金融安全管理范文

时间:2024-02-21 17:46:39

导语:如何才能写好一篇金融安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

金融安全管理

篇1

杭州帕拉迪网络科技有限公司(简称帕拉迪)从金融行业的实际信息安全需求出发,充分吸收近年来信息系统安全保障理论模型和技术架构(如IATF等),全面参考《信息安全等级保护基本要求》、《银行业银行机构内部审计指引》、《商业银行信息科技风险管理指引》等相关指引及法规要求,结合帕拉迪多年的攻击防护经验,为金融行业提供IT运维的统一安全管理与综合审计解决方案。该方案主要解决金融机构信息中心运维管理面对系统复杂性、网络安全性、IT内控外审等而产生的相关问题。这一方案实现了按照行业标准进行金融机构的精确管理、实时监控和警告、事后追溯审计等,为管理人员的运维和决策提供了有效的技术手段。

金融IT内部的运维风险

1. IT内部对服务器的维护和管理依赖于操作系统的口令认证,口令易被转授、窥探以及遗忘等弱点,以及授权不方便等问题造成管理困难,成本较高。

2. 第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效地记录其操作过程和维护内容,核心机密数据容易泄露或遭到恶意破坏。

3. 研发部门在系统上线运行后,经常会通过普通的权限登录系统分析软件查看问题,从信息安全角度考虑,这些查询过程必须留有记录。

解决方案技术优势

1. 独创的数据库运维操作审计平台,覆盖主流商业数据库的企业应用和运维操作。

2. 支持RDP图形实时文字识别和文字提取功能。

3. 带来无缝应用的用户体验,所有应用均可本地化展示。

4. 提供文件传输内容审计记录。

5. 契合金融行业安全的三级会同功能(接入会同、密码会同、命令会同)。

解决方案部署收益

1. 规范运维管理。建立统一安全管理和综合审计平台,统一入口、统一认证、统一授权、统一审计;用户可以在平台上基于权限进行访问控制,提高了系统安全性,同时减轻了管理员工作压力,提高了工作效率,确保管理制度的顺利实施。

篇2

有人说,如今的世界经济,美国打一个喷嚏,中国就感冒。在全球经济一体化的今天,美国出了问题,各国都难以独善其身。中美之间存在巨大贸易额,中国是美国最大的债权国,所以,美国只要搅动贸易和强权美元政策的任何一个杠杆,都会影响中国经济。但是,在金融危机仍在蔓延的时候,我们也必须有十分清醒的分析。除了因持有美国债券和少数金融机构投资海外造成的损失外,中国金融机构并没有受到太大的直接牵连;中国金融体系比较稳定,中国经济除了外贸受挫,国内一些企业的产品产能过剩,不少企业兼并、倒闭、破产,事实上中国的实体经济并没有受到大的影响。

我们也需要承认,改革开放30年来,中国经济发生了翻天覆地的变化,中国经济总量已经很大,但经济结构不合理是非常明显的,金融体系和社会经济发展的不协调也是事实。例如,中小企业融资和农村金融问题,总是没有一个很好的解决办法。多层次资本市场建设在发达国家作为市场体系的有机组成部分,是市场经济发展的必然产物,但在中国,不是不想做、不能做,而是我们的体制不行,我们的经济发展模式不对,我们现存的不平衡、不稳定、不协调的诸多问题,总不能都归咎于金融危机吧?

站在中国的角度,面对金融危机,我们不能让外国人忽悠我们,中国坚决不当全球危机的救世主。但是,我们也不要忽悠自己,自我膨胀,不要以为中国已经强大的足以和美国平起平坐了。对于国内经济发展的不平衡和不协调的问题,诸如分配不公、收入差距扩大、城乡二元结构等,也要有清醒的认识,防止把什么问题都归因于金融危机的影响。不要认为“天下大乱”了,不能独善其身了,任意地夸大全球金融危机对我们的影响,似乎“金融海啸是个筐,什么问题都可装”。因为,我国经济生活中多年来形成的一些结构性问题、金融体系和金融安全的问题,并不是这一次金融危机带来的;从根本上讲,是我国自身经济发展模式的问题。现在正是一个时机,抓住当前金融危机的机会,用新的经济增长方式着力于民生投资,扩大内需,改变基建财政为公共财政,努力调整经济结构,达到经济平衡、稳定,最终做到可持续发展,这是我国经济长远发展的一个必然选择。

……

《大国金融方略》发表在全球金融海啸发生发展之时,我认为是一本难得的好书,是当今金融学科领域里的一部好教材。说好是因为该书在历史与现代、理论与务实、个案与一般的分析与研究上,较为成功。该书不仅较系统地总结了国际金融历史经验,既包括英镑和美元称霸世界的历史,也包括所谓日本“金融战败”和新兴市场国家金融危机的经验教训;难能可贵的是,该书对我国金融改革与开放中的诸多宏观和微观问题,都作出了深入的研究分析,并大胆地提出了中国金融改革和金融体系建设的设想。

虽然书中有的观点我认为需要探讨,但这部著作仍可以给我们很多新的启发,对于初涉金融学的读者来说是一个启蒙,对于金融理论研究者和从事金融实际工作的同志来说,也是大有裨益的。

以上有感而发,是为序。

篇3

[关键词]金融机构;信息资产;操作风险;风险管理

金融机构操作风险具有不同于信用风险和市场风险的显著特征,是其基础性风险。巴塞尔委员会对操作风险的定义是:“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”它是指由于不当或不足的方式操作业务或外部事件而对银行业务带来负面影响的可能性。操作风险是与银行业务操作紧密相联系的风险,它和信用风险、市场风险共同构成商业银行的三大风险。对于操作风险的监管。直接涉及银行信息资产风险的监管,银行信息资产风险监管与操作风险监管有着密切关系,加强操作风险的监管,就必须高度重视信息资产风险的监管。

一、IT环境下操作风险的挑战

(一)IT环境下操作风险的隐患

当前由于银行系统漏洞或缺陷导致的操作风险事件呈现出上升趋势。据银监会通报,2007年以来银行业发生的5起典型信息系统风险事件,分别是:2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;2007年8月15日,中国工商银行对计算机系统进行升级,由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分证券业务受阻,在持续5个半小时后,系统才逐步恢复正常;2007年10月18日,中国建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,事故持续了两个小时,在证券交易收盘后才恢复正常;2007年12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动了应急预案,但仍然中断营业近1个小时:2008年1月7日,北京银行因主干专线的入户接入设备发生故障,造成在京117家支行所属网点柜台交易缓慢,业务无法正常进行,故障在1个多小时后才得以解决。上述案例中,既有信息系统自身原因引发的故障,也有人员操作失误引发的故障,信息系统风险已成为商业银行关注和防范的焦点。

金融业信息技术事故统计表明,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2―3天以上不能恢复。将直接危及其他银行乃至整个金融系统的稳定。目前。我国银行业的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,信息科技风险管理显得相对薄弱。

技术型操作风险的隐患源于:1.操作系统漏洞。银行应用的Unix,Win-dows等操作系统存在一定安全隐患;2.安全设施的漏洞。网络层、应用层的防火墙自身是否安全、设置是否错误,需要经过检验。美国一项调查表明,32%的泄密是由内部作案造成,所有的防火墙都不同程度地被黑客攻击过;3.安全管理的漏洞。现有的一些信息系统缺少定期的安全测试与检查,更缺少安全监控。在已破获的采用计算机技术犯罪的案件中,内部授权人员作案的占58%;4.安全协议的漏洞。由于银行网络系统内部运行的各种协议(如TCP/IP,IPX/SPX等)是在资源及网络技术均不成熟的情况下设计的,还存在着脆弱的认证机制、容易被窃听和监视、易受欺骗等安全隐患;5.内控制度的漏洞。管理制度、运行规程不完善,不能有效地杜绝内部作案,更缺乏良好的故障处理反应机制。

