前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的金融行業(yè)網(wǎng)絡(luò)安全應(yīng)急預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:農(nóng)村信用社;網(wǎng)上銀行;風(fēng)險;對策
中圖分類號:F832.3 文獻(xiàn)標(biāo)識碼:A 文章編號:1001-828X(2012)05-0-01
隨著科技的不斷發(fā)展,網(wǎng)上銀行作為農(nóng)村信用社金融創(chuàng)新的業(yè)務(wù)產(chǎn)品,在農(nóng)村信用社拓寬服務(wù)領(lǐng)域、提高核心競爭力等方面發(fā)揮著積極作用,使客戶足不出戶就能享受到高效快捷的金融產(chǎn)品與服務(wù)。但網(wǎng)上銀行是一把“雙刃劍”,在電子交易支付業(yè)務(wù)法律體系還不健全,監(jiān)管制度也不是很完善的時期,所以我們需要全面凈化網(wǎng)上銀行的安全性,使得我們有一個安全、健康和快捷的交易平臺。
一、網(wǎng)上銀行的內(nèi)涵
網(wǎng)上銀行(Online Bank),又可稱網(wǎng)絡(luò)銀行(NetBank或Internet Bank),是指銀行借助客戶的個人電腦,通信終端或其他智能設(shè)備,通過因特網(wǎng)或其他公用信息網(wǎng)向客戶提供的銀行業(yè)務(wù)和有關(guān)金融服務(wù)。根據(jù)網(wǎng)上銀行的定義,我們可以歸納出網(wǎng)上銀行所具有的三個特征:(1)將客戶的個人電腦等智能設(shè)備作為網(wǎng)上銀行業(yè)務(wù)的操作前臺,具有自助的特征;(2)以因特網(wǎng)或其他公用信息網(wǎng)作為網(wǎng)上銀行業(yè)務(wù)信息交換載體,具有網(wǎng)絡(luò)化特征;(3)以銀行提供的金融服務(wù)為網(wǎng)上銀行的載體,具有傳統(tǒng)銀行業(yè)務(wù)特征。
二、農(nóng)村信用社網(wǎng)上銀行發(fā)展現(xiàn)狀
目前,以各大國有銀行為首的金融機(jī)構(gòu)已經(jīng)走在了網(wǎng)上銀行業(yè)務(wù)發(fā)展的前列,在客戶基礎(chǔ)、業(yè)務(wù)發(fā)展上已經(jīng)形成了一定的規(guī)模。相較之下,農(nóng)村信用社的網(wǎng)上銀行業(yè)務(wù)范圍局限,部分地區(qū)網(wǎng)上銀行發(fā)展緩慢滯后,而且全國大部分農(nóng)村信用社還沒有建立起網(wǎng)上銀行,特別是在網(wǎng)上支付類業(yè)務(wù)上仍然是空白,造成了大部分優(yōu)質(zhì)客戶的流失。在發(fā)展網(wǎng)上銀行的同時,“網(wǎng)絡(luò)釣魚”等各種網(wǎng)銀安全事件也時有發(fā)生,使得銀行和用戶都在享受網(wǎng)上銀行便捷服務(wù)的同時也感受到了網(wǎng)銀安全問題的困惑。
三、農(nóng)村信用社網(wǎng)上銀行的風(fēng)險分析
農(nóng)村信用社網(wǎng)上銀行的風(fēng)險是指因開辦網(wǎng)上銀行業(yè)務(wù),或在經(jīng)營過程中由于不確定因素的影響,可能給農(nóng)村信用社帶來聲譽(yù)和法律等方面的潛在風(fēng)險。網(wǎng)上銀行是在互聯(lián)網(wǎng)上的虛擬銀行柜臺,因此它不僅具有實(shí)體銀行的風(fēng)險。同時由于網(wǎng)上銀行具有開放性特征,還會存在技術(shù)風(fēng)險、操作風(fēng)險等新的風(fēng)險。
1.技術(shù)風(fēng)險。指在使用與計算機(jī)、網(wǎng)絡(luò)等信息技術(shù)相關(guān)的產(chǎn)品、服務(wù)、傳遞渠道或系統(tǒng)時所產(chǎn)生或引發(fā)的不確定性或?qū)︺y行管理不利的因素。2.操作風(fēng)險。指由于客戶或員工操作不當(dāng)及失誤而導(dǎo)致的業(yè)務(wù)損失和不確定性;由于不完善或有問題的內(nèi)部程序、人員、系統(tǒng)、外部事件而造成損失的可能性。3.聲譽(yù)風(fēng)險。指因負(fù)面公眾輿論和媒體言論而導(dǎo)致農(nóng)村信用社資金或客戶嚴(yán)重流失的可能性。4.法律風(fēng)險。指由于違反或不遵守法律、法規(guī)及約定的慣例,或者沒有完善地界定有關(guān)交易各方在法律上的權(quán)利和義務(wù),從而產(chǎn)生和引發(fā)的對銀行管理的不利因素。
四、網(wǎng)上銀行的風(fēng)險防范對策
1.建立完善的內(nèi)部管理機(jī)制。農(nóng)村信用社應(yīng)加強(qiáng)內(nèi)部管理,保證網(wǎng)上銀行業(yè)務(wù)的安全。首先健全業(yè)務(wù)管理制度體系。其次加強(qiáng)員工安全教育。再次建立內(nèi)控風(fēng)險管控的長效機(jī)制。
2.提高客戶的風(fēng)險防范意識。農(nóng)村信用社應(yīng)通過多種方式和渠道加強(qiáng)對客戶的宣傳、引導(dǎo)、教育,促使客戶提高風(fēng)險防范意識,增強(qiáng)風(fēng)險防范能力。首先指導(dǎo)客戶正確使用網(wǎng)上銀行產(chǎn)品。其次加強(qiáng)對客戶進(jìn)行網(wǎng)銀業(yè)務(wù)安全教育。再次提高客戶風(fēng)險防范能力。
3.完善技術(shù)風(fēng)險防范措施。農(nóng)村信用社應(yīng)構(gòu)建切實(shí)有效的安全保障體系,防范網(wǎng)上銀行的技術(shù)風(fēng)險。首先全面加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的日常管理,建立網(wǎng)絡(luò)安全防護(hù)體系,通過各種各樣的安全防護(hù)方式杜絕各種存在或潛在的安全威脅,全面避免安全風(fēng)險。其次加強(qiáng)網(wǎng)加密技術(shù),利用網(wǎng)絡(luò)加密技術(shù)對于重要的信息進(jìn)行加密處理,有效地防止數(shù)據(jù)包被截后失密、網(wǎng)絡(luò)監(jiān)聽竊密等網(wǎng)絡(luò)黑客犯罪,保障網(wǎng)上銀行與客戶之間信息交流的安全,保證客戶信息的私密性,以及銀行資金的安全性。再次發(fā)展數(shù)據(jù)庫技術(shù),建立大型網(wǎng)上銀行數(shù)據(jù)庫,依靠數(shù)據(jù)庫技術(shù)儲存、管理和分析處理數(shù)據(jù),防范網(wǎng)上銀行的安全風(fēng)險。
4.構(gòu)建有效的風(fēng)險防控體系。農(nóng)村信用社應(yīng)建立完善的網(wǎng)上銀行風(fēng)險事件的應(yīng)急預(yù)案和處置機(jī)制,提高防控風(fēng)險的能力。首先在網(wǎng)上銀行系統(tǒng)統(tǒng)一的應(yīng)急預(yù)案框架下,制訂針對不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案至少包括各類事件場景下應(yīng)急預(yù)案、啟動條件、應(yīng)急處理流程等,同時每年定期對網(wǎng)上銀行系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)。其次健全完善重大突發(fā)事件報告制度,將網(wǎng)上銀行業(yè)務(wù)經(jīng)營過程中發(fā)生的重大泄密、客戶資金被盜、黑客入侵等事件列入重大事項(xiàng)報告的范圍。根據(jù)風(fēng)險事件造成的影響和損失程度,確定風(fēng)險事件的等級,明確應(yīng)急事件的處理部門、責(zé)任人以及處理流程,確保風(fēng)險事件第一時間被發(fā)現(xiàn),及時啟動應(yīng)急預(yù)案,盡量減少風(fēng)險損失,最大限度降低農(nóng)村信用社聲譽(yù)風(fēng)險。
5.加大內(nèi)控檢查和審計力度。農(nóng)村信用社應(yīng)制定相應(yīng)的網(wǎng)上銀行內(nèi)控檢查和審計方案,查找內(nèi)控薄弱環(huán)節(jié),督促落實(shí)整改。首先定期開展現(xiàn)場。針對網(wǎng)上銀行業(yè)務(wù)的安全要求和特性,對業(yè)務(wù)操作環(huán)節(jié)和制度辦法的落實(shí)情況定期進(jìn)行現(xiàn)場檢查。其次不定期開展非現(xiàn)場檢查。 采用人工調(diào)閱咨詢以及利用網(wǎng)上銀行內(nèi)管系統(tǒng)遠(yuǎn)程查詢等方式,對網(wǎng)上銀行業(yè)務(wù)發(fā)展規(guī)模和應(yīng)用系統(tǒng)的安全程度進(jìn)行非現(xiàn)場檢查。再次可根據(jù)業(yè)務(wù)實(shí)際適時對網(wǎng)上銀行的風(fēng)險點(diǎn)及系統(tǒng)控制的適當(dāng)性和有效性進(jìn)行審計,同時提高系統(tǒng)開發(fā)時內(nèi)部審計部門的參與度。
五、總結(jié)
網(wǎng)上銀行雖然快捷方便,但是面對網(wǎng)上銀行所存在的一些風(fēng)險,我們還是需要存在一定清醒的認(rèn)識,要以謹(jǐn)慎的態(tài)度去對待網(wǎng)絡(luò)交易,采取在發(fā)展中規(guī)范和規(guī)范中發(fā)展的策略,全面督促網(wǎng)絡(luò)平臺的安全健康,使網(wǎng)上銀行是銀行增強(qiáng)市場競爭力的砝碼的優(yōu)勢體現(xiàn)出來。
參考文獻(xiàn):
[1]成克惠.網(wǎng)絡(luò)銀行安全防范策略[J].河北金融,2007(06).
[2]曹萬卿.網(wǎng)上銀行發(fā)展的現(xiàn)狀與對策分析[J].大陸橋視野,2009(01).
論文摘要:證券行業(yè)作為金融服務(wù)業(yè),是一個高度依賴信息技術(shù)的行業(yè)。信息安全是維護(hù)資本市場穩(wěn)定的前提和基礎(chǔ),沒有信息安全就沒有資本市場的穩(wěn)定。介紹了維護(hù)好證券行業(yè)信息安全的重要意義,分析了行業(yè)信息安全現(xiàn)狀以及存在的問題,并提出了相應(yīng)的對策。
近年來,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴(kuò)大,社會影響力不斷增強(qiáng).成為國民經(jīng)濟(jì)巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護(hù)資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發(fā)展,改革創(chuàng)新深入推進(jìn),市場交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場交易實(shí)時性和整體性強(qiáng),交易時問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護(hù)交易正常,對于資本市場來說至關(guān)重要。
1 證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場的平穩(wěn)運(yùn)行,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護(hù)通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng),部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。
1.3 it治理方面
整個證券業(yè)處于高度信息化的背景下,it治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的it治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力,規(guī)避it風(fēng)險。通過建立it治理機(jī)制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強(qiáng)對信息化項(xiàng)目的有效管理,保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題:一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數(shù)指標(biāo);是lt治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機(jī)威脅事件,都時刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機(jī)構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護(hù)能力有待加強(qiáng);四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn);五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。
1.5 it人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)it隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計,2008年初,在整個證券行業(yè)中,103家證券公司共有it人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達(dá)到了行業(yè)協(xié)會的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的it隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任,it隊(duì)伍建設(shè)是行業(yè)信息安全it作的根本保障。但是,it人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強(qiáng)。
2 采取的對策和措施
2.1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實(shí)施上.要堅(jiān)持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實(shí)。
2.2深入開展證券行業(yè)it治理工作
2.2.1提高it治理意識
中國證券業(yè)協(xié)會要進(jìn)一步加強(qiáng)it治理理念的教育宣傳工作,特別是對會員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn),將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的it治理意識,提高他們it治理的積極性。
2.2.2通過設(shè)立it治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)
根據(jù)it治理模型的不同特點(diǎn),建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以cobit模型、itfl模型等其他模型為補(bǔ)充,規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時,證監(jiān)會指定一批證券公司和基金公司作為lt試點(diǎn)單位,進(jìn)行it治理模型選擇、剪裁以及組合的實(shí)踐探索,形成一批成功實(shí)施it治理的優(yōu)秀范例,以點(diǎn)帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級保護(hù)
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護(hù)工作中的作用非常關(guān)鍵.應(yīng)進(jìn)一步明確監(jiān)管部門推動行業(yè)信息安全等級保護(hù)工作的任務(wù)和工作機(jī)制,統(tǒng)一部署、組織行業(yè)的等級保護(hù)丁作,為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護(hù)的行業(yè)要求,對照標(biāo)準(zhǔn)逐條落實(shí)。同時,應(yīng)對各單位實(shí)施信息系統(tǒng)安全等級保護(hù)情況進(jìn)行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施.且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。
2.4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平
2.4.1以等級保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃
等級保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力
