商业银行网络安全论文

摘要随着网络技术的飞速发展和大量应用，网络在银行业的信息化建设中已占据了不可替代的位置。当前国内各主要商业银行的信息安全体系结构中，外部防护、内部防护和信息加密已经成为保障网络安全最主要的策略。今天小编为大家精心挑选了关于《商业银行网络安全论文(精选3篇)》仅供参考，希望能够帮助到大家。

商业银行网络安全论文 篇1：

地方性商业银行网络安全管理调查与探讨

摘  要：在当前新一轮科技革命和产业变革的形势下，金融与科技的融合发展已成为未来发展的大趋势，银行业的发展离不开科技力量的支持，云计算、大数据、移动互联网技术的高速发展正深刻改变着传统的银行运营模式，成为银行业务发展和创新的重要推动力。[[1]]在国内银行业金融科技如火如荼发展的大背景下，甘肃省地方性商业银行紧随发展趋势，积极开展移动互联网金融建设，积极促进了银行各项业务的发展。随着网络基础设施的不断完善，人民经济生活与网络的融合飞速发展，对地方性商业银行网络金融服务供给提出了更高要求，银行业网络安全管理也面临着巨大的考验。本文以人民银行开展地方性商业银行网络安全调研为契机，对地方性商业银行网络安全管理开展深入研究，并提出相关建议。

关键词：网络安全管理;地方性商业银行;风险管理;金融科技

1、甘肃省地方性商业银行网络安全管理概述

甘肃省地方性商业银行发展起步较晚，但近些年其业务内容扩展迅速，营业范围和网点数量急剧增加，为实现普惠金融、绿色金融，支持扶贫脱贫提供了有效补充，成为甘肃省银行业不可缺少的力量。在国内银行业信息技术快速发展的背景下，甘肃省地方商业银行紧跟国家经济发展的大趋势。积极研究大数据，云计算和网络态势感知等新技术，并付诸于实际应用，积极转型为移动互联网金融银行和信息银行。在金融业信息技术快速发展的过程中，经过多年的持续建设，甘肃省地方商业银行在硬件设施、业务电子化程度和处理效率等方面与国内总体水平相当，但是，金融科技创新也带来技术、网络、数据的多重风险叠加，间接影响区域金融稳定和金融网络安全。因此，地方性商业银行在提升金融科技水平的同时，更要加强网络安全管理水平。本文以甘肃省地方性商业银行为例，对其网络安全管理情况开展了深入调查研究，并针对具体问题提出相关建议和意见。

2、甘肃省地方性商业银行网络安全管理现状

经过多年的不断建设，甘肃省地方性商业银行初步建立了比较完善的网络体系。但是，网络安全管理是商业银行健全运营和可持续发展的基础，甘肃省地方性商业银行网络安全管理水平仍落后于国有商业银行和国内外发达银行。

2.1、网络安全管理体系不够完善

甘肃省地方性商业银行网络安全组织机构设置方面，各机构都成立了网络安全管理委员会或类似组织，全部明确管理分布和分工职责，分管网络安全管理工作的机构领导是本机构第一责任人，在核心部门建立了一名全职或兼职的网络安全管理员。首先，本次调查中有大部分的机构认为部门协作困难是阻碍网络安全管理的主要困难。由于缺乏统一的网络安全管理协调部门和完善的协调机制，不仅增加了网络安全建设协调沟通成本，降低了网络安全建设效率，而且割裂了银行内部科技部门与业务部门间的融合，导致业务部门与科技部门彼此理解困难，业务部门不能根据自身发展情况提出合理网络安全需求，科技部门掌握技术却无法把握业务安全的发展方向，影响网络安全的建设水平。其次，网络安全投资结构存在“软硬”现象，部分机构投资不足。甘肃省地方性金融机构建设主要集中在硬件设备的更替上，管理机制上投入力度不大，各机构通过培训提升员工网络安全意识的重视程度不够，网络安全建设环境较为封闭，引入外部咨询的意愿不强。

