在一定程度上讲，缺乏一个强有力的信息资产监管机构和一套切实可行的信息安全监管机制，是国家信息安全宏观政策无法在金融业中全面落实的重要原因。

　　4月20日，中国银联系统瘫痪达6个小时，34万家商户POS机无法消费，6万台ATM机无法跨行取款。

　　尽管4天后中国银联发表声明称：此次跨行交易故障绝非“黑客攻击”，而是“系统故障”小概率事件，是由于某些外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷，导致主机发生故障。

　　但是，这一小概率事件又一次将银行新业务的安全问题摆到了公众面前，如果不能有效避免，会极大地削弱公众应用新兴消费方式的热情，造成无法衡量的间接经济损失—公众对银行的信任度受损：有问题的信息产品能否抵挡日益严重的网络犯罪?

　　据国外调查机构数据显示，金融历来是黑客关注的焦点，在有预谋的网络犯罪中，90%以上集中在银行、证券和保险领域。日前，公安部人士在有关工作会议上透露，2005年我国用户仅银行卡被骗金额就将近1亿元，其中利用网络病毒窃取、“网络钓鱼”骗取、手机短信欺诈等已经成为银行卡诈骗的主要手段。

　　如同在真实的社会中一样，欺骗、病毒、入侵、盗窃甚至抢劫，在网络环境中始终存在，且愈演愈烈。2006年年初公安部出台了《信息安全等级保护办法(试行)》(以下简称《等级保护》)，构建等级化保护体系，同样也成为了金融行业迫在眉睫的任务。

　　公安部选择了一些银行作为等级保护的试点单位，意图通过严重依赖信息化展开业务的银行试点，总结经验在全国范围内推广。时间已过半年，现状究竟怎样?本刊希望以“等级保护”为采访线索，将金融领域信息安全这一敏感话题理性呈现，为有关政策决策时提供客观依据。

　　进退维谷

　　记者在采访中发现，无论是否参与等级保护试点工作，各银行的CIO或者CSO都认为《等级保护》要落实起来难度相当大，因此绝大多数商业银行还处在观望状态，担心的问题有三点。

　　首先，政策是否具有延伸性?是否具有可操作性?某重要商业银行一位不愿意透露姓名的信息化主管认为，等级保护搞了十几年，一直感觉是雷声大，雨点小。譬如早在1994年，国务院就发布了147号令，规定计算机信息系统必须实行等级保护，但是没有相关的管理办法和等级划分标准出台，导致政策一到操作层面就执行不下去。等1998、1999年到公安部会同信息产业部、保密局、中办机要局、军队和地方的专家，正式制定了计算机信息系统等级划分标准后，整个的安全形势又发生了很大的变化，这个标准又过时了。