對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強(qiáng)管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測試,進(jìn)行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險;在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式,加強(qiáng)訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強(qiáng)網(wǎng)站保護(hù),提高對惡意代碼的防護(hù)能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進(jìn)行安全意識考核,從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗(yàn)的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強(qiáng)應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機(jī)結(jié)合。
2.6抓好人才隊(duì)伍建設(shè)
證券行業(yè)要采取切實(shí)可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強(qiáng)lt人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機(jī)構(gòu)應(yīng)采取采取請進(jìn)來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系,對信息技術(shù)人員進(jìn)行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。
關(guān)鍵詞:金融服務(wù);外匯管理;網(wǎng)絡(luò)安全
中圖分類號:F830.92 文獻(xiàn)標(biāo)識碼:B 文章編號:1674-0017-2016(12)-0098-03
一、引言
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。
近年來,利用網(wǎng)絡(luò)漏洞實(shí)施網(wǎng)絡(luò)攻擊,造成金融信息泄漏、金融服務(wù)中斷的事件屢見不鮮。2015年我國金融行業(yè)遭受網(wǎng)站仿冒頁面10.62萬余個,占總量的59%,發(fā)生數(shù)據(jù)外泄事件33起,被盜數(shù)據(jù)77605972項(xiàng),遭遇1Gbit/s以上的DDos(分布式拒絕服務(wù))攻擊近38萬次,金融領(lǐng)域已成為網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)。
基層外匯局承擔(dān)著轄區(qū)外匯管理改革和相關(guān)外匯服務(wù)的職能,信息化應(yīng)用和網(wǎng)絡(luò)規(guī)劃較早,現(xiàn)所有業(yè)務(wù)受理、數(shù)據(jù)監(jiān)測統(tǒng)計都依托系統(tǒng)和網(wǎng)絡(luò)開展。近年來,系統(tǒng)經(jīng)過了多次升級完善,但網(wǎng)絡(luò)未進(jìn)行較大改進(jìn),已經(jīng)無法滿足新時期網(wǎng)絡(luò)安全的要求,急需采取措施防范風(fēng)險。本文通過分析當(dāng)前基層骨干網(wǎng)絡(luò)存在的安全問題,研究安全網(wǎng)絡(luò)應(yīng)具有的特性,提出安全防控的建議,旨在建立安全可信的網(wǎng)絡(luò)環(huán)境,確保基礎(chǔ)網(wǎng)絡(luò)和關(guān)鍵信息系y的安全運(yùn)行。考慮到網(wǎng)絡(luò)自有信息的敏感性,本文對網(wǎng)絡(luò)產(chǎn)品型號、參數(shù)配置等信息進(jìn)行了屏蔽。
二、基層骨干網(wǎng)絡(luò)基本情況
(一)基層骨干網(wǎng)絡(luò)的定義及作用。基層骨干網(wǎng)絡(luò)是指國家外匯管理局(以下簡稱“總局”)和各省分局之間,通過租用運(yùn)營商線路,形成的獨(dú)立的、專用的網(wǎng)絡(luò)。區(qū)別于公共互聯(lián)網(wǎng)以及人民銀行分行到總行、分行到中心支行的網(wǎng)絡(luò),專門承載外匯局各業(yè)務(wù)系統(tǒng)和內(nèi)部門戶的基礎(chǔ)支撐網(wǎng)絡(luò)。骨干網(wǎng)絡(luò)涵蓋終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備和運(yùn)營商線路等硬件,各類操作系統(tǒng)、數(shù)據(jù)庫、中間件、安全防護(hù)等軟件,獨(dú)立IP地址、權(quán)限管理和運(yùn)維應(yīng)急手冊等相關(guān)制度。
(二)基層骨干網(wǎng)絡(luò)的歷史和現(xiàn)狀。20世紀(jì)90年代我國互聯(lián)網(wǎng)應(yīng)用初期,分局與總局之間采用撥號上網(wǎng)的方式互聯(lián),2000年分局申請了與總局的幀中繼專線。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和外匯局信息化要求的提高,2003年底,為了實(shí)現(xiàn)骨干網(wǎng)全網(wǎng)提速,支持新興的網(wǎng)絡(luò)應(yīng)用,全面提高網(wǎng)絡(luò)可用性、穩(wěn)定性和可靠性,在總局的統(tǒng)一部署下,對分局骨干網(wǎng)絡(luò)進(jìn)行了擴(kuò)容改造。改造后的骨干網(wǎng)繼續(xù)采用原有的星型拓?fù)浣Y(jié)構(gòu),分局增加了1臺路由器,通過租用電信運(yùn)營商2條專用鏈路,與總局核心路由器直連。制定了分局IP地址管理規(guī)范,和總局上聯(lián)的路由設(shè)備及分局服務(wù)器使用外匯局網(wǎng)段的IP地址,PC終端部分保留外匯局的IP地址,作為人民銀行的一個虛擬網(wǎng)絡(luò)管理,其余終端使用人民銀行的局域網(wǎng)絡(luò)和網(wǎng)段的IP地址,并通過地址映射訪問分局服務(wù)器和總局網(wǎng)絡(luò)。外匯局基層骨干網(wǎng)絡(luò)雛形基本形成。
2008年為進(jìn)一步優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),總局為分局骨干網(wǎng)絡(luò)新增了2臺交換機(jī)和1臺路由器。將原來與總局連接的2條捆綁2M鏈路拆分,將其中1條連接到新增的路由器上,重新部署動態(tài)路由協(xié)議,使得拆分后的2條鏈路實(shí)現(xiàn)熱備和負(fù)載均衡。2臺新增交換機(jī)通過堆疊方式互聯(lián),并分別與原有的及新增的路由器連接,另一邊連接分局內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)方面,分局與轄內(nèi)中心支局使用人民銀行廣域網(wǎng)連接,與轄內(nèi)商業(yè)銀行使用人民銀行金融城域網(wǎng)實(shí)現(xiàn)互聯(lián)。至此基層骨干網(wǎng)絡(luò)構(gòu)建完成,一直沿用至今。
三、基層骨干網(wǎng)絡(luò)安全特性研究
(一)總體來說,安全的網(wǎng)絡(luò)要遵循以下幾個原則。1.平衡分析原則。絕對安全的網(wǎng)絡(luò)是不存在的,也沒有存在的必要。在設(shè)計網(wǎng)絡(luò)時,要綜合考慮需求、風(fēng)險和實(shí)現(xiàn)代價這三方面的因素,平衡三者之間的關(guān)系,確定最優(yōu)的方案。
2.網(wǎng)絡(luò)安全原則。網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括安全防護(hù)、安全監(jiān)測和安全恢復(fù)三個方面,能對各類安全威脅進(jìn)行及時防護(hù),第一時間發(fā)現(xiàn)并阻止對系統(tǒng)造成的攻擊和在安全措施失效時及時進(jìn)行應(yīng)急處置和內(nèi)容恢復(fù),減少帶來的損失。
3.高可用性原則。網(wǎng)絡(luò)是基礎(chǔ)環(huán)境,通過其上運(yùn)行的各類系統(tǒng)和應(yīng)用實(shí)現(xiàn)價值。因此網(wǎng)絡(luò)要滿足應(yīng)用提出的穩(wěn)定性、可靠性和方便性等要求。
4.可發(fā)展性原則。整體規(guī)劃設(shè)計要綜合考慮網(wǎng)絡(luò)規(guī)模的升級改造,網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化調(diào)整,要求網(wǎng)絡(luò)能適應(yīng)規(guī)模及安全需求在一定時間和范圍的變化,具有可發(fā)展性,容易進(jìn)行調(diào)整和升級改造。
安全的基層骨干網(wǎng)絡(luò)應(yīng)通過應(yīng)用當(dāng)前最新的網(wǎng)絡(luò)技術(shù)和產(chǎn)品,設(shè)計合理的網(wǎng)絡(luò)結(jié)構(gòu),滿足當(dāng)前外匯業(yè)務(wù)系統(tǒng)需求并預(yù)留足夠的可擴(kuò)展性,在兼顧方便高效的同時,符合網(wǎng)絡(luò)信息安全的要求。
安全的基層骨干網(wǎng)絡(luò)要具備以下特性。
1.網(wǎng)絡(luò)結(jié)構(gòu)合理,功能區(qū)域明確,網(wǎng)間邊界清晰。
2.采用必要的線路和設(shè)備冗余,避免單點(diǎn)故障,提高整體網(wǎng)絡(luò)的可用性。
3.對網(wǎng)絡(luò)中的IP地址進(jìn)行合理規(guī)劃,采用訪問控制和身份認(rèn)證等手段,防止未經(jīng)授權(quán)的用戶和終端接入內(nèi)部網(wǎng)絡(luò)。
4.構(gòu)建運(yùn)行維護(hù)及應(yīng)急響應(yīng)等管理機(jī)制。
四、基層骨干網(wǎng)絡(luò)安全防控建議
(一)按功能分區(qū)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。為了確保合理的網(wǎng)絡(luò)結(jié)構(gòu),骨干網(wǎng)絡(luò)應(yīng)按照功能劃分為三個區(qū)域。骨干網(wǎng)絡(luò)上聯(lián)區(qū)域(以下簡稱“上聯(lián)區(qū)域”)、分局局域網(wǎng)服務(wù)器區(qū)域(以下簡稱“服務(wù)器區(qū)域”)和分局局域網(wǎng)終端區(qū)域(以下簡稱“終端區(qū)域”)。所有區(qū)域采用設(shè)備冗余和鏈路冗余的方法,防止發(fā)生單點(diǎn)故障。最外層部署核心路由器,一端通過運(yùn)營商線路和總局網(wǎng)絡(luò)相連,另一端通過防火墻和里層核心交換機(jī)相連接,核心交換機(jī)的另一端分別與分局局域網(wǎng)中的服務(wù)器區(qū)域和終端區(qū)域相連。
(二)拆分鏈路,調(diào)整與總局互聯(lián)方式。總局兩地三中心廣域網(wǎng)的主體結(jié)構(gòu),采用光傳輸線路,分別是生產(chǎn)中心與同城備份中心基于裸光纖的鏈路、生產(chǎn)中心與災(zāi)備中心基于SDH的鏈路、災(zāi)備中心與同城備份中心基于SDH的鏈路,形成底層數(shù)據(jù)的光傳輸環(huán)狀主干網(wǎng)絡(luò)。
基層骨干網(wǎng)絡(luò)與總局的互聯(lián)方式需要調(diào)整,首先由原來租用單一線路運(yùn)營商的2條SDH專用鏈路改為租用兩家線路運(yùn)營商各1條SDH專用鏈路,提高線路可用性。其次調(diào)整互聯(lián)目的地,原來2條線路均接入生產(chǎn)中心,新的骨干網(wǎng)絡(luò)1條線路接入生產(chǎn)中心,另1條線路連接災(zāi)備中心,兩條鏈路互為備份。當(dāng)連接生產(chǎn)中心的線路出現(xiàn)故障時,分局網(wǎng)絡(luò)通過連接災(zāi)備中心的線路,經(jīng)過總局環(huán)狀廣域網(wǎng)與生產(chǎn)中心連通。該調(diào)整,既保證了與生產(chǎn)中心的鏈路冗余,又實(shí)現(xiàn)了與災(zāi)備中心的互聯(lián),在滿足安全要求的同時,節(jié)約了成本。
(三)從管理和技術(shù)入手,構(gòu)建網(wǎng)絡(luò)安全。安全的網(wǎng)絡(luò)要擁有合理的網(wǎng)絡(luò)結(jié)構(gòu),有效的安全防護(hù)策略和完備的日常管理。基層骨干網(wǎng)絡(luò)主要從結(jié)構(gòu)優(yōu)化、身份認(rèn)證、訪問控制、杜絕單點(diǎn)故障、安全產(chǎn)品選擇和運(yùn)維保障等方面構(gòu)建安全的網(wǎng)絡(luò)。
結(jié)構(gòu)優(yōu)化:基層骨干網(wǎng)絡(luò)按照功能進(jìn)行分區(qū),與人民銀行內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)分離,分局終端統(tǒng)一部署在人民銀行網(wǎng)段,網(wǎng)絡(luò)結(jié)構(gòu)清晰明確,便于安全防護(hù)。
身份認(rèn)證:采用固定IP地址對接入網(wǎng)絡(luò)中的終端進(jìn)行身份標(biāo)識,通過MAC物理地址綁定的功能實(shí)現(xiàn)身份認(rèn)證,當(dāng)終端發(fā)起上網(wǎng)請求時,首先判斷其IP地址和MAC物理地址是否匹配,匹配的情況下,終端才被容許接入網(wǎng)絡(luò)。同時,關(guān)閉交換機(jī)中不使用的端口,防止其它非法計算機(jī)和用戶接入網(wǎng)絡(luò)。
訪問控制:對網(wǎng)絡(luò)中的IP地址進(jìn)行分組,根據(jù)訪問需要,制定組與組之間的訪問策略,容許滿足條件的訪問,防止條件外的非法訪問,禁止各分局之間的直接訪問。同時關(guān)閉網(wǎng)絡(luò)設(shè)備的PING、TELNET、FTP、SNMP等高危服務(wù),嚴(yán)禁協(xié)議數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)以外的數(shù)據(jù)在網(wǎng)絡(luò)中傳遞。
杜絕單點(diǎn)故障:基層骨干網(wǎng)絡(luò)應(yīng)采取雙機(jī)熱備模式,即網(wǎng)絡(luò)中配置雙路由器、雙通信鏈路、多交換機(jī)和雙防火墻。每個節(jié)點(diǎn)由原來單一的設(shè)備改造為兩臺同型號設(shè)備,分別定位為主備設(shè)備,主備設(shè)備間要實(shí)現(xiàn)互聯(lián),主設(shè)備發(fā)生故障時,備設(shè)備要在規(guī)定時間內(nèi)接管主設(shè)備的任務(wù),提供不間斷的網(wǎng)絡(luò)服務(wù)。
安全產(chǎn)品選擇:基層骨干網(wǎng)絡(luò)在關(guān)鍵設(shè)備上均應(yīng)采用我國自主研發(fā)產(chǎn)品取代現(xiàn)有的國外設(shè)備。
運(yùn)維保障:構(gòu)建運(yùn)維保障長效機(jī)制,從管理的角度實(shí)現(xiàn)網(wǎng)絡(luò)安全。編制《分局信息安全管理辦法》、《系統(tǒng)運(yùn)行維護(hù)制度》、《應(yīng)急預(yù)案》、《網(wǎng)絡(luò)設(shè)備用戶手冊》等文檔。內(nèi)容涵蓋網(wǎng)絡(luò)日常巡檢、安全風(fēng)險評估和應(yīng)急響應(yīng)等,具有詳細(xì)的操作流程和實(shí)施步驟,并在日常工作中嚴(yán)格執(zhí)行。
參考文獻(xiàn)
[1]李偉.網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程[M].北京:清華大學(xué)出版社,2005。
[2]朱萍.計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].科技資訊.2016,(2):29-30。
[3]王世偉,曹磊,羅天雨.再論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全.中國圖書館學(xué)報,2016,(4):4-28。
[4]楊晨.信息時代下計算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(1):108-109。
[5]宋欣蔚.計算機(jī)網(wǎng)絡(luò)可靠性研究[J].信息與電腦:理論版,2016,(6):158-159。
The Study on the Backbone Network of SAFE Branches
Based on the Perspective of Security
WANG Mengyang
(Xi’an Branch PBC,Xi’an Shaanxi 710075)
隨著全球信息化程度的加深,CDN已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務(wù)的重要系統(tǒng)之一,一方面由于CDN位于內(nèi)容源站和終端用戶之間的特殊物理位置,能夠抵御一部分對源站的安全攻擊,從而提高源站的安全性;另外一方面,隨著CDN越來越多地服務(wù)于重要國家部門、金融機(jī)構(gòu)、網(wǎng)絡(luò)媒體、商業(yè)大型網(wǎng)站,并經(jīng)常承擔(dān)奧運(yùn)會、國慶等重大活動,保障CDN自身的安全性、確保源站信息內(nèi)容安全準(zhǔn)確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)被篡改等安全問題,可能對用戶使用互聯(lián)網(wǎng)服務(wù)造成大范圍嚴(yán)重影響,甚至可能影響社會穩(wěn)定。
