證券時(shí)報記者 潘玉蓉

　　日前，面對中央采購部門(mén)停止采購Win8引發的安全顧慮，微軟在聲明(míng)中連抛五個(gè)“從來(lái)沒有(yǒu)”向中國消費者給出定心丸。

　　然而，由此引發的國內(nèi)重點行(xíng)業信息技(jì)術(shù)（IT）安全之憂并沒有(yǒu)減輕。一條關于“中國政府正在推動國內(nèi)銀行(xíng)放棄IBM”的傳聞，讓金融機構信息技(jì)術(shù)安全的神經繃緊。

　　對于金融機構而言，這是一場(chǎng)沒有(yǒu)旁觀者的戰役。多(duō)位金融機構IT部門(mén)人(rén)士對證券時(shí)報記者表示，近來(lái)關于IT安全的争論已經引起公司內(nèi)部高(gāo)度關注，下一步不排除通(tōng)過自查、加強IT部門(mén)管理(lǐ)來(lái)應對。

　　“後門(mén)”引警惕

　　5月份，微軟的Win8操作(zuò)系統被列入中國政府采購黑(hēi)名單。在此前，國內(nèi)不少(shǎo)信息技(jì)術(shù)安全領域的專家(jiā)曾對Win8的安全性提出質疑—包括該系統可(kě)能被植入了後門(mén)程序。

　　6月6日，微軟發出五個(gè)“從來(lái)沒有(yǒu)”的聲明(míng)，表示從來(lái)沒有(yǒu)向任何政府提供直接訪問微軟産品及服務的權限、從來(lái)沒有(yǒu)在産品和(hé)服務中開(kāi)所謂的“後門(mén)”等等。但(dàn)是，由于沒有(yǒu)列出有(yǒu)力證據，這一争論繼續發酵。

　　日前，一條關于“中國政府正在推動國內(nèi)銀行(xíng)放棄IBM”的傳聞也在市場(chǎng)上(shàng)廣為(wèi)流傳。證券時(shí)報記者向多(duō)位金融機構IT部門(mén)負責人(rén)詢問此消息，得(de)到的回複均是尚未收到相關通(tōng)知，但(dàn)是近年監管部門(mén)倡導金融機構的IT系統建設向自主和(hé)可(kě)控靠近，減少(shǎo)對外資供應商的依賴。

　　那(nà)麽，IBM等供應商是否也存在類似的“後門(mén)”？如果植入後門(mén)程序，被發現的可(kě)能有(yǒu)多(duō)大(dà)？對此，一位大(dà)型保險（放心保）公司IT部門(mén)負責人(rén)表示，金融機構被植入後門(mén)程序的可(kě)能性是存在的。在外包逐漸深化的過程中，金融機構将自己的關鍵信息提供給服務商去管理(lǐ)維護和(hé)開(kāi)發，這些(xiē)金融機構的敏感信息、核心技(jì)術(shù)就存在洩密的可(kě)能性；另外，一些(xiē)外包商的遠程控制(zhì)系統和(hé)運營維護系統本身就為(wèi)惡意訪問提供了可(kě)能。

　　該負責人(rén)透露，日漸升級的IT系統安全問題已引起不少(shǎo)公司內(nèi)部的警惕，他所在的公司近期就加強了IT系統安全管理(lǐ)，但(dàn)自查僅能發現一些(xiē)管理(lǐ)上(shàng)的漏洞，對于技(jì)術(shù)缺陷和(hé)系統後門(mén)程序引起的操作(zuò)風險，幾乎無法提前發現和(hé)避免。

