時間:2024-03-08 14:40:52
導語:在金融安全管理的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
論文關鍵詞:信息系統;安全管理;體系
現代金融業是基于信息、高度計算化、分散、相互依存的產業,有人形象地把信息系統歸結為銀行業的“核心資本”。金融信息化帶來的是銀行業務信息系統在網絡結構、業務關系、角色關系等方面的復雜化。而越是復雜的系統,其安全風險就越高。在系統中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據2003年一項對全球前500家金融機構的安全調查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調查的機構承認2002年曾受到一定形式的系統攻擊;美國聯邦法院2004年所作的一系列有關信息犯罪的案件中,有多件涉及金融機構。這些統計數字和報道出的事件,只是我們面臨信息系統安全威脅的冰山一角,因此加速建設金融信息系統中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術和安全產品保障信息系統安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據有關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統安全保障能力的可靠保證,是金融信息系統安全體系建設的重點。
1安全管理體系構建
信息安全源于有效的管理,使技術發揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監控和安全反擊,才能使信息系統的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保信息系統安全的重要基礎,是金融信息系統安全保障體系建設最為重要的一環。為在金融信息系統中建立全新的安全管理機制,最可行的做法是技術與管理并重,安全管理法規、措施和制度與整體安全解決方案相結合,并輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融信息系統安全管理體系是在金融信息系統安全保障整體解決方案基礎上構建的,它包括信息安全法規、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術手段實施金融信息系統安全管理的平臺,它包括安全預警管理、安全監控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統實現,通過該系統,可以在安全風險動態威脅和影響金融信息系統前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統通過追蹤最新的攻擊技術,分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然。
2.2安全監控管理
通過安全監控功能可以實時監控金融信息系統的安全態勢、發生了哪些攻擊、出現了什么異常、系統存在什么漏洞以及產生了哪些危險日志等,因此安全監控功能對于金融信息系統的安全保障體系來說是至關重要的。
1)基于實時性的安全監控。通過在線方式管理金融信息系統中的資源狀態和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監控來提高系統的安全性和IT資源的效能。
2)基于智能化的安全監控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理,實現報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統中報警信息的可信度。
3)基于可視化的安全監控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數據表/關聯關系圖等,提供詳細的入侵攻擊信息乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監控理解,使安全系統的管理更為有效。
4)基于分布式的安全監控。通過系統分布式的多級部署方式,可以實現對金融信息系統內各個子系統的監控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應管理
在金融信息系統的安全系統中由于安全的異構屬性,因此會采用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優化整個系統安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數據庫或者異地數據庫中。
1)優化安全策略分析。通過實時掌握自身的安全態勢,及各種安全設備、網絡設備、安全系統和業務系統的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優化調整。
2)動態響應策略調整。通過對各種安全響應協議的支持,如SNMP、TOPSEC、聯動協議等,實現相關的安全防護技術策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
3)安全服務自動協調。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網絡與信息系統安全事件的調查中是非常有用的工具,通過對系統安全事件的存儲和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態分析、關聯分析、專家系統分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統自動對目標進行掃描,并將掃描結果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統相對比較封閉,對于金融信息系統安全來說,業務邏輯和操作規范的嚴密程度是關鍵。因此,加強金融信息系統的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構的建設。目前,我國已經把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統的安全,在金融信息系統內部應組建安全管理小組(或委員會),安全管理小組制定出符合企業需要的信息安全管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規范化,以保證安全管理工作具有明確的依據或參照。