標(biāo)準(zhǔn)工作開展背景
一直以來,國際國內(nèi)缺乏專門的標(biāo)準(zhǔn)明確CDN應(yīng)滿足的安全要求,今年《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》在中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA:ChinaCommunications StandardsAssociation)立項(xiàng),“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”討論了征求意見稿,相信CDN安全的標(biāo)準(zhǔn)化工作,能對促進(jìn)CDN服務(wù)商規(guī)范安全地提供服務(wù),從整體上提高CDN行業(yè)的安全防護(hù)水平提供指導(dǎo)。
美英等國家從20世紀(jì)70年代就開始研究等級保護(hù)、風(fēng)險評估的相關(guān)內(nèi)容,制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標(biāo)準(zhǔn)。隨著通信網(wǎng)絡(luò)在國家政治、經(jīng)濟(jì)和社會發(fā)展過程中的基礎(chǔ)性和全局性作用與日俱增,這些發(fā)達(dá)國家越來越重視通信網(wǎng)絡(luò)安全,并上升到國家安全高度。我國也越來越重視網(wǎng)絡(luò)與信息安全保障,相繼了中辦【2003】27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)【2006】11號《2006―2020年國家信息化發(fā)展戰(zhàn)略》等文件指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障體系建設(shè)。
近五年通信網(wǎng)絡(luò)安全防護(hù)工作取得很大成效,指導(dǎo)通信網(wǎng)絡(luò)從業(yè)務(wù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備安全、物理環(huán)境安全、管理安全等各方面加固,提高了通信網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性、基礎(chǔ)電信運(yùn)營企業(yè)安全管理的規(guī)范性,也促進(jìn)了通信行業(yè)安全服務(wù)產(chǎn)業(yè)的快速發(fā)展。
隨著通信網(wǎng)絡(luò)安全防護(hù)工作逐步深入規(guī)范開展,2011年工業(yè)和信息化部組織開展了增值運(yùn)營企業(yè)的安全防護(hù)試點(diǎn),率先對新浪、騰訊、百度、阿里巴巴、萬網(wǎng)、空中信使運(yùn)營管理的網(wǎng)絡(luò)單元進(jìn)行定級備案、安全符合性評測和風(fēng)險評估。
2011年,“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”組織研究起草《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》等8項(xiàng)安全防護(hù)標(biāo)準(zhǔn),工業(yè)和信息化部電信研究院、藍(lán)汛、網(wǎng)宿、清華大學(xué)、中國移動、中國電信、華為、中國互聯(lián)網(wǎng)協(xié)會等單位研究人員參與了標(biāo)準(zhǔn)的起草,目前這兩項(xiàng)標(biāo)準(zhǔn)的征求意見稿已經(jīng)在CCSA討論通過。
根據(jù)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》,按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟(jì)運(yùn)行、社會秩序、公眾利益的危害程度,由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》明確了一級至五級CDN系統(tǒng)應(yīng)該滿足的安全等級保護(hù)要求,級別越高,CDN需滿足的安全要求越多或越嚴(yán)格?!痘ヂ?lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》明確了對CDN進(jìn)行安全符合性評測的方法、內(nèi)容、評價原則等,有助于深入檢查企業(yè)是否落實(shí)了安全防護(hù)要求。
CDN安全防護(hù)內(nèi)容
CDN位于內(nèi)容源站與終端用戶之間,主要通過內(nèi)容的分布式存儲和就近服務(wù)提高內(nèi)容分發(fā)的效率,改善互聯(lián)網(wǎng)絡(luò)的擁塞狀況,進(jìn)而提升服務(wù)質(zhì)量。通常CDN內(nèi)部由請求路由系統(tǒng)、邊緣服務(wù)器、運(yùn)營管理系統(tǒng)、監(jiān)控系統(tǒng)組成,CDN外部與內(nèi)容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng),與承載網(wǎng)松耦合。
CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務(wù)應(yīng)用提供內(nèi)容分發(fā)服務(wù),以顯著提高互聯(lián)網(wǎng)用戶的訪問速度,所以保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全和CDN業(yè)務(wù)系統(tǒng)安全至關(guān)重要,保障CDN的基礎(chǔ)設(shè)施安全、管理安全,有效實(shí)施災(zāi)難備份及恢復(fù)等也是CDN安全防護(hù)應(yīng)該考慮的重要內(nèi)容。因此CDN的安全防護(hù)可從數(shù)據(jù)內(nèi)容安全、業(yè)務(wù)系統(tǒng)安全、基礎(chǔ)設(shè)施安全、管理安全、災(zāi)難備份及恢復(fù)幾方面考慮。
(1)CDN數(shù)據(jù)內(nèi)容安全
為保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全,需要確保CDN與源站數(shù)據(jù)內(nèi)容一致,并進(jìn)行版權(quán)保護(hù),記錄管理員的操作維護(hù)并定期審計,一旦發(fā)現(xiàn)不良信息能夠及時清除,同時提供防御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊并對源站進(jìn)行保護(hù)的能力。
數(shù)據(jù)一致性:CDN企業(yè)提供對內(nèi)容污染的防御能力,識別和丟棄污染的內(nèi)容,保障重要數(shù)據(jù)內(nèi)容的一致性和完整性;保證CDN平臺內(nèi)部傳輸數(shù)據(jù)的一致性;防止分發(fā)的內(nèi)容被非法引用(即防盜鏈)。
版權(quán)保護(hù):按照源站要求提供內(nèi)容鑒權(quán)、用戶鑒權(quán)、IP地址鑒權(quán)、終端鑒別以及組合鑒權(quán)等方式對源站內(nèi)容進(jìn)行版權(quán)保護(hù)。
安全審計:記錄管理員(含源站管理員和CDN系統(tǒng)內(nèi)部管理員)對CDN系統(tǒng)的管理操作,留存日志記錄并定期審計。
不良信息清除:一旦發(fā)現(xiàn)CDN系統(tǒng)內(nèi)部含不良信息,應(yīng)在內(nèi)容源站或主管部門要求時間內(nèi),完成全網(wǎng)服務(wù)器屏蔽或清除不良信息。
防攻擊和源站保護(hù):引入CDN后不應(yīng)降低內(nèi)容源站的安全水平,同時CDN在一定程度上提供對內(nèi)容源站的抗攻擊保護(hù)。
(2)CDN業(yè)務(wù)系統(tǒng)安全
為保障CDN的業(yè)務(wù)系統(tǒng)安全,需要從結(jié)構(gòu)安全、訪問控制、入侵防范等方面進(jìn)行安全保護(hù),另外鑒于請求路由系統(tǒng)(即DNS系統(tǒng))在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性,需要保障請求路由系統(tǒng)的安全。
結(jié)構(gòu)安全:CDN企業(yè)在節(jié)點(diǎn)部署時應(yīng)考慮防范安全攻擊,如為服務(wù)器單節(jié)點(diǎn)服務(wù)能力留出足夠的冗余度、配置實(shí)時備份節(jié)點(diǎn)等。
訪問控制:對管理員操作維護(hù)進(jìn)行身份認(rèn)證并進(jìn)行最小權(quán)限分配,從IP地址等方面限制訪問。
入侵防范:關(guān)閉不必要的端口和服務(wù),CDN能夠抵御一定的安全攻擊并快速恢復(fù)。
請求路由系統(tǒng)安全:部署多個內(nèi)部DNS節(jié)點(diǎn)進(jìn)行冗余備份,并對DNS進(jìn)行安全配置。
(3)CDN基礎(chǔ)設(shè)施安全
保障CDN的基礎(chǔ)設(shè)施安全,可從主機(jī)安全、物理環(huán)境安全、網(wǎng)絡(luò)及安全設(shè)備防護(hù)等方面進(jìn)行保護(hù)。
主機(jī)安全:企業(yè)對CDN的操作系統(tǒng)和數(shù)據(jù)庫的訪問進(jìn)行訪問控制,記錄操作并定期進(jìn)行安全審計;操作系統(tǒng)遵循最小授權(quán)原則,及時更新補(bǔ)丁,防止入侵;對服務(wù)器的CPU、硬盤、內(nèi)存等使用情況進(jìn)行監(jiān)控,及時處置告警信息。
物理環(huán)境安全:機(jī)房應(yīng)選擇合適的地理位置,對機(jī)房訪問應(yīng)進(jìn)行控制,防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護(hù)等方面均應(yīng)采取一定的防護(hù)措施,并確保電力持續(xù)供應(yīng)。
網(wǎng)絡(luò)及安全設(shè)備防護(hù):IP承載網(wǎng)需要從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)保護(hù)與恢復(fù)、網(wǎng)絡(luò)攻擊防范等方面進(jìn)行保護(hù)。
(4)CDN管理安全
規(guī)范有效的管理對于保障信息系統(tǒng)的安全具有重要作用,可從機(jī)構(gòu)、人員、制度等方面進(jìn)行保障,同時應(yīng)將安全管理措施貫穿系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維全過程。
機(jī)構(gòu):通過加強(qiáng)崗位設(shè)置、人員配備、授權(quán)審批、溝通合作等形成強(qiáng)有力的安全管理機(jī)構(gòu)。
人員:在人員錄用、離崗、考核、安全意識教育和培訓(xùn)、外部人員訪問等環(huán)節(jié)加強(qiáng)對人員的管理。
制度:對重要的安全工作制訂管理制度,確保制度貫徹執(zhí)行,根據(jù)安全形勢的變化和管理需要及時修訂完善安全制度。
安全建設(shè):在系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購、系統(tǒng)研發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、選擇安全服務(wù)商等環(huán)節(jié)進(jìn)行安全管理,分析安全需求、落實(shí)安全措施。CDN企業(yè)在新建、改建、擴(kuò)建CDN時,應(yīng)當(dāng)同步建設(shè)安全保障設(shè)施,并與主體工程同時驗(yàn)收和投入運(yùn)行。安全保障設(shè)施的新建、改建、擴(kuò)建費(fèi)用,需納入建設(shè)項(xiàng)目概算。
安全運(yùn)維:在系統(tǒng)運(yùn)行維護(hù)過程中對物理環(huán)境、介質(zhì)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全監(jiān)測、密碼、備份與恢復(fù)等加強(qiáng)安全管理,提高對惡意代碼防范、安全事件處置、應(yīng)急預(yù)案制訂與演練的管理。
(5)災(zāi)難備份及恢復(fù)
可通過配置足夠的冗余系統(tǒng)、設(shè)備及鏈路,備份數(shù)據(jù),提高人員和技術(shù)支持能力、運(yùn)行維護(hù)管理能力,制訂完善的災(zāi)難恢復(fù)預(yù)案,提高CDN企業(yè)的抗災(zāi)難和有效恢復(fù)CDN的能力。
冗余系統(tǒng)、設(shè)備及鏈路:運(yùn)營管理系統(tǒng)、請求路由系統(tǒng)等核心系統(tǒng)應(yīng)具備冗余能力,在多個省份備份,發(fā)生故障后能及時切換;CDN設(shè)備的處理能力應(yīng)有足夠的冗余度;核心系統(tǒng)間的鏈路應(yīng)有冗余備份。
備份數(shù)據(jù):系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關(guān)鍵數(shù)據(jù)應(yīng)定期同步備份。
人員和技術(shù)支持能力:應(yīng)為用戶提供7×24小時技術(shù)支持,員工應(yīng)經(jīng)過培訓(xùn)并通過考核才能上崗。
運(yùn)行維護(hù)管理能力:運(yùn)維人員應(yīng)能及時發(fā)現(xiàn)系統(tǒng)異常事件,在規(guī)定事件內(nèi)上報企業(yè)管理人員、客服人員,做好對客戶的解釋工作。
災(zāi)難恢復(fù)預(yù)案:應(yīng)根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細(xì)的災(zāi)難恢復(fù)預(yù)案,組織對預(yù)案的教育、培訓(xùn)和演練。
CDN標(biāo)準(zhǔn)展望
2011年制訂的CDN標(biāo)準(zhǔn)還只是一個嘗試,目前《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》僅對作為第三方對外提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的CDN提出安全防護(hù)要求和檢測要求,隨著后續(xù)CDN安全防護(hù)工作的深入開展、CDN面臨的安全風(fēng)險不斷變化,CDN安全防護(hù)標(biāo)準(zhǔn)還會不斷修訂完善。
銀行應(yīng)急通信系統(tǒng)是銀行建設(shè)重要的部分,健全應(yīng)急通信能夠大大提升銀行面對突發(fā)事件時現(xiàn)場應(yīng)急通信保障能力,從而提高銀行各部門對突發(fā)事件的處理效率。銀行應(yīng)急通信系統(tǒng)中最關(guān)鍵的一點(diǎn)就是能否做到迅速布設(shè)網(wǎng)絡(luò)通信以及電力設(shè)備的保障;能夠及時、快速、有效地指揮發(fā)令,同時還要能夠保證銀行內(nèi)部所有系統(tǒng)正常工作不受影響。
關(guān)鍵詞:
突發(fā)事件;應(yīng)急通信;基礎(chǔ)設(shè)施;發(fā)展方向
1前言
由于當(dāng)今人類文明的不斷進(jìn)步,銀行這一調(diào)控人類交換價值的中介也就應(yīng)運(yùn)而生。在不斷的發(fā)展中,銀行應(yīng)急通信系統(tǒng)成為了銀行一個重要的關(guān)注點(diǎn),如何構(gòu)建一個安全的銀行通信系統(tǒng),成為當(dāng)今銀行亟需解決的問題。現(xiàn)今通信的傳輸方式主要分為有線通信傳輸與無線通信傳輸,在不同環(huán)境下選擇不同的傳輸方式,這是對應(yīng)急通信的考驗(yàn),如何保證通信系統(tǒng)在各種突發(fā)事件中能夠繼續(xù)正常通信是完善通信系統(tǒng)時的最大考驗(yàn)。由于應(yīng)急通信時,應(yīng)急通信系統(tǒng)需要是獨(dú)立于公共網(wǎng)絡(luò)的另一網(wǎng)絡(luò),能夠打造出傳輸信息高速的緊急通道,對突發(fā)事件作出快速響應(yīng)。在此,還需要有備用的通信通道和通信方式,在通信遭到破壞時能夠采用第二通信通道,保證通信具有強(qiáng)大的應(yīng)對措施。目前,我國應(yīng)急通信還不是很健全,很多應(yīng)急通信存在著不足,通信傳送能力還很有限,雖然我國近年來不斷研發(fā)通信技術(shù),但跟日本、美國、印度等一些國家相比,我國還需付出更大努力,在通信科技方面不斷創(chuàng)新,才能更好地面對我國目前急需的發(fā)展要求。本文主要從通信系統(tǒng)、基礎(chǔ)設(shè)施配備兩個方面探討了銀行應(yīng)急通信系統(tǒng)在當(dāng)今的發(fā)展以及存在的不足,從多角度對銀行應(yīng)急通信進(jìn)行解剖,為銀行系統(tǒng)設(shè)計和管理提出了一些有益建議,為構(gòu)建更好的銀行安全機(jī)制打下更多的基礎(chǔ)。
2銀行應(yīng)急通信的論述