2.2、网络安全管理总体水平不高

首先，甘肃省地方商业银行的性质使高级管理层更加关注银行业务，忽视了为基层服务的网络安全管理体系，认为网络安全就是购买网络安全设备或安全系统。其次，甘肃省商业银行员工普遍认为网络安全管理工作主要依靠网络人员和技术。最后，业务系统操作和维护人员过分强调网络系统的可用性，并將网络安全管理视为技术问题。人们认为网络安全管理工作只是业务网络安全和核心主机服务器的安全性。实际上，网络安全管理工作更关注管理问题。[[2]]

2.3.网络建设投入不足，系统软硬件环境落后

地方商业银行通常只关注新业务系统的上线运行，无法针对业务发展的需要来部署网络安全基础设施。目前银行业都是网络规划集中管理，高达86.7%的全国性银行的网络安全规划是由总行制定的，核心业务系统建设、网络安全体系建设和网络建设则全部由总行规划实施。一方面说明总行层面信息系统建设已形成较为完整的网络安全建设体系，分支机构在网络安全建设方面的自主性较弱，另一方面也反映出分支机构结合自身实际情况，自主规划建设的意愿相对较低。目前，甘肃省地方性商业银行着力于开展云计算、大数据、移动互联网金融、人工智能等技术的应用，但对于相关的网络安全管理方面投入不足，造成了金融科技发展的“木桶效应”。

2.4.缺乏风险管理标准和应急响应能力不足

移动互联网金融为银行业带来了新的发展方向，也带来了新的风险。网络系统本身的不正确设计和规划，人为错误，安全管理系统不足以及系统实施不足都可能导致系统故障和业务中断。对于网络系统威胁和风险事件，一些地方银行尚未建立网络系统风险识别，测量，监控，报告和控制管理标准，它不能通过科学方法事先发现，只能在问题发生后被动处理。另外，灾难恢复系统和网络系统的容错难以满足业务安全的要求，紧急事件处理过程缺乏业务部门的积极参与。

2.5、网络科技治理体系薄弱

甘肃省地方性商业银行科技人员队伍建设相对滞后。一些地方性商业银行总行的技术操作和维护人员较少，多岗位交叉现象突出。此外，科技培训投入有限，培训机会较少，科技人员知识更新周期长，导致科技人员跟不上的金融业科技发展的节奏，降低了科技部门的系统运行维护能力和风险管理控制能力。其次，特别是地方性商业银行基层行的网络安全防护能力非常薄弱，部分基层行网络或安全管理员由业务人员兼职，维护经验和安全意识不足。

2.6、安全防护需加重视，防护体系有待提高

各地方性商业银行核心网络承载了核心业务、运营管理、风险内控等业务，因此各该组织在内部网络边界构建了一个由防火墙， IDS， IPS和其他保护工具组成的保护系统。与核心网的保护相比，一些机构对互联网区域和外联区域的网络安全关注不够。在当前网络安全态势高度紧张的情况下，具有极大的网络安全风险和舆论风险。

3、地方性商业银行网络安全管理的建议

在网络安全领域，仍存在重技术和光管理现象。从实际的角度来看，过度依赖技术预防不能从根本上消除复杂多变的安全威胁和各种技术风险。银行业应将网络安全体系建设作为保障网络安全，防范技术风险的重要手段，重视制度约束和规范管理。科学管理是提高网络安全的重要手段。

3.1、提升网络安全综合管理能力

在发展的同时，树立正确的网络安全管理理念，增强网络安全保护意识。网络安全管理与当地商业银行的发展战略和内部管理密切相关，与每个业务系统的使用者密切相关。只有制度合理和操作合规才能保证网络系统的安全。此外，加强对监管层技术风险管理的研究，增加网络安全管理实施者的专业培训。通过这种方式，改变了技术人员的网络安全意识，提高了预防管理水平，建立了强大的网络安全体系，有效提高了网络安全保障能力。

