银行信息安全是指银行信息系统的硬件、软件及其数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

银行加强信息安全的主要目的就是为了保障信息化的持续稳定发展，信息安全不仅属于技术问题，也属于管理问题。从信息技术层面来看，当前我们使用的很多操作系统存在一定的安全漏洞，开发商会针对发现的漏洞设计相应的补丁程序，这就需要定期更新系统。例如，运用主机热备份以及灾难备份的方式，可以有效保障信息的安全运行。同时一些软件开放人员在编程设计过程中留有“后门”，如果这些“后门”被不法分子知道，就会将该部分作为攻击目标，进而影响到信息系统的安全。当前大部分的黑客攻击等都是由于系统“漏洞”引起的，因此银行在应用软件过程中应该尽量避免留有“漏洞”。此外，随着我国信息化技术的不断发展，信息系统的安全管理也被纳入国家的重点项目中。

与世界上的部分发达国家相比，我国的信息安全管理工作起步较晚，但是发展较快，并且对系统风险认识的不断深化促进了信息安全管理的发展。对于银行而言，信息安全是至关重要的问题，这是因为任何一个环节出现问题，都会对整个系统的发展带来影响，甚至导致全局性的失误。例如，银行传统的信贷、柜台等业务已经有多年的信息安全管理经验，而信用卡作为一种新型的业务，它连接了多个方面的利益关系，其中涉及到发卡行、特约商户以及持卡人之间的关系，因此信息安全就成为重中之重在银行开展各项业务过程中，信息和数据是基础。此外，从客户的角度来看，银行在给客户提供服务时，必须保障提供信息的准确性、可靠性与安全性。由此可见，银行加强信息安全管理是十分必要的。

（1）信息安全的观念、意识和基础内容尚未深入人心。

对银行业信息安全来讲，首要的问题是观念和意识的问题。从管理层到员工，能否意识到信息安全的重要性，知晓信息安全的基本内涵和在业务工作中的具体体现是很重要的，目前银行的管理层对信息安全的重要性是重视的，但对信息安全到底指的是什么知道的并不是很多，因此主要工作还是落到了口头上。在信息安全上，由于其技术壁垒的原因，容易形成自下而上的推动力，缺乏联动性和群众性。信息安全的基础至关重要，大部分的核心安全效果并不取决于核心技术，而取决于基本规范的落实和常见的安全手段的应用。比如说密码的周期性修改和长度的最小设定就是最简单的安全设施，但员工在执行密码设定时嫌麻烦，执行得不好。信息安全观念的缺乏也是银行安全意识淡薄的重要原因。

（2）网络安全技术上存在的偏差。

应该说，这几年银行在网络安全和主机系统上的安全投资还是不少的，但也存在一些问题。首先，许多人认为信息安全就是网络安全，最多认为是计算机的安全，因此把安全防范的责任压在网络上，使网络系统相当复杂，在信息高速公路上设置各种关卡，漫无目的地围追堵截，最终的结果却是事倍功半。事实上从根本上来讲，真正确保的是信息，要防范的也是信息，因此防护源头是最重要的，也就是金融信息本身的采集、存储、处理、分析、增值的安全是最重要的。在应用程序安全、主机操作系统安全、存储安全、管理安全以及人力资源安全等方面下大功夫，盲目依赖网络安全是舍本取末。

（3）重视工具投资而忽视管理投资。

网络的安全投资不完全是安全产品和工具的投资，还应包括策略、操作流程和应急处理机制等方面的投资。安全产品和工具的使用应有相应配套的流程管理机制，否则报警无人处理，入侵无人响应，效果并不好。但是要建立合理的流程管理机制也同样需要投资，如流程资讯投资等等，这些投资和整个安全系统的完整性息息相关。但在目前的银行信息安全建设中，这方面的投入还不是很多，整个安全的思路还局限在技术层面上。

（4）银行的应用软件很薄弱。

银行的应用软件是整个信息的载体，软件的安全质量是非常重要的，目前银行业的软件开发体系，包括软件开发生命周期和项目管理体系比较注重功能、速度和市场，而较少优先考虑安全。现在发现那么多安全的漏洞，包括技术和管理上的漏洞，其主要 问题出在软件生产的质量上。银行的核心应用软件大多都是银行自行开发，由于技术、管理以及实效等方面的原因，安全问题如果在软件设计和开发中未认真考虑，其后果是难以想象的。

（5）银行的信息数据管理存在安全漏洞。

大型银行的应用系统大多应用在主机上，操作系统也相对封闭，其信息的储存相对安全。但是各银行的信息管理数据在管理上存在较大的风险，这些数据包括各种核心的业务报表、客户关系数据、办公电子功能、风险控制信息等等，这些信息在系统上通过开放的IP网络传送，由于系统的安全漏洞较多，病毒容易侵入，管理信息的损失有时候比业务数据的损失后果更严重。这些数据的安全性尚未引起足够的重视，很少有银行考虑采用安全操作系统，安全文件系统也很少在管理信息技术传输前进行加密。这方面意识不强，技术关注不够，投入不多，也将可能给银行带来损失。

（6）灾难防范是当务之急。

随着数据的大集中，安全风险也集中了，一个数据中心往往管几个甚至十几个的金融信息处理，直接关系到网点的正常营业，不管是软件、主机或者网络出现问题，都会对社会产生很大的负面影响。另外各种灾难发生，包括可能发生的恐怖活动都可能导致数据中心不能正常工作，甚至金融信息的损失。如何从灾难的角度进行信息安全设计，如何在投资和信息安全上取得平衡，均是一个不能回避的问题。