时间:2024-03-08 14:40:52
导语:在金融安全管理的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
论文关键词:信息系统;安全管理;体系
现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。
1安全管理体系构建
信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。
金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
2安全管理平台
安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。
2.1安全预警管理
安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。
2.2安全监控管理
通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。
1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。
2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。
4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
2.3安全防护与响应管理
在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。
2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。
2.4安全反击管理
安全反击管理包括安全事件的取证管理和安全事件的追踪反击。
1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。
2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。
3安全管理措施建议
在安全管理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。
5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
【关键词】县域 金融 信息安全 管理
近年来,金融业面临的信息安全形势越来越复杂,工作越来越艰巨,并日益成为社会各界关注的焦点和维护金融稳定工作的一个重要组成部分。通过对华坪县工行、农行、建行、邮储银行、农村信用社5家银行业金融机构信息安全方面的调查,发现县域银行业金融机构在信息安全认识、科技资源配置以及网络资源备份等方面存在“短板现象”。
一、县级金融信息安全基本状况
由于金融信息系统全国或全省数据集中以及第三方外包服务的增多,县域金融机构科技维护任务逐步减少,科技岗位职能逐步弱化,信息安全管理存在着“短板现象”。从基础设施建设情况,几家金融机构机房建设选址合适,主机房都采取了防火、防水、防盗措施,具有防直击雷、感应雷措施,采取了接地措施,采用UPS电源对主机房不间断供电,机房管理制度较为全面,建设基本符合《金融机构计算机信息系统安全保护工作暂行规定》相关要求;网络建设方面,大多数金融机构的网络结构设计了冗余线路,有2家机构网络采用负载均衡方式运行,2家机构采取冷备方式,1家机构没有冗余线路和冗余设备。从信息系统建设情况来看,主要业务采取C/S或者B/S方式,服务器集中到对应的省级金融机构;银行卡及ATM机和POS机管理方面,以华坪县农村信用合作联社为例,目前安装了ATM机器11台,建立了巡检登记簿,通过抽查2011年维护和巡查登记簿,发现维护和巡查记录要素齐全,每日进行3次巡查,建立了维护审批登记簿及重要区域出入登记簿,共发生13次维修情况,维修时有相关人员全程陪同,发行的银行卡卡片符合《银行卡卡片规范》,采取了安全措施,POS机推广了45台,建立了相应的管理制度。
二、信息安全方面存在的主要问题
(一)县域金融机构信息安全协调机制有待建立完善
金融是现代经济的核心,也是高度依赖信息技术的重要行业,而金融信息安全不仅是人民银行各种重要业务开展的重要保障,还涉及其他商业金融机构,因此,建立金融信息安全协调机制,加强当地人民银行与金融机构之间金融信息安全沟通协调,促进金融业信息安全保障和应急工作十分必要,但就目前华坪县而言,还没有建立县域金融机构信息安全协调机制,还未开展过信息安全检查。
(二)金融机构科技人员和部门资源配置缺失
华坪县域有5家银行业金融机构,从人员配置情况来看,仅有1家金融机构,由于县域机构网点数多,专门设置了科技部门,配备有专职科技人员,有1家具有兼职科技人员,其余3家未配置专职或者兼职科技人员,总的来说,由于信息系统全国或全省集中,加之外包服务增多,县域存在着科技岗位弱化趋势。
(三)金融机构对信息安全重视程度不高
经过对县域金融机构的走访调查,发现主要存在以下几个问题。一是部分金融机构没有向当地人民银行报送计算机信息安全领导小组名单,且只具有形式,没有真正按要求运作;二是华坪县域金融机构均未设置专职信息安全员,或者系统管理员和信息安全员都为一个人;三是机房建设不规范,存在部分金融机构机房未独立设置,基础设施不全、不规范等情况。通过以上分析,存在基层金融机构对信息安全重视度不够的安全隐患。