2)在保證信息系統設備的運行穩定可靠和信息系統運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區域的分割防護;增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑒定分析,以提高自身的動態防御能力;完善已有的防病毒系統、增加內部信息系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統安全管理的法律法規及安全管理標準,狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理;進一步完善互聯網應急響應管理措施,對關鍵設施或系統制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。
4)堅持“防內為主,內外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權限,充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統審計提供依據。
5)重視和加強信息安全等級保護工作,對金融信息系統中的信息實施一般保護、指導保護、監督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。
6)加強信息安全管理人才與安全隊伍建設,特別是加大既懂技術又懂管理的復合型人才的培養力度。通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
【關鍵詞】縣域 金融 信息安全 管理
近年來,金融業面臨的信息安全形勢越來越復雜,工作越來越艱巨,并日益成為社會各界關注的焦點和維護金融穩定工作的一個重要組成部分。通過對華坪縣工行、農行、建行、郵儲銀行、農村信用社5家銀行業金融機構信息安全方面的調查,發現縣域銀行業金融機構在信息安全認識、科技資源配置以及網絡資源備份等方面存在“短板現象”。
一、縣級金融信息安全基本狀況
由于金融信息系統全國或全省數據集中以及第三方外包服務的增多,縣域金融機構科技維護任務逐步減少,科技崗位職能逐步弱化,信息安全管理存在著“短板現象”。從基礎設施建設情況,幾家金融機構機房建設選址合適,主機房都采取了防火、防水、防盜措施,具有防直擊雷、感應雷措施,采取了接地措施,采用UPS電源對主機房不間斷供電,機房管理制度較為全面,建設基本符合《金融機構計算機信息系統安全保護工作暫行規定》相關要求;網絡建設方面,大多數金融機構的網絡結構設計了冗余線路,有2家機構網絡采用負載均衡方式運行,2家機構采取冷備方式,1家機構沒有冗余線路和冗余設備。從信息系統建設情況來看,主要業務采取C/S或者B/S方式,服務器集中到對應的省級金融機構;銀行卡及ATM機和POS機管理方面,以華坪縣農村信用合作聯社為例,目前安裝了ATM機器11臺,建立了巡檢登記簿,通過抽查2011年維護和巡查登記簿,發現維護和巡查記錄要素齊全,每日進行3次巡查,建立了維護審批登記簿及重要區域出入登記簿,共發生13次維修情況,維修時有相關人員全程陪同,發行的銀行卡卡片符合《銀行卡卡片規范》,采取了安全措施,POS機推廣了45臺,建立了相應的管理制度。
二、信息安全方面存在的主要問題
(一)縣域金融機構信息安全協調機制有待建立完善
金融是現代經濟的核心,也是高度依賴信息技術的重要行業,而金融信息安全不僅是人民銀行各種重要業務開展的重要保障,還涉及其他商業金融機構,因此,建立金融信息安全協調機制,加強當地人民銀行與金融機構之間金融信息安全溝通協調,促進金融業信息安全保障和應急工作十分必要,但就目前華坪縣而言,還沒有建立縣域金融機構信息安全協調機制,還未開展過信息安全檢查。
(二)金融機構科技人員和部門資源配置缺失
華坪縣域有5家銀行業金融機構,從人員配置情況來看,僅有1家金融機構,由于縣域機構網點數多,專門設置了科技部門,配備有專職科技人員,有1家具有兼職科技人員,其余3家未配置專職或者兼職科技人員,總的來說,由于信息系統全國或全省集中,加之外包服務增多,縣域存在著科技崗位弱化趨勢。
(三)金融機構對信息安全重視程度不高
經過對縣域金融機構的走訪調查,發現主要存在以下幾個問題。一是部分金融機構沒有向當地人民銀行報送計算機信息安全領導小組名單,且只具有形式,沒有真正按要求運作;二是華坪縣域金融機構均未設置專職信息安全員,或者系統管理員和信息安全員都為一個人;三是機房建設不規范,存在部分金融機構機房未獨立設置,基礎設施不全、不規范等情況。通過以上分析,存在基層金融機構對信息安全重視度不夠的安全隱患。
(四)網絡管理水平參差不齊
比如農行信息網絡拓撲結構設計考慮了線路冗余和網絡核心設備冗余,且采用了網絡流量負載均衡技術,網絡結構較為合理;而農村信用社網絡拓撲結構設計有明顯缺陷,盡管廣域網設計考慮了冗余線路,但網絡設備存在單點故障隱患,目前還采取網絡設備發生故障后,再用其他設備去替換的方式,并且網絡設備配置參數未進行備份,這種方式與現代金融的要求明顯存在差距。
(五)金融業信息安全管理的法規依據建設滯后,部分領域存在缺失情況
在金融業信息化飛速發展的今天,部分法規依據還是沿用十幾年前建立的制度,這些規定已難于適應現代金融信息安全規范管理要求,而自助銀行信息系統基礎設施建設還沒有行業級的標準規范等。
三、相關建議
(一)盡快建立縣級銀行業金融機構信息安全協調機制
為增強金融機構對信息安全的重視程度,促進當地人民銀行與金融機構之間金融信息安全溝通協調,加強信息共享、資源共享,進一步提高金融業信息安全保障和應急能力,建立協調機制十分必要,同時還要繼續深化協調機制建設,保證協調機制持續運作。
(二)建議加強金融機構信息安全管理的制度建設
為提高金融信息安全標準化程度,開展信息安全檢查提供強有力的依據,一是以相關法規和制度為依據,制定詳細的金融機構信息安全管理的制度,進一步明確各主體間的法律責任和義務,如制定詳細的信息安全檢查實施細則,統一檢查內容和檢查流程。二是對責任追究制度的細化,就違反的相應事項,明確違反了法規哪一條哪一款,進行量化的處罰,增強約束力和可操作性。
(三)強化對各縣域金融機構信息安全的檢查和指導工作
關鍵詞:金融機構;計算機安全;管理
中圖分類號:TP3文獻標識碼:A文章編號:1007-9599 (2010) 11-0000-01
Computer Security Management Problem and Countermeasuresof Financial Institutions
Pan Yule(Qianjiang College,Hangzhou Normal University,Hangzhou310012,China)