2.1銀行通信系統(tǒng)的構(gòu)建面對銀行企業(yè)運(yùn)營走向市場化要安全、穩(wěn)定、高效經(jīng)營的需求,銀行對通信網(wǎng)絡(luò)提出了更高的要求,銀行業(yè)務(wù)的通信系統(tǒng)結(jié)構(gòu)已經(jīng)從原來經(jīng)營貨幣業(yè)務(wù)的簡單形式發(fā)展到今天的多中心網(wǎng)絡(luò)形式,為確保銀行信息傳輸?shù)男枰?,增加了安全性、?zhǔn)確的服務(wù)。一般來說,每家銀行都會有兩個或兩個以上的網(wǎng)絡(luò),即內(nèi)網(wǎng)與外網(wǎng),外網(wǎng)是用于與外界進(jìn)行信息交流的,內(nèi)網(wǎng)(生產(chǎn)網(wǎng))即為銀行整個系統(tǒng)進(jìn)行業(yè)務(wù)辦理、維護(hù)和調(diào)控的主網(wǎng),本文探討的是銀行內(nèi)網(wǎng)。銀行通信系統(tǒng)網(wǎng)絡(luò)分為主干網(wǎng)、地區(qū)網(wǎng)兩個部分;主干網(wǎng)又分國家級、網(wǎng)局級、省局級、地區(qū)4個級,地區(qū)網(wǎng)又分為地區(qū)級、縣級兩種網(wǎng)。各個級別的網(wǎng)絡(luò)都是按照從屬干系來進(jìn)行互相之間的信息傳輸?;趥鹘y(tǒng)的通信系統(tǒng)的因素,上級網(wǎng)絡(luò)的設(shè)備維護(hù)工作沒有按照相應(yīng)的上級管理人員來維護(hù),反而由通信設(shè)備所在地區(qū)的下級網(wǎng)絡(luò)的維護(hù)人員負(fù)責(zé)。由于網(wǎng)絡(luò)設(shè)備的管理與維護(hù)的分開,給維護(hù)人員造成了很大的困難,分開維護(hù),增大了工作量。面對這樣一個繁雜的網(wǎng)絡(luò)和艱難的管理要求,在保證硬件設(shè)施準(zhǔn)確運(yùn)轉(zhuǎn)的同時,唯一有效的方法就是建立具有綜合業(yè)務(wù)功能、綜合接入功能的銀行后臺通信網(wǎng)絡(luò)管理系統(tǒng)來進(jìn)行遠(yuǎn)程調(diào)控和遠(yuǎn)程監(jiān)控。目前,業(yè)務(wù)的聯(lián)網(wǎng)使得每家銀行營業(yè)網(wǎng)點(diǎn)大都具備了一定的網(wǎng)絡(luò)基礎(chǔ)。每個銀行都有自己獨(dú)立的監(jiān)控系統(tǒng),其主要點(diǎn)在于網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和帶寬需求,目前網(wǎng)絡(luò)設(shè)計分為三層網(wǎng)絡(luò)結(jié)構(gòu)(圖2),監(jiān)控中心是第一級網(wǎng)絡(luò)管理端:直接連接到城市內(nèi)的每個直屬支行營業(yè)部、直屬ATM以及分行直屬營業(yè)部、自助銀行;各個支行為第二級網(wǎng)絡(luò)管理端:連接各直屬分行監(jiān)控中心,通過分行監(jiān)控中心調(diào)閱下屬各個分理處、無人銀行、儲蓄所和離行式ATM;各個二級網(wǎng)點(diǎn)、無人網(wǎng)點(diǎn)、儲蓄所、分理處網(wǎng)點(diǎn)、無人管理點(diǎn)的ATM為第三層網(wǎng)絡(luò)端,數(shù)據(jù)的訪問按照由上至下層的逐層來訪問,同層之間的相互訪問必須征得上層同意后才能執(zhí)行臨時通訊,這樣達(dá)到了安全通信的有力保障。
2.2銀行通信管理系統(tǒng)的設(shè)計與不足目前,銀行在通信網(wǎng)絡(luò)管理技術(shù)方面有了不斷的更新,不斷地彌補(bǔ)一些存在的問題,例如采用的TMN的體系結(jié)構(gòu),這一體系實(shí)現(xiàn)銀行系統(tǒng)與其他運(yùn)營系統(tǒng)以及電信設(shè)備之間的相互聯(lián)系,采用標(biāo)準(zhǔn)接口所支持的體系來進(jìn)行交換管理信息,大大加強(qiáng)了銀行安全系統(tǒng)的安全。在電信網(wǎng)中TMN體系是主管部門,起著支撐的作用,提供大量的電信網(wǎng)絡(luò)管理功能,而且還提供本身和電信網(wǎng)絡(luò)之間的通信,大大簡化了銀行管理。TMN的基本構(gòu)架以及它被管理的系統(tǒng)的關(guān)系如圖3所示,圖中正方形框內(nèi)為電信管理網(wǎng),圖中可以看到數(shù)據(jù)通信網(wǎng)管理下屬通信設(shè)備、網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)操作系統(tǒng)。TMN與它所管理的電信網(wǎng)嚴(yán)密地相連著,但它原則上又屬于一個分開的網(wǎng)絡(luò)系統(tǒng),它在N點(diǎn)處與電信網(wǎng)互相連接。此外,TMN系統(tǒng)還存在利用電信網(wǎng)的少數(shù)網(wǎng)絡(luò)資源來實(shí)現(xiàn)通信能力,這為銀行通信減輕了很大的負(fù)擔(dān)。雖然TMN系統(tǒng)有著很好的管理優(yōu)勢,被國際上被廣泛接受,是所有管理體系中最完善的通信網(wǎng)管理體系,但是也有著不足,主要源于它的接口的復(fù)雜化和單一性。在面對應(yīng)急事件時能否有效、快捷地控制管理系統(tǒng),這在網(wǎng)絡(luò)管理系統(tǒng)建設(shè)中應(yīng)該注意考慮。在選擇管理系統(tǒng)時,我們應(yīng)該考慮到銀行通信主要是以電話、DDN網(wǎng)、x25網(wǎng)和衛(wèi)星傳輸?shù)仍O(shè)施傳輸,這使銀行系統(tǒng)所傳輸?shù)男畔O易受到外界主動和被動的攻擊,再加上目前多數(shù)銀行管理人員的網(wǎng)絡(luò)傳輸安全理論和技術(shù)存在不足;銀行所有硬軟件都不屬于銀行自主研發(fā);硬軟件維護(hù)都由提供商來維護(hù)。這一列因素都給不法分子留下了隱患,這也是當(dāng)今銀行最急于解決的問題。
2.3銀行應(yīng)急系統(tǒng)對通信傳輸?shù)男枨?1)通信行業(yè)與銀行日常工作有著密切關(guān)聯(lián),隨著科技的發(fā)展以及生活壓力的不斷加大,突發(fā)事件也在不斷頻繁發(fā)生,突發(fā)事件造成的損失也在逐年上升,給社會和個人的生命財產(chǎn)安全帶來了重大安全隱患。通信傳輸系統(tǒng)的安全成為銀行整體正常運(yùn)行的基本保障,當(dāng)其在面對各種危機(jī)時刻的到來時受阻,銀行重要信息的傳遞不及時,將導(dǎo)致銀行嚴(yán)重的經(jīng)濟(jì)損失和人民財產(chǎn)受到威脅,影響銀行工作的順利進(jìn)行。一旦通信網(wǎng)絡(luò)出現(xiàn)故障,將帶來嚴(yán)重后果。因此,在面對突如其來的突發(fā)事件時,如何保障銀行與客戶以及個人之間的的人身和財產(chǎn)安全,這一問題受到銀行以及相關(guān)部門的高度重視。(2)如果突發(fā)事件到來時,網(wǎng)絡(luò)通信設(shè)備受到破壞,二級分行不能及時與總行、公司等部門聯(lián)系,這將帶來嚴(yán)重?fù)p害。所以要求銀行在構(gòu)建應(yīng)急通信系統(tǒng)中,達(dá)成統(tǒng)一領(lǐng)導(dǎo),協(xié)調(diào)配合的應(yīng)對措施,遠(yuǎn)程監(jiān)控整個終端現(xiàn)場。要保證通信實(shí)時傳輸暢通,需采用多種通信傳輸方式。目前多數(shù)銀行通常采用的通信傳輸方式為有線傳輸,當(dāng)傳輸介質(zhì)被破壞時,就會中斷通信。如采用多種傳輸方式,在有線傳輸?shù)耐瑫r還應(yīng)配備無線傳輸,移動通信車、衛(wèi)星通信等。在正常工作時,監(jiān)控通信、公安報警通信都應(yīng)是獨(dú)立于內(nèi)外網(wǎng)的另外一部分的安全保障網(wǎng)絡(luò),這一部分主要由無線傳輸為主有限傳輸為輔的模式來組成,當(dāng)火災(zāi)、搶劫、暴力恐怖襲擊等突發(fā)事件到來時,主動采用安全保障網(wǎng),及時保障實(shí)時畫面、錄像傳輸,保障支援及時。
2.4銀行應(yīng)急系統(tǒng)通信傳輸?shù)奶攸c(diǎn)在應(yīng)急救援工作中,盡快確定事故現(xiàn)場的位置至關(guān)重要。隨著移動終端設(shè)備的不斷涌入,如能夠在通信設(shè)備中安裝GPS定位模塊(如圖4),便可以快速應(yīng)急。由于目前出售的所有手機(jī)中強(qiáng)制性安GPS接收器給安全措施帶來了有力的保障。我國銀行可設(shè)計出給各通信系統(tǒng)、銀行員工專門GPS定位通信系統(tǒng),以便在面對應(yīng)急救援過程中啟動GPS定位功能,快速實(shí)現(xiàn)對事故的準(zhǔn)確定位和了解實(shí)時情況,縮短救助時間。同時,在通信提供方面也要多家采用,為應(yīng)急處理時提供多種選擇。突發(fā)事件發(fā)生時,有可能各電信運(yùn)營企業(yè)的網(wǎng)絡(luò)都會受到不同程度的損害,如果受損嚴(yán)重的通信提供商暫時癱瘓時,能就近接入其他通信提供商的網(wǎng)絡(luò)來提供通信服務(wù),將會大大縮短銀行通信設(shè)備的恢復(fù)時間。但是,由于目前缺少必要的政策支撐,以及各電信商之間的溝通難以達(dá)成一致,導(dǎo)致實(shí)施過程中各電信運(yùn)營商之間的相互配合與協(xié)調(diào)受到不同程度的阻礙。因此,為了能夠有效地完善應(yīng)急通信的安全保障機(jī)制,還需要我國加快制訂有關(guān)電信運(yùn)營商之間的就近接入?yún)f(xié)議的法規(guī),在面對突發(fā)事件應(yīng)急救援過程中,一方應(yīng)該無條件地為另一方提供就近協(xié)助接入服務(wù),保障及時開放相應(yīng)的網(wǎng)絡(luò)接口,并指定各企業(yè)網(wǎng)絡(luò)之間的相互聯(lián)通規(guī)范、接口標(biāo)準(zhǔn)和應(yīng)急借道預(yù)案等。為了避免銀行網(wǎng)絡(luò)通信被黑客攻入,銀行除了采用防火墻和防病毒產(chǎn)品外,還增加了入侵檢測、主機(jī)保護(hù)等產(chǎn)品。近年來,在ATM、自助終端PC機(jī)、柜員終端PC機(jī)等設(shè)備上都不斷裝入安全防護(hù)系統(tǒng)。但還是有著不足,因?yàn)槎鄶?shù)員工在使用設(shè)備時沒有注意安全更新,常常在出問題后才會上報信息部找科技人員來處理,這樣雖然能補(bǔ)足不全,但這中間時間給不法分子留下了一定的作案時間,這成了目前所有銀行普遍存在的安全隱患。應(yīng)該實(shí)行后臺自主更新,全面實(shí)時檢測和監(jiān)控,加強(qiáng)配備科技人員數(shù)量來彌補(bǔ)維護(hù)時間差帶來的不足,才能達(dá)到更高的安全級別,人防措施往往是比技能防御強(qiáng)很多。為了銀行網(wǎng)絡(luò)安全,銀行應(yīng)該對所有網(wǎng)點(diǎn)進(jìn)行實(shí)時系統(tǒng)掃描,發(fā)現(xiàn)漏洞及時修補(bǔ),防止不法分子有機(jī)可乘;對員工進(jìn)入銀行系統(tǒng)實(shí)行身份安全認(rèn)證,以防他人隨意進(jìn)入;對所有數(shù)據(jù)進(jìn)行多端備份,病毒庫數(shù)據(jù)也不例外,保證數(shù)據(jù)不會受到找不回的丟失損失;加強(qiáng)網(wǎng)點(diǎn)人員流工具的限制監(jiān)督,對交流工具進(jìn)行規(guī)范、統(tǒng)一,對電子郵件進(jìn)行嚴(yán)格自己控制,防止郵件炸彈之類的入侵。
2.5銀行應(yīng)急通信電力保障的配備目前,銀行在通信基礎(chǔ)設(shè)施中有了很大的改善,但銀行的電力系統(tǒng),這一最基本的保障設(shè)備還需不斷研發(fā)。由于目前銀行網(wǎng)點(diǎn)支行機(jī)構(gòu)分布較廣,遍布在城鎮(zhèn)的各人流量大的地方,電網(wǎng)環(huán)境十分復(fù)雜,供電穩(wěn)定性也比較差。不僅有電流中斷、電壓驟降等問題,同時還有浪涌、諧波、頻偏、雷擊等因素的影響,輕則給信息傳輸造成誤碼、亂報、信息數(shù)據(jù)傳輸丟失、傳輸速率減慢等影響,重則造成整個系統(tǒng)癱瘓,網(wǎng)絡(luò)設(shè)備和終端設(shè)備等相關(guān)服務(wù)器設(shè)備的燒壞,造成用戶數(shù)據(jù)丟失,引發(fā)嚴(yán)重的損失。同樣的問題反復(fù)出現(xiàn)會對客戶辦理相關(guān)業(yè)務(wù)造成極大的影響,不利企業(yè)的發(fā)展。提升所有銀行的供電服務(wù)質(zhì)量變得很重要。在UPS電源設(shè)計上,應(yīng)使用一個共享的電池方案,兩個或兩個以上的UPS連接,同時,可以使用單組或多組電池的方案。采用模塊化設(shè)計,與傳統(tǒng)UPS并機(jī)系統(tǒng)相比較,可靠性能得到了大幅度提升。在UPS電源的結(jié)構(gòu)上,三角洲海福樂系列UPS應(yīng)該是不錯的,它使用一個共享的電池方案,兩個或兩個以上的UPS連接,同時可以使用單組或多組電池的方案。與傳統(tǒng)UPS并機(jī)系統(tǒng)相比較,可靠性得到了大幅度提升。相比傳統(tǒng)UPS的并機(jī)中,臺達(dá)海福模塊化兩臺UPS并機(jī)系統(tǒng)的冗余度大大超過了傳統(tǒng)UPS的并機(jī)體系中1臺UPS的的冗余度,如圖6所示,當(dāng)負(fù)載容量為60KVA時,該系列模塊化UPS并機(jī)系統(tǒng)的6個模塊中有3個作為冗余,隨意3個模塊出現(xiàn)問題時體系依然能夠繼承上一時刻的作業(yè)。正是因?yàn)檫@種模塊化特點(diǎn),使得該體系具有很高的可用性和快速修復(fù)能力。在市電正常供電時兩臺UPS同時給蓄電池組充電,當(dāng)市電發(fā)生異常或者終斷時,各UPS又同時利用電池組提供的交流電供給所接系統(tǒng)設(shè)備使用,從而,整個體系具備了并機(jī)冗余系統(tǒng)的優(yōu)勢外,大大提高了銀行應(yīng)急通信體系的傳輸保障力度,達(dá)到了多種復(fù)雜環(huán)境變化的應(yīng)對及時、有力的措施,還可以為銀行節(jié)省投資,降低電力系統(tǒng)的占地面積,降低銀行經(jīng)營成本,降低銀行經(jīng)營干擾頻率等,所以并機(jī)系統(tǒng)共用電池組應(yīng)該及時被銀行采納。
3加強(qiáng)我國銀行應(yīng)急系統(tǒng)建設(shè)的建議
(1)網(wǎng)絡(luò)通信的安全措施還不是很到位,對通信方式的選擇還存在單一化,有的銀行網(wǎng)點(diǎn)還沒有徹底實(shí)現(xiàn)多種通信方式,應(yīng)改進(jìn)設(shè)備,采用多種通信方式進(jìn)行傳輸。(2)采用多層網(wǎng)關(guān)協(xié)議管理,對所有數(shù)據(jù)管理進(jìn)行嚴(yán)格監(jiān)管,TMN系統(tǒng)目前還是有很多銀行采用,但存在的不足也應(yīng)該注意到,要求銀行不斷引進(jìn)新設(shè)備來彌補(bǔ)存在的缺陷。(3)專業(yè)技術(shù)人員的欠缺,很多銀行沒有真正掌握通信系統(tǒng)設(shè)備的維護(hù)和管理工作,僅僅依靠產(chǎn)品提供商來完成維護(hù),對技術(shù)管理安全存在隱患,應(yīng)該要求銀行IT技術(shù)管理人員盡量對產(chǎn)品做了解,減少維護(hù)存在的信息風(fēng)險。(4)銀行電力系統(tǒng)是很重要的,應(yīng)該不斷改進(jìn)電力設(shè)備,注意供電是否穩(wěn)定,必要時還應(yīng)該有自己的供電電源來保證設(shè)施穩(wěn)定,目前UPS供電系統(tǒng)是銀行的首選,UPS系統(tǒng)也在不斷地更新,銀行應(yīng)不斷引進(jìn)新一代的供電設(shè)備來保證供電穩(wěn)定。(5)重視應(yīng)急管理體系的建設(shè)和規(guī)劃。修訂完善應(yīng)急管理各項(xiàng)規(guī)章制度,從法律層次上來制定各自的內(nèi)部控制應(yīng)急管理制度,制定合理的、可行的應(yīng)急預(yù)案。(6)完善應(yīng)急管理體系和應(yīng)急管理先進(jìn)觀念,實(shí)行責(zé)任分擔(dān)制的管理理念;加強(qiáng)預(yù)警體制的建設(shè)。加強(qiáng)經(jīng)驗(yàn)的交流,探索開展聯(lián)合應(yīng)急演練的可行性,增強(qiáng)應(yīng)急演練的作戰(zhàn),提高應(yīng)急預(yù)案在突發(fā)事件應(yīng)急的實(shí)用性。(7)加強(qiáng)員工的責(zé)任觀念,提高員工學(xué)習(xí)和危機(jī)意識。每年至少一次地對銀行工作人員進(jìn)行應(yīng)急管理培訓(xùn)和網(wǎng)上學(xué)習(xí),使應(yīng)急理念深入人心,并轉(zhuǎn)換為準(zhǔn)備應(yīng)對突發(fā)事件的行動響應(yīng)。
參考文獻(xiàn):
[1]姚國章,袁敏.構(gòu)建江蘇應(yīng)急通信保障體系的對策研究[J].南京郵電大學(xué)學(xué)報(社會科學(xué)版),2010,12(1):22-27.
[2]聶晶.突發(fā)事件應(yīng)急通信保障機(jī)制探討[J].電信網(wǎng)技術(shù),2007(11):32-34.
[3]熊灝,林小雪,楠軍民.現(xiàn)階段應(yīng)急通信保障的主要問題及對策[J].?dāng)?shù)字通信,2012,1(2):7-11.
[4]王惠君.銀行網(wǎng)絡(luò)數(shù)據(jù)通信安全與保密問題的研究[J].電腦與信息技術(shù),2008,16(3):54-65.