(二)lT环境下操作风险的表现形式

技术导向型操作风险是指由于技术问题,特别是信息技术的应用对银行的系统、流程、产品、服务和交易等产生不良影响而导致的操作风险,包括IT技术、网络系统、产品的服务缺陷。以及外部法律、税收和监管方面的变化对银行冲击而造成的风险。关于金融机构技术导向型操作风险涵盖的范畴及其风险的含义,在2006年出台的银行业监督管理法中给出了明确定义:“主要包括总体风险,研发风险、运行维护风险、外包风险等信息系统生命周期几个高风险点……其中,总体风险是指金融机构信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险;研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险;运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险;外包风险是指金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务或外部技术供应商时形成的风险。”

二、金融机构信息资产安全的需求

金融机构信息系统是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。金融机构信息系统具有如下特点:1.金融信息化的建设以及网上银行业务的迅猛发展,使得银行等金融机构的业务集中度非常高。2.数据大集中后,由于单笔交易所跨越的网络环节越来越多,信息系统对网络的依赖性越来越高。3.信息安全性要求高,信息系统的各种文档资料和用户资料均需保密。

(一)信息资产安全的边界

有关信息资产的含义,目前众说纷纭,本文借鉴屈延文(2006)给出的定义,即信息资产是由信息范畴资产、系统范畴资产和附加范畴资产组成。其中信息范畴资产是指信息存在形式、信息内容、内容价值;系统范畴资产是指系统存在形式、系统行为、行为价值;附加范畴资产则是不同的关注者(计划者、拥有者、设计者、实施者和用户等)对信息与系统两个范畴关注的需求价值(附加价值)。例如包括开发、运营、管理、维护和服务等产生的关注性的资产。

随着信息技术的发展与应用,信息安全的内涵也在不断的延伸。从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。

(二)信息资产安全性原则

信息,在ISO17799中被看作是一种资产,这种资产可以增加组织的价值,因而它也需要得到恰当的保护。信息资产安全需要保护信息资源,防止未经授权或偶然因素对信息资源的破坏、修改、非法利用或恶意泄露,以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范(1SO,IEC 17799)和其他一些机构的文

献中,都定义了信息安全的基本特性:如保密性,完整性。有效性;另外也可包括诸如真实性,可审计性,不可否认性和可控性等。

三、金融机构信息资产操作风险监管的对策

风险监管是信息资产安全管理的核心。信息系统风险管理的目标是通过建立有效的机制。实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。

(一)信息资产操作风险管理的原则和目标

实施信息资产风险管理的原则为:1.针对性。对金融机构信息资产所面临的安全需求进行认真全面地分析,找出具有针对性的安全威胁。有的放矢地做好安全工作:2.均衡性。对信息安全的各个环节进行安全强度分析,找出信息安全的脆弱点,提出强度均衡的设计方案;3.时效性。在实施信息安全管理时,要量力而行,安全投入与所需要的功效相适应。即对信息安全面临的威胁及可能承担的风险进行定性和定量的分析,从而制定出合理的安全策略;4.独立性。信息安全所采用的技术均应立足国内,不得直接引用未经消化改造的境外安全保密技术和设备;5.综合性。信息安全必须通过技术、管理和安全基础设施的综合实施才能奏效,即信息安全=风险分析+执行策略+基础实施+漏洞监测+实时响应。

金融机构信息资产安全管理的目标为:一是对信息资产安全现状做出正确判断;二是较为准确地估计特定系统风险;三是建立相应的控制风险的机制,并把这些机制融为一体形成防护体系;四是最大限度地提高系统的可用性,并把系统带来的风险控制在可接受范围内。

(二)构建信息资产操作风险管理框架

金融信息化环境下,很多机构的信息资产面临诸多威胁(包括来自内部的威胁和来自外部的威胁)。威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露。资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响)。风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定。对企业信息系统安全风险的分析。就得出了系统的防护需求。根据防护需求的不同,制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对金融机构造成的影响。资产、威胁和脆弱性构成了风险的三个关键要素,而风险评估则是围绕这些要素及其相关属性依据国家有关管理要求和技术标准,对信息系统及其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。本文借鉴MSF风险管理框架,建立以操作风险管理为核心的信息资产安全模型。即风险识别、风险分析和分级、风险计划和调度、风险跟踪和报告、风险控制以及风险学习六个步骤。

1 风险识别。风险识别的目的是发现潜在的威胁,预防某个特定威胁利用某个特定系统的脆弱性对系统造成损失,威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。风险识别应该在信息系统的生命周期中不断地重复。

2 风险分析与分级。风险分析是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。

3 风险计划和调度。风险计划提取风险分析中获得的信息并用其明确表达策略、计划和工作。风险调度可以确保计划被认可并融入标准的日常信息资产安全管理进程和基础设施中,从而确保风险管理作为日常工作的一部分执行。

4 风险跟踪。风险跟踪监控特定风险的状况以及它们各自工作计划中的进展情况。风险跟踪也包含监控变化风险的概率、影响、暴露程度以及其他因素,这些变化可能改变优先级或风险计划、信息资产特性、资源或是进度表。风险跟踪从风险等级的角度定义风险管理过程在信息资产中的可见度。

5 风险控制。风险控制是执行风险工作计划和相关现状报告的过程。风险控制也包含项目变化控制请求的初始化,而风险状况或风险计划的更改可能导致信息资产特性、资源或进度表的更改。

6 风险学习。使知识和相应项目案例及工具正式化,并在团队和企业内部以可再度使用的形式提取知识。

信息系统的安全性、可靠性、有效性直接关系到整个金融业的安全和稳健运行。在当前构建和谐社会的重要阶段,金融业的安全变得更为关键。操作风险防范的重要内容就是从技术防范为主的被动信息安全转移到以预防为主的主动风险管理框架中来,把风险控制在可承受的范围之内,为社会提供安全、持续的金融服务。

赵秀云教授简介

篇4

1互联网金融模式的安全隐患

由于互联网金融在网络平台运营的过程中具有开放性,这使互联网金融面临一系列安全隐患,严重的甚至会出现重大漏洞,直接导致我国金融系统出现问题。因而,应当对互联网金融模式的安全隐患有清醒的理解和认识,并从安全管理的角度深入分析互联网金融模式安全隐患产生的原因,有的放矢地认真加以应对。从互联网金融模式的安全隐患来看,主要包括以下几个方面:由于互联网金融具有很强的开放性,而且需要依托信息技术开展业务,这就使得互联网金融模式需要更加高度重视技术创新,但由于个别互联网金融平台在发展的过程中不注重技术创新,特别是在安全管理方面不到位,如不注重对互联网金融平台各类数据、信息的有效管理,直接导致出现了数据、信息风险,甚至会对互联网金融平台造成较大的影响;互联网金融具有很强的互动性,这就需要在发展的过程中更加重视防范和控制操作风险,但一些互联网金融平台在这方面还没有引起足够的重视,同时一些用户也不注重加强安全风险防范与控制,在操作的过程中出现了诸多风险和漏洞,而且一些互联网金融不注重对管理人员、服务人员、操作人员的教育和培训,职业素养和职业道德还比较薄弱,甚至出现了“监守自盗”的现象;互联网金融模式的安全隐患也表现为面临一定的内部控制风险,特别是由于一些互联网金融在管理方面存在许多问题,而且也不注重内部控制机制建设,内部控制相对比较薄弱,直接导致一些互联网金融在发展的过程中出现了诸多安全隐患。从总体上来看,尽管互联网金融模式的安全隐患相对较多,但比较突出的就是在技术、操作、管理等诸多方面存在的一些漏洞,应当对此给予重视,同时也需要有关方面人员共同研究如何更有效地防范和控制互联网金融模式安全隐患的方法和措施,唯有如此,才能促进互联网金融的健康发展。