Abstract:The utilization of the financial system than before the computer has made significant progress,while less developed regions,the computer has spread to every business sector and the grassroots network.Meanwhile,financial institutions,computer security problem that deserves our full attention.Based on the potential financial computer business or the risk analysis discussed in detail in the technical aspects of computer management and security and effective measures should be taken to prevent and resolve financial and technological risks,protect the safe operation of business systems,and promote financial sector stability development proposals.
Keywords:Financial institutions;Computer security;Management
隨著金融事業的發展,無論是在儲蓄、對公還是在管理領域,金融電子化已得到進一步的推廣,計算機已成為金融部門日常工作的重要工具。由于金融部門地位的重要性和金融工作的特殊性,使金融計算機系統的安全問題越來越突顯。
一、金融計算機系統安全含義
金融計算機系統安全是指金融部門計算機信息系統的安全。我國公安部計算機管理監察司的定義是:“計算機安全是指計算機資產安全,即計算機信息系統和信息資源不受自然和人為有害因素的威脅與危害”。以上定義可以看出金融計算機系統安全所涉及的范圍是很廣泛的,我們可以把它分為四個部分,即:
(一)計算機硬件設備的安全
包含主機、外設和相關設施,涉及到環境、建筑設備、電磁輻射、數據載體和自然災害。
(二)系統應用軟件的安全
涉及系統選擇、應用軟件的開發、系統和應用軟件的使用與維護。
(三)數據庫的安全
指系統擁有的和產生的數據和信息完整、有效、使用合法、不被破壞和泄露,包括輸入輸出識別用戶、存取控制、加密、審計、備份和恢復等。
(四)運行使用的安全
包括機房出入管理、磁盤和打印數據的管理、運行使用管理等。
二、妨礙金融計算機系統安全的幾個方面
(一)思想麻痹,重視不夠
在觀念上對計算機有迷信思想,沒有看到計算機固有的脆弱性和潛在的危險性,對國內外發生的大量的計算機泄密、計算機犯罪和計算機病毒等危害計算機系統和信息安全的事件存有僥幸心理,在思想上、制度上、人員上沒有作好準備。“三防一保”中也很少涉及計算機安全保護。
(二)設備老化,技術落后
由于金融電子化開始的較早,而計算機技術發展的很快,許多計算機設備已過時和老化,硬故障時有發生,威脅了金融業務的正常開展。加之這幾年金融事業有了長足的發展,業務量的增加對計算機設備提出了更高的要求。
(三)程序復雜,缺乏維護
金融系統應用軟件大多自行開發,這幾年各級部門開發了不少不同版本的軟件在基層使用。這些軟件由于沒有經過正規的軟件評測和調試,使用過程中發現的問題很難及時反映給開發者,所以兼容性、容錯性較差,狀態不穩定。加上軟件沒有通俗、完備的用戶手冊,職工培訓也沒有跟上,使基層單位對應用軟件的功能理解不全面。在日常工作中由于操作失誤不時出現死機和數據庫丟失等故障,影響業務工作的正常進行。
三、對計算機安全管理的基本策略
根據以上計算機安全工作存在的六種風險,相應地制定出計算機安全管理工作的策略和管理措施。
(一)加強計算機安全制度的建設
首先,從管理層到技術人員、業務人員都要加強計算機風險意識,重視計算機安全管理。其次,各金融機構都要建立建全計算機安全制度和操作規程,做到有章可循,操作規程應具有科學性、超前性、可操作性。再次,要嚴格按制度和操作規程執行,做到有章必循。計算機安全管理的依據是:國務院各部門有關金融、信息科技、信息安全等方面的有關條例和規定;金融行業內部有關信息科技、信息安全等方面的條例、辦法和規定;金融行業各部門制訂的行業管理業務操作規范。
(二)加強計算機安全管理隊伍的建設
計算機安全管理是一項專業性很強的工作,對從業人員的要求很高,計算機安全管理人員應具備與其從事工作相當的計算機知識、業務知識和專業技能,計算機安全管理人員自身要不斷地學習和掌握專業技術知識,以提高自己的管理水平。
(三)確定計算機安全級別的劃分及評價
根據對業務的影響程度,建議將計算機安全度分為高、中、低三級。
高風險:表示該項目沒有得到妥善的處理,會使業務承受較高的風險,并對業務運作造成很大的影響。管理層應立即實施補救及改善措施,務求把風險降到合理的水平。如科技部門開發、維護、運行崗位不清,一人身兼多職;計算機人員和業務人員分工不合理相互交叉;操作系統超級用戶口令管理不嚴;無完善的制度或對制度執行不嚴,缺乏規范的制約機制;管理層和技術層缺乏風險意識等。
參考文獻:
【摘要】網絡金融安全問題是特定歷史發展階段的問題,是應對金融全球化負面影響的產物。網上銀行的安全既是用戶最關心的問題,也是輿論長期關注的焦點。文章首先探討網絡金融概念特點,繼而分析我國網絡金融安全現狀,最后提出改善我國網絡金融安全幾點對策。
【關鍵詞】網絡金融;風險;電子貨幣;對策 網絡金融安全
是一項系統工程,涉及硬件、軟件、防火墻、網絡監控、身份認證、通信加密、災難恢復、安全掃描等多個安全要素。而網絡金融安全問題關乎我國的經濟安全甚至國家安全。因此,必須站在更高的層面審視網絡金融安全問題。
一、網絡金融概念特點
(一)概念
網絡金融,又稱電子金融(e-finance),是一種通過個人電腦、通信終端或其他智能設備,借助國際互聯網和通信技術無境域限制的聯結客戶與金融機構,以實現及時獲取經濟金融信息、享受網上金融服務、開展網上金融交易的金融活動。網絡金融包括在線銀行、網上保險、網上證券、網上期貨、網上支付、網上結算等金融業務。
網絡金融安全,是指金融網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務暢通快捷。網絡金融安全包括系統安全和信息安全兩個部分,系統安全主要指網絡設備的硬件、操作系統以及應用軟件的安全,信息安全主要指各種信息的存儲、傳輸和訪問的安全。
(二)特點
世界第一家網絡銀行——美國安全第一網絡銀行(SFNB)自1995年10月18日開業以來,國際金融界掀起了一股網絡銀行浪潮。這一金融創新正徹底顛覆了金融業和金融市場的業態,銀行由實體化向虛擬化發展,金融服務的時空界限不再明顯。與傳統金融相比,網絡金融具有以下一些特點:
無界性。網絡金融的無界性主要是指金融活動無時空局限,打破傳統的金融服務時間、境域、空間、方式等限制。網絡經營企業只要開通網絡金融業務,世界各地的上網用戶皆可能在任一時間、任一地點、以任一方式成為其客戶,并以商家愿意接受的任一電子貨幣支付,交易地域模糊性給計量造成困難。