關(guān)鍵詞:P2P網(wǎng)絡(luò)貸款;信用風(fēng)險;金融監(jiān)管
中圖分類號:F224.6;F832.4 文獻(xiàn)標(biāo)志碼:A 文章編號:1673-291X(2016)05-0152-02
P2P網(wǎng)絡(luò)信貸是互聯(lián)網(wǎng)金融領(lǐng)域具有代表性的商業(yè)模式之一,自誕生以來,憑借其對傳統(tǒng)金融的創(chuàng)新,迅速在互聯(lián)網(wǎng)領(lǐng)域蔓延開來。P2P網(wǎng)絡(luò)貸款的全稱為“peer to peer lending”。我國在2011年了P2P網(wǎng)絡(luò)貸款行業(yè)相關(guān)的指導(dǎo)文件,文中明確了P2P網(wǎng)貸平臺的名稱為“人人貸”。P2P網(wǎng)絡(luò)貸款即點(diǎn)對點(diǎn)網(wǎng)絡(luò)借款,又稱個人對個人借款,是一種將小額資金聚集起來借貸給有資金需求人群的一種民間小額借貸模式,是互聯(lián)網(wǎng)金融產(chǎn)品的一種,借助互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)信貸平臺及相關(guān)理財行為做融通資金的服務(wù)。①據(jù)“希財網(wǎng)”統(tǒng)計,2013年我國網(wǎng)貸成交量842億元,2014年我國網(wǎng)貸成交量3 291億元,2015年我國網(wǎng)貸成交量高達(dá)9 750億元??梢灶A(yù)見,未來我國P2P網(wǎng)絡(luò)貸款成交金額仍將迅猛增長。但是,由于我國信用機(jī)制的相對不健全和國民信用意識淡薄,在P2P網(wǎng)貸平臺迅猛發(fā)展的同時隱藏的風(fēng)險也會越來越大。網(wǎng)貸公司的風(fēng)險管控能力無法和網(wǎng)貸平臺的發(fā)展速度相匹配,促使信用風(fēng)險成為我國P2P網(wǎng)絡(luò)信貸公司經(jīng)營中最大的風(fēng)險,因此,如何完善我國P2P網(wǎng)絡(luò)貸款行業(yè)信用風(fēng)險防范迫在眉睫。
一、完善我國征信體系建設(shè)
為了有效防范P2P網(wǎng)絡(luò)貸款行業(yè)信用風(fēng)險,提高行業(yè)的征信能力,促進(jìn)行業(yè)的健康發(fā)展,我國應(yīng)從宏觀管理角度完善征信體系。從發(fā)達(dá)國家的經(jīng)驗(yàn)來看,美國和英國的征信體系在發(fā)達(dá)國家中相對比較完善,其共同特點(diǎn)是:市場化程度高,征信系統(tǒng)覆蓋率高。具體做法是:委托獨(dú)立的第三方征信機(jī)構(gòu),按照統(tǒng)一格式對各自然人采集相關(guān)信息、信用數(shù)據(jù),并最終形成征信報告,為P2P發(fā)展提供良好的市場環(huán)境。因此,我國在征信體系建設(shè)時,首先應(yīng)深化對個人征信領(lǐng)域的規(guī)范,在規(guī)范的框架下采集有效相關(guān)信息,使不同行業(yè)間信息能夠共享。其次,提高信息的精細(xì)度和準(zhǔn)確度,擴(kuò)大信用記錄的采集渠道、覆蓋面。
在市場化相對成熟的國家,P2P網(wǎng)絡(luò)貸款平臺實(shí)現(xiàn)了與國內(nèi)多家銀行征信數(shù)據(jù)互通共享,并通過征信系統(tǒng)確定客戶的信用級別,進(jìn)而有效控制信用風(fēng)險。故此,我國亦應(yīng)將行業(yè)征信系統(tǒng)納入人民銀行征信管理體系,豐富現(xiàn)有征信系統(tǒng)數(shù)據(jù)資源,使P2P平臺全面掌握借款人真實(shí)的負(fù)債狀況和歷史信用記錄,并對借款人作出準(zhǔn)確的信用評級,解決目前正規(guī)金融與民間借貸之間的信息不對稱問題,保護(hù)貸款人的資金安全,有效控制自身的壞賬率,以提高P2P平臺的信譽(yù)度。
以行業(yè)為標(biāo)準(zhǔn),健全行業(yè)內(nèi)信息共享機(jī)制,打破行業(yè)與行業(yè)間、平臺與平臺間的征信信息不對稱的現(xiàn)狀,提高效率,促進(jìn)全社會的誠信。
二、建立健全P2P法律法規(guī)體系,構(gòu)建、完善P2P金融消費(fèi)者保護(hù)制度
任何行業(yè)的健康發(fā)展都離不開法律法規(guī)體系的建設(shè)。P2P的發(fā)展需要在立法層面對P2P網(wǎng)絡(luò)借貸行業(yè)進(jìn)行規(guī)制,并做好新法與現(xiàn)有法律法規(guī)的銜接。從歐美發(fā)達(dá)國家經(jīng)驗(yàn)來看,P2P成熟的國家,其市場也很完善,各種法律法規(guī)之間相互配合、協(xié)調(diào),新舊法律規(guī)范也盡量不留空白,其大體能涵蓋新興領(lǐng)域。目前我國對于P2P網(wǎng)絡(luò)貸款行業(yè)法律法規(guī)的針對性不強(qiáng),界定有待發(fā)展,難以滿足實(shí)際需要,亟須在立法層面上對其進(jìn)行專門規(guī)制,彌補(bǔ)目前發(fā)展的法律空白。應(yīng)適時對這些法律法規(guī)中的部分條款進(jìn)行修改、補(bǔ)充,同時也應(yīng)在消費(fèi)者保護(hù)、信息披露、征信等方面做好原有法律的完善。如英國的追加補(bǔ)充式系列法案:《2012年金融服務(wù)法案》、《電子商務(wù)條例》、《2012年金融服務(wù)法案》、《2014關(guān)于網(wǎng)絡(luò)眾籌和通過其他方式發(fā)行不易變現(xiàn)證券的監(jiān)管規(guī)則》。互聯(lián)網(wǎng)金融作為一種新事物,其風(fēng)險一般都會比原有領(lǐng)域大,一旦發(fā)生犯罪,往往會擾亂經(jīng)濟(jì)秩序,破壞社會穩(wěn)定。特別是針對P2P貸款行業(yè)自融、設(shè)置資金池等涉及非法集資紅線的違法行為,應(yīng)加強(qiáng)部門間的配合、聯(lián)動,維護(hù)金融秩序,構(gòu)建P2P行業(yè)金融安全,打擊行業(yè)違法行為,防范行業(yè)風(fēng)險。
同時,也要做好金融消費(fèi)者保護(hù)和宣傳教育工作。在P2P網(wǎng)絡(luò)貸款行業(yè)快速發(fā)展的同時,因信息不對稱引發(fā)的信用風(fēng)險不斷增加且不斷積累,而信用風(fēng)險產(chǎn)生的糾紛主要還是通過法律訴訟來解決,判決后實(shí)際執(zhí)行也相對困難,這都是由P2P客觀有限性決定的。針對P2P網(wǎng)絡(luò)貸款的特點(diǎn),當(dāng)前還應(yīng)著手完善P2P網(wǎng)絡(luò)貸款行業(yè)消費(fèi)者保護(hù)環(huán)境,構(gòu)建糾紛解決的有效機(jī)制;完善P2P網(wǎng)絡(luò)貸款行業(yè)消費(fèi)者投訴機(jī)制。結(jié)合我國實(shí)際情況,政府部門和行業(yè)監(jiān)管部門應(yīng)牽頭構(gòu)建行業(yè)金融消費(fèi)者保護(hù)機(jī)制,建立完善P2P平臺消費(fèi)者投訴機(jī)制;在消費(fèi)者與P2P平臺間搭建起溝通橋梁,維權(quán)消費(fèi)者的權(quán)益;發(fā)揮行業(yè)協(xié)會在該領(lǐng)域的專業(yè)優(yōu)勢,參與糾紛協(xié)調(diào)解決機(jī)制,化解矛盾糾紛。建議監(jiān)管部門還應(yīng)組織開展金融知識宣傳普及活動,向基層社區(qū)的廣大金融消費(fèi)者講解,提高投資者鑒別非法平臺的能力,引導(dǎo)合法投資,提高弱勢群體對于P2P行業(yè)高風(fēng)險的認(rèn)知。
三、完善P2P行業(yè)監(jiān)管
作為新事物,P2P網(wǎng)絡(luò)貸款行業(yè)的金融監(jiān)管在全世界都面臨新的挑戰(zhàn)。國際上普遍認(rèn)為,P2P網(wǎng)絡(luò)貸款行業(yè)從功能上并未改變金融的本質(zhì),其監(jiān)管也應(yīng)納入金融監(jiān)管的框架下。P2P網(wǎng)絡(luò)貸款行業(yè)在產(chǎn)品結(jié)構(gòu)和產(chǎn)業(yè)鏈條方面都比傳統(tǒng)金融復(fù)雜,其監(jiān)管也必然區(qū)別于傳統(tǒng)監(jiān)管,應(yīng)對其加以細(xì)化分類,進(jìn)行大框架監(jiān)管下有針對性的監(jiān)管。就目前而言,我國各類創(chuàng)新的邊界相對模糊,給監(jiān)管帶來了挑戰(zhàn),因?yàn)樵械?、簡單的分類監(jiān)管已經(jīng)不能適應(yīng)日新月異的網(wǎng)絡(luò)金融創(chuàng)新的發(fā)展。從目前我國的金融監(jiān)管上看,中國銀監(jiān)會作為監(jiān)管部門無法適應(yīng)被監(jiān)管對象的數(shù)量龐大且不穩(wěn)定,也無法實(shí)現(xiàn)監(jiān)管的全覆蓋。因此,要實(shí)現(xiàn)有效監(jiān)管,就要借鑒國外普遍做法:在不改變現(xiàn)有整體的監(jiān)管框架和原則的前提下,根據(jù)P2P網(wǎng)絡(luò)貸款行業(yè)的特征,進(jìn)行歸口管理并細(xì)化監(jiān)管規(guī)則。對注冊資本金、行業(yè)高管從業(yè)經(jīng)歷、網(wǎng)絡(luò)安全技術(shù)、第三方身份、資金托管、項(xiàng)目、擔(dān)保及風(fēng)險保障等方面先辨別真假,再設(shè)立門檻和標(biāo)準(zhǔn),以凈化市場,維護(hù)投資者的權(quán)益。還要注重交易的安全、客戶信息的保密,規(guī)范平臺債權(quán)的拆分轉(zhuǎn)讓,嚴(yán)格監(jiān)控,避免P2P資金池以及自融業(yè)務(wù),全方面保護(hù)P2P網(wǎng)絡(luò)貸款平臺投資者的合法權(quán)益;依法監(jiān)管P2P網(wǎng)絡(luò)貸款平臺信息披露,使其不能誤導(dǎo)消費(fèi)者;逐步建立金融信息分析系統(tǒng)與金融風(fēng)險預(yù)警平臺,加強(qiáng)行業(yè)信用風(fēng)險監(jiān)測,及時預(yù)警風(fēng)險。
在加強(qiáng)政府引導(dǎo)監(jiān)管同時,也要加強(qiáng)行業(yè)信息披露機(jī)制建設(shè)。P2P網(wǎng)絡(luò)貸款平臺屬于以信息為中介的新型行業(yè),既需要法律規(guī)范,也需要市場的規(guī)范和引導(dǎo),因?yàn)樾畔⒉粚ΨQ,使之較傳統(tǒng)金融的風(fēng)險更加突出。因此,要加強(qiáng)對互聯(lián)網(wǎng)金融行業(yè)的信息披露要求,制定信息披露的相關(guān)標(biāo)準(zhǔn),甚至要建立強(qiáng)制披露機(jī)制。為此,行業(yè)需要探索出一整套關(guān)于P2P網(wǎng)絡(luò)貸款信息披露的規(guī)范性文件,建立P2P網(wǎng)絡(luò)貸款平臺實(shí)時數(shù)據(jù)的公開透明制度;有關(guān)信息披露要求的各項(xiàng)通知、違反信息披露所要受到的懲罰制度等相關(guān)制度條例。P2P網(wǎng)絡(luò)貸款公司應(yīng)在框架內(nèi)按照統(tǒng)一口徑,統(tǒng)計、報送相關(guān)運(yùn)營數(shù)據(jù);披露余額規(guī)模、不同風(fēng)險資產(chǎn)情況、資金來源及流向、逾期和壞賬水平等;披露平臺運(yùn)營模式、貸款者和融資項(xiàng)目的風(fēng)險評級信息、風(fēng)險管理情況及技術(shù)安全水平和應(yīng)急預(yù)案等,尤其是對于由第三方機(jī)構(gòu)擔(dān)保的融資項(xiàng)目,應(yīng)明確其融資性擔(dān)保公司的資質(zhì)。
總之,我們不可能依靠某一個單獨(dú)的途徑來解決如此跨度大、覆蓋面廣的P2P領(lǐng)域的信用風(fēng)險防范,只有通過完善征信體系、健全法律體系、加強(qiáng)外部監(jiān)管和行業(yè)自律等措施多管齊下,才能達(dá)到化解P2P網(wǎng)貸信用風(fēng)險的目的。
參考文獻(xiàn):
[1] 劉峙廷.我國P2P網(wǎng)絡(luò)信貸風(fēng)險評估研究[D].南寧:廣西大學(xué),2013.
[2] 黃震,鄧建鵬,喬宇.英美P2P監(jiān)管體系比較與我國P2P監(jiān)管思路研究[J].金融研究,2014,(10).
[3] 朱淑珍.金融風(fēng)險管理[M].北京:北京大學(xué)出版社,2012.
[4] 倪海鷺.P2P網(wǎng)絡(luò)借貸平臺征信需求與管理研究[J].征信,2014,(5).
關(guān)鍵詞:商業(yè)銀行;電子支付
中圖分類號:F830.33 文獻(xiàn)標(biāo)識碼:A 文章編號:1001-828X(2013)11-0-02
電子支付是指單位、個人直接或授權(quán)他人通過電子終端發(fā)出支付指令,實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。電子支付的類型按電子支付指令發(fā)起方式分為網(wǎng)上支付、電話支付、移動支付、銷售點(diǎn)終端交易,自動柜員機(jī)交易和其他電子支付。電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢。用戶只要擁有一臺上網(wǎng)的PC機(jī),便可足不出戶,在很短時間內(nèi)完成整個支付過程。電子支付的出現(xiàn),使人們突破了時間和空間的限制可以自由的進(jìn)行電子商務(wù)交易。
我國商業(yè)銀行瞄準(zhǔn)時機(jī),緊隨互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)步伐,在金融電子化基礎(chǔ)上不探索創(chuàng)新轉(zhuǎn)型的道路,尋求新的增長點(diǎn)。電子支付以其低成本、跨地區(qū)、隨時隨地及個性化的優(yōu)勢,迅速改變著銀行傳統(tǒng)業(yè)務(wù)模式,并已成為銀行最為關(guān)注的新興的戰(zhàn)略領(lǐng)域。
一、商業(yè)銀行電子支付發(fā)展現(xiàn)狀
(一)電子支付產(chǎn)品得到廣泛應(yīng)用
目前,商業(yè)銀行電子支付產(chǎn)品的種類主要有:
一是銀行卡支付??梢栽诂F(xiàn)實(shí)世界和網(wǎng)絡(luò)世界中使用,在因特網(wǎng)上使用時,它可以在各個銀行相互認(rèn)可的前提下,在不同銀行之間進(jìn)行資金的流轉(zhuǎn),因而能夠更為快捷的實(shí)現(xiàn)電子支付,是電子支付中最常用的方法之一。銀行卡普及率不斷提升,截至2013年3月末,我國銀行卡業(yè)務(wù)106.25億筆,金額100.27萬億元,同比分別增長23.85%和19.34%。銀行卡發(fā)卡總量約為36.94億張,同比增長19.06%。其中:借記卡發(fā)卡量為33.51億張,同比增長19.18%;信用卡發(fā)卡量為3.43億張,同比增長17.85%。銀行卡消費(fèi)額占同期社會商品零售總額的比重達(dá)47.2%,比上年提高6.7個百分點(diǎn)。
二是電子貨幣。電子貨幣是以電子計算機(jī)及其網(wǎng)絡(luò)進(jìn)行儲存支付和流通的一種非現(xiàn)金流通的貨幣,其具有支付適應(yīng)性強(qiáng)、變通性好、交易成本低廉等特點(diǎn),是電子支付的最為重要的載體。
三是電子票據(jù)。電子票據(jù)是指將傳統(tǒng)票據(jù)改變?yōu)閹в袛?shù)字簽名的電子報文,或利用其他電子數(shù)據(jù)代替?zhèn)鹘y(tǒng)票據(jù)的全部信息。電子票據(jù)借鑒紙張票據(jù)轉(zhuǎn)移支付的優(yōu)點(diǎn),利用電子數(shù)據(jù)傳遞將錢款從一個賬戶轉(zhuǎn)移到另一個賬戶。用電子票據(jù)支付,能夠節(jié)約人力物力成本,而且銀行還能通過網(wǎng)絡(luò)銀行為參與電子商務(wù)的客戶提供標(biāo)準(zhǔn)化的資金信息。因此,電子票據(jù)日益成為高效的電子支付手段。2009年,電子商業(yè)匯票系統(tǒng)上線運(yùn)行,實(shí)現(xiàn)了商業(yè)匯票出票、承兌、背書、保證、提示付款和追索等環(huán)節(jié)全過程的電子化,進(jìn)一步豐富了電子票據(jù)的種類,提高了電子支付應(yīng)用頻率。