2互联网金融模式安全管理存在的问题

2.1互联网金融安全管理重视程度不够

从当前互联网金融安全管理存在的问题来看,比较突出的就是存在重视程度不够的问题,直接导致互联网金融安全管理受到了一定的影响,进而出现了诸多安全隐患。有的互联网金融平台还没有将防范和控制安全隐患上升到战略层面,在安全管理方面缺乏科学、合理、有效的策略,同时在投入方面也不到位,直接导致互联网金融安全管理体制不够完善,安全管理的科学化水平、规范化能力仍然有待进一步提升。互联网金融安全管理重视程度不够,还表现为一些地方没有将互联网金融安全管理工作纳入到监管体系当中,不注重运用科学的方法和措施加强互联网金融平台的监管,特别是行业监管体制还没有形成,互联网金融行业自我管理、自我监督的意识和能力比较薄弱,同样会制约互联网金融安全管理工作向纵深开展。

2.2互联网金融安全管理体系比较薄弱

对于有效应用互联网金融模式安全隐患来说,一定要进一步健全和完善安全管理体系,但目前一些互联网金融平台在这方面还没有进行科学地设计,相关管理工作还没有取得更大的突破。有的互联网金融平台还没有对自身存在的安全隐患进行深入调查研究与分析论证,在制定互联网金融安全管理措施方面缺乏针对性,如内部控制工作不够到位,不仅缺乏全面控制能力,而且也不注重内部控制的融合性建设,直接导致出现了很多操作风险。有的不注重对相关工作的设计和安排,如在发展互联网金融的过程中对安全管理工作的重视性不足,各个方面还没有形成强大的合力,在推动互联网金融可持续发展的过程中缺乏相关举措等。有的尽管对互联网金融安全管理进行了一定的设计,同时也进行了谋划,但在具体的实施过程中不注重强化整体能力建设。

2.3互联网金融安全管理机制相对滞后

健全和完善互联网金融管理机制至关重要,但目前一些互联网金融平台还没有建立科学、完善、系统、有效的互联网金融安全管理机制,导致出现了诸多安全隐患。有的互联网金融平台尽管建立了相对比较完善的安全管理制度,但在执行力方面相对比较薄弱,直接导致互联网金融安全管理制度的作用无法得到有效地发挥。有的互联网金融平台则不注重建立有效的运行机制,如在内部安全管理与外部安全管理相结合方面不够到位,特别是对外部风险因素缺乏深入的调查和分析,导致个别互联网金融平台面临市场风险等。有的互联网金融平台没有将安全管理与市场营销进行有效结合,如缺乏对互联网金融产品的挖掘和创新,不注重建立有效的服务机制等,同样会导致互联网金融出现安全隐患。

2.4互联网金融安全管理合力尚未形成

对于有效应对互联网金融安全隐患来说,还要在合力建设方面下工夫,但目前一些互联网金融平台在安全管理方面还没有形成强大的工作合力,导致互联网金融安全管理的全面性、全员性以及全程性不到位。有的互联网金融平台不注重优化管理模式,特别是在投资项目调查分析方面比较薄弱,导致在投资决策方面出现了风险。有的互联网金融平台则不注重大力加强资源整合工作,在调动方方面面力量和智慧集聚到互联网金融安全风险管理的过程中缺乏效能性,如管理会计的应用不合理,再比如没有建立比较完善的技术安全管理平台等,同样会导致互联网金融平台面临诸多安全隐患,需要引起重视,并采取切实有效的措施推动安全管理合力建设。

3互联网金融模式安全管理的优化对策

3.1提高互联网金融安全管理重视程度

对于互联网金融平台来说,要想更好地防范安全隐患,一定要进一步提高互联网金融安全管理的重视程度,特别是要切实加大相关方面的投入力度,夯实互联网金融安全管理基础,同时还要在完善管理体制方面狠下工夫,使互联网金融安全管理工作能够有条不紊地运行,确保不出现安全风险。要切实加强对互联网金融安全管理工作的投入力度,如加强教育和培训,强化相关人员的能力建设;将互联网金融安全管理纳入到企业文化建设当中,加强有效引导,努力在互联网金融平台内部形成互联网金融安全管理工作的强大合力。要更加重视互联网金融安全管理工作的整体性,将其纳入到互联网金融平台改革、创新、发展体系当中,发挥互联网金融安全管理的基础性作用。各级政府也要对互联网金融安全管理工作给予高度重视,应当加大相关投入力度,而且还要在健全和完善互联网金融监管体制方面进行改革和创新,努力使其能够发挥多元化功能,进而有效防范互联网金融平台可能出现的各类安全隐患。

3.2加强互联网金融安全管理体系建设

对于科学应对互联网金融模式安全隐患来说,还要在加强互联网金融安全管理体系建设方面狠下工夫,努力使其取得更大的成就。在具体的实施过程中,要大力加强互联网金融安全管理工作的组织体系建设,除了要进一步强化专业部门建设之外,更要高度重视各个部门之间的有效协调与配合,如建立相应的组织机构专门负责互联网金融安全管理落实、监督、考核等工作。加强互联网金融安全管理体系建设,还要将互联网金融安全管理与财务监督、风险管理等紧密结合起来,加强各方面的有效融合,并运用大数据技术、云计算技术等建立风险点监测机制,最大限度地防范可能出现的各类安全隐患。要着眼于防范和控制可能出现的财务风险,切实加大互联网金融平台财务风险管理工作,如建立预算调节机制,并对预算进度跟踪、结果分析、绩效考评,根据实际情况及时修正,严格执行责任追究制度,确保互联网金融平台不出现财务风险。

3.3促进互联网金融安全管理机制优化

互联网金融要把健全和完善安全管理机制上升到更高层面,着眼于促进互联网金融安全管理规范化、科学化水平,积极探索符合互联网金融可持续发展的管理机制。要根据法律法规来制定互联网金融安全管理制度,同时还要进一步加强制度的执行力建设,引导广大工作人员加强对互联网金融安全管理的认识,了解其重要性及存在的社会价值,抛弃传统的观点,明确各个部门的岗位职责,确保互联网金融安全管理工作的正常运转,同时也要强化互联网金融安全管理工作的整体性和效能性。要大力加强互联网金融监督机制建设,在具体的实施过程中可以将PDCA循环作为互联网金融安全管理的重要方法,加强计划、执行、检查、处理等四个阶段的工作,并且要强化各个阶段的紧密联系,对互联网金融安全管理的有效做法应当进行总结和提升,对于存在的问题应当加大整改工作力度,只有这样,才能使互联网金融安全管理形成良性运行机制,促进互联网金融安全管理效能化水平的显著提升。

3.4推动互联网金融安全管理形成合力

篇5

关键词:农村信用;安全保卫工作

一、当前形势下安全保卫工作的现状和问题

我们不难从以往的各类金融案例中看出,农村信用社网点的发案率明显比其它商业银行高得多。近年来,虽然农村信用社安全保卫工作已日趋规范,但仍存在一些普遍问题,制约着总体安全防控能力的提高。

(一)队伍素质不强工作主动性较弱

1、非专职保卫人员,专业技能不强。农村信用社保卫人员都实行了一人多岗的综合岗位制。同时,为提高员工的综合素质,有些农村信用社内实行了岗位交流制度,但由于人员变换频繁,加上未定期对安全保卫人员进行岗位培训以及交流岗位后适应较慢,分散大部分精力从事其他兼管工作职责,等等,使得保卫人员无法及时全面掌握安全保卫工作的相关业务,对信用社安全保卫情况缺乏系统的了解。因此,一些保卫人员工作起来疲于应付,只有紧张感,害怕出事。

2、工作方法简单,主动性较弱。由于安全保卫工作的条款性、约束性很强,在工作中对执行力要求也很高,因此,基层农村信用社安全保卫人员及员工就简单地认为如果出了状况可以找到对应的条款解决,对平时的检查只要照着葫芦画不仅与其他单位业务交往少,而且与社内兄弟部门也很少有业务交往。因此,安全保卫工作圈子很窄。而且由于上班时间与机关作息时间不同步,使得消息闭塞,信息不灵。甚至有的保卫人员感觉保卫岗位比一线窗口的压力小,没有从根本上认识保卫工作的重大责任。保卫人员长期处在这样一个工作环境里,时间长了他们的思想、心理有可能产生一些压抑,甚至在个别保卫人员中或多或少存在着工作上得过且过、安于现状和不思进取的思想。