3、低成本。虛擬形態的網絡銀行交易成本遠小于物理形態的金融機構經營成本,而且服務效率得到提高、服務質量沒有降低。這是網絡金融得以出現并迅速發展的最主要原因。
4、加密性。傳統金融下交易過程依賴于物理設置和現場辦公,而網絡金融下交易過程采取技術上加密算法或認證系統的變更或認證來實現。
5、信用性。電子貨幣和網絡金融的發展,使得一些電子商務公司等非金融機構涉足短期電子商業信貸、中介支付、投資理財顧問等金融或準金融業務,而金融交易信息傳輸保存的安全性、客戶個人信息、交易信息和財務信息的保護日益受到公眾的關注。無疑,人的信用價值以及游戲規則的固化是網絡金融快速發展基石。
二、網絡金融安全現狀
網絡金融安全伴隨著網上交易的整個過程。主要有兩個方面:一是來自金融機構內部,網絡系統自身的安全以及自身的管理水平和內控能力。如由于軟硬件配置不匹配、系統設計不合理、運行不穩定等形成的安全隱患;二是來自于金融機構外部,取決于選擇的開發商、供應商、咨詢或評估公司的水平,以及其他各種外來因素如黑客攻擊、自然災害侵襲等所造成的安全問題。
有關調查表明,目前國內80%的網站都存在安全隱患,其中有20%網站的安全問題還十分嚴重。安全問題已日益成為困擾網上金融交易的最大問題,影響我國網上金融業務的健康發展。網絡金融活動中的安全隱患,主要表現在:
網絡系統漏洞。互聯網本身固有的技術體制存在缺陷。基于遠程通信的便利,互聯網并未考慮安全性問題,因而基于信任主機之間的通信而設計的TCP/IP協議缺乏安全機制,建立在互聯網絡為基礎的金融網絡系統存在安全漏洞,防毒軟件功能不強,造成網絡運行不穩定,被病毒入侵、被黑客攻擊,輕者數據毀壞丟失,重者燒毀硬件。目前全球的黑
客攻擊事件,40%是針對金融系統的,我國則高達60%以上。
3、交易系統缺陷。按照我國有關規定,金融機構的網上業務要達到三級安全標準,但目前大多數金融機構的安全狀況都未達到這一要求,其自行開發、應用的網上交易系統大多未經過權威部門的檢測認證,存在安全控制技術落后、安全防范措施不到位、抗攻擊能力不強、響應滯后、訪問授權混亂、客戶地址及郵箱等資源保護不力等情況。出現系統虛假信息泛濫;賬戶密碼被黑客破譯,數據資料、交易指令被篡改,資金被盜取,股票、債券、基金等金融資產被盜賣;信息傳遞的私密性、真實性、完整性、不可否認性缺乏保障等等現象。
4、交易監管滯后。由于網絡金融交易的不透明、虛擬性、開放性,增大了交易者之間身份確認、交易真實性驗證、信用評價方面的信息不對稱,決定了網上支付和結算系統全球化,提高了信用風險程度。目前,我國網絡金融運作監管經驗不足、手段不全、技術落后、分業網上監管職責界定不清、內控制度不健全、網上業務定期內部審計流于形式,出現了網上業務運作中密碼控制不嚴、軟件控制功能薄弱、授權機制執行不力等問題。
5、協同機制缺乏。各銀行網絡系統各自為政,各行間信息隔絕,缺乏溝通協作。有的商業銀行將其銀行網絡系統拓撲結構、建設實施方案等作為絕密材料被保存,行業間數據資源共享是一道屏障,造成資源資金浪費,延誤了整個金融業的發展。 6、應急預案缺失。除上述種種因素外,金融機構未對停電、暴力犯罪等人為因素以及地震等自然災害等突發性不確定事件的發生制定切實可行的應急預案,在一定程度上影響著網絡金融的運行安全。
三、網絡金融安全對策
強化技術防范。網絡金融安全防范中,技術防范是關鍵。金融企業應制定全面周密的軟硬件裝備升級換代方案,即時引進和應用符合國家安全標準具有較高安全系數的金融電子化軟件平臺和金融電子設備核心技術,保證計算機應用軟件的不斷升級,維護網絡系統健康運行。要配備性能良好的內外網絡防火墻、病毒防御與殺毒軟件,定期升級,嚴格網絡登錄口(下轉第235頁)(上接第233頁)令管理等。要采用數字證書等較高級別的網絡加密技術,設置交易中的客戶身份認證和交易密碼。此外,要進一步加大投入,網絡信息安全產品,研發網絡安全系統、語音鑒別系統、電子轉賬系統、智能卡識別系統、管理信息系統等,提高金融裝備國產化水平,夯實金融安全基礎。
3、加緊人才培養。網絡金融機構要培養一批既掌握計算機枝術、網絡技術、通信技術,又掌握金融實務和管理知識的復合型高級技術人才和管理人才。從國家層面講,要積極培養政治過硬、技術全面、業務精湛、作風扎實的金融執法隊伍,提高金融執法人員素質,嚴厲懲治金融犯罪和違法、違規活動。從企業層面講,要通過不間斷的全員培訓培養教育,讓全體從業人員全面了解網絡技術安全缺陷,充分認識潛在的網絡安全隱患危害性,掌握必要的軟件系統安全技術、數據信息安全技術、病毒防治技術等。要通過改善硬件設施和辦公條件,提高從業人員素質,提高員工業務水平,盡可能減少操作失誤帶來的麻煩,保證網絡金融企業的經濟穩定運行和持續發展。
4、加強內部控制。網絡金融機構要參照相關的法規條例,制定各項安全管理制度,包括業務操作規程、計算機網絡、數據庫、病毒防治、密鑰等安全管理制度。要加強人員變動管理,及時注銷、移交和變更原有的密鑰等信息資料。要建立數據備份中心,實現數據可追溯性。
5、加強預警監控。掌控網絡金融風險重在預警評估與防范。網絡金融機構,要建立網絡金融風險預警機制,專人監控業務運行,加工處理數據,研究數據指標,制定網絡金融風險應急處理預案,發現指標逼近預警線,果斷采取風險防范措施以應對。
6、加強監管合作。面對網絡金融市場高度國際化,大部分金融交易依賴于電子網絡,網絡銀行資金日趨龐大和資金流動速度加快,但由于網絡技術發展存在先天性缺陷——技術漏洞,使得網絡安全成為制約網絡金融發展的最大障礙。我國金融管理機構有必要適時同外國金融監管當局開展廣泛的國際合作,溝通信息,打擊犯罪,規范業務合作的程序,交換網絡監管措施,創造網絡金融活動的準則。
[2]熊建宇.網絡金融的特點及安全體系構建[J].科技信息,2010(31).
金融安全事件頻發為行業敲響警鐘
在近期重慶市發生的一起金融安全案件中,由于保險公司網站泄露用戶個人信息,導致犯罪嫌疑人利用獲得的用戶身份證號碼和手機號制作假身份證,并用假身份證補辦手機卡,通過手機號找回支付寶密碼,從而將與支付寶綁定的銀行卡中的錢款轉走。在這一過程中,從保險公司到手機運營商,再到支付寶,幾道關卡均告失守,令人擔憂。本案只是近期數起案件中的一個代表,業內人士表示,不僅保險公司,包括招聘、社交甚至普通企事業單位的網站在個人信息方面也都存在漏洞。業內人士表示,移動互聯網時代,用戶對移動支付體驗的便捷要求越來越高,風險概率也因此提升。該人士建議用戶妥善保管個人身份證、銀行卡及其他隱私信息;同時,獲取相關信息的機構、單位、企業應完善安全機制,運營商、銀行應共同就關鍵業務受理加強身份審核。
此外,最近一種新型詐騙手法也引起了業界的關注:不法分子通過“偽基站”屏蔽運營商網絡信號,然后假冒銀行向手機用戶發送詐騙短信,內容包括指示用戶提供個人銀行賬戶信息等,給用戶和電信運營商造成重大經濟損失。某國有大行內部人士告訴《互聯網周刊》記者,該行近期已聯合公安機關和無線電管理機構發起打擊偽基站金融犯罪的行動。但該人士也表示,目前在打擊相關金融詐騙犯罪方面,還沒有“一勞永逸”的手段。與此同時,公眾的金融詐騙防范意識尚顯淡漠,因此,銀行在信息安全領域的壓力很大。