3.2、科学分析建立量化网络安全评级标准

随着银行业务的不断创新和发展以及新网络技术的应用，网络系统始终处于进步之中。这也导致了新的安全漏洞和威胁的出现，这将随时影响整个网络系统的安全状态和安全级别。因此，地方性商业银行应建立基于科学论证的动态网络安全状态跟踪和监测机制。内容应涵盖计算机房环境，网络安全，安全操作和维护，主机应用程序安全性以及应用程序访问网络安全管理。可以参考《人民银行网络系统网络安全级别保护实施指南（试用）》和其他规定来设计满足您需求的威胁和风险事件列表。通过定期评估，形成评估网络安全性的基线，重点是监测具有高威胁级别的预定义事件。便于建立全面的网络安全应急管理，客观地掌握网络安全工作。

3.3、完善网络安全管理体系建设

各机构需逐步建立网络安全管理体系将其纳入到机构决策层，将网络安全管理建设思想、方法和路径充分传递给决策层，确保决策层始终了解网络安全管理的最新趋势，促进网络安全管理的建设更加全面和成熟。地方性商业银行增加网络安全管理咨询投入，通过第三方机构发现网络安全管理建设问题，准确研究网络安全管理的发展趋势，避免绕行网络安全管理，提高网络安全管理效率。[[3]]

3.4、加强网络安全管理组织建设和人才队伍建设

地方性商业银行网络安全人员和业务人员要加大交流力度，增进彼此业务的相互学习。通过持续交流学习培养业务人员的网络安全意识，网络安全管理人员理解业务基本流程，提高业务安全要求的准确性，不断提高业务人员和网络安全管理人员的网络安全意识。鼓励科技部门根据信息技术发展状况启发业务部门提出网络安全具体需求。加强网络安全人员培训，加大高科技人才的引进和交流。建立网络安全管理和支持工作激励，奖惩机制，建立专业，高效，团结的网络安全管理团队和支持团队。

3.5、建立健全风险管理机制，加强网络安全等级保护

地方性商业银行应完善风险管理机制，风险管理人员应掌握应急操作程序。分析自然灾害和人为灾害的时间，恢复时间和相关经济损失，并分析系统的脆弱性。建立针对不同威胁的风险评级列表，并制定技术和管理预防和控制措施以应对风险。此外，在统一的应急预案框架下，地方商业银行应制定各种网络安全事故应急预案。定期组织相应的网络安全应急培训，定期进行应急演练，确保应急演练有足够的人力，设备，技术和资源。在演习结束时，有必要重新审查和评估应急计划并对其进行修改。

4、总结

银行的网络安全管理涉及多层次的战略，组织，系统，技术等，必须抵御外部攻击。防范内部风险也是必要的，任何遗漏都可能影响网络安全的整体水平。为了实现网络安全目标，构成网络安全的所有木板必须具有一定的长度。为实现网络安全目标，运用一定的手段或措施。技术、管理双管齐下，建立合理的网络安全管理体系，让坚固的安全堡垒助力用户在风起云涌的金融新形势下立于不败之地。现代银行业的发展离不开网络技术的应用。所有主要商业银行都将网络安全置于网络建设的关键位置。网络安全已演变成一个必须首先在建立银行网络的过程中加以考虑和解决的问题。[[4]]目前，我省当地商业银行起步较晚，但发展迅速。因此，加强网络安全管理已成为当地商业银行的首要任务。而此次地方性商业银行网络安全管理现状调查，不仅全面了解甘肃省地方性商业银行网络安全管理现状，而且准确掌握银行业金融机构抵抗网络风险的能力。它将为未来人民银行指导全省银行业金融机构网络安全管理建设提供坚实的基础。

参考文献：

[[1]]李东荣.加快推进城市商业银行金融科技建设[J].金融电子化，2018（4）：08-10.