(二)防范意识不高 应变能力迟钝

1、思想松懈麻痹,安全保卫技能较弱。由于长期处于安全无事故状态,个别村信用社的安全保卫人员的思想松懈麻痹,防盗、防抢、防暴力侵害的能力较弱,防火、防毒等的意识也不足。如此种种,给犯罪分子留下了可趁之隙,给其他安全工作也留下隐患

2、业务训练薄弱,亟待加强练兵。对安全防范设施依赖心理重,忽视了安全保卫业务技能的训练提高。一些村信用社的安全保卫人员长期不进行技能训练,面如突发事件,缺乏快速反应和灵活应变的能力。

二、对做好农村信用社安全保卫工作、提升防控能力的几点思路和建议

要做好新形势下农村信用社的安全保卫工作,就需要切实解决好基层安全保卫工作中存在的难点和问题,把高素质的保卫干部、完善的管理制度、先进实用的管理技术和手段有机的结合成为一个整体,逐步建立一种全新的安全管理体系,使之成为在今后的安全管理工作消除不安全、不可控因素的根本措施。

(一)坚持安全教育常抓不懈,进一步强化干部职工的防范意识。要切实树立安全保卫工作的危机意识,加强对安全保卫工作的组织领导,按照“谁主管、谁负责”的原则,严格落实安全工作领导责任制。同时,选择典型案例,对职工进行经常性的警示教育,树立强烈的“责任重于泰山”的保卫工作格局意识,警钟长鸣,常抓不懈,努力消除麻痹思想、侥幸心里。

(二)必须认清科技防范是安全保卫工作的重要组成部分,安全保卫工作的重点还应以人防为主。科技防范手段是对人力防范手段和实体防范手段的功能延伸和加强,对人力防范和实体防范在技术手段上进行补充和强化。人力防范是人的主观能动性的具体体现,无论是人力防范还是科技防范,充分发挥人的主观能动性始终要放在首要位置,通过不断的探索、学习,一方面加强科技防卫的应用知识,另一方面锻炼安保人员处理安全事故的的应变能力,从而能够及时发现、阻止、震慑犯罪,为及时有效地证实和打击犯罪提供良好时机和有力的人力资源保障。

(三)要充分发挥科技、人防的效能,建立相应的内控制度并加强落实。建立健全有效的内控制度是金融机构得以生存和发展的生命线,是防范和化解金融风险的重要手段和有效途径,也是衡量银行经营管理水平高低标志。把安全防范责任制落实到各个部门、各个岗位,搞好内部安全管理,定期分析安全形式和岗位人员的思想情况,积极掌握职工思想动态,做好思想政治工作,不断提高全体人员安全防范意识。

(四)实现由静态管理向动态转变。安全保卫工作要转变观念,彻底打破过去那种只单纯管理的传统工作模式和只在办公室静等问题上门再去处理解决的方法。保卫工作人员必须走出办公室,深入到营业场所以及一些防卫重地,如机房、监控死角等,进行现场管理服务,并根据实际情况,因地制宜,创造性的开展工作。这样一来,不仅是对安保人员自身能力的一个提高,更能够起到宣传教育的作用,让大家时刻能够保持警惕,促进全行安全保卫工作落到实处。

(五)制定安全事故应急预案,不断增强保卫人员掌握使用现代化物防技防设备的能力和妥善处置突发事件、抗击制服犯罪分子的能力。在日常工作中,建立一套行之有效的安全事故应急预案,对于保卫人员处理突发事故是大有裨益的,例如在发生火灾情况下,如何开展自救,保护员工人身和财产不受伤害和损失。制定预案要在日常演练中落实,如开展消防演练,动员全行职工参与,认真学习使用各类消防器材;开展“反抢劫”演练,增强交箱人员抗击制服犯罪分子的能力等,将制定的预案切实落实到工作中,以此来提高全员处理突发事件的能力和安全防范意识。

篇6

关键字:计算机病毒;金融安全;病毒防治

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1829-02

Security of Network Finance and Virus Prevention

WANG Gai-xiang

(Shanxi Professional College of Finance, Taiyuan 030008, China)

Abstract: With the development of network technology, service of internet bank has present unparalleled advantages over other traditional bank business. But Internet is recognized as an open system that makes the increasing wide spread of deformed virus on network,it has been one of main of factors to threaten the security of internet banking service. This article analyze the latest trend of computer virus in net transaction, and prevent the computer virus effectively to ensure security of network finance.

Key words: computer virus; security of financial; prevention and cure

1 引言

随着计算机技术和网络技术的发展,在各行各业形成了全新的经营模式,网络技术给网上银行服务带来了传统银行业务无法媲美的优越性,网络交易这个新兴的金融业务形式,以其高效、灵活、低成本、全天候的便捷服务,迅速聚集了大量用户。但是因特网的开放性,使得各种病毒在网络上流传。使之成为威胁网络银行正常运作的主要威胁之一,特别是银行网络的逐步开放,为病毒的快速传播提供了便利条件,也带来了更大的威胁性。因此分析计算机病毒的在网络交易中的最新发展趋势,以求有效地防治计算机病毒就显得十分必要和紧迫。

2 计算机病毒成为影响网络金融安全的主要因素之一

随着因特网的不断发展,使得各种病毒在网络上流传,特别是银行网络的逐步开放,对网络的金融安全带来了很大的威胁性。计算机病毒作为一种特殊形式的计算机软件程序,是具有自我复制功能的计算机指令代码,并且可以通过一些可移动设备和网络进行快速传播。各类计算机病毒不断在互联网和银行内联网上肆孽,如果计算机病毒攻击银行内联网将导致网络的许多功能无法使用或不敢使用,更严重的会导致计算机系统瘫痪,程序和数据被破坏。目前,各种各样的计算机病毒层出不穷地活跃在各个角落,成为影响网络金融安全的主要因素之一。

经济利益将成为推动计算机病毒发展的最大动力,从计算机病毒出现之初来看,对技术的兴趣和爱好是计算机病毒发展的源动力。但目前,越来越多的迹象表明,经济利益已成为推动计算机病毒发展的最大动力。近年来,一些银行的网络系统,曾一度关闭了网上支付系统,窃取密码、“冒充站点”正成为网银最大的安全隐患。其中较普遍的做法是,木马先向用户发送一个“本行网站正进行促销活动”等内容的虚假邮件,诱骗客户访问“冒充站点”,用户在不知情的情况下泄露账号和密码,最终蒙受损失。比较著名的还有“灰鸽子”、“网银大盗”等。针对网络游戏的计算机病毒在这一点表现更为明显,网络游戏帐号和数以千元甚至万元的虚拟装备莫明其妙地转到了他人手中。

3 计算机病毒的在网络交易中的最新发展趋势

3.1 网络成为计算机病毒的主要传播途径

计算机网络逐渐成为计算机病毒主要传播途径,计算机病毒最早只通过文件拷贝传播,当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展,目前计算机病毒可通过计算机网络利用多种方式(电子邮件、网页、即时通讯软件等)进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了计算机病毒传染的高效率。通过 “熊猫烧香”病毒的感染范围及速度非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。

3.2 利用操作系统漏洞传播

2003年的“蠕虫王”、“冲击波”和2004年的“震荡波”、2007年的“熊猫烧香”都是利用系统的漏洞,在短短的几天内就造成了巨大的社会危害和经济损失。开发操作系统是个复杂的工程,出现漏洞及错误是难免的,任何操作系统都是在修补漏洞和改正错误的过程中逐步走向成熟和完善的。

3.3 计算机病毒变种的速度极快

计算机病毒变种的速度极快,使计算机病毒向混合型、多样化发展,结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒(codered)就是综合了文件型、蠕虫型病毒的特性,这种发展趋势会造成反病毒工作更加困难。

3.4 经济利益将成为推动计算机病毒发展的最大动力

随着时代的发展经济利益成为目前病毒制造者不断追求技术突破的原动力,受此利益驱使,近年来电脑病毒的感染率呈爆炸式增长。并且计算机病毒技术日益与黑客技术融合,因为它们有着共同的经济利益目标。

