数据大集中――网络时代银行业不能回避的话题(2)

　　2.防范策略

　　全国性数据大集中是巨大的系统工程，要充分考虑一个数据中心的要求和特点，确保一个数据中心设计方案的科学性、整体性和完备性，风险控制与防范策略的针对性、有效性和可实现性。全国数据大集中建设，业务系统建设是核心，主机系统建设、网络系统建设、支撑系统建设是基础，运行维护是关键，高素质的技术与管理人才是建设成功的必要保证。

　　（1）科学规划全国性的数据中心。在建设全国性数据处理中心时，要对本行现有和可能达到的数据交易量、通讯数据量、账户数量、客户数量进行较为准确的定量估计，在此基础上提出全国数据中心必须具备的交易处理能力、通讯能力和安全防范能力指标，并据此形成量化指标对全国数据中心的整体规划和设计进行评估，确保实施方案的可行性和科学性。

　　（2）按照高可靠性、高冗余性和高扩展性标准，强化数据中心基础设施建设。数据中心主机系统采用支持不停顿运行的并行运行结构；存贮设备采用高冗余、高容错、高I/O读写能力的磁盘阵列作为主存贮器，并在同城建立数据实时备份中心，在异地建立环境与主运行中心完全对称、业务处理能力与主数据中心相当的灾难备份中心，并保证其具有在主中心发生灾难事故时快速接管和恢复生产的能力；在网络上实现通讯设备冗余、通讯线路冗余、网络路由冗余，确保网络在任何时候都具有支持全国性数据中心正常运行所必须的通讯环境。

　　（3）采用标准化的业务系统统一核心业务。实现全国性的数据集中处理，应用系统建设是关键，这就要求简化需要全行集中处理的账户信息、客户信息、管理信息，以全国统一的标准把非账户性交易必要的数据放到业务系统之外，减少账户性交易所需要处理的数据量，减少所涉及的数据处理时间，以功能比较完善的、适应范围较广的、技术比较先进的业务处理系统统一全行的核心业务，提高全国数据集中处理的效率和安全性。

　　（4）建立集中式与分布式相结合的动态安全监控机制。全国数据集中的安全控制机制是层次化的，一般由总行负责全国性数据中心、数据备份中心和灾难备份中心的建设，并确保其安全运行，同时负责全行账户性交易的安全控制、骨干网络节点和通讯线路的安全控制，骨干网络节点采用身份鉴别和访问控制机制，主干网络通讯采用高强度的密码通讯方式，确保主干网络中通讯的安全性和完整性。省级数据中心也采用层次化的模式负责所辖区域的安全管理。具体地说，网点采用管理员卡和操作员管理方式防止非法登录业务系统，客户密码采用密码键盘和加密存储方式防止客户密码的泄露，网点服务器将业务数据加密并附加数据完整性校验信息后上传到省级数据中心前置机，后，把合法的交易传输到全行数据中心并把交易结果回传到网点。非法交易则由省域中心拒绝，记录所有交易的详细日志，以备分析。

　　（5）按照国际标准，加强项目建设过程的质量管理。全国性集中式网络的设计方案，应按照国际标准制定项目的建设方案和质量控制方案，严格按照项目的质量目标对项目进行质量检测、质量评估，并根据质量评估结果修正项目建设的方式。严格项目的产品管理，严禁在建设过程中使用无法达标的安全产品。严格项目的人员管理和文档管理，杜绝技术机密和管理机密的泄露。严格项目测试和验收，项目的合格性和合法性必须经国家权威机构测评认证后，方可使用。

　　三、银行实现全国性数据大集中面临的和政策问题

　　银行实现全国性数据大集中是一项全新的系统工程，在管理、法律、政策等方面必将面临新的问题。在解决好银行内部的管理模式、人员素质和非技术性安全等问题的同时，银行实现全国性数据大集中更需要一个成熟的外部法律和政策环境，在计算机信息系统安全方面，国家已出台一整套法律、法规。我国新已加进了有关计算机犯罪的条款，但银行业的全国数据大集中是新的产物，是我国经济和信息产业发展中的新生事物，还来不及进行和立法研究，因而缺少有针对性的政策和立法保障，存在重大政策与法律风险。主要表现在：

　　①缺少系统性的针对银行“重点应用系统”的安全立法保证，主要是全国规模的数据中心应遵循的国家安全标准和法规；

　　②缺少国家有关基础设施部门（如电信、、等）对银行业“重点应用系统”的立法和政策保障；

　　③缺少“重点应用系统”突发灾难事故处置的研究和立法；

　　④缺少纠纷裁决的立法，“重点应用系统”由于各种情况可能与银行客户、基础设施部门、计算机软硬件供应商等发生法律纠纷，应有相关立法；

　　⑤银行计算机安全法制观念淡薄，对银行计算机系统的规划、设计、工程实施、安全策略制定和安全事故处理等，国家已有相关法规规定，但目前在银行内部还存在着缺乏学习和执行不力等问题。

　　银行业实施全国数据大集中事关国计民生，针对上述问题建议国家有关部门和人民银行有针对性地给予国家立法和政策保护。

　　①制定银行“重点应用系统”安全管理法规。规定全国规模的“大型数据中心”建设和生产运行、安全管理应遵循的国家安全标准、法规。

　　②制定“重点应用系统”安全保护法规。立法规定银行“重点应用系统”应受律保护；界定内部、外部、过失、恶意等各种犯罪行为；对针对计算机的犯罪和利用计算机犯罪的各种行为予以制裁的条款，加大对银行“重点应用系统”的立法保护力度和对各种计算机犯罪的威慑力。

　　③制定电信、电力、交通运输部门对银行“重点应用系统”依法保障的国家法律和政策条款。要针对银行全国业务集中的社会需求，制定电信、电力、交通运输行业配套发展规划，加快发展。要依法对银行“重点业务系统”提供相关安全保障，承担“重点业务系统”基础设施保障的法律责任。

　　④制定银行实施业务集中后可能发生的法律纠纷的仲裁条款。界定全国性数据大集中实施过程中可能出现的银行与客户、基础设施部门、计算机软硬件供应商纠纷，规定相关裁决条款。

　　⑤制定“重点应用系统”灾难、突发事件的处置条款。界定可能的灾难、突发事件，规定社会各方面包括银行、公安、基础设施部门、供货商等相关处置行动及法律责任。

　　⑥重视对银行“重点应用系统”的研究、、支持和发展。银行全国数据大集中是网络时代银行的一种典型模式和发展趋势，国家有关部门、科研单位应重视对这种典型应用模式的研究，指导、支持新经济产物健康发展，走向成熟，从根本上降低全国业务集中的安全风险，最终达到将安全风险降低到最低限度并且可控的目的。