[[2]]钱继胜.中小城市商业银行信息安全管理探讨[J].金融科技时代，2014（5）：101-103

[[3]]孔洁.地方性金融机构信息安全隐患及建议[J].金融科技时代，2016（12）：45-47

[[4]]周滢.互联网金融背景下地方性商业银行金融创新[J].现代经济信息，2019（2）：351

联系方式：段梦博  中国人民银行兰州中心支行  甘肃省兰州市城关区东岗西路698号  730000

作者简介：段梦博（1983年），男，汉族，甘肃武威人，硕士研究生，工程师，主要从事网络维护和網络安全工作。

作者：段梦博

商业银行网络安全论文 篇2：

商业银行网络安全管理

摘 要 随着网络技术的飞速发展和大量应用，网络在银行业的信息化建设中已占据了不可替代的位置。当前国内各主要商业银行的信息安全体系结构中，外部防护、内部防护和信息加密已经成为保障网络安全最主要的策略。

关键词 商业银行网络安全；外部安全；内部防护；信息加密

1计算机网络概述及其面临的风险

网络技术的应用已经融入我们生活的各个方面，网络技术的使用，不仅使我们的生活更加便利，也让信息的传播更加便捷与迅速。计算机网络在银行各项业务中逐步应用，各大商业银行均把网络安全放在了信息化建设中的至关重要的位置上，网络安全已发展为构建银行信息网络发展过程中必须首先需要思考和解决的问题。[1]随着“棱镜门”事件的曝光国家也越来越重视网络安全的防护。

商业银行网络，鉴于其涉及内容的机密性，会变成外部黑客和内部非法权限攻击的靶子。保证银行的金融安全并且增强银行风险抵御水平已成为时下各大银行急需解决的难题。目前商业银行网络系统应对的主要风险和威胁包含下面几点。[1， 2]

1.1外部黑客的攻击

当前大多数黑客使用特洛伊木马、操作系统或应用程序的bug，甚至通过网络嗅探和中间方攻击这几个渠道来攻击网络和系统。然而，黑客能够利用的攻击方法绝对不止这些，其它的攻击方法一样能够给网络用户带来不良的结果。并且，银行信息系统的安全防御工作必须全面周到地斟酌，此类顾此失彼的安全防御方法不管做得多么稳定，黑客还是可能另有机会可寻。

1.2内部非法攻击

目前商业银行对防范外部攻击较为重视，控制也较为严格。但是相对于外部攻击的层层防护，银行内部的网络安全防护经常被人忽视，所以内部防护相对外部防护来说更显得薄弱。内部攻击由可以合法访问公司网络和系统的人员所执行的攻击。这些内部人员可能是对公司不满的员工、受到金钱诱惑从而使用各种攻击窃取信息的员工、临时为公司工作同时担当商业间谍的雇员或者是某个滥用网络特权的其它任何人。

1.3截获和篡改传输数据

目前绝大部分商业银行均通过租用运营商的点对点专线来组建自己的计算机网络。然而，银行内部局域网或专线上经常传输大量敏感的交易信息，极易被不法分子或网络黑客截获、分析甚至修改信息，造成信息泄露或使核心系统成为攻击对象。

2计算机网络系统安全解决的原则

商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式紧密相关，一个优秀的安全设计应当整合当前网络和业务特殊之处并全面考虑发展要求。商业银行的网络安全保护应选择分层次保护的优点，使用多级拓扑防护方式，设置不同级别的防御方法。访问控制是网络安全防护和防御的首要方式之一，其重要目标是保证网络资源不被非法访问。访问控制技术所包括内容相对广泛，其中有网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等多种手段。

结合某些商业银行的网络系统和部分商业银行的网络和业务规划，谈商业银行计算机网络安全解决的原则。[1， 3]