(二)電子支付清算平臺日臻完善
自2005年起,全國相繼實(shí)現(xiàn)了大、小額支付系統(tǒng)、全國支票影像交換系統(tǒng)、境內(nèi)外幣支付系統(tǒng)、電子商業(yè)匯票系統(tǒng)等支付清算系統(tǒng)的上線運(yùn)行,構(gòu)建了較為完善的支付清算體系。通過這些系統(tǒng)的建設(shè),實(shí)現(xiàn)了跨行資金結(jié)算的即時到賬、支票的全國通用、商業(yè)匯票的無紙化交易等歷史性飛躍,極大提升電子支付交易的便利程度。尤其是2010年建成的網(wǎng)上支付跨行清算系統(tǒng),有效的支持了商業(yè)銀行提升網(wǎng)上銀行服務(wù)水平。
二、商業(yè)銀行電子支付面臨的主要風(fēng)險
(一)客戶端存在的風(fēng)險
客戶端存在的風(fēng)險主要是指操作風(fēng)險。客戶在辦理網(wǎng)上銀行電子支付業(yè)務(wù)時不同于柜面辦理業(yè)務(wù),沒有了柜臺人員對辦理的業(yè)務(wù)相關(guān)內(nèi)容及證件的核實(shí)審查,由于客戶自己操作不規(guī)范、風(fēng)險防范意識不強(qiáng),或者在使用網(wǎng)絡(luò)環(huán)境時不熟悉使用環(huán)境而被不法分子利用,登錄假網(wǎng)站或者釣魚網(wǎng)站,泄露了客戶自己的賬戶信息、身份證信息、網(wǎng)銀登錄密碼或者丟失U盾密碼等情況,這些問題從而導(dǎo)致客戶出現(xiàn)資金交易風(fēng)險。
(二)電子類渠道存在的風(fēng)險
客戶在通過某銀行進(jìn)行網(wǎng)上銀行簽約且辦理電子支付業(yè)務(wù)時,如果銀行對于自身的網(wǎng)絡(luò)安全沒有必要的安全措施或者加以防范的話,則存在客戶交易信息被篡改和竊取的風(fēng)險。如果銀行在自身渠道制度設(shè)計、技術(shù)路線設(shè)計和技術(shù)安全等方面存在一定缺陷,勢必會使客戶資金出現(xiàn)損失,產(chǎn)生交易風(fēng)險。而這種風(fēng)險是電子類渠道或者電子商務(wù)支付所特有的風(fēng)險,它不僅可能局限于交易的各方、支付的各方,還有可能導(dǎo)致整個支付系統(tǒng)的系統(tǒng)性風(fēng)險。
(三)銀行端存在的風(fēng)險
銀行端存在的風(fēng)險主要是指銀行推出的服務(wù)于客戶的各類電子產(chǎn)品在產(chǎn)品設(shè)計方面考慮不足從而出現(xiàn)缺陷,內(nèi)控管理方面制定不嚴(yán)格出現(xiàn)內(nèi)部管理混亂、職責(zé)不明確、內(nèi)部勾結(jié)作案等,網(wǎng)站風(fēng)險防控能力不足致使黑客入侵竊取客戶資金,網(wǎng)上交易風(fēng)險監(jiān)控能力不夠使得出現(xiàn)客戶資金變動或者發(fā)生異常時沒能夠有效地監(jiān)控或者及時阻止風(fēng)險的發(fā)生,這些問題直接導(dǎo)致客戶資金被盜取,并出現(xiàn)資金交易風(fēng)險,從而引起客戶的不滿及投訴。
(四)法律方面存在的風(fēng)險
現(xiàn)行的《銀行法》、《證券法》、《消費(fèi)者權(quán)益保護(hù)法》等諸多法律適用的主要是傳統(tǒng)意義上金融業(yè)務(wù),而目前日益增長并且發(fā)展迅猛的網(wǎng)上銀行電子支付業(yè)務(wù),在辦理過程中出現(xiàn)了許多特有或者新的問題:例如電子支付活動的監(jiān)管、電子支付在反洗錢方面如何界定、電子支付對于客戶隱私及個人金融信息保護(hù)方面如何防控都沒有相應(yīng)的法律法規(guī)進(jìn)行規(guī)范和約束,使得銀行端在開發(fā)或者從事新的電子支付業(yè)務(wù)時沒有法律依據(jù)可參考及缺少電子支付業(yè)務(wù)方面的法律風(fēng)險分析與研究。
三、對商業(yè)銀行電子支付風(fēng)險防范建議
為了使電子支付健康、快速發(fā)展,應(yīng)該加快我國電子支付相關(guān)法律的建設(shè),加強(qiáng)電子支付安全保險,建立起電子支付業(yè)的統(tǒng)一行業(yè)規(guī)范,加大對電子支付的法律監(jiān)督力度,完善電子支付的法律體系,為商業(yè)銀行營造良好的發(fā)展環(huán)境。
與此同時,電子支付風(fēng)險管理應(yīng)以保證客戶資金和信息安全為核心,在滿足監(jiān)管要求并保障業(yè)務(wù)平穩(wěn)運(yùn)行的前提下,通過電子支付各參與方共同努力,構(gòu)建一個安全的支付生態(tài)圈。為此,商業(yè)銀行應(yīng)建立一整套事前防范、事中監(jiān)控、事后處置為一體的全流程風(fēng)險管理體系,通過開展風(fēng)險評估檢測、加強(qiáng)商戶管理與客戶安全教育、豐富交易安全認(rèn)證手段、強(qiáng)化交易監(jiān)控并完善相關(guān)事后處置措施等,提升商業(yè)銀行電子支付風(fēng)險防范能力。
(一)建立事前防范機(jī)制
事前防范是指在風(fēng)險事件發(fā)生之前采取相關(guān)風(fēng)險控制手段進(jìn)行預(yù)防,將可能發(fā)生的風(fēng)險損失降到最低。事前控制主要包括風(fēng)險評估機(jī)制建立、電子支付商戶管理和客戶安全教育。
第一,建立風(fēng)險評估機(jī)制。商業(yè)銀行應(yīng)根據(jù)《電子銀行業(yè)務(wù)管理辦法》要求,通過第三方安全檢測機(jī)構(gòu)或內(nèi)部審計機(jī)構(gòu),定期對電子支付業(yè)務(wù)相關(guān)安全策略、內(nèi)控制度、系統(tǒng)安全、交易認(rèn)證、客戶信息保護(hù)等進(jìn)行風(fēng)險檢測與評估,并對發(fā)現(xiàn)的問題及時進(jìn)行整改,提升電子支付風(fēng)險管理水平。
第二,加強(qiáng)電子支付商戶管理。商戶直接受理客戶支付需求,加強(qiáng)商戶管理可以將風(fēng)險關(guān)口前移。加強(qiáng)商戶管理首先應(yīng)建立商戶準(zhǔn)入與審核機(jī)制。應(yīng)通過對商戶基本準(zhǔn)入資料核查、商戶資質(zhì)與背景調(diào)查和商戶風(fēng)險評分等形式,多維度評測商戶風(fēng)險,并針對不同風(fēng)險等級的商戶采取差異化的風(fēng)險管控措施。其次,應(yīng)定期對商戶的經(jīng)營情況進(jìn)行跟蹤與動態(tài)評估,并加強(qiáng)對商戶的檢查,提前防范商戶經(jīng)營惡化或違規(guī)事件的發(fā)生。最后,商業(yè)銀行還應(yīng)建立商戶的退出機(jī)制,對出現(xiàn)嚴(yán)重違規(guī)或資信及經(jīng)營情況急劇惡化的商戶實(shí)施退出管理。
第三,客戶安全教育。目前的電子支付風(fēng)險事件很大原因來自客戶風(fēng)險防范意識薄弱。因此,客戶習(xí)慣和安全意識的培養(yǎng)將對整個行業(yè)發(fā)展都至關(guān)重要。銀行可通過門戶網(wǎng)站、網(wǎng)點(diǎn)、微博等多種渠道,將宣傳折頁、安全手冊、安全動畫、案件警示教育短片等各種形式的客戶教育信息融入柜員風(fēng)險提示、市場宣傳、客戶體驗(yàn)活動中,并協(xié)調(diào)電子支付中的各參與方合作開展安全教育宣傳。
(二)加強(qiáng)事中控制管理
事中控制是對風(fēng)險事件進(jìn)行監(jiān)控,銀行在風(fēng)險或損失發(fā)生時,盡量快速發(fā)現(xiàn)風(fēng)險事件,將風(fēng)險帶來的損失減低到最小。事中控制手段包括交易安全認(rèn)證與交易實(shí)時監(jiān)控。
第一,豐富交易安全認(rèn)證手段。根據(jù)人民銀行《網(wǎng)上銀行系統(tǒng)信息安全通過規(guī)范》要求,對于電子支付等高風(fēng)險交易,應(yīng)采取雙因素安全認(rèn)證措施,即在客戶靜態(tài)密碼之外,銀行還應(yīng)進(jìn)一步應(yīng)用動態(tài)口令、手機(jī)短信驗(yàn)證、USBKey數(shù)字證書等安全認(rèn)證手段,并將具體安全認(rèn)證措施與電子支付交易限額相結(jié)合,在平衡客戶交易使利性的同時,保障客戶支付交易安全。
第二,做好交易實(shí)時監(jiān)控。建立電子支付交易事中監(jiān)控體系,在全面采集商戶端交易地點(diǎn)(商戶網(wǎng)絡(luò)地址)、交易性質(zhì)與交易目的信息基礎(chǔ)上,通過預(yù)先設(shè)定的可疑交易監(jiān)控規(guī)則,實(shí)現(xiàn)對電子支付業(yè)務(wù)監(jiān)控、跟蹤、定位與反欺詐管理,并通過對可疑交易落地人工核實(shí),強(qiáng)化認(rèn)證等手段,防范電子支付欺詐風(fēng)險,保證客戶交易安全。
(三)完善事后處置措施
事后處置主要包括交易違規(guī)的事后追查、應(yīng)急管理及風(fēng)險賠付機(jī)制的建立。銀行應(yīng)針對電子支付業(yè)務(wù)制定專門的業(yè)務(wù)應(yīng)急預(yù)案,并通過與第三方支付機(jī)構(gòu)、公安部門等合作,建立欺詐事件快速查詢與響應(yīng)機(jī)制,及時凍結(jié)可疑賬戶資金,并為欺詐案件的偵破提供相應(yīng)交易或資金流轉(zhuǎn)記錄。同時,為切實(shí)保護(hù)消費(fèi)者權(quán)益,維護(hù)銀行聲譽(yù),應(yīng)針對風(fēng)險事件建立相應(yīng)賠付機(jī)制。
關(guān)鍵詞:支付系統(tǒng);城市處理中心;CCPC
中圖分類號:F832.31 文獻(xiàn)標(biāo)識碼:B 文章編號:1007-4392(2011)09-0048-05
一、中國現(xiàn)代化支付城市處理中心(CCPC)現(xiàn)狀分析
(一)CCPC定義及發(fā)展現(xiàn)狀
人民銀行中國現(xiàn)代化支付系統(tǒng)由兩級節(jié)點(diǎn)構(gòu)成,第一級為國家處理中心(NPC),第二級為32個省級城市處理中心(CCPC)。中國現(xiàn)代化支付系統(tǒng)城市處理中心(CCPC)上接國家處理中心(簡稱NPC),下聯(lián)商業(yè)銀行前置機(jī)系統(tǒng)(簡稱MBFE)、中央銀行會計集中核算系統(tǒng)(簡稱ABS)、國家金庫會計核算系統(tǒng)(簡稱TBS),處于支付系統(tǒng)的中間環(huán)節(jié),擔(dān)負(fù)著金融機(jī)構(gòu)跨行資金運(yùn)轉(zhuǎn)的重任,是國家重要的金融基礎(chǔ)設(shè)施,是國民經(jīng)濟(jì)的大動脈(見圖1)。
隨著金融電子信息化建設(shè)的加快發(fā)展,支付清算系統(tǒng)加快了系統(tǒng)升級改造和更新?lián)Q代的步伐。2002年大額支付系統(tǒng)試點(diǎn)成功上線以來,小額批量支付系統(tǒng)、境內(nèi)外幣支付系統(tǒng)、支票影像交換系統(tǒng)、支付管理信息系統(tǒng)、電子商業(yè)匯票系統(tǒng)、網(wǎng)上支付跨行清算系統(tǒng)共7大系統(tǒng)陸續(xù)在線運(yùn)行。這些業(yè)務(wù)系統(tǒng)的陸續(xù)上線運(yùn)行一方面適應(yīng)和滿足了金融、經(jīng)濟(jì)和社會建設(shè)發(fā)展的需求,一方面隨著各種用戶及其需求的不斷增加和擴(kuò)大,對系統(tǒng)應(yīng)用的要求也越來越高,特別是系統(tǒng)運(yùn)行時間實(shí)現(xiàn)了7×24小時全天候不間斷運(yùn)行。履行好維護(hù)支付清算系統(tǒng)正常運(yùn)行的職責(zé),確保系統(tǒng)的安全穩(wěn)定運(yùn)行,顯得越來越重要。
(二)CCPC業(yè)務(wù)現(xiàn)狀
以天津CCPC為例,天津CCPC現(xiàn)有大額、小額、支票影像、PMIS、電票、網(wǎng)銀6大系統(tǒng)。近年來,隨著天津市經(jīng)濟(jì)快速發(fā)展,不斷有新的參與者加入,各系統(tǒng)業(yè)務(wù)量也呈現(xiàn)不斷增長趨勢。天津CCPC支付系統(tǒng)直接參與者48家,間接參與者1587家,2010年大額支付系統(tǒng)共處理業(yè)務(wù)968.5983萬筆,金額25.49萬億元,分別比2009年增長15.58%和33.32%(見圖2)。
2010年全年小額支付系統(tǒng)共處理業(yè)務(wù)396.69萬包、745.18萬筆,金額1,628.7億元,分別比2009年同期增長52.41%、52.61%和29.56%(見圖3)。
2010年全國支票影像交換系統(tǒng)共處理全國業(yè)務(wù)560,657筆,金額346.21億元,分別比去年增長-3.24%和12.23%。
2010年度小額支付系統(tǒng)收到查詢業(yè)務(wù)5177筆,大額支付系統(tǒng)收到查詢業(yè)務(wù)105,028筆。影像系統(tǒng)收到查詢業(yè)務(wù)373條,回復(fù)率均為100%。
(三)CCPC安全管理現(xiàn)狀
近年來各CCPC逐步完成各自的核心設(shè)備更新改造,改造后的CCPC安全運(yùn)行能力大大增強(qiáng)。在設(shè)備安全方面,采用雙機(jī)冗余熱備,基本避免了由于設(shè)備單點(diǎn)故障引起的系統(tǒng)故障。在信息安全方面,大小額支付系統(tǒng)采用密押機(jī)制;全國支票影像交換系統(tǒng)采用數(shù)字證書;信息傳輸采用網(wǎng)絡(luò)加密技術(shù),有力保障了支付業(yè)務(wù)數(shù)據(jù)的安全。在網(wǎng)絡(luò)安全方面,部署邊界防火墻,通過訪問控制技術(shù)保證系統(tǒng)的訪問安全;部署入侵檢測系統(tǒng),提高網(wǎng)絡(luò)的抗攻擊能力。在安全制度方面,清算總中心先后制定并下發(fā)了《中國人民銀行清算總中心支付清算系統(tǒng)運(yùn)行維護(hù)細(xì)則》、《中國現(xiàn)代化支付系統(tǒng)運(yùn)行管理辦法》、《中國人民銀行清算總中心支付清算系統(tǒng)城市處理中心巡檢工作管理規(guī)定》、《CCPC日常維護(hù)操作指南》等一系列管理規(guī)定、辦法,其中對CCPC的人員崗位設(shè)置、業(yè)務(wù)操作、系統(tǒng)維護(hù)、信息安全管理、機(jī)房環(huán)境管理、變更、故障處理及技術(shù)支持、日常檢查以及定期巡檢等方面都做出了詳細(xì)的規(guī)定要求,各地CCPC也根據(jù)自己的實(shí)際制定了嚴(yán)格的內(nèi)控安全管理制度和業(yè)務(wù)技術(shù)操作規(guī)程。在嚴(yán)格按照規(guī)程檢查、維護(hù)下,支付系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行為各地經(jīng)濟(jì)發(fā)展提供了強(qiáng)有力的支撐。
目前,隨著支付清算系統(tǒng)的建設(shè)發(fā)展,CCPC面臨著七大業(yè)務(wù)系統(tǒng)并行、系統(tǒng)結(jié)構(gòu)越來越復(fù)雜、運(yùn)行風(fēng)險較高的現(xiàn)實(shí)問題。CCPC作為系統(tǒng)的運(yùn)行管理者,如何加強(qiáng)CCPC管理,有效控制系統(tǒng)運(yùn)行風(fēng)險,保障支付系統(tǒng)安全穩(wěn)定運(yùn)行,是急待解決的問題,必須引起重視。
二、CCPC管理存在的問題
(一)資金清算問題
由于各行內(nèi)部管理模式、計劃資金額度授信不同,資金調(diào)度速度差別較大,不足支付的業(yè)務(wù)進(jìn)行日間排隊(duì)處理。但有的參與者因資金延緩支付,導(dǎo)致日間清算業(yè)務(wù)排隊(duì)、日終清算窗口開啟的現(xiàn)象,或者有的參與者日終不能及時籌措資金而使支付業(yè)務(wù)被退回,從而降低了社會資金的周轉(zhuǎn)速度,造成了支付風(fēng)險,影響現(xiàn)代化支付系統(tǒng)安全穩(wěn)定運(yùn)行與支付系統(tǒng)的社會公信力。