3.5 常见的杀毒软件总是滞后于新的计算机病毒病毒

首先,常见的反病毒软件大多数采用特征码技术,必然会导致病毒库滞后于新病毒的现象,用户必须不断地升级病毒库,才能查杀新病毒。其次,操作系统本身的漏洞对反病毒软件来说是无能为力的,许多操作系统漏洞除了微软自己知道外,不能被广大用户主动发现和知晓,这给反病毒造成的困难远远大于给病毒编写造成的困难,也导致反病毒技术只能跟在病毒后面。

4 防治计算机病毒保障网络金融安全的策略

4.1 建立防患于未然的正确防毒意识

许多用户的计算机病毒防范意识依然淡薄,对病毒防范知识欠缺。他们只认为自己是计算机的使用者,而不是计算机的管理者,因此常常不自觉成为病毒的传播者,出了问题也束手无策。银行的计算机安全管理部门应定期进行防病毒知识宣传,让用户逐渐认识到防病毒工作的重要性,同时客观地看待防毒软件,建立防患于未然的正确防毒意识,让计算机用户从根本上认识到计算机病毒防治与自己息息相关,认识到自己身上所担负的责任,切实把防病毒工作当作自己工作的一部分。

4.2 制定病毒防治的相关规章制度

全面落实各个层面的病毒防控工作。首先,要做好组织管理机制。建立相应的组织机构,设立专职或兼职的安全员,遏制计算机病毒的产生、传播和危害。其次,要做好应急处理机制。坚持“积极预防、及时发现、快速反应、确保恢复”的病毒防控原则建立一套行之有效的防范计算机病毒的应急措施和应急事件处理机构,以便对发现的计算机病毒事件进行快速反应和处置,为遭受计算机病毒攻击、破坏的计算机信息系统提供数据恢复方案,保障计算机信息系统和网络的安全、有效运转。最后,要建立预警通报机制。需建立一种快速预警和通报机制,能够在最短的时间内发现并捕获病毒,及时向计算机用户警报,同时提供计算机病毒的防治方案,减少计算机病毒对计算机信息系统和网络的破坏。

4.3 做好计算机病毒防控的技术措施

必须控制传播途径的,建立和执行严格的数据软盘和外来软件的病毒检查制度,不要随便使用在别的机器上使用过的可擦写存储介质,如软盘、硬盘、可擦写光盘等;做好数据的安全保护。将操作系统单独存放于一个逻辑分区,数据、文件等存放在其他的逻辑分区,并做好系统和数据的备份,以便在受到病毒感染后及时恢复,降低损失。

选择并及时升级杀毒软件和病毒库。应选择技术手段先进、更新服务及时的企业版防毒软件系统,建立功能强大,具有防范监控管理与病毒查杀一体的防病毒系统。

启动实时监控功能,关闭不必要的端口,以提高系统的安全性和可靠性。在网络设备特别是在核心路由器上,尽量关闭不必要的TCP和UDP所对应的端口,从局域网的源头切断计算机病毒人侵的通道。同时,还要定时利用网络监控设备对计算机网络进行必要的网络数据流量监控,及时处理发现的问题,严格防范病毒在银行内部网络中的传播。加强对内部网络的资源管理,建立网络监测系统和防火墙系统,杜绝非法外联,扼制非法入侵,对于重要部门的计算机要尽量专机专用,并与外界做好物理隔绝。

对所有内网中的计算机实施监控管理和安全策略的统一分配。随着银行业务的不断发展,企业网络中的计算机数量在急剧增加。如何对这些计算机实施安全有效管理,不仅要靠管理制度,还需要先进的技术手段。这样,可以对所有节点的计算机进行安全策略的统一分配和软件的统一分发,还可以监控所有计算机各类软件的安装使用情况。

5 结语

面对如此严峻的局面,计算机病毒的防治已不仅仅是单纯的技术问题,在综合运用各种技术手段进行立体防毒的基础上,还应该在管理制度上进行有效部署,健全法制法规,严格操作规程,建立安全管理制度,区分不同身份用户的权限和职责,以保障网络金融安全。

参考文献:

[1] 王珊珊,孔韦韦,张捷.基于计算机变形病毒及其防治现状的探讨[J].计算机与数字工程,2007(8).

篇7

关键词:金融网络 风险管理 措施

一、我国金融网络安全面临的问题

(一)金融机构信息安全风险管理欠缺

历史上,由于金融机构多数采用纸质化工作,大部分主要安全问题都发生在实物数据资产的损失上,如票据、账簿、机密文件的保管不当造成的信息缺失,或因意外造成的营业场所灭失。进入21世纪以来,世界范围内的金融创新活动空前活跃,新的金融工具、金融产品及新兴技术的广泛应用,自动化、便捷化、电子化成为了主流,逐渐代替了以往的传统操作。当前,犯罪份子以金融机构的电子数据和网络为目标,不断的发起攻击来获取客户的重要信息,网络安全威胁已经成为银行业面临的最关键问题之一。

近年来,金融机构在搭建金融网络的同时,存在重建设、轻管理,重开发运行、轻安全维护的现象,应急预案的时效性和可操作性有待改进,应急演练的真实性有待加强。

(二)金融网络内信用缺失现象严重

由于信用体系发育程度低,社会“失信”问题较为严重,金融产品在生产和交易过程中更容易出现信息不对称和道德风险问题。信用风险不断在金融体系中积累,会伤害交易者的合法权益,引起交易者信心丧失,使得交易方式的发展举步维艰乃至倒退。同时,缺乏信用基础,会使得网上银行、手机银行、电子支付等交易方式在国内的生存与发展后劲不足,影响现代经济的正常运行。信用缺失不仅会阻碍网络经济的发展,更会阻碍我国经济全球化发展的进程。

(三)金融监管方面存在的问题

网络金融是一把“双刃剑”,一方面起到改变金融机构运营模式的作用,提高经济运行效率;另一方面也给金融机构与客户带来较多风险。在金融自由化、信用证券化、金融市场全球化的过程中,各种信用形式得以充分运用,网络金融面临的风险日益增加,金融网络风险的特殊性使得监管机构对金融网络安全的监管比传统金融更为重要。目前,我国的金融网络安全监管方式尚处于初始阶段,从监管手段到法律法规并不完善。传统的监管方式已不合时宜,金融监管当局应当不断更新监管标准,优化监管结构,以适应瞬息万变的金融市场,保障市场经济的科学、稳定发展。

在贯彻落实我国经济发展要求、提高金融网络安全可控能力的过程中,监管层面的技术创新能力及网络攻防能力应用有限,金融监管当局仍应该从需求导向出发,立足用户拉动的角度,推广使用安全可控的网络金融产品,降低对少数厂家、产品的依赖度,在促进信息产业发展、提高国家网络安全可控能力的基础上提高金融网络安全保障水平。

二、美国采取的应对网络安全威胁措施

2014年2月,美国白宫正式推出一项可自愿加入的“网络安全框架”项目,该项目吸纳了全球现有的安全标准以及做法,以帮助有关机构了解、交流以及处理网络安全风险。该文对我国加强金融网络安全管理极具借鉴意义。

(一)提升关键基础设施的网络安全

1、明确国家级别的网络安全标准

美国总统于2013年2月12日签署并了名为“改善关键基础设施网络安全”的行政命令,并授权国家标准与技术研究所(NIST)开发一套基于风险的网络安全框架,旨在作为一个国际级别的自愿标准和最佳业界实践参照,帮助各机构把控网络安全风险。NIST于一年后了《网络安全框架》,该框架包括了五个核心领域:识别、保护、检测、响应及恢复。

2、将网络安全纳入法律规范

上世纪末,美国《金融服务现代化法案》就已要求银行等各金融机构开发一个信息安全程序。如今,NIST开发的《网络安全框架》在银行现有的信息安全程序基础上,作出了进一步的修改和完善,以解决新兴网络风险,使得银行的信息安全程序更加适应当今网络化操作的趋势。