2.1 实行分级和分区防护的原则

商业银行的计算机网络绝大多数是分层次的，即总行中心、省级中心、网点终端，计算机网络安全防护对应实行分级防护的原则，实现对不同层次网络的分层防护。

防火墙也根据访问需求被分为不同的安全区域：内部核心的TRUST区域，外部不可信的Untrust区域，第三方受限访问的DMZ区域。

2.2 风险威胁与安全防护相适应原则

商业银行面对的是极其复杂的金融环境，要面临多种风险和威胁，然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究，制定与之匹配的安全解决方式。

2.3 系统性原则

商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一，系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二，要充分为综合性能、安全性和影响等考虑。第三，关注每个链路和节点的安全性，建立系统安防体系。

3计算机网络安全采取的措施

商业银行需要依据银监会发布的《银行业金融机构信息系统风险管理指引》，引进系统审计专家进行评估，结合计算机网络系统安全的解决原则，建立综合计算机网络防护措施。

3.1加强外部安全管理

网络管理人员需要认真思考各类外部进攻的形式，研究贴近实际情况的网络安全方法，防止黑客发起的攻击行为，特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统，组成多层次网络安全系统，确保金融网络安全。

入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位，当这些位置受到进攻时，可以马上检测和立即响应。构建入侵检测系统，可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻，可以实时监控、自动识别网络违规行为并马上自动响应，实现对网络上敏感数据的保护。[2]

3.2加强内部安全管理

内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合，构建多层次的内部网络安全体系。

基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时，客户端会先向接入交换机设备发送接入请求，并将相关身份认证信息发送给接入交换机，接入交换机将客户端身份认证信息转发给认证服务器，如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]

内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离，保证服务器区域不被非法访问。同时结合访问控制列表（ACL）方式，限制内部客户端允许访问的区域或应用，保证重要服务器或应用不被串访。

同时结合内部漏洞扫描技术，通过在内部网络搭建漏洞扫描服务器，通过对计算机网络设备进行相关安全扫描收集收集网络系统信息，查找安全隐患和可能被攻击者利用的漏洞，并针对发现的漏洞加以防范。

3.3加强链路安全管理

对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿，通过在线路两端设置加密机，通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件，采用加密算法对所发送的信息进行加密，把相应的敏感信息加密成密文，然后再在局域网或专线上传输，当这些信息一旦到达目的地，将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用，针对加密数据的破解也越来越猖獗，对数据加密算法的要求也越来越高，目前根据国家规定越来越多的商业银行开始使用国密算法。

3.4 建立商业银行网络安全审计评估体系

通过建立商业银行网络安全审计评估体系，保证计算机信息系统的正常运行。对商业银行的核心业务系统和计算机网络数据进行安全风险评估，发掘风险隐患，制订相关的措施。[5]

3.5 商业银行管理决策层对策

商业银行计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。商业银行计算机网络的安全管理，还包括完善相应的安全管理机构、不断完善和加强计算机的管理功能、加强立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高商业银行网络用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰。[6]

4 结论

商业银行的网络安全与社会的发展戚戚相关，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。商业银行计算机网络安全是一个综合性的课题，它涉及到管理、技术、使用等很多方面，因此，只有高素质的网络管理人才，严格的保措施、明晰的安全策略才可能防微杜渐，把可能出现的损失降低到最低点，才能生成一个高效、通用、安全的商业银行网络系统。

参考文献

[1]仇坤.商业银行计算机网络安全管理探讨[M]，2008.

[2]张峥.基于访问控制技术的银行网络安全研究及应用 [M].重庆大学3.%A刘玉强，2007.

[3]基于访问控制技术银行网络安全及应用[M].

[4]赵志强.商业银行信息安全保障体系的研究[D].天津大学，2008.

[5]徐鹏.浅谈商业银行网络系统安全 [J].金山，2013，1：96.

[6]王琰，姜帆.商业银行研发风险管控体系研究[J].计算机安全，2013，11：63-67.

