应用计算机的还很少，多属于尝试性的，而要解决的问题，也就是减轻点手工劳动。一旦重要业务应用了IT技术，我们就可以把它看作信息化建设进入了第二阶段，标志着进入了发展期。尽管重要业务运行在信息系统上，但是手工工作还可以做替换，也就是退回到手工作业，这是这个阶段的典型特征。成熟期属于第三阶段，它的典型标志就是银行业的主要业务都在计算机上运行，再想退回到手工阶段已经完全不可能了。第四个阶段，许成军把它称为依赖期，言下之意，如果信息系统一旦垮掉，整个银行生存都成问题。最后的一个阶段应该是全面覆盖时期。信息技术平台已经成为银行的发展平台，业务部门要开展新业务，没有信息技术根本不行。这就意味着进入这个阶段的银行，他的生存和发展要受到信息技术的制约。

    演进中的金融风险管理

    “上世纪的系统防护少，发案率反而低。”许成军更喜欢通过纵向比较来看问题。他认为近年来的金融信息系统案件猖獗，是和现代信息社会的普及分不开的。其实，金融风险管理的发展也是伴随着金融业的发展发生着不断的演进。

    “确定现代与过去之分野的革命性理念是对风险的把握……”彼得 L.伯恩斯坦（Peter L. Bernstein）在《与天为敌》（Against the Gods）里这样描述风险管理的意义。伯恩斯坦是《投资组合管理期刊》的创办者（1974年），更是一位将复杂的投资理论和观念注释成风格清新的故事的高手。风险管理是投资领域中最重要的事情。《与天为敌》的副标题是“风险探索传奇”，从希腊、文艺复兴一直聊到现代，描述了西方社会1200年迄今的风险史，是一本轰动全球金融界的风险方面的名著。

    如何认识与管理风险，这不仅是一个理论问题，更是一个对金融风险管理实践的追问。20世纪80年代以来，全球的金融业发生了一场史无前例的创新化、自由化、全球化的大变革，促使发达国家的金融机构更加全能化、规模化。发展中国家的金融机构也向市场化和多元化演进。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。