國內金融業
對風險問題認識有待提高
巴塞爾銀行監管委員會于1998年3月發表了《電子銀行和電子貨幣運作中的風險管理》專項研究報告,就電子銀行和電子貨幣運作中的風險管理進行了全面論述,將風險劃分為:操作風險、信譽風險、法律風險、信用風險、流動性風險、利率風險、市場風險和國家風險8類。與之相對應,網上銀行風險管理則由風險識別、風險防范以及風險控制三部分組成。
盡管業界已經就網上銀行風險管理問題形成了較為成熟的理論,但目前國內許多銀行仍對這一領域的諸多風險,尤其是對網上銀行帶來的聲譽風險認識不足。問題集中體現在對網上銀行的內控體系建設重視不足,對客戶的風險提示和安全教育不夠,客戶容易操作不當,感染木馬病毒等方面。更重要的是銀行在技術控制措施方面暴露出嚴重問題,例如缺少業務連續性計劃,缺少對系統安全監控及冗余設計,缺少針對釣魚網站的應對措施等。
隨著網上銀行客戶數和業務交易量的逐年遞增,使用量的不斷增加,越來越多的客戶對網上銀行產生了較強的依賴性,網上銀行的事故將會給客戶帶來經濟損失和極大不便,進而對銀行的聲譽產生不良印象。所幸,這些問題已經引起了行業的重視,相關人員對此提出以下建議。
采取有效措施,
加強網上銀行安全防護
銀行部門作為網上銀行安全工作的重中之重, 需要采取切實措施加強安全管理, 建立起一套真正適合網上銀行的安全體系。首先,建立安全管理組織體系,落實責任人,并加強安全管理部門的力量和權力。完善安全管理規章制度, 嚴格貫徹實施。建立業務運行應急計劃和業務連續性計劃,保證即使在不利情況下,銀行仍能對外提品與服務。其次,盡量采用高等級安全操作系統, 運用多種安全機制來增強網上銀行的安全性,在運行過程中不斷地檢測各種網絡入侵、審核安全記錄,檢查是否有對網上銀行構成威脅的漏洞, 及時發現并作相應處理等。最后,要大力探索數字證書、虹膜認證、指紋認證等新型安全的認證方式,加強客戶終端的安全。加強銀行之間、銀行與公安部門及反病毒廠商之間的協作與溝通, 及時掌握最新的網絡犯罪動態和病毒信息,及時采取有效防護措施。
提高用戶安全防范意識
首先,銀行應持續提醒網上銀行客戶注意,認可機構本身或其業務伙伴絕不會通過電子郵件要求客戶提供敏感的密碼資料。其次,銀行應提供一些方法讓網上銀行客戶確保其鏈接的網站為認可機構的正式網站, 絕對不要以電子郵件內提供的鏈接方式登錄網上銀行網站。
再次,定期在互聯網上搜尋,以檢查是否有第三方網站的域名可能以假亂真。最后,加強安全使用網上銀行的培訓和教育。在保護用戶的賬戶隱私、確保交易安全方面,銀行應提供完備的安全防范手冊, 盡量在其網頁的醒目位置對用戶使用網上銀行時如何保護自己的賬務密碼安全等方面進行明確提示,加強對客戶安全使用網上銀行的培訓和教育。
加強網上銀行安全技術措施
1.互聯網金融的定義
互聯網金融就是指傳統的金融結構利用互聯網技術,兩者進行有機的相互融合,在支付、投資的新興金融業務模式。大概從兩個方面來分析新興金融業務模式的改革。首先互聯網領頭人在互聯網的金融發展中不斷探索創新,使人民更好的融入其中。其次打破傳統的面對面交易模式,保證在金融交易上更加方便快捷,方便人們的生活。
2.互聯網金融的發展之路
互聯網金融逐漸發展成為了第三方支付、信息化金融機構等金融模式的聯合,伴隨著互聯網電子商務的飛速發展,傳統的交易模式逐漸轉變為了物流快遞的形式,網絡的虛擬化與資金流向在時間上大不相同,在交易時買家會擔心如果收不到商品怎么辦,或者商品質量出現問題誰來負責,賣家也同樣會擔心客戶收到商品之后不付款怎么辦,雙方在交易時都要承擔一定的風險,特別是在金額較大的時候風險也會隨之增加,導致網絡交易出現故障。但隨著金融的發展,金融體系的主體也會拓展,對互聯網進行了較大的改造。
二、互聯網金融信息的特征
1.影響范圍廣闊
作為國家重要基礎設施的互聯網,隨著國家各個領域對互聯網的依賴程度越來越高,使其逐步成為了重要的數??傳播方式。通過大量的互聯網金融數據,能夠通過表面看出事情的本質,反映出一個國家經濟、政治等方面的現狀,是一個能夠涉及到國家金融體系的重要內容,除此之外還有可能被利用去直接影響到大眾的日常生活。但是當互聯網金融體系一旦受到范圍較大的安全事故,國家的經濟體系很有可能變成癱瘓狀態,同時也會對國家的安全問題但來不良影響。
2.難以評估的風險問題
如今的互聯網金融操作層面、業務層面甚至是管理層面都會涉及到IT技術,但是現代的業務風險與傳統的業務風險相比較,IT風險管理的專業性與技術性更占優勢,由于目前還無法準確的制定IT風險的計量標準,最終無法用常規的方法進行檢測與控制。例如在面對IT風險的損失衡量、風險程度等等,都沒有制定出一套較為具體的計量體系。此外IT風險還極易容易與其他風險相互交織,導致風險的評估與計量更加無法順利的進行。
3.快速的擴散性
在信息科技時代,網絡技術在互聯網金融當中被主要運用,擴展的速度快是網絡技術的一大特點。以往的金融業務當中,信息技術風險所帶來的損失并不是很大,但是在現如今的互聯網金融業務中,處于一個環環性扣的狀態,其中的任何一個小環節出現問題時都會使風險快速的蔓延到與其相關的系統網絡當中,使局部風險擴散開來,甚至導致整個金融市場都受到威脅。此外傳統的金融中還有一些離線的業務操作,對于偶爾出現的錯誤也有時間去更正,但現如今的互聯網金融業務都是在線操作的,一旦出現問題就是在很短的時間內爆發,糾正錯誤的機會被大大減小,加大了風險補救成本。
三、金融信息安全問題面臨的挑戰
1.落后的信息安全保障體系
由于互聯網金融技術的飛速發展,為金融行業提供了一個全新的發展方向,但是相關的金融信息保障系統并沒有完善,伴隨著各種不斷涌現出的理財問題、保險問題,這對于互聯網金融業務的發展無疑是一種如履薄冰的行為。以此互聯網金融業務的發展需要強大的互聯網金融安全信息保障體系作為強大的后盾,不完善的金融信息安全一定會加大金融業務的風險問題。就現代的互聯網金融發展而言,不相融洽的金融業務與信息安全保障體系,盡管可以維持著金融業務的順利開展,但這樣的局面隨時都可能受到威脅。
2.難以預防的網絡安全問題
威脅金融安全的另一個問題就是難以防控的網絡安全,這一安全隱患也是互聯網安全自身存在的問題。匿名性與開放性是互聯網自身的性質,導致許多不法分子有機可乘,這也是互聯網金融信息安全所要重點注意的。想要在互聯網這個平臺上健康的發展金融行業,從根本上解決網絡安全問題,將它從一個難點問題發展到重點問題。互聯網金融安全問題不僅是一個機遇也是一個挑戰,凡事都具有兩面性。一方面互聯網金融所帶來的發展,要將壓力轉變為動力,使互聯網金融中存在的問題得到根本上的解決。另一方面威脅互聯網金融安全,會影響到互聯網金融業的發展,為國民經濟的發展做出更大的貢獻。
3.快速更新的互聯網金融技術
快速更新的互聯網技術應用也是金融安全信息所面臨的另一挑戰,伴隨著互聯網技術的不斷提高,越來越多以互聯網技術為基礎的發展平臺如雨后春筍般生長出來,第三方支付平臺的出現打破了傳統金融業務的機制,消費者的個人金融信息安全也受到了泄露的風險。日新月異的互聯網應用技術不僅使互聯網金融安全問題受到挑戰也使互聯網技術更加快速的發展。因此制定出相關的安全管理策略來保證其安全的運行,成為了當今互聯網金融發展的關鍵問題。