(四)网络管理水平参差不齐
比如农行信息网络拓扑结构设计考虑了线路冗余和网络核心设备冗余,且采用了网络流量负载均衡技术,网络结构较为合理;而农村信用社网络拓扑结构设计有明显缺陷,尽管广域网设计考虑了冗余线路,但网络设备存在单点故障隐患,目前还采取网络设备发生故障后,再用其他设备去替换的方式,并且网络设备配置参数未进行备份,这种方式与现代金融的要求明显存在差距。
(五)金融业信息安全管理的法规依据建设滞后,部分领域存在缺失情况
在金融业信息化飞速发展的今天,部分法规依据还是沿用十几年前建立的制度,这些规定已难于适应现代金融信息安全规范管理要求,而自助银行信息系统基础设施建设还没有行业级的标准规范等。
三、相关建议
(一)尽快建立县级银行业金融机构信息安全协调机制
为增强金融机构对信息安全的重视程度,促进当地人民银行与金融机构之间金融信息安全沟通协调,加强信息共享、资源共享,进一步提高金融业信息安全保障和应急能力,建立协调机制十分必要,同时还要继续深化协调机制建设,保证协调机制持续运作。
(二)建议加强金融机构信息安全管理的制度建设
为提高金融信息安全标准化程度,开展信息安全检查提供强有力的依据,一是以相关法规和制度为依据,制定详细的金融机构信息安全管理的制度,进一步明确各主体间的法律责任和义务,如制定详细的信息安全检查实施细则,统一检查内容和检查流程。二是对责任追究制度的细化,就违反的相应事项,明确违反了法规哪一条哪一款,进行量化的处罚,增强约束力和可操作性。
(三)强化对各县域金融机构信息安全的检查和指导工作
关键词:金融机构;计算机安全;管理
中图分类号:TP3文献标识码:A文章编号:1007-9599 (2010) 11-0000-01
Computer Security Management Problem and Countermeasuresof Financial Institutions
Pan Yule(Qianjiang College,Hangzhou Normal University,Hangzhou310012,China)
Abstract:The utilization of the financial system than before the computer has made significant progress,while less developed regions,the computer has spread to every business sector and the grassroots network.Meanwhile,financial institutions,computer security problem that deserves our full attention.Based on the potential financial computer business or the risk analysis discussed in detail in the technical aspects of computer management and security and effective measures should be taken to prevent and resolve financial and technological risks,protect the safe operation of business systems,and promote financial sector stability development proposals.
Keywords:Financial institutions;Computer security;Management
随着金融事业的发展,无论是在储蓄、对公还是在管理领域,金融电子化已得到进一步的推广,计算机已成为金融部门日常工作的重要工具。由于金融部门地位的重要性和金融工作的特殊性,使金融计算机系统的安全问题越来越突显。
一、金融计算机系统安全含义
金融计算机系统安全是指金融部门计算机信息系统的安全。我国公安部计算机管理监察司的定义是:“计算机安全是指计算机资产安全,即计算机信息系统和信息资源不受自然和人为有害因素的威胁与危害”。以上定义可以看出金融计算机系统安全所涉及的范围是很广泛的,我们可以把它分为四个部分,即:
(一)计算机硬件设备的安全
包含主机、外设和相关设施,涉及到环境、建筑设备、电磁辐射、数据载体和自然灾害。
(二)系统应用软件的安全
涉及系统选择、应用软件的开发、系统和应用软件的使用与维护。
(三)数据库的安全
指系统拥有的和产生的数据和信息完整、有效、使用合法、不被破坏和泄露,包括输入输出识别用户、存取控制、加密、审计、备份和恢复等。
(四)运行使用的安全
包括机房出入管理、磁盘和打印数据的管理、运行使用管理等。
二、妨碍金融计算机系统安全的几个方面
(一)思想麻痹,重视不够
在观念上对计算机有迷信思想,没有看到计算机固有的脆弱性和潜在的危险性,对国内外发生的大量的计算机泄密、计算机犯罪和计算机病毒等危害计算机系统和信息安全的事件存有侥幸心理,在思想上、制度上、人员上没有作好准备。“三防一保”中也很少涉及计算机安全保护。
(二)设备老化,技术落后