作者：王晓宇

商业银行网络安全论文 篇3：

城商行ＩＴ系统的几个突出风险问题

2004年到2009年，预计城市商业银行网络安全硬件投入年均复合增长率（CAGR）为14.1%，网络安全软件年均复合增长率（CAGR）达到18.5%，网络安全服务年均复合增长率（CAGR）达到25.3%。2005年网络安全的增长率达到峰值。网络安全市场整体呈现增速减缓的趋势。尤其是硬件部分由于基数大，增长速度更加缓慢。城市商业银行网络安全市场的增长主要来源于其中部分生存能力强的银行进行业务多元化和地域的扩大所带来的网络安全需求。

目前，城市商业银行保持着快速增长势头，但是也面临很多挑战。这些挑战迫使城市商业银行必须尽快提升自己的竞争力，而相对较低的信息化发展水平正是其主要的制约因素。重重压力之下要加快信息系统建设，不可避免地给城市商业银行信息系统带来一系列风险问题。城市商业银行的信息系统监管正面临众多的挑战。

经过10年的发展，目前城市商业银行整体保持着快速的增长势头，但也面临很多挑战，包括资本充足率的要求、资产质量的历史包袱、经营地域的限制以及来自同行的激烈竞争等。预计随着外资入股和区域联合的进程，城市商业银行将迅速分化融合，优质城市商业银行发展的速度还会加快，而一些救助无望的城市商业银行甚至有可能会退出市场。

这些挑战迫使城市商业银行必须尽快提升自己的竞争能力，而相对较低的信息化发展水平正是其主要制约因素。目前城市商业银行的信息化水平与四大国有银行以及股份制城市商业银行相比还相对薄弱，而且呈现两极分化的态势。城市商业银行信息化技术和人才积累相对于高速发展的业务明显不足；信息化过程基本上还处于被动适应状态，对业务需求的响应速度比较慢。重重压力之下要加快信息系统建设，不可避免地给城市商业银行信息系统带来一系列风险问题。

按照巴塞尔委员会的建议，信息系统的风险主要包括：不适当的信息披露、差错、欺诈、因硬件或软件问题造成的营业中断、不切实际的规划和与计算机终端操作错误相关联的风险。同时巴塞尔委员会还给出了电子银行和电子货币业务的主要风险：操作风险、声誉风险、法律风险、其他传统风险、跨国问题。

结合我国城市商业银行信息化发展的现状，经研究发现，目前城市商业银行的信息系统风险主要体现在：欺诈、因硬件或软件问题造成的营业中断、不切实际的规划、电子银行和电子货币业务的操作风险这几个方面。

风险在哪里

巴塞尔银行监管委员会对这几种风险给出的解释是：

欺诈 商业银行的数据交流代表着资产或者转移资产的信息。通过电子支付与信息转换系统转移资产的速度成为内部控制的一个新难题。欺诈行为不仅会给商业银行本身带来损失，而且经媒体报道后还会削弱人们对该机构的信心。获取计算机记录的途径有多种，例如：输入未经授权的交易；趁例行系统开发或维护之机未经授权变动程序，自动生成虚假交易，省略对选定账户的控制审核或消除某些交易的纪录；利用特殊程序对电脑记录进行未经授权的更改，以逃避计算机系统内置的正常控制与审计监督；可以将文件从一台计算机中移出，利用其他机器输入虚假的交易或账目加以修改，然后再移回原计算机进行处理；在通过电讯网络进行转移过程中，以欺诈手段输入、截取或修改交易。

硬件或软件问题造成的营业中断 计算机系统由大量的设备与软件共同构成，任何一部分出现问题均可能使整个系统陷入瘫痪。这些设备通常会集中在一个或数个地点，从而增加了发生意外的可能行。当计算机系统失灵时，对于银行向客户提供实时服务的损害会立即显现并迅速扩大，处理过程中的积压负担会迅速增加。如果营业中断达到几个小时，那么可能至少需要几天才能清理完毕。一次严重系统中断的最终成本，将会大大超过损坏设备、数据或软件的更新成本。