四、加強互聯網金融信息的相關對策
1.強化金融信息安全保障體系
因為外界的安全問題不能從根本上消除,為了確保互聯網金融企業的健康發展,因此加強安全保障體系建設來保證金融信息安全必不可少。有了相關體系的支持才能保證互聯網金融安全的平穩運行,我國現存的金融信息安全保障體系依舊以傳統的金融信息安全問題為基礎,這顯然已經跟不上現如今的互聯網金融信息的安全需要。因此國家將強相關制度的建立,提供最高端嚴謹的技術支持,以完善當前金融信息安全保障為基礎,隨時關注互聯網金融業務的變化,最終實現金融安全問題的防范。
2.對信息安全風險進行評估
對計算機信息安全保護進行分等級劃分,再對互聯網金融信息進行安全風險評估。評估這一環節可以預防可能引發信息安全問題產生的風險,根據完整性與保密性存在的薄弱環節。對風險進行評估之前,為了防止計算風險值時存在誤差,可以事先采取相關的安全防范措施。在對風險評估進行一段之后,所計算的?C合值隨時都有可能發生誤差,這一因素也會隨時影響到互聯網金融中的資產。最后就是計算風險綜合值的公式,它是利用字母的代表值和之前所分析的信息安全風險所聯系,從而降低風險值的范圍。
3.對網絡身份進行認證
在互聯網時代當中無疑就是交易形式發生了改變,交易過程中雙方無法運用面對面方式確認是否是合法身份,但是在交易的過程中個人的信息就會被傳送,如果有不法分子居心叵測,那么信息的安全風險就會大大提升。為了保證互聯網金融信息的安全,雙方在信息交換之前能夠對真正的身份進行確認,所以交換信息的基礎與關鍵就是身份證。采用身份證實名制的策略,設置一個網絡身份證認證中心,運用集中式的方法對網絡身份證確認,并通過一些安全設置防止非法網絡用戶的登路。
【關鍵詞】物聯網 金融 物流金融
一、物聯網
物聯網至今都沒有一個統一的定義。2010 年,我國政府工作報告中所附的注釋對物聯網進行如下說明:物聯網是指通過信息傳感設備,按照約定的協議,把任何物品與互聯網連接起來,進行信息交換和通訊,以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。
我們最熟知的互聯網主要解決人聯人的問題,而物聯網主要解決的是人聯物、物聯物的問題。新一代身份證技術和智能電網,是物聯技術的典型應用。而真正的物聯經濟和物聯世界到目前為止,還更多地表現為一個概念,但這對我們來說是一個機遇,我國傳感方面的研究從1999年已經開始,技術水平現在是世界前列,物聯網是繼計算機、互聯網、移動通信網之后信息產業的又一個大的里程碑,在物聯網的時代,誰搶占了制高點,誰就會在世界經濟中占有舉足輕重的地位。
二、金融中物聯網的可應用性
物聯網技術將會給金融業的管理方式、支付手段和業務運作帶來了革命性的技術更新和巨大的市場空間。
(一)人和數據的安全防范。
目前,金融安防就人員實時監控手段來說比較單一,通過錄像監視人員活動,其效果更多的體現在事后監督環節,而采用物聯網的RFID技術,能實現人員包括外來訪客的主動實時監控,這就從根本上轉變了人員監控管理方式,為業務安全防護提供一個自動、簡單并且強有力的人員監控。
隨著經濟的發展,金融行業數據中心的設備成倍增長,但是銀行數據中心依然采用紙面單據定時巡檢的方式,數據中心管理人員勞動強度大,無法實現實時監控。采用RFID自動識別技術及網絡和“安全管理軟件平臺”,為金柜、人員、數據中心、重要資產提供更準確的日常管理。
(二)支付手段的安全性。
移動支付正在改變現實生活中的金融環境,但安全永遠是一個難題。之所以會出現安全隱患,主要原因在于電商企業為了方便用戶再次登錄和簡便操作流程,其將消費者賬號、密碼、銀行信息等自動存儲于互聯網公網后臺。如此一來,黑客只要破解了后臺密碼,便可偷盜出用戶資料信息甚至賬戶資金。
便捷性與安全性之間的權衡取舍一直以來都是個難題,人們將解決支付安全隱患的重任放到了加強物聯網網購環境上:將用戶信心從互聯網電腦內徹底抽離,單獨存儲云端,用戶使用信息時通過CPU卡邏輯加密,只讀不存,動態密碼,一讀一密,黑客即使獲取傳輸密鑰也無法二次有效使用。目前電商欺詐事件頻發,但以物聯網技術為核心的支付模式卻甚少出現資金盜用、信息泄露等問題,通過物聯網技術來解決安全隱患已是大勢所趨。
(三)物流金融。
物流金融是現代物流與金融共同創新的一種集成式服務,是對物流、信息流、資金流的有效整合,物流金融的各種業務可歸納為應收帳款融資、訂單融資和存貨質押融資三種基本形式。其核心思想是在供應鏈業務活動中,銀行、物流企業和融資企業三方簽訂相關協議,融資企業再把它所擁有的存貨、生產資料、商品等庫存,交由物流企業來保管,銀行則依據該動產的價值或財產權利為融資企業提供所需貸款,從而使物流產生價值增值。
提高物流效率,就需要資金的有效支持,沒有資金流和物流的匹配,供應鏈上就會產生大量的資金缺口,并進而導致供應鏈不暢甚至斷裂。
目前供應鏈金融產品的應用主要以融資產品為主,特別是存貨質押領域。然而商業銀行開展物流金融業務時是存在的風險的,包括融資企業的風險(是否具有良好的資信)、物流企業的信用風險(商業銀行和物流企業在他們簽訂的債務合同中,都仍具有相對獨立性,信息不對稱問題的存在使物流企業在追求自身收益最大、風險最小的目標時,極易產生道德風險)。
在物流金融業務中,銀行是委托人,第三方物流企業作為銀行的人,為銀行進行質押物的評估、監督和保管工作。而銀行同物流企業之間的信息不對稱、信息交換不及時或信息失真都會造成其決策失誤。
此時,物聯網核心技術手段所實現的對物品的“可視跟蹤”技術將有效實現融資企業銷售、存貨信息的及時性、有效性,從而使其利用存貨融資的范圍大大拓展,而商業銀行也可實時獲取融資企業質押品在整個供應鏈過程中的動態信息,實現信息的全面和透徹感知,一旦質押品信息出現異常,銀行便可調整借貸方案,同時金融物流的各參與方均可通過信息監管系統了解風險隱患。
三、物聯金融面臨的困境
(一)物聯網自身的問題。
物聯網應用大規模開展的條件并不成熟,這主要是由其應用成本巨大導致的。但這一點現在正在慢慢有所好轉,即使企業和民眾不愿將資金投入到物聯網應用中,政府投資由于其對成本的敏感度低,也還是會展開以政府投資為主體的物聯網應用,例如智能交通和安防就是當前最為確定的物聯網應用。
(二)投資者的問題。
對于物聯網應用,投資者的投資邏輯一般是:政策支持>競爭環境>企業自身競爭力,當前金融業并不在政策支持范圍內,而其競爭環境又為n VS 1,即下游公司數量少且勢力強大,需要多種多個公司為其提供信息化服務,客戶(即1)往往會培養多個供應商(即n),此時,供應商在技術能力、服務質量、及時性和溝通能力等方面的綜合素質是決定其發展的關鍵,因此這種是最為惡劣的競爭環境,也是投資者最后才會考慮的投資環境。
物聯金融雖然能使我們的經濟騰飛,強化金融安全,改善金融業務,但其發展的道路仍布滿荊棘。
參考文獻:
[1]王延炯.物聯網若干安全問題研究與應用[D].北京郵電大學,2011.