由于金融电子化开始的较早,而计算机技术发展的很快,许多计算机设备已过时和老化,硬故障时有发生,威胁了金融业务的正常开展。加之这几年金融事业有了长足的发展,业务量的增加对计算机设备提出了更高的要求。
(三)程序复杂,缺乏维护
金融系统应用软件大多自行开发,这几年各级部门开发了不少不同版本的软件在基层使用。这些软件由于没有经过正规的软件评测和调试,使用过程中发现的问题很难及时反映给开发者,所以兼容性、容错性较差,状态不稳定。加上软件没有通俗、完备的用户手册,职工培训也没有跟上,使基层单位对应用软件的功能理解不全面。在日常工作中由于操作失误不时出现死机和数据库丢失等故障,影响业务工作的正常进行。
三、对计算机安全管理的基本策略
根据以上计算机安全工作存在的六种风险,相应地制定出计算机安全管理工作的策略和管理措施。
(一)加强计算机安全制度的建设
首先,从管理层到技术人员、业务人员都要加强计算机风险意识,重视计算机安全管理。其次,各金融机构都要建立建全计算机安全制度和操作规程,做到有章可循,操作规程应具有科学性、超前性、可操作性。再次,要严格按制度和操作规程执行,做到有章必循。计算机安全管理的依据是:国务院各部门有关金融、信息科技、信息安全等方面的有关条例和规定;金融行业内部有关信息科技、信息安全等方面的条例、办法和规定;金融行业各部门制订的行业管理业务操作规范。
(二)加强计算机安全管理队伍的建设
计算机安全管理是一项专业性很强的工作,对从业人员的要求很高,计算机安全管理人员应具备与其从事工作相当的计算机知识、业务知识和专业技能,计算机安全管理人员自身要不断地学习和掌握专业技术知识,以提高自己的管理水平。
(三)确定计算机安全级别的划分及评价
根据对业务的影响程度,建议将计算机安全度分为高、中、低三级。
高风险:表示该项目没有得到妥善的处理,会使业务承受较高的风险,并对业务运作造成很大的影响。管理层应立即实施补救及改善措施,务求把风险降到合理的水平。如科技部门开发、维护、运行岗位不清,一人身兼多职;计算机人员和业务人员分工不合理相互交叉;操作系统超级用户口令管理不严;无完善的制度或对制度执行不严,缺乏规范的制约机制;管理层和技术层缺乏风险意识等。
参考文献:
【摘要】网络金融安全问题是特定历史发展阶段的问题,是应对金融全球化负面影响的产物。网上银行的安全既是用户最关心的问题,也是舆论长期关注的焦点。文章首先探讨网络金融概念特点,继而分析我国网络金融安全现状,最后提出改善我国网络金融安全几点对策。
【关键词】网络金融;风险;电子货币;对策 网络金融安全
是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。
一、网络金融概念特点
(一)概念
网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。
(二)特点
世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。与传统金融相比,网络金融具有以下一些特点:
无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。
3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。
4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。
5、信用性。电子货币和网络金融的发展,使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务,而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。
二、网络金融安全现状
网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
有关调查表明,目前国内80%的网站都存在安全隐患,其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:
网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑
客攻击事件,40%是针对金融系统的,我国则高达60%以上。
3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。
4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。
5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。
三、网络金融安全对策
强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。
3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。
4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。
5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。
6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。
[2]熊建宇.网络金融的特点及安全体系构建[J].科技信息,2010(31).