(二)查詢查復(fù)問題
規(guī)范、準(zhǔn)確和及時處理支付系統(tǒng)查詢查復(fù)業(yè)務(wù)是確保匯劃資金安全、系統(tǒng)高效運(yùn)行的有力保障。如果查復(fù)行沒有對查詢進(jìn)行及時查復(fù),將會大大影響資金的及時清算。而在實(shí)際工作中,超期未查復(fù)的現(xiàn)象時有發(fā)生,傳統(tǒng)上CCPC需要手工定期、定時檢查未查復(fù)業(yè)務(wù),電話提醒查復(fù)行進(jìn)行查復(fù),這在一定程度上降低了查詢查復(fù)工作的效率,影響支付系統(tǒng)的高效率運(yùn)行。
(三)災(zāi)備體系不完備
CCPC 災(zāi)難備份系統(tǒng)尚未建立。雖然國家處理中心NPC 已經(jīng)建立了災(zāi)難備份系統(tǒng),但目前各地城市處理中心CCPC 尚未建立能夠快速有效實(shí)時接管CCPC的災(zāi)難備份系統(tǒng)。各省轄內(nèi)支付清算系統(tǒng)尚未建立有效的應(yīng)對系統(tǒng)突發(fā)事件的應(yīng)急處置機(jī)制。
(四)CA系統(tǒng)不完善
CA事件監(jiān)控系統(tǒng)是由CA公司開發(fā)、清算總中心部署,在各CCPC有效監(jiān)控支付系統(tǒng),包括服務(wù)器主機(jī)設(shè)備硬件、應(yīng)用程序、部分網(wǎng)絡(luò)系統(tǒng)以及數(shù)據(jù)庫等,涵蓋大部分日常運(yùn)行參數(shù),并可能對系統(tǒng)異常事件提供報警的視窗化實(shí)時報警檢測系統(tǒng)。目前CA事件監(jiān)控系統(tǒng)已經(jīng)覆蓋了包括大、小額支付系統(tǒng)、影像交換系統(tǒng)在內(nèi)的絕大部分系統(tǒng),是必不可少的全時維護(hù)工具。但CA事件監(jiān)控仍然存在一些功能上的不完善,對支付系統(tǒng)的維護(hù)工作帶來一些不利的影響。
第一,該系統(tǒng)不能對系統(tǒng)資源的使用情況等提供深入的監(jiān)控與分析,導(dǎo)致會對支付系統(tǒng)業(yè)務(wù)正常運(yùn)行造成影響的安全隱患無法及時預(yù)警。第二,監(jiān)控報警存在延時,且報警方式單一。一般系統(tǒng)中存在異常警告或錯誤信息后,往往會在30分鐘左右后,報警信息才會出現(xiàn)在CA監(jiān)控界面中。CA事件監(jiān)控系統(tǒng)的報警只是單一的屏幕提示和短信通知,沒有聲音、圖像等更加直觀的方式提醒技術(shù)人員。因此,日常維護(hù)中,CCPC不能僅依賴CA事件監(jiān)控系統(tǒng),而應(yīng)按清算總中心要求,定時在主機(jī)上以人工方式例行檢查。
(五)主機(jī)硬件設(shè)備的綁定依賴性
長期以來,包括大、小額支付系統(tǒng)、影像系統(tǒng)在內(nèi)的支付系統(tǒng)服務(wù)器主機(jī)一直使用IBM品牌產(chǎn)品,網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器等則是使用CISCO品牌產(chǎn)品。作為國際知名品牌IBM和CISCO,無論是從產(chǎn)品質(zhì)量、售后服務(wù)還是技術(shù)支持在業(yè)內(nèi)都是處于領(lǐng)先地位。但由于國外品牌硬件產(chǎn)品內(nèi)部底層加密保護(hù)運(yùn)行機(jī)制的未知性以及設(shè)備核心技術(shù)的保密性,很難確保那些保存在設(shè)備主機(jī)中的、隨支付交易流動的數(shù)據(jù)的安全性。支付系統(tǒng)作為人民幣業(yè)務(wù)系統(tǒng)的大平臺和國家金融系統(tǒng)的重要組成部分,如果長期在生產(chǎn)系統(tǒng)運(yùn)行中無法擺脫對國外品牌設(shè)備的依賴性,則必然會形成對系統(tǒng)的安全患。
(六)安全管理機(jī)構(gòu)缺失
系統(tǒng)運(yùn)維要求規(guī)定,各地清算中心都應(yīng)設(shè)置安全管理主管崗,并配備兩名安全管理員。但由于目前清算中心人員配備緊張,大部分人員都配備在運(yùn)行、維護(hù)崗,很難成立專門主管安全的科室,一般安全管理員都由其他崗位人員兼任,人員配備緊張導(dǎo)致代崗或一人多崗。此外,安全管理員所應(yīng)具備的技能沒有明確的規(guī)定,并缺乏專業(yè)的培訓(xùn),實(shí)際中,對安全管理職責(zé)的履行還存在一定的困難。
三、創(chuàng)新CCPC管理的手段與方法
為提高CCPC運(yùn)維水平,向直接參與者提供低成本高效率的業(yè)務(wù)處理和監(jiān)管服務(wù),全方位保障支付系統(tǒng)安全穩(wěn)定運(yùn)行,天津分行清算中心依托信息化優(yōu)勢,結(jié)合工作實(shí)際,創(chuàng)新管理手段,改進(jìn)管理方法。2007年創(chuàng)新性地將“短信平臺”應(yīng)用到支付系統(tǒng)運(yùn)維體系中,通過與各直接參與者的短信互動切實(shí)、有效地對參與者實(shí)施監(jiān)管并提供服務(wù)。2009年開發(fā)“支付清算綜合服務(wù)系統(tǒng)”,可對天津清算中心的日常技術(shù)維護(hù)、值班日志、綜合管理、業(yè)務(wù)數(shù)據(jù)統(tǒng)計、信息等進(jìn)行信息處理,有效提高CCPC辦公自動化水平及業(yè)務(wù)服務(wù)水平。2010開發(fā)了“支付清算運(yùn)行監(jiān)控管理系統(tǒng)”,很大程度上提高了查詢查復(fù)率,解決了常期困擾CCPC管理中的查詢查復(fù)這一難題。2011年開發(fā)“城市處理中心操作終端遠(yuǎn)程備份系統(tǒng)”,做為對建立完善災(zāi)難備份系統(tǒng)的初步嘗試,實(shí)現(xiàn)了對支付系統(tǒng)客戶端的遠(yuǎn)程管理控制。
(一)短信平臺
短信平臺是CCPC與各金融機(jī)構(gòu)之間業(yè)務(wù)聯(lián)動、信息溝通的信息化載體;是面向支付系統(tǒng)各直接參與者業(yè)務(wù)信息、通知公告的站點(diǎn)。它實(shí)質(zhì)是向各直接參與者提供“短信監(jiān)管服務(wù)平臺”,通過該平臺,可以超越時間、空間的限制,實(shí)現(xiàn)點(diǎn)對點(diǎn)、7×24小時、即時性的溝通與互動。一方面CCPC可以根據(jù)業(yè)務(wù)需要通過短信群發(fā)、定時短信提醒等方式系統(tǒng)運(yùn)行問題、公告提示;另一方面則可以通過這一系統(tǒng)隨時查詢,了解各家直接參與者的意見、建議和要求,從而有效地解決了以往由于各參與者數(shù)目眾多且分散而造成的管理程序繁雜、信息傳達(dá)不及時、不對稱等一系列問題,從根本上提高了工作效率,降低了溝通成本。因此,短信平臺的搭建與開通,是天津分行清算中心不斷拓寬思路,依托短信平臺實(shí)現(xiàn)監(jiān)管服務(wù)、健全運(yùn)維手段的又一創(chuàng)新。
(二)支付清算綜合服務(wù)系統(tǒng)
支付清算綜合服務(wù)系統(tǒng)是天津清算中心為加強(qiáng)對支付清算系統(tǒng)的運(yùn)行管理和服務(wù),提高辦公自動化水平,依托網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)開發(fā)的清算中心綜合服務(wù)系統(tǒng)。該系統(tǒng)包含MBFE服務(wù)子系統(tǒng)、人民銀行支付清算子系統(tǒng)、基礎(chǔ)知識子系統(tǒng)、支付清算風(fēng)險防范子系統(tǒng)、清算中心服務(wù)子系統(tǒng)五大系統(tǒng)。該系統(tǒng)將各種運(yùn)維日志、檢查情況、統(tǒng)計報表、審批材料、學(xué)習(xí)資料分別整理上傳,形成了一個管理清晰且高度共享的信息庫。一方面實(shí)現(xiàn)了日常運(yùn)維工作的信息網(wǎng)絡(luò)化和管理無紙化,解決了CCPC日常運(yùn)維工作事件繁鎖、過程文檔多、事后查閱不便的難題;另一方面實(shí)現(xiàn)對CCPC業(yè)務(wù)流程的實(shí)時管理與連續(xù)監(jiān)控,便于領(lǐng)導(dǎo)及時掌握工作情況,從源頭上預(yù)防、減少差錯事故的發(fā)生與危害。
(三)支付清算運(yùn)行監(jiān)控管理系統(tǒng)
為提高支付系統(tǒng)的查詢查復(fù)率,天津CCPC開發(fā)“支付清算運(yùn)行監(jiān)控管理系統(tǒng)”。該系統(tǒng)包含對查詢查復(fù)業(yè)務(wù)、排隊(duì)業(yè)務(wù)、退回申請及止付申請的監(jiān)控、提醒統(tǒng)計及考核統(tǒng)計等。通過對大、小額系統(tǒng)查詢查復(fù)信息的后臺監(jiān)控來發(fā)現(xiàn)未查復(fù)業(yè)務(wù),并對查復(fù)行自動短信提醒。這樣一方面節(jié)省了人力,另一方面確保了未查復(fù)信息的及時發(fā)現(xiàn),大大提高了查復(fù)行的查復(fù)效率。使用該系統(tǒng)以后,各直接參與者的查復(fù)工作更加及時,2010年度小額支付系統(tǒng)收到查詢業(yè)務(wù)5177筆,大額支付系統(tǒng)收到查詢業(yè)務(wù)105,028筆,回復(fù)率均為100%。
(四)城市處理中心操作終端遠(yuǎn)程備份系統(tǒng)
天津CCPC探索建立了城市處理中心操作終端遠(yuǎn)程備份系統(tǒng),即在現(xiàn)有系統(tǒng)基礎(chǔ)上增加一組遠(yuǎn)程操作終端。在遭受地震等自然災(zāi)害威脅或發(fā)生突發(fā)公共衛(wèi)生事件,支付系統(tǒng)終端監(jiān)控機(jī)房無法提供持續(xù)、正常工作條件,而支付系統(tǒng)主機(jī)房及主機(jī)、終端仍可以正常使用時,就可以在經(jīng)分行應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)同意后,將支付系統(tǒng)客戶端監(jiān)控管理切換到位于異地(塘沽中心支行)的遠(yuǎn)程監(jiān)控管理環(huán)境,業(yè)務(wù)運(yùn)行及技術(shù)維護(hù)人員進(jìn)行遠(yuǎn)程實(shí)際操作,有效保證支付系統(tǒng)的正常運(yùn)行。天津CCPC終端遠(yuǎn)程備份系統(tǒng)能夠快速有效接管CCPC的業(yè)務(wù)運(yùn)行管理,并可作為異地CCPC的災(zāi)難備份系統(tǒng)之一。可作為各地CCPC支付清算系統(tǒng)應(yīng)對系統(tǒng)突發(fā)事件多了一種有效的應(yīng)急處置手段。
四、加強(qiáng)CCPC管理對策與建議
(一)采取先進(jìn)的管理手段,杜絕清算窗口的開啟
1.建議實(shí)施資金預(yù)報制,嚴(yán)格頭寸管理。應(yīng)當(dāng)要求各直接參與者的資金管理部門安排專人負(fù)責(zé)監(jiān)管頭寸,并加強(qiáng)頭寸的預(yù)測管理。由專人收集歷史數(shù)據(jù),了解日常資金流量規(guī)律,把握資金流量大的分支行和重點(diǎn)客戶,有針對性地進(jìn)行資金監(jiān)控。尤其是重點(diǎn)時段16:00以后的大額緊急支付,例如資金額度在5000萬以上的要向所屬CCPC一筆一報。這樣CCPC的對資金頭寸的管理由被動變主動,從很大成效上杜絕了清算窗口的開啟。
2.與商業(yè)銀行簽訂公約,實(shí)施資金拆借與劃撥。建議人民銀行支付管理部門與支付系統(tǒng)的直接參與者簽訂資金拆借公約,在清算窗口時間內(nèi),若某一商業(yè)銀行(拆借方)清算賬戶因存在資金缺口而導(dǎo)致當(dāng)日必須清算的業(yè)務(wù)無法正常清算時,可使用另一商業(yè)銀行(被拆借方)在當(dāng)?shù)厝嗣胥y行開立的支付系統(tǒng)清算賬戶進(jìn)行資金拆借,執(zhí)行比同業(yè)拆借利率較高利率予以償還。其中,人民銀行負(fù)責(zé)強(qiáng)行拆借資金的受托成交、資金清算和對拆借資金的監(jiān)督管理。
2011年,人民銀行天津分行經(jīng)與各支付系統(tǒng)直接參與者協(xié)商一致,訂立了《天津市金融機(jī)構(gòu)臨時頭寸資金拆借參與公約》。公約規(guī)定,參與簽約的銀行業(yè)金融機(jī)構(gòu)按照本公約約定的拆借原則進(jìn)行臨時頭寸資金拆借和清算賬戶資金的劃撥。對于因日常經(jīng)營不善,資金流動性監(jiān)測、控制、管理不到位,致使一年中累計使用三次以上清算賬戶同業(yè)拆借的拆入方,由人民銀行給予警告、通報、對清算賬戶實(shí)施控制直至取消其支付系統(tǒng)參與者資格的行政處罰。公約執(zhí)行后,各直接參與者密切關(guān)注日間排隊(duì)業(yè)務(wù)情況,有效避免了日終清算窗口開啟的現(xiàn)象。
(二)建制度立機(jī)制,推動查詢查復(fù)工作
CCPC作為系統(tǒng)的運(yùn)行管理者,應(yīng)當(dāng)要求各直接參與者從思想上高度重視跨行支付系統(tǒng)查詢查復(fù)業(yè)務(wù),堅(jiān)決貫徹執(zhí)行“有疑必查,有查必復(fù)、復(fù)必詳盡、切實(shí)處理”的原則,進(jìn)一步加強(qiáng)監(jiān)督管理力度,層層把關(guān),責(zé)任到人,由專人負(fù)責(zé)在每日營業(yè)開始后,對本行查詢查復(fù)情況進(jìn)行監(jiān)控落實(shí),堅(jiān)決杜絕“查而不復(fù)、查而遲復(fù)”的現(xiàn)象發(fā)生。
一是建議建立查詢查復(fù)管理員制度和聯(lián)絡(luò)員備案制度。CCPC要加大對支付系統(tǒng)查詢查復(fù)人員的管理力度,查詢查復(fù)聯(lián)絡(luò)員要切實(shí)承擔(dān)工作職責(zé),CCPC可利用電話或短信平臺通知商業(yè)銀行,若未能及時辦理查復(fù),將受到懲罰。二是建立支付系統(tǒng)查詢查復(fù)考核機(jī)制。將查詢查復(fù)率列入對商業(yè)銀行考核的一項(xiàng)重要指標(biāo),鼓勵商業(yè)銀行在支付系統(tǒng)查詢查復(fù)業(yè)務(wù)管理上的創(chuàng)新,對于取得突出成績或經(jīng)驗(yàn),在考核中予以加分并向轄內(nèi)各直接參與者推廣。
(三)加強(qiáng)應(yīng)急管理,做好災(zāi)備系統(tǒng)建設(shè)
一是要加強(qiáng)應(yīng)急管理相關(guān)制度建設(shè)。隨著支付清算系統(tǒng)的發(fā)展,新系統(tǒng)的掛接不斷增加,結(jié)合新系統(tǒng),不斷修訂完善應(yīng)急預(yù)案,增強(qiáng)預(yù)案的可操作性。二是加強(qiáng)應(yīng)急演練工作。提高應(yīng)急演練的質(zhì)量和效率,不斷提高支付清算系統(tǒng)應(yīng)對突發(fā)事件的處置能力。三是完善CCPC災(zāi)備系統(tǒng)建設(shè)。由于NPC已經(jīng)建立了災(zāi)難備份系統(tǒng)及CCPC集中備份系統(tǒng),建議各地CCPC以“快速切換、不間斷運(yùn)行”為目標(biāo),采用建設(shè)同城異地災(zāi)備網(wǎng)絡(luò)轉(zhuǎn)接中心的方式,在不增加過多投入的同時,最大限度地保障支付系統(tǒng)的運(yùn)行安全與穩(wěn)定。
(四)完善CA監(jiān)控系統(tǒng)功能,加強(qiáng)系統(tǒng)風(fēng)險防范
一是應(yīng)該減少報警延時時間,“實(shí)時監(jiān)控”的要素即是及時,支付系統(tǒng)隨時都在發(fā)送大量的業(yè)務(wù)數(shù)據(jù),如果無法達(dá)到實(shí)時的要求,會增大支付系統(tǒng)的運(yùn)行風(fēng)險。二是應(yīng)當(dāng)加大對系統(tǒng)資源以及運(yùn)行參數(shù)方面的深入細(xì)化分析,進(jìn)而更好地保障支付系統(tǒng)的持續(xù)穩(wěn)定良好運(yùn)行。