[2]陳寶玉,陳清長.物聯網應用:讓銀行更加智慧[J].華南金融電腦,2010,(11).
[3]郭川,鄔賀銓.物聯網不是網絡是應用[N].人民郵電報,2010,(3).
【關鍵詞】技術風險 業務風險 人為因素形成的風險
一、前言
網絡金融是信息技術特別是互聯網技術飛速發展的產物,是適應電子商務發展需要而產生的網絡時代的金融運行模式,它提高了金融服務的效率。但是在網絡金融用戶享受便捷服務的同時,網絡金融的安全問題也相伴而來。隨著網絡金融的發展而產生的新的風險,使金融安全與監管面臨新的挑戰。
二、網絡金融還面臨著技術風險、業務風險和人為因素形成的風險
網絡金融的經營理念、經營模式與傳統金融行業不完全相同,使得網絡金融除了具有傳統金融業經營過程中存在的流動性風險、信用風險、利率風險和匯率風險等之外,由于網絡金融涉及通訊、設備和管理等許多方面,因此網絡金融還面臨著技術風險、業務風險和人為因素形成的風險。
網絡金融技術涉及的風險包括技術安全風險和技術選擇風險。技術安全風險來自三個方面:一是計算機系統停機、磁盤列傳破壞等不確定性因素;二是來自網絡外部的數字攻擊;三是計算機病毒破壞等因素。技術選擇風險是指網絡金融業務的開展必須選擇一種成熟的技術解決方案來支撐,否則可能因技術選擇的失誤使整個系統面臨安全風險。近年來,黑客的攻擊活動正以每年10倍的速度增長,計算機網絡病毒通過網絡進行擴散與傳播是單機的幾十倍,一旦某個程序被感染,則整臺機器、整個網絡也很快被感染,破壞力極大。在傳統金融中,安全風險可能只是帶來局部損失,但在網絡金融中,安全技術風險會波及整個網絡。
業務風險包括信用風險、支付和結算風險及法律風險。信用風險是指網絡金融交易者在合約到期日不完全履行期義務的風險。網絡金融服務方式的虛擬性使交易、支付的雙方互不見面,只是通過網絡發生聯系,這是金融機構對交易者的身份、交易的真實性驗證的難度加大,增大了交易者之間在身份確認、信用評價方面的信息不對稱,從而增大了信用風險。對支付和結算風險來說,由于網絡金融服務方式的虛擬性,金融機構的經營活動可突破時空局限,打破傳統的金融分支機構及業務網點的地域限制;并且能向客戶提供全天候、全方位的實時服務,從而使網絡金融的經營者或客戶通過各自的計算機終端就能隨時與任何一家客戶或金融機構辦理證券投資、保險、信貸、期貨交易等金融業務。這是網絡金融業務環境在地域具有很大的開放性,并導致網絡金融中支付、結算系統的國際化,從而大大提高了結算風險。法律風險是指由于網絡金融立法相對落后和模糊而導致的交易風險。目前的金融立法框架主要是針對傳統金融業務,缺少有關網絡金融的配套法規,如對客戶個人信息的保護、信用卡使用的規范等,出現了以網絡為手段的犯罪,如網上交易詐騙、網絡信用卡欺詐、個人信息被竊取、網絡洗錢等。
人為因素形成的風險是指由于部分工作人員安全觀念淡薄,安全管理制度不能真正落實,缺乏應有的網絡安全意識,認識不到執行制度的緊迫性和重要性,導致網絡金融風險的產生。如在網絡金融交易沒有就安全預防問題向客戶進行足夠的宣傳教育,客戶在非安全的電子傳送管道中使用個人信息(如信用卡密碼,銀行卡號),客戶的賬戶就有可能被犯罪分子利用。
三、網絡銀行的發展及產生的特殊風險使得對其的監管復雜化
監管當局不僅需要參照傳統銀行的監管標準進行一般的風險監管而且還要根據網絡金融的特殊性進行技術性安全與管理安全的監管。對網絡金融的監管,可以從網絡金融風險產生的原因及種類方面進行思考分析,制定出符合其特殊性的相應的監管措施。
在我國,經濟信息化程度不高,網絡金融的發展尚處于起步階段,因此我國對網絡金融業務的監管應采取慎重態度,既不限制它的發展又不能放棄監管,通過適當的金融監管,促進我國網絡金融更好更快地發展。具體措施如下:
(1)完善現行法律,補充適用于網絡金融業務的相關法律條文。既要對現有法律不適應的部分進行修訂和補充,又要對未來發展情況進行預測,分析可能出現的問題,進行先行立法保護,減少網絡犯罪的發生。
(2)結合網絡金融業務的特點,完善現行業務營運監管辦法。要從業務經營的合法合規性、資本充足性、資產質量、流動性、盈利能力、管理水平和內部控制等方面根據網絡化條件來適時進行調整、補充,構造一個符合網絡金融生存、發展的金融監管指標體系和操作系統。
(3)督促開展網絡金融業務的金融機構強化內部管理,從內控制度入手降低金融風險。以中國工商銀行為例,中國工商銀行建立了公司治理架構及風險監控體系,通過一體化風險管理規劃、風險審議和風險監督流程,監控所有業務的各類風險。在全行范圍內建立健全了監控流程,采用不同方法達到風險管理和風險承擔之間的平衡。這些監控流程與方法,圍繞不同的業務領域、地域分行、垂直支持單位(包括風險管理、財務規劃信息技術系統、人力資源、合規與法律事務)和內部審計而設計。同時,董事會通過相關委員會對全行風險管理職能實施整體監督。
(4)加強金融監管部門的技術力量,提高監管水平,不斷完善和提高網絡安全技術,如防火墻技術,加密技術。防火墻技術是將內部私有網絡和外部網絡進行隔離,能防止部分外部攻擊者對內部網絡的入侵。而加密是實現信息保密的重要手段。
(5)密切與其他國家監管機構的聯系,提高網絡金融的監管效率。加強與網絡金融發展較好的國家之間的交流,引進先進的監管理念、技術和人才。
參考文獻:
[1]張銘洪,張麗芳主編.網絡金融學[M].科學出版社出版,2000.