(二)建立新型的网络风险管理模式

要求银行管理层须将网络安全风险考虑纳入整体风险管理框架,设计和实施合适的缓冲控制,并更新各自的政策和程序,最终通过审计程序验证目标控制结构。一个有效的网络风险控制结构应重点考虑四个方面:公司治理、威胁预警、安全意识培训和补丁管理程序。

(三)发挥存款保险机构的监督管理作用

美国联邦存款保险公司通过对银行的现场检查、定期报告、预警报告等措施实时监控网络安全问题。同时,通过对监管政策的有效性、是否具有改进潜力、是否能够适应当下潮流进行评估,切实保护其监管银行免遭威胁。最后,实用工具,帮助银行提高网络风险应对能力。在2014年夏天,联邦存款保险公司举办了网络挑战测试,成员机构可以通过观看一系列视频,并结合模拟练习来评估其网络事件处置预案。

(四)加强网络安全警示培训

联邦存款保险公司于2015年创立了网络安全警示培训计划,通过电视电话培训和现场辅导的形式,对由其监管的成员机构及其联保存款保险公司监管人员和管理层进行培训。

三、维护我国金融网络安全的基本对策

随着金融服务网络化程度的提高及我国金融交流的国际化, 金融安全问题必然成为国家经济安全中的最重要的内容。而网络时代的信息金融安全对于像我国这样的发展中国家尤其重要。

(一)强化信息安全意识,制定完善行业标准

政府应将网络金融信息安全可能出现的威胁纳入重点防范框架,建立一个统一的分类,按用户类别制定金融信息安全国家级行业标准,指导各行各业学习行业标准,开展信息安全管理建设,规范网络金融参与者的行为。同时,要根据市场风向的更新,对相关监管制度进行不断地修改完善,使法律法规在时间层面和物理层面上能够充分衔接。

(二)加大信息安全投入,建立大数据解决方案

银行业要在控制风险的基础上,充分利用当下大数据云计算的优势,建立健全适合银行业信息安全系统的建设框架及信息安全管理规范,修正完善已有的安全规范措施,丰富整体信息安全保障体系,建立完善的云计算和数据防护设备及体系,提高国内网上银行的运营及发展能力。

(三)加强网络安全警示培训教育

一是根据不同的对象可能面临到的相关网络风险,进行分类化警示和引导;二是重点对新入职的员工开展职业培训,重点要完善业务的操作规程, 强化关键权限岗位管理培训以及内部制约机制;三是提升合作第三方及客户的风险意识,定期向客户和合作第三方宣传网络安全的重要性,结合案例、实操等方式帮助他们提高自我保护意识,抵御网络风险。

(四)将网络安全纳入银行整体风险管理框架

银行应该积极利用现有资源识别、减缓潜在相关网络风险,将网络安全作为董事会的关注重点,制定整体化的网络安全防范框架,明确各部门的网络安全防范职责,营造网络安全优先的企业文化,调动全体员工对网络安全维护的积极性。在建立这一网络安全防范框架时,必须将公司治理、威胁预警、安全意识培训和补丁管理程序四个方面考虑在内,同时也应将非正常情况下的应急计划和业务连续性计划纳入考虑,要求金融业务向综合化、 全能化转变。

篇8

关键词 商业银行网络安全;外部安全;内部防护;信息加密

中图分类号TP39 文献标识码 A 文章编号 1674-6708(2014)123-0222-02

1计算机网络概述及其面临的风险

网络技术的应用已经融入我们生活的各个方面,网络技术的使用,不仅使我们的生活更加便利,也让信息的传播更加便捷与迅速。计算机网络在银行各项业务中逐步应用,各大商业银行均把网络安全放在了信息化建设中的至关重要的位置上,网络安全已发展为构建银行信息网络发展过程中必须首先需要思考和解决的问题。[1]随着“棱镜门”事件的曝光国家也越来越重视网络安全的防护。

商业银行网络,鉴于其涉及内容的机密性,会变成外部黑客和内部非法权限攻击的靶子。保证银行的金融安全并且增强银行风险抵御水平已成为时下各大银行急需解决的难题。目前商业银行网络系统应对的主要风险和威胁包含下面几点。[1, 2]

1.1外部黑客的攻击

当前大多数黑客使用特洛伊木马、操作系统或应用程序的bug,甚至通过网络嗅探和中间方攻击这几个渠道来攻击网络和系统。然而,黑客能够利用的攻击方法绝对不止这些,其它的攻击方法一样能够给网络用户带来不良的结果。并且,银行信息系统的安全防御工作必须全面周到地斟酌,此类顾此失彼的安全防御方法不管做得多么稳定,黑客还是可能另有机会可寻。

1.2内部非法攻击

目前商业银行对防范外部攻击较为重视,控制也较为严格。但是相对于外部攻击的层层防护,银行内部的网络安全防护经常被人忽视,所以内部防护相对外部防护来说更显得薄弱。内部攻击由可以合法访问公司网络和系统的人员所执行的攻击。这些内部人员可能是对公司不满的员工、受到金钱诱惑从而使用各种攻击窃取信息的员工、临时为公司工作同时担当商业间谍的雇员或者是某个滥用网络特权的其它任何人。

1.3截获和篡改传输数据

目前绝大部分商业银行均通过租用运营商的点对点专线来组建自己的计算机网络。然而,银行内部局域网或专线上经常传输大量敏感的交易信息,极易被不法分子或网络黑客截获、分析甚至修改信息,造成信息泄露或使核心系统成为攻击对象。

2计算机网络系统安全解决的原则

商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式紧密相关,一个优秀的安全设计应当整合当前网络和业务特殊之处并全面考虑发展要求。商业银行的网络安全保护应选择分层次保护的优点,使用多级拓扑防护方式,设置不同级别的防御方法。访问控制是网络安全防护和防御的首要方式之一,其重要目标是保证网络资源不被非法访问。访问控制技术所包括内容相对广泛,其中有网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等多种手段。

结合某些商业银行的网络系统和部分商业银行的网络和业务规划,谈商业银行计算机网络安全解决的原则。[1, 3]

2.1 实行分级和分区防护的原则

商业银行的计算机网络绝大多数是分层次的,即总行中心、省级中心、网点终端,计算机网络安全防护对应实行分级防护的原则,实现对不同层次网络的分层防护。

防火墙也根据访问需求被分为不同的安全区域:内部核心的TRUST区域,外部不可信的Untrust区域,第三方受限访问的DMZ区域。

2.2 风险威胁与安全防护相适应原则

商业银行面对的是极其复杂的金融环境,要面临多种风险和威胁,然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究,制定与之匹配的安全解决方式。

2.3 系统性原则

商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一,系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二,要充分为综合性能、安全性和影响等考虑。第三,关注每个链路和节点的安全性,建立系统安防体系。

3计算机网络安全采取的措施

商业银行需要依据银监会的《银行业金融机构信息系统风险管理指引》,引进系统审计专家进行评估,结合计算机网络系统安全的解决原则,建立综合计算机网络防护措施。

3.1加强外部安全管理

网络管理人员需要认真思考各类外部进攻的形式,研究贴近实际情况的网络安全方法,防止黑客发起的攻击行为,特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统,组成多层次网络安全系统,确保金融网络安全。

入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位,当这些位置受到进攻时,可以马上检测和立即响应。构建入侵检测系统,可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻,可以实时监控、自动识别网络违规行为并马上自动响应,实现对网络上敏感数据的保护。[2]

3.2加强内部安全管理

内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合,构建多层次的内部网络安全体系。

基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时,客户端会先向接入交换机设备发送接入请求,并将相关身份认证信息发送给接入交换机,接入交换机将客户端身份认证信息转发给认证服务器,如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]

内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离,保证服务器区域不被非法访问。同时结合访问控制列表(ACL)方式,限制内部客户端允许访问的区域或应用,保证重要服务器或应用不被串访。

同时结合内部漏洞扫描技术,通过在内部网络搭建漏洞扫描服务器,通过对计算机网络设备进行相关安全扫描收集收集网络系统信息,查找安全隐患和可能被攻击者利用的漏洞,并针对发现的漏洞加以防范。