金融安全事件频发为行业敲响警钟
在近期重庆市发生的一起金融安全案件中,由于保险公司网站泄露用户个人信息,导致犯罪嫌疑人利用获得的用户身份证号码和手机号制作假身份证,并用假身份证补办手机卡,通过手机号找回支付宝密码,从而将与支付宝绑定的银行卡中的钱款转走。在这一过程中,从保险公司到手机运营商,再到支付宝,几道关卡均告失守,令人担忧。本案只是近期数起案件中的一个代表,业内人士表示,不仅保险公司,包括招聘、社交甚至普通企事业单位的网站在个人信息方面也都存在漏洞。业内人士表示,移动互联网时代,用户对移动支付体验的便捷要求越来越高,风险概率也因此提升。该人士建议用户妥善保管个人身份证、银行卡及其他隐私信息;同时,获取相关信息的机构、单位、企业应完善安全机制,运营商、银行应共同就关键业务受理加强身份审核。
此外,最近一种新型诈骗手法也引起了业界的关注:不法分子通过“伪基站”屏蔽运营商网络信号,然后假冒银行向手机用户发送诈骗短信,内容包括指示用户提供个人银行账户信息等,给用户和电信运营商造成重大经济损失。某国有大行内部人士告诉《互联网周刊》记者,该行近期已联合公安机关和无线电管理机构发起打击伪基站金融犯罪的行动。但该人士也表示,目前在打击相关金融诈骗犯罪方面,还没有“一劳永逸”的手段。与此同时,公众的金融诈骗防范意识尚显淡漠,因此,银行在信息安全领域的压力很大。
国内金融业
对风险问题认识有待提高
巴塞尔银行监管委员会于1998年3月发表了《电子银行和电子货币运作中的风险管理》专项研究报告,就电子银行和电子货币运作中的风险管理进行了全面论述,将风险划分为:操作风险、信誉风险、法律风险、信用风险、流动性风险、利率风险、市场风险和国家风险8类。与之相对应,网上银行风险管理则由风险识别、风险防范以及风险控制三部分组成。
尽管业界已经就网上银行风险管理问题形成了较为成熟的理论,但目前国内许多银行仍对这一领域的诸多风险,尤其是对网上银行带来的声誉风险认识不足。问题集中体现在对网上银行的内控体系建设重视不足,对客户的风险提示和安全教育不够,客户容易操作不当,感染木马病毒等方面。更重要的是银行在技术控制措施方面暴露出严重问题,例如缺少业务连续性计划,缺少对系统安全监控及冗余设计,缺少针对钓鱼网站的应对措施等。
随着网上银行客户数和业务交易量的逐年递增,使用量的不断增加,越来越多的客户对网上银行产生了较强的依赖性,网上银行的事故将会给客户带来经济损失和极大不便,进而对银行的声誉产生不良印象。所幸,这些问题已经引起了行业的重视,相关人员对此提出以下建议。
采取有效措施,
加强网上银行安全防护
银行部门作为网上银行安全工作的重中之重, 需要采取切实措施加强安全管理, 建立起一套真正适合网上银行的安全体系。首先,建立安全管理组织体系,落实责任人,并加强安全管理部门的力量和权力。完善安全管理规章制度, 严格贯彻实施。建立业务运行应急计划和业务连续性计划,保证即使在不利情况下,银行仍能对外提品与服务。其次,尽量采用高等级安全操作系统, 运用多种安全机制来增强网上银行的安全性,在运行过程中不断地检测各种网络入侵、审核安全记录,检查是否有对网上银行构成威胁的漏洞, 及时发现并作相应处理等。最后,要大力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终端的安全。加强银行之间、银行与公安部门及反病毒厂商之间的协作与沟通, 及时掌握最新的网络犯罪动态和病毒信息,及时采取有效防护措施。
提高用户安全防范意识
首先,银行应持续提醒网上银行客户注意,认可机构本身或其业务伙伴绝不会通过电子邮件要求客户提供敏感的密码资料。其次,银行应提供一些方法让网上银行客户确保其链接的网站为认可机构的正式网站, 绝对不要以电子邮件内提供的链接方式登录网上银行网站。
再次,定期在互联网上搜寻,以检查是否有第三方网站的域名可能以假乱真。最后,加强安全使用网上银行的培训和教育。在保护用户的账户隐私、确保交易安全方面,银行应提供完备的安全防范手册, 尽量在其网页的醒目位置对用户使用网上银行时如何保护自己的账务密码安全等方面进行明确提示,加强对客户安全使用网上银行的培训和教育。
加强网上银行安全技术措施