[2]陳進主編.網絡金融服務[M].清華大學出版社出版,2011.
【關鍵詞】網上銀行;安全;監管
一、網絡銀行現狀分析
(一)網絡銀行機構數量及規模現狀
自從世界第一家網絡銀行――美國安全第一網絡銀行于1995年在互聯網上開業以來,國際金融界便掀起了一股網絡銀行風潮,目前,國外85%的銀行投資發展網上銀行業務,美國70%、日本50%的家庭使用電子銀行服務。
在我國,自1997年招商銀行創建一網通以來,國內其他銀行紛紛開始開通網上銀行。目前中國已有20多家銀行的200多個分支機構擁有網址和主頁。根據艾瑞咨詢《2008--2009年中國網上銀行行業發展報告》,2009年中國網上銀行交易額規模為445.0萬億元,其中工商銀行占據了36.6%的市場份額,位居首位,比居第二位的建設銀行(占17.0%)高出近20個百分點。
(二)網絡銀行安全與監管現狀
1 安全性
網上銀行系統是銀行業務服務的延伸,客戶可以通過互聯網方便地使用商業銀行核心業務服務,完成各種非現金交易。但另一方面,互聯網是一個開放的網絡,銀行交易服務器是網上的公開站點,網上銀行系統也使銀行內部網向互聯網敞開了大門。
目前保障網上銀行交易系統安全系統的技術措施包括:1)設立防火墻,隔離相關網絡。2)高安全級別的WEB服務器。3)24小時實時安全監控。對于個人身份認證方面,采用認證介質。包括密碼、文件數字證書、動態口令卡、動態手機口令等等。
另外,銀行卡持有人的安全意識也是影響網上銀行安全性的不可忽視的重要因素。目前為止,國內網上銀行交易額已達到數千億元,銀行方面出現過安全問題較少,只有個別客戶由于保密意識不強而造成資金損失。
2 監管與法規
除了中國人民銀行以及銀監會對銀行業的監督外,對于網絡銀行的安全,中國金融安全認證中心(CFCA)是中國金融業唯―合法的、國家級權威第三方安全認證機構,經中國人民銀行和國家信息安全管理機構批準成立的國家級權威的安全認證機構,是重要的國家金融安全基礎設施之一。CFCA作為權威、公正的第三方安全認證機構,通過發放數字證書為網上銀行、電子商務、電子政務提供安全認證服務:確保網上信息傳遞雙方身份的真實性、信息的保密性和完整性、以及網上交易的不可否認性。
目前我國的法律法規環境也已經初步建立,基本法《銀行法》中已經加入了針對網上銀行業務的規定。除此之外,2001年頒布的《網上銀行業務管理暫行辦法》和2005年頒布的《電子簽名法》標志著我國對電子商務及網上銀行的安全性管理已經做到了有法可依。2006年頒布的《電子支付指引》及《電子銀行業務管理辦法》等法規意見稿都為進一步規范和管理我國的網上銀行市場奠定了良好的基礎。
(三)網上銀行存在問題與挑戰
雖然我國對銀行業的監管以及法規重視程度都很高,但是,由于網上銀行的發展過快,現行的法規以及監管模式已經完全滯后與網上銀行的發展。近幾年來,由于銀行的失誤以及法規的不完善,網上銀行出現了不少問題,而最終卻由客戶來承擔損失。《電子商務研究》統計,網絡銀行安全事故中出于員工疏忽的占57%,外部惡意攻擊占24%,病毒發作占14%,用戶誤操作占5%。專家認為,網上銀行的安全事故頻發,一方面與用戶安全意識淡薄有關,另一方面也與網上銀行本身存在的安全隱憂密不可分。
二、對我國網絡銀行監管的對策與建議
經過了上文對于我國網絡金融概念和現狀分析,已對網上銀行監管存在的不足和問題有了具體的了解。對于我國網絡金融監管的發展現作出如下的幾點建議:
1 電子貨幣
作為網絡經濟中最重要的元素,盡快建立針對電子貨幣的監管體系。同時,要適時放松對電子貨幣發行主體的監管。受信息和通訊產業發展水平所限,我國目前還沒有能力研發出具有世界領先水平的電子貨幣,更多的是采用西方發達國家的技術標準。因此,要求多用途電子貨幣發行主體僅限于銀行是目前防范風險的有效措施。但隨著我國信息和通訊產業的發展,在時機成熟時應考慮允許信息企業與銀行合作開發電子貨幣產品或由非銀行機構單獨開發,以增強我國電子貨幣的國際競爭力。對非銀行機構發行電子貨幣,應采用歐洲中央銀行的監管辦法,使非銀行機構接受同銀行一樣的監管標準。
2 監管機構
加強各監管機構間的協調,在條件成熟時形成統一的金融監管部門。從我國目前的經濟發展水平、法律環境、金融經營者的素質、金融機構內部風險控制機制、金融監管水平來看,現階段我國“分業經營、分業監管”的原則是符合我國國情的。但面臨我國已加入世貿組織的現狀及網絡金融迅速發展的現實,我們應特別關注混業經營、混業監管問題。在目前不能迅速轉變金融監管體制的情況下,要注重加強各金融監管機構間的協調,加強溝通與合作,避免監管真空或交叉。最好能建立其專門監管網絡金融行業的專門監督機構或者自律性組織。
3 法規制度
加快網絡金融業務管理規章的制定。不僅要注重對技術風險的管理,更要強調對戰略風險、操作風險、法律風險的管理;不僅要完善對內監管制度,也要建立企業間、行業間以及市場整體全面檢查和監管機制。