探尋金融信息安全的機遇

謝仲良

“一個產品或一套解決方案的成功，離不開對市場需求的準確了解。而這一定要從CIO采購成本和采購緊迫感的上下文來定義市場需求。”賽門鐵克（Symantec）西部地區系統工程部高級總監夏虹認為。

11月22日，賽門鐵克公司在北京召開主題為“邁向新大陸”的中國用戶大會。據悉，這是繼賽門鐵克與Veritas合并后的首次中國用戶大會。在當天下午的講座上，賽門鐵克西部地區系統工程部高級總監夏虹關于美國金融業信息安全的報告受到了聽眾的好評。本刊記者在講座結束后的第一時間對夏虹博士進行了專訪。

信息安全

屬于風險管理

從20世紀90年代開始，國際銀行業內幾次大的倒閉或交易損失事件令人記憶猶新。1991 年，國際商業信貸銀行 (BCCI) 因為100億美元的巨額損失而倒閉；1995年，擁有233年歷史的巴林銀行因為假冒交易而倒閉；同樣是在1995年，紐約大和銀行因未授權交易損失 11 億美元。

通過研究這些案例，不難發現風險對于銀行來說意味著什么。可以說，風險就是銀行的業務基礎。銀行就是通過評估和管理信用風險而獲得成功的。銀行的風險管理越有效，銀行的整個經營管理就越成功，就更能保證銀行的成功和可持續發展。

而信息安全則是銀行風險管理中的題中之意，信息安全對每個金融機構的經營來講都至關重要。賽門鐵克西部地區系統工程部高級總監夏虹指出，如果敏感信息或客戶數據出現泄露或丟失的情況，可能會因訴訟或法律制裁而受到處罰，以及給企業的信譽造成極大的負面影響，甚至最終導致客戶的大規模流失。

根據美國國家銀行業規范制定機構——巴塞爾銀行監管委員于 2001 年制定的新巴塞爾協定 (Basel II Accord)規定，要求銀行提高準備金，或者證明能夠系統地控制其信用和經營風險。新巴塞爾協定將經營風險定義為“由于內部過程、人員或系統缺乏或失效，或外部事件引起的損失的風險”。顯然，該協定也將信息安全控制問題提到了重要的位置上。

變化創造機會

隨著企業將信息安全提到議事日程之上，Symantec也很快找到了大施拳腳的機會。夏虹指出，企業在信息安全一般是從兩個方面來進行的。一方面，在管理流程上，對企業管理流程進行修改，對其現有管理實踐進行修改，從而加強信息安全的管理；另一方面，在相應的技術基礎上，通過技術來提高企業的信息安全。

“因為安全不是公司維生的手段，不可能要求公司員工成天進行信息安全的檢查報告。而在這一過程中，Symantec看到了機會?？梢詾檫@些企業提供相關的技術和解決方案?！毕暮缯f。

據悉，一般做法是，Symantec和世界上幾大著名管理咨詢公司合作。管理咨詢公司去做管理流程的風險評估；Symantec則提供相應的安全技術產品和解決方案。

夏虹強調，企業管理者的安全意識最為重要。不解決管理層面的問題，技術層面的安全也難以真正發揮作用；而管理流程上的許多復雜問題，僅僅靠買技術來解決是不可能的。

在信息安全產品/解決方案設計方面，夏虹認為，一個產品或一套解決方案的成功，離不開對市場需求的準確了解。夏虹指出，人人都知道市場需求重要，但是歸結到怎么樣確切知道需求很難。以往去做調查的時候，10個客戶會有9個說需要，大家就來開發，但是產品出來后，客戶卻說價位不對，這種調查方式顯然不是正確的?！霸诿绹鴱氐椎氖袌鼋洕h境下，CIO是經過多年職業訓練的，他會嚴格按照各種IT產品對公司主營業務的影響程度來決定購買。所以我們一定要從CIO采購成本和采購緊迫感的上下文來定義市場需求。”夏虹強調說。

夏虹認為，信息安全目前也開始成為一種服務。夏虹談道，早在四、五年前，網絡泡沫消退后，美國IT業面臨著一個“冬天”。很多人開始對IT技術的重要性提出質疑。IT對公司的作用是什么？對公司主營業務和盈收有無幫助？同時，在巨大的成本壓力下，公司開始對IT的角色進行重新定位。而在這一過程中，導致了企業對服務的需求。

“比如手機通話是通訊公司提供的一種服務。服務意味著要注重服務質量，要求能準確計算服務費用。”夏虹說，“很多人覺得如果IT也能做到這樣，對不同部門的要求提供不同的服務，從而精確地來計算成本，并且CIO可以清楚地告訴CEO錢是如何花的，也能夠實現四個9、五個9這種量化的標準。”夏虹認為，很多因素促成了這一趨勢。

國內銀行

面臨巨大挑戰

在信息安全方面，夏虹認為國內外銀行的需求是同樣的，很多問題也是相同的。但是他指出，國內銀行與國外銀行對信息安全的敏感度不一樣。“比如客戶那么大，但是隨著意識的提高。美國單個客戶的法律意識很高，如果出現客戶資料流失的情況，美國的客戶一般都會采用法律程序來解決，而且出事后造成的名譽以及各種訴訟成本都是很大的，而中國客戶在這方面的意識可能就比較淡薄了?！毕暮缯f。

眾所周知，隨著WTO規定期限的臨近，國外銀行也加快了在中國市場排兵布陣的節奏。有業內人士指出，隨著市場競爭環境的完善、客戶消費需求和法律意識的提高，國內銀行將迎來前所未有的巨大挑戰。夏虹認為，進入中國的國外銀行可能會把信息安全作為自己的一項競爭優勢，并借機來爭奪國內高質量的行業用戶。“中國銀行如果不跟上這一步伐，是有很大風險的。”夏虹說。