金融业深度依赖境外软件 存信息泄露隐患

“不懂的人处之泰然，觉得天下太平；懂的人心惊肉跳，觉得处处是漏洞、时时有陷阱。”接受《瞭望》新闻周刊采访的中国人民大学金融信息中心主任杨健，对我国银行业对境外金融交易系统和服务软件的深度依赖表示忧虑。

受访的多位专家都认为，随着今年我国金融领域全面开放，外资金融服务机构将越来越多地介入中国的银行系统，我国建立金融信息产品的监管和建设机制十分紧迫。

“恨它又离不开它”

目前，我国金融软件系统对外依存度比较高的有：外汇交易平台，以英国路透社的Dealing3000和德意志银行的EBS为主；债券交易平台，以美国彭博社的终端为主；市场报价资讯系统，以路透3000Xtra为代表；风险管理系统，如路透Kondor+，Murex等。除了银行业，重要的证券、期货、投资机构、科研院所包括国家外汇管理局、银监会、财政部等国家部委，也都在使用其中的部分产品。

由于报价的权威性和实时性，全球60%的外汇交易都通过路透的Dealing3000完成，我国绝大多数银行外汇买卖也都使用这一系统。路透的资讯终端3000EXtra在国内的使用更为普遍。

《瞭望》新闻周刊记者采访发现，我国金融系统对境外软件形成深度依赖，一个重要原因在于其完善的报价系统和实时金融资讯。以路透为例，其资讯产品包括全球250多家交易所的股票实时报价，50多种货币每天的官方定价，超过175种货币的现货、远期、存款、掉期、期权和其它衍生品的价格，100个国家的50万只债券的实时报价，16500家公司的详细盈利预测和综合盈利预期，以及每天提供4万个世界知名券商的研究报告。

中国银行是路透全球20个战略合作伙伴之一，其全球金融市场部系统开发与维护主管张晨说：“路透的数据库保留了大量的历史数据和市场价格，包括股票、金融衍生产品等。比如我们的资产负债管理系统需要LB10年内的数据作定价分析，就要花钱买这10年的东西。它最大的优点是覆盖面非常广，全球所有的金融市场的所有数据，只要可以找到公开报价的它都有。”

对境外软件的高度依赖，使国内银行不得不付出高昂的使用费，即使中小银行为了拓展业务需要也不得不投入巨额资金，尽管使用频率并不高。

宁波商业银行是一家迅速崛起的城市商业银行，其外汇国际结算业务在全国107家商业银行中排第三位，被路透列为“合作典范”。据该行资金运营部总经理张振鹏介绍，他们租用一台Dealing3000的费用是4000美元/月，风险管理系统是一次性费用加每月维护费的形式，加上3000EXtra，宁波商行一年使用路透产品的费用估计在100万～150万元。但受银行资信所限，愿意与其进行外汇买卖的境外银行并不多。

记者采访各大银行还发现，路透凭借其国际货币交易定价权和货币交易信息发布话语权，与用户签订的协议中包含大量“霸王”条款：第一，产品强行捆绑打包，高价出售。中信银行管理信息部信息管理处处长李静告诉记者，中信银行订购路透的产品主要是看股市、能源等信息，基本上都是管理层使用，使用率很低。“每个月的费用高达1400美元，以前有小的拆包的信息，从2004年起就没有了，必须打包销售。我们老总也就关心那么几支股票的行情，觉得很浪费，但没有办法。”第二，约定双方签订的合同适用英国法律，至少是香港法律，不适用中国法律。第三，如果产品不符合用户要求，用户必须提前一年向路透提出退订申请。

“请进来的风险”

记者采访发现，国内使用境外的外汇、债券交易平台及风险控制软件等，终端机与其后台服务器、数据库都是相连的，尽管大多数银行采用了单向接入、物理隔离等措施，但仍不能排除对方获取中方金融信息。

中国银行机要保密处处长李红兵说：“目前我国关键的信息技术及相关产品很大程度上依赖进口，存在因技术依赖而产生的风险，如有意留的后门、谍件、‘逻辑炸弹’等，以及因服务依赖产生的‘请进来的风险’。”

中国银行全球金融市场部总经理唐棣华表示，当下使用境外金融资讯服务和软件系统存在两个方面的信息安全隐患：一个是信息源中断导致交易中断的风险。现在外汇交易用的都是路透的牌价，有一次路透的黄金牌价错了一个小数点，实际价格是显示牌价的10倍，尽管中行与客户沟通后把损失基本追回，但银行必须避免类似因信息错误导致的损失。

第二个是需要保密的敏感交易信息可能被交易系统供应商窃取和泄漏。唐棣华说：“系统供应商可以获取所有交易数据和信息，能否保密取决于其职业操守。”

杨健告诉《瞭望》新闻周刊记者，通过交易平台的流量，交易习惯、交易头寸、交易策略等完全可以表现出来，借此可推断存量。如果这些信息被老虎、索罗斯等对冲基金得到，我国经济结构和监管方面存在的漏洞就暴露无遗，将导致灾难性后果。

尽管目前金融界对银行商业秘密、交易安全、防止网络入侵这个层次的信息安全已非常重视，但在国家层面如何保证敏感的金融信息不被境外获得、窃取，意识还相对薄弱。

清华大学金融研究所所长朱世武告诉记者，目前银行的大项目，包括交易系统、风险管理等数据，基本都给了标准普尔等境外金融服务机构。

“谁做风险控制，谁就知道你的漏洞和后门在哪里。”杨健说，境外机构其实很难真正解决中国的问题，都是找企业或者银行座谈，用我们自己的东西，形成他们的方案。不但价格昂贵，而且让他们知道了中国的风险控制是怎么做的，问题在哪里。“如果我明知你房子有300个漏洞，但不全堵上、留几个在那里，一旦双方进入敌对状态，随时可以攻击。”