　　金融機構對IT系統供應商的動向非常敏感，今年3月阿裏巴巴董事局主席馬雲入主恒生(shēng)電(diàn)子(600570,股吧(ba))後引發的口水(shuǐ)仗就是一例。由于恒生(shēng)電(diàn)子是國內(nèi)傳統金融機構******的IT供應商之一，馬雲控股恒生(shēng)電(diàn)子後，業內(nèi)擔心阿裏掌握絕大(dà)部分金融機構的後門(mén)。後來(lái)，恒生(shēng)電(diàn)子不得(de)不出面澄清，該公司隻是向金融機構提供金融IT軟件，軟件交付後由客戶自行(xíng)運營與管理(lǐ)，相關人(rén)員不可(kě)能獲取和(hé)洩露金融機構客戶的數(shù)據。

　　信息安全之患

　　由于牽涉公共利益和(hé)國家(jiā)經濟安全，金融機構的信息安全備受關注。

　　賽迪智庫今年4月份發布的一份報告稱，調查顯示，對重要信息系統的停機容忍時(shí)限，民航系統不超過20分鍾，銀行(xíng)系統是30分鍾，證券交易系統是秒(miǎo)的數(shù)量級。這些(xiē)重要信息系統如果停機，将給社會(huì)、國家(jiā)帶來(lái)非常嚴重的損失。

　　一位股份制(zhì)銀行(xíng)相關部門(mén)負責人(rén)對證券時(shí)報記者介紹，銀行(xíng)IT系統結構以賬務系統為(wèi)核心，外圍系統搭建于賬務系統之上(shàng)。随着銀行(xíng)中間(jiān)業務越來(lái)越多(duō)，銀行(xíng)的IT系統架構變得(de)十分複雜，而基礎建設滞後于業務高(gāo)速增長，使得(de)國內(nèi)很(hěn)多(duō)銀行(xíng)核心業務系統主機容量使用率超過60%，這高(gāo)于國際标準。

　　由于銀行(xíng)系統與個(gè)人(rén)、企業财産挂鈎，差錯容忍度為(wèi)百萬分之一的級别，對IT系統硬件和(hé)軟件的可(kě)靠性提出了相當高(gāo)的要求。目前能滿足銀行(xíng)核心系統的供應商的數(shù)量十分有(yǒu)限。為(wèi)規避風險，不少(shǎo)銀行(xíng)都習慣性選擇進口高(gāo)端設備，然而核心系統過于依賴海外第三方，又構成了另一重風險。

　　對證券公司而言，IT系統風險特點又有(yǒu)所不同。國泰君安信息技(jì)術(shù)相關部門(mén)人(rén)士對證券時(shí)報記者表示，證券期貨行(xíng)業的IT風險最多(duō)發生(shēng)在與交易所連接的行(xíng)情系統上(shàng)，沒有(yǒu)響應或響應不及時(shí)都會(huì)釀成事故。

　　去年8月，光大(dà)證券(601788,股吧(ba))烏龍指事件引發市場(chǎng)震動，作(zuò)為(wèi)光大(dà)證券軟件提供商，銘創公司也遭到調查。上(shàng)述人(rén)士表示，其實證券公司IT系統出現問題的情況時(shí)有(yǒu)發生(shēng)，光大(dà)證券事件引起了監管部門(mén)對金融機構IT系統治理(lǐ)的重視(shì)，目前證券公司IT系統管理(lǐ)比此前大(dà)幅升級。

　　相對銀行(xíng)證券業，保險行(xíng)業的IT系統安全層級略低(dī)。據保險公司人(rén)士透露，保險公司IT應用系統的最高(gāo)等級是通(tōng)過公安部測評的安全等級第三級，但(dàn)目前達到這一标準的公司不多(duō)。為(wèi)節省成本，保險公司的IT系統在滿足監管要求的前提下，正朝着低(dī)端化、增加數(shù)量和(hé)拓展寬度的方向發展。

　　盡管如此，保險行(xíng)業IT系統一旦出現安全事件，也會(huì)觸及公衆利益。去年年初，中國人(rén)壽(601628,股吧(ba))近80萬在網絡中介機構在線購買意外險的客戶信息被洩露，國壽和(hé)該網絡中介機構雙雙對外發表緻歉聲明(míng)，由此引發的保單信息安全問題一度令市場(chǎng)擔憂。