3.3加强链路安全管理

对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿,通过在线路两端设置加密机,通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件,采用加密算法对所发送的信息进行加密,把相应的敏感信息加密成密文,然后再在局域网或专线上传输,当这些信息一旦到达目的地,将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用,针对加密数据的破解也越来越猖獗,对数据加密算法的要求也越来越高,目前根据国家规定越来越多的商业银行开始使用国密算法。

3.4 建立商业银行网络安全审计评估体系

通过建立商业银行网络安全审计评估体系,保证计算机信息系统的正常运行。对商业银行的核心业务系统和计算机网络数据进行安全风险评估,发掘风险隐患,制订相关的措施。[5]

3.5 商业银行管理决策层对策

商业银行计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。商业银行计算机网络的安全管理,还包括完善相应的安全管理机构、不断完善和加强计算机的管理功能、加强立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高商业银行网络用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰。[6]

4 结论

商业银行的网络安全与社会的发展戚戚相关,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。商业银行计算机网络安全是一个综合性的课题,它涉及到管理、技术、使用等很多方面,因此,只有高素质的网络管理人才,严格的保措施、明晰的安全策略才可能防微杜渐,把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的商业银行网络系统。

参考文献

[1]仇坤.商业银行计算机网络安全管理探讨[M],2008.

[2]张峥.基于访问控制技术的银行网络安全研究及应用 [M].重庆大学3.%A刘玉强,2007.

[3]基于访问控制技术银行网络安全及应用[M].

[4]赵志强.商业银行信息安全保障体系的研究[D].天津大学,2008.

篇9

一、电子商务概述

近年来,我国电子商务发展不断取得突破,并具有广阔的发展前景。电子商务已经走向信息化和数字化的发展趋势,但发展速度和发展水平不均衡。电子商务集电子技术、商业知识和网络技术为一体,有助于企业获取丰厚的经济效益。具体来说,企业通过对科技产业和信息产业的利用,提升了服务质量,节约了经济成本,提高了企业工作效率,增强了市场竞争力。但从电子商务高速发展至今,亦浦现出许多内在问题。对于网络金融行业来说,在为人们带来便利的同时,也可能让不法分子有可趁之机,造成金融风险。相关部门需要相关人员采取必要的措施解决这一问题。

二、网络金融风险的种类分析

从业务技术角度划分网络金融风险,可以分为技术风险和业务风险。技术风险是网络信息技术造成的,业务风险是网络金融业务造成的。技术风险主要包括技术选择与支持风险,安全风险等类型。业务风险主要包括市场选择风险,操作风险,法律风险和信用风险等类型。对这些风险类型的分析有助于防范风险。以下具体分析网络金融风险的不同种类。

(一)网络信息技术风险分析

安全风险是网络信息技术的重要风险,造成网络金融安全风险的因素多样,主要包括磁盘列阵破坏,计算机病毒和网络外部数字攻击等。计算机是网络交易运行的重要载体,在计算机中存储着大量的交易资料。黑客会将互联网下的信息传递作为攻击的目标,他们充分利用网络漏洞进入主机进行非法操作,这使计算机的信息安全受到威胁。在网络发展的基础上,计算机病毒扩散速度更快,假如某个稈序感染了病毒,整个网络和机器也会受到病毒的侵袭,对计算机具有极强的破坏力,同时加剧了金融风险。

技术选择与支持风险也是重要的风险源。传统商业金融机构需要提供对网络金融业务的支持,需要制定科学的网络金融技术解决方案,但是金融技术方案在设计和操作方面存在不足,也会导致网络金融技术出现选择风险。同时,技术陈旧也会造成相应技术机会的丧失,因为网络技术需要依靠外部市场多样化的技术服务,在提高金融机构风险的同时,也形成了网络金融技术支持风险。

(二)网络金融业务风险分析

网络金融业务风险主要包括操作风险,市场选择风险,信誉风险和法律风险。操作风险主要包括来自网络银行客户的风险和网络银行安全系统的风险。网络银行安全系统的设计缺陷,操作失误都可能造成网络金融业务方面的风险。市场选择风险是在信息不对称的情况下产生的,网络银行出于劣势的选择地位,从而形成业务风险。信誉选择风险对于金融机构来说,会产生持续性的不利影响。如果出现信誉风险,公众对银行会失去信心,也会严重影响银行和客户之间的关系,银行也有可能会丧失大量的资金和客户。只要出现计算机系统问题,不管仟何原因都可能使其信誉大打折扣。法律风险涉及的内容较多,主要包括财务披露制度,权益保护法,知识产权保护法,隐私保护法和货币发行制度等。法律条文方面的漏洞都会导致金融机构面临法律方面的风险。对此应该制定相关法律制度进行规范。

三、网络金融风险的防范对策探析

以上主要分析网络金融风险的种类,相关部门要根据这些风险种类,有针对性的采取措施防范和监管这些金融风险,提高网络金融的安全性。以下主要探析网络金融风险的防范对策。

(一)开展有故的网络金融基础建设工作

相对于发达国家,我国信息技术还处于发展的初级阶段,我国的计算机软件引用的是国外较为落后的软件,这不利于我国网络金融风险防范工作的开展。为了更好的开展网络金融防范工作,需要加强信息技术方面的研究,大力发展具有我国本土化信息技术,建设完善的网络金融基础系统,不断强化计算机系统的关键技术,促使计算机增强安全防御功能,从根源上防范网络金融安全风险。

(二)加强对讨箅机安全管理办法的完善

我国金融系统需要建立完善的网络安全管理办法,网络金融的主体是传统金融机构,对金融风险要从根源上加强防范。具体来说,金融机构要从内部人手加强控制,在内部的科技力量方面要不断加强,制定的计算机安全管理办法要有较强的系统性。同时通过网络金融风险防范制度的建立,保证安全管理工机构更加健全,专业性更强。此外,可以请一些专业能力较强的人才,建立专业化的人才队伍,开展网络金融的防范工作,提高工作效率和工作质量。

(三)加强社会信用制度建设

社会信用制度建设,有助于对个人信用体系的健全。根据相关数据统计,我国企业逾期应收账款在贸易总额中占据的比例为5%。我国在个人信用体系方面比较欠缺。所以,在电子商务背景下,网络金融必须建设个人信用体系和信用制度,可以使网络金融由于虚拟性带来的风险大大降低。金融机构要和传统纸质结算联系起来,大力开发个人信用数据库,共享个人信用信息,形成完整的个人信用体系,方便个人网络杳询,信用咨询和信用等级测评等。个人信用体系,对传统金融业务和新兴网络金融来说,都可以降低风险,使金融业的发展更加规范化。

(四)建立健全相关法律法规体系

我国在防范金融风险方面,我国已经制定了相关法律法规,并在刑法中规定了计算机犯罪的各种罪名,但是现阶段的法律体系,相对于网络金融的发展具有滞后性。我们应该学习发达国家的相关经验,及时颁布法律法规保障电子交易的合法性。可以颁布《电子商务法》规范电子交易,明确电子凭证,明确银行和客户的责权,同时要加强金融行业的监管力度。

(五)建立现代化的金融体系制度

现阶段,我国网络金融业务存在一些漏洞,在金融电子化建设方面缺乏统一的规划。因此,在现代化金融体系制度建设过稈中,可以将网络金融风险防范的内容纳入其中。近些年,我国金融体系制度建设的成就较大。要加强网络金融风险的防范,就需要在现代金融体系中纳入网络金融风险防范的内容,使网络金融的发展有统一的技术标准和规划,长期开展网络金融风险防范工作。通过统一技术标准规范,统一管理网络金融系统,促使网络金融系统具有高度协调性,监测和预防各种风险。

