證券時報記者 潘玉蓉

　　日前，面對中央采購部門停止采購Win8引發(fā)的安全顧慮，微軟在聲明中連拋五個“從來沒有”向中國消費者給出定心丸。

　　然而，由此引發(fā)的國內(nèi)重點行業(yè)信息技術(shù)（IT）安全之憂并沒有減輕。一條關(guān)于“中國政府正在推動國內(nèi)銀行放棄IBM”的傳聞，讓金融機構(gòu)信息技術(shù)安全的神經(jīng)繃緊。

　　對于金融機構(gòu)而言，這是一場沒有旁觀者的戰(zhàn)役。多位金融機構(gòu)IT部門人士對證券時報記者表示，近來關(guān)于IT安全的爭論已經(jīng)引起公司內(nèi)部高度關(guān)注，下一步不排除通過自查、加強IT部門管理來應對。

　　“后門”引警惕

　　5月份，微軟的Win8操作系統(tǒng)被列入中國政府采購黑名單。在此前，國內(nèi)不少信息技術(shù)安全領(lǐng)域的專家曾對Win8的安全性提出質(zhì)疑—包括該系統(tǒng)可能被植入了后門程序。

　　6月6日，微軟發(fā)出五個“從來沒有”的聲明，表示從來沒有向任何政府提供直接訪問微軟產(chǎn)品及服務(wù)的權(quán)限、從來沒有在產(chǎn)品和服務(wù)中開所謂的“后門”等等。但是，由于沒有列出有力證據(jù)，這一爭論繼續(xù)發(fā)酵。

　　日前，一條關(guān)于“中國政府正在推動國內(nèi)銀行放棄IBM”的傳聞也在市場上廣為流傳。證券時報記者向多位金融機構(gòu)IT部門負責人詢問此消息，得到的回復均是尚未收到相關(guān)通知，但是近年監(jiān)管部門倡導金融機構(gòu)的IT系統(tǒng)建設(shè)向自主和可控靠近，減少對外資供應商的依賴。

　　那么，IBM等供應商是否也存在類似的“后門”？如果植入后門程序，被發(fā)現(xiàn)的可能有多大？對此，一位大型保險（放心保）公司IT部門負責人表示，金融機構(gòu)被植入后門程序的可能性是存在的。在外包逐漸深化的過程中，金融機構(gòu)將自己的關(guān)鍵信息提供給服務(wù)商去管理維護和開發(fā)，這些金融機構(gòu)的敏感信息、核心技術(shù)就存在泄密的可能性；另外，一些外包商的遠程控制系統(tǒng)和運營維護系統(tǒng)本身就為惡意訪問提供了可能。

　　該負責人透露，日漸升級的IT系統(tǒng)安全問題已引起不少公司內(nèi)部的警惕，他所在的公司近期就加強了IT系統(tǒng)安全管理，但自查僅能發(fā)現(xiàn)一些管理上的漏洞，對于技術(shù)缺陷和系統(tǒng)后門程序引起的操作風險，幾乎無法提前發(fā)現(xiàn)和避免。

　　金融機構(gòu)對IT系統(tǒng)供應商的動向非常敏感，今年3月阿里巴巴董事局主席馬云入主恒生電子(600570,股吧)后引發(fā)的口水仗就是一例。由于恒生電子是國內(nèi)傳統(tǒng)金融機構(gòu)******的IT供應商之一，馬云控股恒生電子后，業(yè)內(nèi)擔心阿里掌握絕大部分金融機構(gòu)的后門。后來，恒生電子不得不出面澄清，該公司只是向金融機構(gòu)提供金融IT軟件，軟件交付后由客戶自行運營與管理，相關(guān)人員不可能獲取和泄露金融機構(gòu)客戶的數(shù)據(jù)。

　　信息安全之患

　　由于牽涉公共利益和國家經(jīng)濟安全，金融機構(gòu)的信息安全備受關(guān)注。

　　賽迪智庫今年4月份發(fā)布的一份報告稱，調(diào)查顯示，對重要信息系統(tǒng)的停機容忍時限，民航系統(tǒng)不超過20分鐘，銀行系統(tǒng)是30分鐘，證券交易系統(tǒng)是秒的數(shù)量級。這些重要信息系統(tǒng)如果停機，將給社會、國家?guī)矸浅乐氐膿p失。

　　一位股份制銀行相關(guān)部門負責人對證券時報記者介紹，銀行IT系統(tǒng)結(jié)構(gòu)以賬務(wù)系統(tǒng)為核心，外圍系統(tǒng)搭建于賬務(wù)系統(tǒng)之上。隨著銀行中間業(yè)務(wù)越來越多，銀行的IT系統(tǒng)架構(gòu)變得十分復雜，而基礎(chǔ)建設(shè)滯后于業(yè)務(wù)高速增長，使得國內(nèi)很多銀行核心業(yè)務(wù)系統(tǒng)主機容量使用率超過60%，這高于國際標準。

　　由于銀行系統(tǒng)與個人、企業(yè)財產(chǎn)掛鉤，差錯容忍度為百萬分之一的級別，對IT系統(tǒng)硬件和軟件的可靠性提出了相當高的要求。目前能滿足銀行核心系統(tǒng)的供應商的數(shù)量十分有限。為規(guī)避風險，不少銀行都習慣性選擇進口高端設(shè)備，然而核心系統(tǒng)過于依賴海外第三方，又構(gòu)成了另一重風險。

　　對證券公司而言，IT系統(tǒng)風險特點又有所不同。國泰君安信息技術(shù)相關(guān)部門人士對證券時報記者表示，證券期貨行業(yè)的IT風險最多發(fā)生在與交易所連接的行情系統(tǒng)上，沒有響應或響應不及時都會釀成事故。

　　去年8月，光大證券(601788,股吧)烏龍指事件引發(fā)市場震動，作為光大證券軟件提供商，銘創(chuàng)公司也遭到調(diào)查。上述人士表示，其實證券公司IT系統(tǒng)出現(xiàn)問題的情況時有發(fā)生，光大證券事件引起了監(jiān)管部門對金融機構(gòu)IT系統(tǒng)治理的重視，目前證券公司IT系統(tǒng)管理比此前大幅升級。

　　相對銀行證券業(yè)，保險行業(yè)的IT系統(tǒng)安全層級略低。據(jù)保險公司人士透露，保險公司IT應用系統(tǒng)的最高等級是通過公安部測評的安全等級第三級，但目前達到這一標準的公司不多。為節(jié)省成本，保險公司的IT系統(tǒng)在滿足監(jiān)管要求的前提下，正朝著低端化、增加數(shù)量和拓展寬度的方向發(fā)展。

　　盡管如此，保險行業(yè)IT系統(tǒng)一旦出現(xiàn)安全事件，也會觸及公眾利益。去年年初，中國人壽(601628,股吧)近80萬在網(wǎng)絡(luò)中介機構(gòu)在線購買意外險的客戶信息被泄露，國壽和該網(wǎng)絡(luò)中介機構(gòu)雙雙對外發(fā)表致歉聲明，由此引發(fā)的保單信息安全問題一度令市場擔憂。