1.互联网金融的定义
互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。
2.互联网金融的发展之路
互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔
作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数??传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。
2.难以评估的风险问题
如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。
3.快速的扩散性
在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系
由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。
2.难以预防的网络安全问题
威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。
3.快速更新的互联网金融技术
快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系
因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。
2.对信息安全风险进行评估
对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的?C合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。
3.对网络身份进行认证
在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
【关键词】物联网 金融 物流金融
一、物联网
物联网至今都没有一个统一的定义。2010 年,我国政府工作报告中所附的注释对物联网进行如下说明:物联网是指通过信息传感设备,按照约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。
我们最熟知的互联网主要解决人联人的问题,而物联网主要解决的是人联物、物联物的问题。新一代身份证技术和智能电网,是物联技术的典型应用。而真正的物联经济和物联世界到目前为止,还更多地表现为一个概念,但这对我们来说是一个机遇,我国传感方面的研究从1999年已经开始,技术水平现在是世界前列,物联网是继计算机、互联网、移动通信网之后信息产业的又一个大的里程碑,在物联网的时代,谁抢占了制高点,谁就会在世界经济中占有举足轻重的地位。
二、金融中物联网的可应用性
物联网技术将会给金融业的管理方式、支付手段和业务运作带来了革命性的技术更新和巨大的市场空间。
(一)人和数据的安全防范。
目前,金融安防就人员实时监控手段来说比较单一,通过录像监视人员活动,其效果更多的体现在事后监督环节,而采用物联网的RFID技术,能实现人员包括外来访客的主动实时监控,这就从根本上转变了人员监控管理方式,为业务安全防护提供一个自动、简单并且强有力的人员监控。
随着经济的发展,金融行业数据中心的设备成倍增长,但是银行数据中心依然采用纸面单据定时巡检的方式,数据中心管理人员劳动强度大,无法实现实时监控。采用RFID自动识别技术及网络和“安全管理软件平台”,为金柜、人员、数据中心、重要资产提供更准确的日常管理。
(二)支付手段的安全性。
移动支付正在改变现实生活中的金融环境,但安全永远是一个难题。之所以会出现安全隐患,主要原因在于电商企业为了方便用户再次登录和简便操作流程,其将消费者账号、密码、银行信息等自动存储于互联网公网后台。如此一来,黑客只要破解了后台密码,便可偷盗出用户资料信息甚至账户资金。
便捷性与安全性之间的权衡取舍一直以来都是个难题,人们将解决支付安全隐患的重任放到了加强物联网网购环境上:将用户信心从互联网电脑内彻底抽离,单独存储云端,用户使用信息时通过CPU卡逻辑加密,只读不存,动态密码,一读一密,黑客即使获取传输密钥也无法二次有效使用。目前电商欺诈事件频发,但以物联网技术为核心的支付模式却甚少出现资金盗用、信息泄露等问题,通过物联网技术来解决安全隐患已是大势所趋。