不切实际的规划 有效的规划是一个关键的因素。银行的效率和服务质量已完全依赖于计算机系统。在规划或开发信息系统时的任何失败都可能产生严重的商业后果。如果不能迅速地实施新系统或提供新的服务，与竞争者相比，银行会处于非常不利的地位。但是，另一方面，特别是当获益不大时，不惜成本追求自动化又往往会付出更昂贵的代价。

电子银行和电子货币业务的操作风险 操作风险是系统可靠性和协调性方面存在严重缺陷而产生损失的可能行。安全性考虑是首要的，因为银行系统的系统或产品可能会受到外来或内部的攻击。风险主要来源于三个方面：一、安全性风险；二、系统设计、运作和维护风险；三、客户操作不当风险。

管好也不易

针对巴塞尔银行监管委员会给出的解释，城市商业银行的信息系统监管正面临很多挑战。

内部控制相当不完善 限于资金投入和人员投入的不足，很多中小城市商业银行为了信息系统使用管理的方便，对内部管理人员的操作权限管理、财务控制核对、事后监督、档案管理方面的投入都很不够。同时由于内部技术力量相对不足，系统建设主要靠外包，内部人员仅做一些系统维护和协助确定需求的工作，对系统供应商的依赖性很强。相应地对系统合作开发方的审查能力和约束力度还都达不到要求，增大了欺诈风险。

应急机制和灾难备份建设跟不上发展 目前各城市商业银行对业务系统和一般的数据库系统都建立了应急机制和备份措施，基本能保证一定级别的数据安全。但是易观国际的调查数据显示，目前城市商业银行中还没有建立自己的灾难备份中心，大多数只是做到同城备份。

系统建设缺乏规划，安全系统投入不够，同时还存在业务系统重复建设的现象 因为历史沿革和整个经营效益的原因，城商行的系统先天比较弱小，对安全系统的投入跟不上，造成现在信息安全面临严重风险的局面。同时由于信息化建设体系化不强，系统之间的耦合度和代码复用率相对较低，这样在竞争中就容易陷入不利境地，增大经营风险。

目前城市商业银行电子银行业务和电子货币业务发展远远落后于四大国有银行和股份制商业银行，在安全性和系统设计、运作、维护以及提醒客户的不当操作方面还须做出很大努力。

策略是关键

根据信息系统在城市商业银行的应用情况和风险控制的现状，建议从以下几方面做好工作：

完善城市商业银行信息系统风险控制制度的建设 具体来说：一、根据监管部门的要求，借鉴国内外比较成熟的经验，制定计算机人员的岗位职责、计算机应用系统管理制度、密码管理制度、资料管理制度、计算机管理制度、业务准则以及操作程序等制度。尤其是有外资参股的城市商业银行，要充分借鉴和吸收外资银行方的风险监管经验。二、在银行安全和灾难备份建设方面加大投入。方式可以灵活多样，可以考虑租用其他行的设备和服务，也可以考虑外包出去或多家联盟共建的方式。三、重视IT系统的战略规划，设立全行的IT规划与战略研究机构，并引入IT咨询。改变过去单点考虑易造成重复建设的解决方案开发模式，改为整体考虑应用系统体系生命周期、网络安全、风险管理等关键技术问题。

充分认识信息系统的风险，将其纳入到整个银行的风险监管体系中 当前信息系统已渗透到金融业务的各个方面，而且还在不断深化，但同时出现的风险也越来越大。因此，在对其他风险加强监控的同时，也要对信息系统的风险予以充分重视。同时，不能割裂监管信息系统的风险，要形成一个整体的银行风险管理体系，囊括信用风险以及其他银行核心风险。

充分发挥监督部门和人员的作用 城市商业银行的内部稽核部门一定要将对信息系统的监督作为其工作的重要内容。同时，还要求外部审计人员的支持。需要强调监督检查人员必须是独立的，不能既是应用操作人员又是监督人员，只有这样才能保证监督的有效性。

作者：殷荣耀