(五)加大自主品牌研發(fā)力度,擺脫設(shè)備依賴性
近年來,我國自主品牌的硬件設(shè)備隨其自身技術(shù)的不斷發(fā)展和制作工藝的逐步完善,其硬件設(shè)備運(yùn)行穩(wěn)定性大大增強(qiáng),基本可以勝任金融城市處理中心的需要??梢赃m當(dāng)加大購買采用國內(nèi)自主品牌產(chǎn)品的比率,逐步擺脫對國外品牌主機(jī)硬件設(shè)備的綁定依賴性。
(六)強(qiáng)化安全組織結(jié)構(gòu)建設(shè),配備專職人員隊(duì)伍
建議從總中心一級設(shè)立安全管理部,各清算中心設(shè)立相應(yīng)的安全管理科室,逐步建立起一套自上而下的安全管理組織機(jī)構(gòu)。調(diào)整業(yè)務(wù)、技術(shù)人員結(jié)構(gòu)比例,配備相應(yīng)的安全主管,提高其分析、查找和解決異常問題的能力,形成一支運(yùn)維本領(lǐng)過硬的支付系統(tǒng)安全管理人員隊(duì)伍。
(七)暢通運(yùn)維協(xié)調(diào)機(jī)制,加強(qiáng)對參與者的管理
首先,CCPC要加強(qiáng)對各直接參與者的考核。建議制定對轄內(nèi)各直接參與者的考核制度和辦法,與各直接參與者簽訂安全管理責(zé)任狀,明確參與者責(zé)任,由各地清算中心負(fù)責(zé)督促和協(xié)調(diào)。
其次,各地CCPC可參考總中心對各CCPC的巡檢、自檢制度,依據(jù)總行頒發(fā)的原則性制度和辦法,對各直接參與者制定具體的檢查制度和標(biāo)準(zhǔn),每季度開展巡檢或抽檢工作。一方面要檢查MBFE的運(yùn)行維護(hù)制度落實(shí)情況,從制度上保障支付系統(tǒng)的安全;另一方面要檢查運(yùn)維問題、人員配備及安全隱患。對存在的問題嚴(yán)肅追究責(zé)任人,督促其制定整改措施并落實(shí)到位,謹(jǐn)防重檢查、輕整改的現(xiàn)象發(fā)生。
最后,CCPC加強(qiáng)對商業(yè)銀行的培訓(xùn)和業(yè)務(wù)指導(dǎo)力度。CCPC要定期組織各金融機(jī)構(gòu)開展相關(guān)維護(hù)、運(yùn)行、安全方面的相關(guān)培訓(xùn),提高商業(yè)銀行日常業(yè)務(wù)能力和故障處理能力。當(dāng)下級節(jié)點(diǎn)(ABS、TBS、MBFE)出現(xiàn)問題時,應(yīng)立即向CCPC報告,CCPC力求在最短的時間內(nèi)給出解決方案,并指導(dǎo)下級節(jié)點(diǎn)迅速排除故障。CCPC也應(yīng)主動通過下行線路監(jiān)控系統(tǒng)隨時查看下級節(jié)點(diǎn)連接情況、資金清算情況,如有問題及時溝通,要求各參與者及時解決,并將處理結(jié)果反饋到CCPC。
參考文獻(xiàn):
[1]熊立群、譚卡吉,《支付系統(tǒng)運(yùn)行維護(hù)管理探討》,《支付清算》,2011,第6期。
[2]段志田,《第二代支付系統(tǒng)‘一點(diǎn)對接’與支付清算體系的變革》,《支付清算》,2010,第11期。
[3]堵秋瑩,《關(guān)于我國支付結(jié)算系統(tǒng)現(xiàn)狀及問題分析》,《法制與社會》,2007,第9期。
一、我國商業(yè)銀行操作風(fēng)險現(xiàn)狀分析
(一)商業(yè)銀行操作風(fēng)險現(xiàn)狀的定性分析
1.沒有形成操作風(fēng)險的管理意識
在實(shí)際管理中,不善于分析不同操作風(fēng)險產(chǎn)生的根源,只注意操作風(fēng)險事件的表面現(xiàn)象,就事論事。目前我國商業(yè)銀行對信用風(fēng)險和市場風(fēng)險管理相對較重視,但對操作風(fēng)險則沒有配套的防范和控制措施,甚至沒有專門的部門和人員來對操作風(fēng)險進(jìn)行管理。
2.操作風(fēng)險匯報線路和業(yè)務(wù)流程存在缺陷
我國商業(yè)銀行的管理層級多,又沒有良好的全流程監(jiān)控,分支機(jī)構(gòu)潛伏和暴露的問題往往令人防不勝防,又增加了操作風(fēng)險管理的難度。首先,多級管理模式難以對操作風(fēng)險特性、度量和控制達(dá)成共識。其次,多級管理模式給操作又增添了一系列風(fēng)險隱患。實(shí)踐中,一些重要的操作風(fēng)險管理制度缺乏總體的設(shè)計和協(xié)調(diào),也未嚴(yán)格遵循內(nèi)部控制要求的前后臺職能分離原則,風(fēng)險管理職能大多由各個業(yè)務(wù)管理部門負(fù)責(zé),存在管理職能交叉、業(yè)務(wù)流程不清晰的現(xiàn)象,且還有不少管理死角,導(dǎo)致潛在操作風(fēng)險較大。
3.操作風(fēng)險的管理方式失效
長期以來,我們對銀行高管人員采取的是行政性的官本位手段,市場化的激勵約束手段運(yùn)用不足,高管人員具有很強(qiáng)的道德風(fēng)險,缺乏在管理上的高度責(zé)任感和事業(yè)心,導(dǎo)致管理制度的系統(tǒng)化和長期化不足。這是近年來銀行業(yè)出現(xiàn)問題的關(guān)鍵。因而,在操作風(fēng)險的識別、評估和控制等各環(huán)節(jié)上還不能做到定量分析,對風(fēng)險的大小和危害只是定性估計和主觀感覺.對風(fēng)險的管理大多是以事后補(bǔ)救為主的亡羊補(bǔ)牢式,缺乏有效的事前防范和事中控制,對易發(fā)生操作風(fēng)險的環(huán)節(jié)崗位缺乏有效的防范措施。在發(fā)生操作風(fēng)險事件后,只是突擊檢查、查找漏洞、進(jìn)行整改、處理有關(guān)責(zé)任人。通常情況下,整改的結(jié)果就是加強(qiáng)防范,而防范的措施往往就是修改或增加現(xiàn)有的管理規(guī)定,增加一道防線,增加人員和環(huán)節(jié)。這種管理方式不僅效率低下,成本較高,而且只治標(biāo)不治本,致使同樣的操作風(fēng)險事件(主要是操作失誤和惡意欺詐)依然在各銀行中屢屢發(fā)生。
4.系統(tǒng)建設(shè)和監(jiān)督尚欠有力
近年來,國內(nèi)商業(yè)銀行在金融信息化、電子化方面的建設(shè)確實(shí)有了長足的改善,但系統(tǒng)建設(shè)的滯后使得總行難以對分支行進(jìn)行準(zhǔn)確到位的內(nèi)部監(jiān)控,也是造成案件頻發(fā)的重要原因。
(二)當(dāng)前商業(yè)銀行操作風(fēng)險現(xiàn)狀的定量分析
近期,國內(nèi)有人對我國的操作風(fēng)險進(jìn)行了實(shí)證分析(樊欣、楊曉光,2003)。通過收集媒體公開報道的我國商業(yè)銀行71起操作風(fēng)險損失事件,對我國商業(yè)銀行的操作風(fēng)險狀況做一個定量的概括歸納,以期能初步認(rèn)識我國商業(yè)銀行操作風(fēng)險的各種屬性。他們的研究結(jié)論是:
1.損失事件主要集中在商業(yè)銀行業(yè)務(wù)和零售銀行業(yè)務(wù),損失事件主要可以歸因于內(nèi)部欺詐、外部欺詐
2.從業(yè)務(wù)部門和損失事件類型兩種因素的組合來看,占到損失事件比例最大的是商業(yè)銀行業(yè)務(wù)中的內(nèi)部欺詐,其次是商業(yè)銀行業(yè)務(wù)中的外部欺詐行為
3.單筆損失金額的均值相差很大
按損失事件看,最高的是外部欺詐,其次是內(nèi)部欺詐,其他依次是客戶、產(chǎn)品以及商業(yè)行為,執(zhí)行、交割以及交易過程,最少的是經(jīng)營中斷和系統(tǒng)出錯。這說明,在度量操作風(fēng)險時,應(yīng)該分別考慮每個業(yè)務(wù)部門和每個風(fēng)險事件組合下的損失分布情況。
4.損失事件的多少與銀行的總資產(chǎn)規(guī)模成正相關(guān),但損失金額多少與總資產(chǎn)沒有明顯的相關(guān)性
這說明,一個銀行操作風(fēng)險的大小是由其內(nèi)部控制是否嚴(yán)密決定的,而不是由總資產(chǎn)規(guī)模決定的。
二、我國商業(yè)銀行應(yīng)對操作風(fēng)險的政策建議
(一)建立和完善操作風(fēng)險管理體系
1.梳理銀行的組織架構(gòu),設(shè)立專門的風(fēng)險管理委員會總攬銀行風(fēng)險控制,形成順暢有效的匯報路線
在風(fēng)險管理委員會下設(shè)市場風(fēng)險、信用風(fēng)險、操作風(fēng)險等專業(yè)管理委員會,在操作風(fēng)險管理委員會領(lǐng)導(dǎo)下協(xié)調(diào)管理操作風(fēng)險。操作風(fēng)險管理委員會要加強(qiáng)部門之間的溝通協(xié)作,定期不定期召開操作風(fēng)險管理聯(lián)席會議,分析內(nèi)外部操作風(fēng)險形勢,評估風(fēng)險暴露程度,研究制訂防范措施。
2.專設(shè)操作風(fēng)險管理崗位
一般來說,操作風(fēng)險與日常業(yè)務(wù)經(jīng)營密切相關(guān),因此需要分散在不同業(yè)務(wù)部門進(jìn)行控制和管理,需要在業(yè)務(wù)部門設(shè)立專職的操作風(fēng)險經(jīng)理崗位。它既要對本部門負(fù)責(zé),又要向上一級操作風(fēng)險管理部門負(fù)責(zé),從而形成一個以操作風(fēng)險管理委員會為中心,橫向拓展到相關(guān)部門,縱向延伸到基層營業(yè)網(wǎng)點(diǎn)的操作風(fēng)險全面管理體系。扁平化改革成熟后,可實(shí)行操作風(fēng)險經(jīng)理派駐制或下管一級。操作風(fēng)險經(jīng)理的職責(zé)是:充分識別本部門所涉及的業(yè)務(wù)線操作風(fēng)險損失類型,全面評估風(fēng)險暴露程度,實(shí)時監(jiān)測,及時預(yù)警。
3.“人”是操作風(fēng)險管理的核心
要把以人為本的管理思想貫穿于操作風(fēng)險防范全過程,將績效管理與風(fēng)險控制結(jié)合,充分發(fā)動和依靠廣大員工抓好操作風(fēng)險管理工作。從定義理解,操作性風(fēng)險包括兩方面:一是人員因素引起的操作風(fēng)險中的操作失誤、違法行為、越權(quán)行為;二是流程因素引起的操作風(fēng)險中的流程執(zhí)行不嚴(yán)格。相對于對流程、系統(tǒng)和外部事件的風(fēng)險管理而言,操作風(fēng)險管理的核心仍然是對人的管理。通過培育全員的風(fēng)險管理文化,金融機(jī)構(gòu)才能實(shí)現(xiàn)良性發(fā)展。
4.建立科學(xué)的決策機(jī)制
對商業(yè)銀行而言,應(yīng)形成基于個人負(fù)責(zé)制基礎(chǔ)上的集體決策制。強(qiáng)調(diào)全面風(fēng)險管理就必須意識到,一般員工或高管人員都必須基于個人對其行為負(fù)責(zé)的微觀基礎(chǔ)之上,風(fēng)險管理框架本身,必須能夠甄別和獎勵善于應(yīng)對風(fēng)險獲得收益的高管和員工,懲罰那些過度冒險或者厭惡風(fēng)險的人,惟其如此,金融機(jī)構(gòu)內(nèi)的風(fēng)險文化才是良性的。
(二)全面加強(qiáng)內(nèi)部控制建設(shè)
1.加強(qiáng)內(nèi)部控制管理的文化建設(shè)
銀行內(nèi)部控制管理要求員工具有一定行為規(guī)范和道德水準(zhǔn),內(nèi)部控制管理文化建設(shè)就是通過調(diào)動每位員工的積極性、主動性和創(chuàng)造性,通過約束員工行為來達(dá)到業(yè)務(wù)發(fā)展與內(nèi)部控制的目的。
2.建立健全內(nèi)部控制制度
商業(yè)銀行結(jié)合已有的內(nèi)部控制制度的同時,根據(jù)實(shí)際形勢的需要,不斷研究新的操作風(fēng)險控制點(diǎn),逐步完善內(nèi)部控制制度。重點(diǎn)要在以下十個方面完善內(nèi)部控制制度:一是建立相應(yīng)的授權(quán)體系,實(shí)行統(tǒng)一法人管理和法人授權(quán);二是建立必要的職責(zé)分離,以及橫向與縱向相互監(jiān)督制約關(guān)系的制度;三是明確關(guān)鍵崗位、特殊崗位、不相容崗位及其控制要求;四是建立關(guān)鍵崗位定期或不定期的人員輪換和強(qiáng)制休假制度;五是對于可能導(dǎo)致偏離內(nèi)部控制政策、目標(biāo)的運(yùn)行情況,應(yīng)建立并保持書面程序和要求,并在程序中規(guī)定操作和控制標(biāo)準(zhǔn);六是對于重要活動應(yīng)實(shí)施連續(xù)記錄和監(jiān)督檢查;七是在可能的情況下,應(yīng)考慮運(yùn)用計算機(jī)系統(tǒng)進(jìn)行控制;八是對于產(chǎn)品、組織結(jié)構(gòu)、流程、計算機(jī)系統(tǒng)的設(shè)計過程,應(yīng)建立有效的控制程序;九是建立信息安全管理體系,對硬件、操作系統(tǒng)和應(yīng)用程序、數(shù)據(jù)和操作環(huán)境,以及設(shè)計、采購、安全和使用實(shí)施控制;十是建立并保持應(yīng)急預(yù)案和程序,確保業(yè)務(wù)持續(xù)開展。
3.依據(jù)銀監(jiān)會頒布的《商業(yè)銀行內(nèi)部控制評價試行辦法》,積極開展內(nèi)部控制評價
商業(yè)銀行內(nèi)部控制評價包括過程評價和結(jié)果評價。過程評價是對內(nèi)部控制環(huán)境、風(fēng)險識別與評估、內(nèi)部控制措施等體系要素的評價。結(jié)果評價是對內(nèi)部控制主要目標(biāo)實(shí)現(xiàn)程度的評價。內(nèi)部控制評價與監(jiān)督檢查既相輔相成,又各有側(cè)重。日常監(jiān)督檢查的重點(diǎn)是業(yè)務(wù)監(jiān)管,其目的是對業(yè)務(wù)的合規(guī)性和經(jīng)營結(jié)果進(jìn)行檢查,是針對可能存在問題的“負(fù)面評價”,是針對“點(diǎn)”的監(jiān)管。而內(nèi)控評價是對內(nèi)控體系的監(jiān)管,是對業(yè)務(wù)過程的全面評價,是對商業(yè)銀行內(nèi)部控制水平的“正面評價”,是針對“面”的監(jiān)管。內(nèi)部控制評價可以形成確定日常監(jiān)督檢查的基礎(chǔ),即依據(jù)內(nèi)部控制評價的結(jié)果確定日常監(jiān)督檢查的重點(diǎn)業(yè)務(wù)區(qū)域,使日常監(jiān)督檢查更具有針對性。
(三)建立先進(jìn)的管理信息系統(tǒng)防范和控制操作風(fēng)險
在信息流動加速的今天,加強(qiáng)IT系統(tǒng)建設(shè)已經(jīng)是勢在必行。努力實(shí)現(xiàn)業(yè)務(wù)的電子化、網(wǎng)絡(luò)化,進(jìn)一步加強(qiáng)信息安全建設(shè),對已有的各種業(yè)務(wù)流程的再造和設(shè)置操作風(fēng)險控制點(diǎn),更有助于總行對其星羅棋布的分支機(jī)構(gòu)進(jìn)行有效管理。銀行機(jī)構(gòu)對監(jiān)管數(shù)據(jù)進(jìn)行科學(xué)的評價,建立起風(fēng)險監(jiān)測、監(jiān)控和評價系統(tǒng),將信貸風(fēng)險、操作風(fēng)險、市場風(fēng)險、信譽(yù)風(fēng)險等納入信息系統(tǒng),進(jìn)行科學(xué)的管理,及時有效地處置經(jīng)營過程中產(chǎn)生的各種風(fēng)險問題。
當(dāng)然,信息化和電子化也是一柄雙刃劍。因此,必須在規(guī)范的制度原則框架下,建立安全責(zé)任制,界定職責(zé)權(quán)限及其利害歸屬,使應(yīng)用流程管理、應(yīng)用軟件開發(fā)管理、操作性管理、網(wǎng)絡(luò)安全管理等的風(fēng)險降至最低。
(四)加強(qiáng)運(yùn)用操作風(fēng)險緩釋工具―――保險