(三)物流金融。
物流金融是现代物流与金融共同创新的一种集成式服务,是对物流、信息流、资金流的有效整合,物流金融的各种业务可归纳为应收帐款融资、订单融资和存货质押融资三种基本形式。其核心思想是在供应链业务活动中,银行、物流企业和融资企业三方签订相关协议,融资企业再把它所拥有的存货、生产资料、商品等库存,交由物流企业来保管,银行则依据该动产的价值或财产权利为融资企业提供所需贷款,从而使物流产生价值增值。
提高物流效率,就需要资金的有效支持,没有资金流和物流的匹配,供应链上就会产生大量的资金缺口,并进而导致供应链不畅甚至断裂。
目前供应链金融产品的应用主要以融资产品为主,特别是存货质押领域。然而商业银行开展物流金融业务时是存在的风险的,包括融资企业的风险(是否具有良好的资信)、物流企业的信用风险(商业银行和物流企业在他们签订的债务合同中,都仍具有相对独立性,信息不对称问题的存在使物流企业在追求自身收益最大、风险最小的目标时,极易产生道德风险)。
在物流金融业务中,银行是委托人,第三方物流企业作为银行的人,为银行进行质押物的评估、监督和保管工作。而银行同物流企业之间的信息不对称、信息交换不及时或信息失真都会造成其决策失误。
此时,物联网核心技术手段所实现的对物品的“可视跟踪”技术将有效实现融资企业销售、存货信息的及时性、有效性,从而使其利用存货融资的范围大大拓展,而商业银行也可实时获取融资企业质押品在整个供应链过程中的动态信息,实现信息的全面和透彻感知,一旦质押品信息出现异常,银行便可调整借贷方案,同时金融物流的各参与方均可通过信息监管系统了解风险隐患。
三、物联金融面临的困境
(一)物联网自身的问题。
物联网应用大规模开展的条件并不成熟,这主要是由其应用成本巨大导致的。但这一点现在正在慢慢有所好转,即使企业和民众不愿将资金投入到物联网应用中,政府投资由于其对成本的敏感度低,也还是会展开以政府投资为主体的物联网应用,例如智能交通和安防就是当前最为确定的物联网应用。
(二)投资者的问题。
对于物联网应用,投资者的投资逻辑一般是:政策支持>竞争环境>企业自身竞争力,当前金融业并不在政策支持范围内,而其竞争环境又为n VS 1,即下游公司数量少且势力强大,需要多种多个公司为其提供信息化服务,客户(即1)往往会培养多个供应商(即n),此时,供应商在技术能力、服务质量、及时性和沟通能力等方面的综合素质是决定其发展的关键,因此这种是最为恶劣的竞争环境,也是投资者最后才会考虑的投资环境。
物联金融虽然能使我们的经济腾飞,强化金融安全,改善金融业务,但其发展的道路仍布满荆棘。
参考文献:
[1]王延炯.物联网若干安全问题研究与应用[D].北京邮电大学,2011.
[2]陈宝玉,陈清长.物联网应用:让银行更加智慧[J].华南金融电脑,2010,(11).
[3]郭川,邬贺铨.物联网不是网络是应用[N].人民邮电报,2010,(3).
【关键词】技术风险 业务风险 人为因素形成的风险
一、前言
网络金融是信息技术特别是互联网技术飞速发展的产物,是适应电子商务发展需要而产生的网络时代的金融运行模式,它提高了金融服务的效率。但是在网络金融用户享受便捷服务的同时,网络金融的安全问题也相伴而来。随着网络金融的发展而产生的新的风险,使金融安全与监管面临新的挑战。
二、网络金融还面临着技术风险、业务风险和人为因素形成的风险
网络金融的经营理念、经营模式与传统金融行业不完全相同,使得网络金融除了具有传统金融业经营过程中存在的流动性风险、信用风险、利率风险和汇率风险等之外,由于网络金融涉及通讯、设备和管理等许多方面,因此网络金融还面临着技术风险、业务风险和人为因素形成的风险。