(六)通过国际间的合作防范网络金融

风险网络金融风险具有蔓延性和扩张性的特点。因此,金融风险的防范是国际性的事务。现阶段,我国相对于发达国家信息技术水平不高,在网络金融风险的防范方面,缺乏专业性较强的人才队伍,因此我国需要以开放的心态与国际化接轨,和网络金融风险防范能力较强的国家合作,充分学习国外的先进技术和经验,使我国网络金融方面的软件问题和硬件问题得到解决。目前,全球已经成立了多个金融机构国际认证中心,对我国金融机构实现跨境电子银行业务的开展是非常有利的,可以大大提升网络金融防范工作效率和工作水平。

四、结束语

篇10

关键词:国库资金 风险 防范化解措施

中图分类号:F830.43文献标识码:A文章编号:1004-0900(2001)增-0035-03

国库资金是人民银行国库部门办理国家预算收入收纳、划分、报解、留成及支拨、退付的财政性资金,是人民银行的重要资金来源。经理国库是人民银行的一项重要职责,是发挥政府银行职能作用的“窗口”,是连接财政政策与货币政策的桥梁,其双重性使人民银行不仅在宏观上,而且在微观上都要防范与化解国库资金风险。

由于国库工作实行的是垂直领导,与财税、商业银行联系多,向上级国库报送的材料多,加上国库数据的保密性,与人行内部其他业务科室联系少,致使国库资金安全与整个金融安全联系不紧密。为此,国库工作人员应主动利用国库资金收、支、存数据,分析地方财政资金支出的支持方向及目标是否与银行信贷政策协调一致,以及信贷资金财政化的倾向和深度,将财税改革和金融改革与发展中的新情况和热点问题,与行里关注的热点问题相结合,把国库会计核算与国库监管纳入人民银行大监管体系,促进国库加强基础会计核算工作,加强国库资金监管,加强内控制度建设,加强国债管理,支持国库改革与发展,确保国库资金安全,为地方政府理财,为金融监管、共筑金融安全区发挥参谋作用。

一、加强国库基础会计核算工作,是确保国库资金安全的重中之重,是把国库资金风险化解在“事中”、临柜操作时的关键

1.严把“七个关口”,完成国家预算收支。在办理国家预算资金收入和支出时要把好“七个关口”。第一,预算收入凭证审核关或缴款书审核关,防级次、款项填错,防延压。缴款书是国库办理收纳预算收入唯一合法的原始凭证,也是各级财政部门、税务机关、国库、海关、银行以及缴款单位进行记账统计的重要基础资料,国库在清分核打缴款书时,要严格审查缴款书的填写是否规范,对内容不清楚,级次、款项有错的和有延压的,应登记台账后退回缴款单位或征收机关更正,对合规的缴款书及时入库、上解。第二,地方财政库款支拨关,防超预算、超计划、超库款金额拨款。国库在办理预算支出拨款时,要对支拨凭证的真实性、印鉴的一致性、要素的齐全性、拨款用途进行严格审查,对往非预算单位拨款要求提供正式文件或书面说明,杜绝汇总拨款。第三,预算收入退付关,防错退多退,防各级预算收入流失。第四,在审核退库凭证时,要从退库范围、程序、政策上把关,坚持“六不退”,即超退库审批权限的不退;退给非退库申请单位或申请个人的不退;口头通知或电话通知不退;超计划的不退;拒不提供有关文件、退库申请或不出具有关凭证的不退;收入退还书要素不符合规定的不退。第五,账务复核关,吸取账务“一手清”的教训,换人复核国库账务。第六,预算收支对账关,国库与财税部门对账、上下级国库对账、国库与会计“行库往来”对账、国库内部对账专人负责,并签章确认各自责任,防国库案件。第七,票据交换清算关,提防出错票,无理退票。

2.通过“四种检查”,解决国库工作中存在的问题,促进国库核算工作制度化、规范化,提高国库资金管理水平。第一,每年对辖区国库经收处、县支库的国库业务进行常规性辅导检查,看国库各项规章制度的执行落实情况及对国库资金收纳报解情况。第二,坚持国库业务重点检查与全面检查相结合,自查与抽查相结合,围绕国库会计工作中的重点、难点和薄弱环节,每隔两年组织一次,在全面自查的基础上,由中心支库抽查,对自查情况进行评价,加大奖惩力度,与年终目标考核挂钩,最终堵塞漏洞,化解各级国库资金风险。第三,对财政驻地监察办、审计署驻地方特派员检查出的反映在税务、征收部门的问题,国库要树立全局观念,严格按照国家财政管理体制划分的预算收支范围和权限,加强预算执行政策的监督,防范地方挤占中央、下级挤占上级预算财力和国库资金转移、流失,对存在的问题加大调研力度,分析存在的原因,提出改进建议。第四,通过内审科对国库业务的检查,逐步完善国库内控制度,促进国库会计执行与落实各项规章制度。

3.提高“两种统计分析”质量,密切国库资金与防范和化解金融风险的联系,建立“预警”式统计分析系统。“两种统计分析”,即国库预算收支月、季、年统计分析,预算收入退库季、年度分析。通过对预算收入月、季、年度分析,说明报告期国库资金收支的基本状况,预算执行的进度、收支同比变化的突出特点及主要收支项目变化原因,资金流量变化的规律的特点,银行给企业的贷款对国库资金存量及本地区 国民经济的影响,并重点结合本地区经济、金融运行中的热点、焦点问题进行深入分析,提出本地区执行财政政策与货币政策协调的建议;通过对预算收入退库季、年度统计报表的分析,说明退库计划执行情况,资金去向及退付金额占收入比重的适度性,重点分析对外贸企业出口退税的额度和进度对本辖区外贸企业经营和效益的影响,随时了解年度内退库工作中出现的问题,提出防范与化解国库资金风险的建议。

二、加强国库内控制度建设,将国库会计核算中的无意差错和有意舞弊的可能性降到最低,防范与化解国库资金风险

1.建立国库会计内部控制和风险防范责任制,主要是建立国库会计经办人员、国库会计主管、国库部门领导和国库主任四级内控目标管理责任。

2.建立国库会计核算岗位轮换、会计核算业务交接、会计凭证传递交接手续及国库拨款、退库等重要会计事项逐级审核等制度,确保国库会计核算业务的全过程得到全面控制和相互制约,控制程序和措施必须渗透到各个岗位和环节,岗位设置和职责分工的适当交叉或合并要坚持“五不得”,即记账、复核和事后监督岗位不得相互兼任,办理收入业务和支出业务的经办人员不得为同一人,记账人员不得参与对自身经办的国库会计业务的检查工作,系统维护人员不得参与计算机账务处理,非系统维护人不得参与计算机维护处理。

3.强化人员素质和行为准则,减少“道德风险”。在国库工作人员中,要采取多种方式进行金融、财税法规、国库业务知识和技能培训,并经常开展以爱岗敬业、遵纪守法为主要内容的职业道德教育,提高员工思想觉悟和法制观念,使每个岗位都清清楚楚地明白,什么能做,什么不能做,什么该干,什么不该干,形成讲大局,守规矩,明是非,求进取的良好氛围,树立正确的世界观、人生观、价值观,从思想上防微杜渐,减少“道德风险”。

4.加强计算机核算和安全管理。随着计算机在国库业务中的广泛应用,国库利用计算机处理日常财务、汇总报表、传输、接收国库数据,上划下拨财政资金,建立了国库资金分析网,并与财、税、银行横向联网,实现网上传输预算收入,资源信息共享,加强计算机核算和安全管理十分重要。国库要制定切实可行的计算机操作与管理办法,健全软件和硬件使用管理制度,上级国库下发的核算程序,下级国库不得擅自修改,使用计算机核算必须符合会计制度的要求,设置名细核算和综合核算两个账务系统,总分核对,相互制约,并坚持账务换人复核,操作人员以合法有效的会计凭证、报表为依据输入,不得将未经审核或签批的凭证上机处理。要用计算机通讯传输方式发送、接收数据要符合保密制度,并建立“通讯联网登记簿”,就发送、接受的日期、报单号码等要素进行登记,做好核算数据备份和资料保管工作,对操作人员按岗位级别设置代码,不得越级操作,操作人员的操作密码要定期或不定期更换,防止失密,以确保国库资金安全。