国家信息中心首席工程师宁家骏举例说，中国移动曾经请外资公司对网络进行风险评估，事后却发现网络遭受攻击更频繁。调查发现是评估人员泄密所致，因为评估把弱点都找出来了。

尽快为监管真空补位

我国对防火墙、网关、入侵检测、漏洞扫描等信息安全产品的管理比较严格，央行有相应的管理、批准、认证、检查标准；对密码产品更加严格，必须经过国家密码管理局的认证。

宁家骏说，但对信息服务产品尚未有明确规定，缺乏测评、认证等准入制度。

中国信息安全产品测评认证中心（CNITSEC）是经国家质量监督检验检疫总局授权、代表国家开展信息安全测评认证工作的职能机构。但其相关负责人告诉记者，他们并非强制性认证机构，只是为有需要的企业提供产品安全认证和测评，而且仅限于防火墙等内容，至于软件是否存在后门、谍件等，中心不具备检测能力。而由央行牵头、交通银行等12家商业银行共同建设的中国金融认证中心（CFCA），也仅是为网上银行等提供第三方验证服务。

唐棣华说，路透、彭博等平台的营销非常深入，国内没有部门管，没有强制的申报、审查程序，用户也没被告知任何注意事项，想用什么系统就可以用，觉得顺理成章。中国外汇交易中心全国银行间同业拆借中心信息部经理吴燕接受采访时也表示，国外很多国家都有监管条例，美国对欧洲的机构进入还有一定的限制。“相关部门应该对这些机构在中国的经营活动、业务开展情况有所掌握，出台相关管理条例，规范其服务对象和业务范围，这是最起码的。”

对境外金融服务机构在华活动进行立法监管刻不容缓，业内专家建议，应从经营设限、信息管制、授权发布等多层面进行规范。

经营设限。吴燕认为首先应将这些机构划为金融服务商门类，由专门监管机构进行监管，并参照国际金融界的惯例，对其在华经营活动作出相关限制要求，如规定可以服务什么机构、可以开展什么业务，甚至对其雇佣人数、发展规模都应作出限制。

信息管制。监管部门有权要求境外金融服务机构提供所有境内客户在其平台交易的数据。

授权发布。杨健说，中国应培育自己的品牌发布者和信息垄断经营者，如银行拆借利率、上交所公告等信息，完全可以立法授权国内的信息权威机构进行特许独家经营，让国内机构享有信息发布的优先权。这也是国外的通行做法。

构建自主开发的孵化机制

用户非常希望国内有自己的产品替代国外产品。张振鹏说：“跟国外的供应商谈判，价格太昂贵，没有还价余地。”

全球金融信息市场规模在80亿英镑（约人民币1200亿元）左右，金融信息产业不仅有着重大的经济利益，更重要的是涉及国家金融安全等多方面因素。受访的业内专家一致认为，为防止过度依赖国外系统平台和信息技术，必须开发自主知识产权的金融信息产品。

培训当先。杭州恒生信息技术有限公司常务副总经理柴科平指出，我国建立相关的金融数据库，优于部分境外机构使用的数据流，从技术上而言，是完全可以赶超他们的。然而，软件开发的核心竞争力在于对需求的了解，而这恰好是国内软件的最大软肋。

构建平台。宁家骏认为，应整合各金融机构和科研单位的科研力量，组成统一的国家级研发平台，高效率地组织相关科研单位的软件集成，大规模地开发软件产品，并以此带动相关金融信息科技产业。同时在确保国家机密的条件下，协调各行政部门拆除人为设置的信息壁垒，实现资源共享和集中。

技术买断。上海金融学院教授朱文生认为，为避免重复建设和缩短研发周期，对于一些市场反映好、国内又开发不了的软件，或者是自主开发成本过于昂贵的，就可以采取与国外有经验的软件公司合作开发的模式，或可考虑技术买断的方式采购。也就是说，坚持选择性的“拿来主义”，并且在相关合同中约定核心技术在买断方，买断方可参与核心技术的建设等内容。

启动专业人才培育工程

《瞭望》新闻周刊记者调查了解到，近十几年来美国众多的数学家、物理学家、计算机科学家和工程师都开始从事金融工程研究，西方报道称之为“火箭科学家向华尔街的大规模转移”。因而这批高端精英人才在给客户提供金融信息产品方面已发展到“量体裁衣”的程度。然而，目前国内金融行业专业人才严重匮乏已成为最突出的“卡脖子”问题。

吴燕告诉记者，中国外汇交易中心在与路透合作之前，也曾请国内软件开发公司来设计。可由于他们对金融产品非常不熟悉，无法满足实际运作的需求，而路透不仅能提供最适用的软件，还拥有一支专业化的服务队伍，出现疑难问题还可把全球专家调用过来，最后外汇交易中心不得不选择了与路透的合作。

金融信息产业需要IT和金融专业的复合型人才，目前国内高校没有开设相关专业，而且金融专业的学生多数从文科中招生，不少教师也是文科背景，缺乏数理基础的训练，金融研究机构也缺乏理工科人才的参与。

杨健指出，金融信息产业涉及的新产品、新理论、新方法、新技术非常庞杂，没有一支国家级科研团队和人才梯队，自主研发的步伐难以加快，国内金融机构深度依赖境外金融服务的现状就难以改变。国家应迅速启动相关人才培育工程，如在高校中设立相关专业，并对国内的科研专家采取“走出去”、“请进来”等多种方式进行培训提高等。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。