网络金融技术涉及的风险包括技术安全风险和技术选择风险。技术安全风险来自三个方面:一是计算机系统停机、磁盘列传破坏等不确定性因素;二是来自网络外部的数字攻击;三是计算机病毒破坏等因素。技术选择风险是指网络金融业务的开展必须选择一种成熟的技术解决方案来支撑,否则可能因技术选择的失误使整个系统面临安全风险。近年来,黑客的攻击活动正以每年10倍的速度增长,计算机网络病毒通过网络进行扩散与传播是单机的几十倍,一旦某个程序被感染,则整台机器、整个网络也很快被感染,破坏力极大。在传统金融中,安全风险可能只是带来局部损失,但在网络金融中,安全技术风险会波及整个网络。
业务风险包括信用风险、支付和结算风险及法律风险。信用风险是指网络金融交易者在合约到期日不完全履行期义务的风险。网络金融服务方式的虚拟性使交易、支付的双方互不见面,只是通过网络发生联系,这是金融机构对交易者的身份、交易的真实性验证的难度加大,增大了交易者之间在身份确认、信用评价方面的信息不对称,从而增大了信用风险。对支付和结算风险来说,由于网络金融服务方式的虚拟性,金融机构的经营活动可突破时空局限,打破传统的金融分支机构及业务网点的地域限制;并且能向客户提供全天候、全方位的实时服务,从而使网络金融的经营者或客户通过各自的计算机终端就能随时与任何一家客户或金融机构办理证券投资、保险、信贷、期货交易等金融业务。这是网络金融业务环境在地域具有很大的开放性,并导致网络金融中支付、结算系统的国际化,从而大大提高了结算风险。法律风险是指由于网络金融立法相对落后和模糊而导致的交易风险。目前的金融立法框架主要是针对传统金融业务,缺少有关网络金融的配套法规,如对客户个人信息的保护、信用卡使用的规范等,出现了以网络为手段的犯罪,如网上交易诈骗、网络信用卡欺诈、个人信息被窃取、网络洗钱等。
人为因素形成的风险是指由于部分工作人员安全观念淡薄,安全管理制度不能真正落实,缺乏应有的网络安全意识,认识不到执行制度的紧迫性和重要性,导致网络金融风险的产生。如在网络金融交易没有就安全预防问题向客户进行足够的宣传教育,客户在非安全的电子传送管道中使用个人信息(如信用卡密码,银行卡号),客户的账户就有可能被犯罪分子利用。
三、网络银行的发展及产生的特殊风险使得对其的监管复杂化
监管当局不仅需要参照传统银行的监管标准进行一般的风险监管而且还要根据网络金融的特殊性进行技术性安全与管理安全的监管。对网络金融的监管,可以从网络金融风险产生的原因及种类方面进行思考分析,制定出符合其特殊性的相应的监管措施。
在我国,经济信息化程度不高,网络金融的发展尚处于起步阶段,因此我国对网络金融业务的监管应采取慎重态度,既不限制它的发展又不能放弃监管,通过适当的金融监管,促进我国网络金融更好更快地发展。具体措施如下:
(1)完善现行法律,补充适用于网络金融业务的相关法律条文。既要对现有法律不适应的部分进行修订和补充,又要对未来发展情况进行预测,分析可能出现的问题,进行先行立法保护,减少网络犯罪的发生。
(2)结合网络金融业务的特点,完善现行业务营运监管办法。要从业务经营的合法合规性、资本充足性、资产质量、流动性、盈利能力、管理水平和内部控制等方面根据网络化条件来适时进行调整、补充,构造一个符合网络金融生存、发展的金融监管指标体系和操作系统。
(3)督促开展网络金融业务的金融机构强化内部管理,从内控制度入手降低金融风险。以中国工商银行为例,中国工商银行建立了公司治理架构及风险监控体系,通过一体化风险管理规划、风险审议和风险监督流程,监控所有业务的各类风险。在全行范围内建立健全了监控流程,采用不同方法达到风险管理和风险承担之间的平衡。这些监控流程与方法,围绕不同的业务领域、地域分行、垂直支持单位(包括风险管理、财务规划信息技术系统、人力资源、合规与法律事务)和内部审计而设计。同时,董事会通过相关委员会对全行风险管理职能实施整体监督。
(4)加强金融监管部门的技术力量,提高监管水平,不断完善和提高网络安全技术,如防火墙技术,加密技术。防火墙技术是将内部私有网络和外部网络进行隔离,能防止部分外部攻击者对内部网络的入侵。而加密是实现信息保密的重要手段。
(5)密切与其他国家监管机构的联系,提高网络金融的监管效率。加强与网络金融发展较好的国家之间的交流,引进先进的监管理念、技术和人才。
参考文献:
[1]张铭洪,张丽芳主编.网络金融学[M].科学出版社出版,2000.
[2]陈进主编.网络金融服务[M].清华大学出版社出版,2011.
【关键词】网上银行;安全;监管
一、网络银行现状分析
(一)网络银行机构数量及规模现状
自从世界第一家网络银行――美国安全第一网络银行于1995年在互联网上开业以来,国际金融界便掀起了一股网络银行风潮,目前,国外85%的银行投资发展网上银行业务,美国70%、日本50%的家庭使用电子银行服务。
在我国,自1997年招商银行创建一网通以来,国内其他银行纷纷开始开通网上银行。目前中国已有20多家银行的200多个分支机构拥有网址和主页。根据艾瑞咨询《2008--2009年中国网上银行行业发展报告》,2009年中国网上银行交易额规模为445.0万亿元,其中工商银行占据了36.6%的市场份额,位居首位,比居第二位的建设银行(占17.0%)高出近20个百分点。
(二)网络银行安全与监管现状
1 安全性
网上银行系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。
目前保障网上银行交易系统安全系统的技术措施包括:1)设立防火墙,隔离相关网络。2)高安全级别的WEB服务器。3)24小时实时安全监控。对于个人身份认证方面,采用认证介质。包括密码、文件数字证书、动态口令卡、动态手机口令等等。
另外,银行卡持有人的安全意识也是影响网上银行安全性的不可忽视的重要因素。目前为止,国内网上银行交易额已达到数千亿元,银行方面出现过安全问题较少,只有个别客户由于保密意识不强而造成资金损失。
2 监管与法规
除了中国人民银行以及银监会对银行业的监督外,对于网络银行的安全,中国金融安全认证中心(CFCA)是中国金融业唯―合法的、国家级权威第三方安全认证机构,经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融安全基础设施之一。CFCA作为权威、公正的第三方安全认证机构,通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务:确保网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。
目前我国的法律法规环境也已经初步建立,基本法《银行法》中已经加入了针对网上银行业务的规定。除此之外,2001年颁布的《网上银行业务管理暂行办法》和2005年颁布的《电子签名法》标志着我国对电子商务及网上银行的安全性管理已经做到了有法可依。2006年颁布的《电子支付指引》及《电子银行业务管理办法》等法规意见稿都为进一步规范和管理我国的网上银行市场奠定了良好的基础。
(三)网上银行存在问题与挑战
虽然我国对银行业的监管以及法规重视程度都很高,但是,由于网上银行的发展过快,现行的法规以及监管模式已经完全滞后与网上银行的发展。近几年来,由于银行的失误以及法规的不完善,网上银行出现了不少问题,而最终却由客户来承担损失。《电子商务研究》统计,网络银行安全事故中出于员工疏忽的占57%,外部恶意攻击占24%,病毒发作占14%,用户误操作占5%。专家认为,网上银行的安全事故频发,一方面与用户安全意识淡薄有关,另一方面也与网上银行本身存在的安全隐忧密不可分。
二、对我国网络银行监管的对策与建议
经过了上文对于我国网络金融概念和现状分析,已对网上银行监管存在的不足和问题有了具体的了解。对于我国网络金融监管的发展现作出如下的几点建议:
1 电子货币
作为网络经济中最重要的元素,尽快建立针对电子货币的监管体系。同时,要适时放松对电子货币发行主体的监管。受信息和通讯产业发展水平所限,我国目前还没有能力研发出具有世界领先水平的电子货币,更多的是采用西方发达国家的技术标准。因此,要求多用途电子货币发行主体仅限于银行是目前防范风险的有效措施。但随着我国信息和通讯产业的发展,在时机成熟时应考虑允许信息企业与银行合作开发电子货币产品或由非银行机构单独开发,以增强我国电子货币的国际竞争力。对非银行机构发行电子货币,应采用欧洲中央银行的监管办法,使非银行机构接受同银行一样的监管标准。
2 监管机构
加强各监管机构间的协调,在条件成熟时形成统一的金融监管部门。从我国目前的经济发展水平、法律环境、金融经营者的素质、金融机构内部风险控制机制、金融监管水平来看,现阶段我国“分业经营、分业监管”的原则是符合我国国情的。但面临我国已加入世贸组织的现状及网络金融迅速发展的现实,我们应特别关注混业经营、混业监管问题。在目前不能迅速转变金融监管体制的情况下,要注重加强各金融监管机构间的协调,加强沟通与合作,避免监管真空或交叉。最好能建立其专门监管网络金融行业的专门监督机构或者自律性组织。
3 法规制度
加快网络金融业务管理规章的制定。不仅要注重对技术风险的管理,更要强调对战略风险、操作风险、法律风险的管理;不仅要完善对内监管制度,也要建立企业间、行业间以及市场整体全面检查和监管机制。