前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的金融安全管理主题范文,仅供参考,欢迎阅读并收藏。
关键词:安全基线;金融;信息安全;管理办法
中图分类号:TP309 文献标识码:A DOI:10.3969/j.issn.1003-6970.2013.06.030
0 引言
近几年来,安全基线在金融行业中的应用越来越广泛,从而提高了金融行业内部网络与金融信息系统的安全系数[1]。所谓安全基线,是指在确保网络通信相关设备正常运作的基础上,所要达到的最低层次的防护能力要求指标,是一套整体一致的安全基准。金融信息安全基线主要组成内容是一套统一的安全标准,表现某一时刻该金融单位总体信息安全所处状态,是此单位的信息安全水平综述。
1 背景
金融业系统规模扩大化影响了其内部业务系统的网络结构,使其朝着复杂方向发展[2]。由此而引发的重点应用和服务器的总类别增大,数量增大,一旦出现工作人员操作失误或从始至终采取同一种初始系统设置,引发对安全控制标准的不重视,造成不良结果影响系统正常运作的可能性就是非常大的。
2 安全基线理论
安全基线需要设定一致的理论规范,含基线标准、基线编号、基线所处状态、基线状态说明、基线改革方法、基线审批单等七项重点内容[3]。基线版本,是指对基线标准的改变实施跟踪、分析的方法和手段,可将其分成两部分:其一,是基线版本编号,代表的是基线标准中发生改变的内容,由四位阿拉伯数字组成,基线标准每发生一次改变,所对应的号码就随之加1;其二,是由六位阿拉伯数字组成的编号,代表含义是安全基线变更时使用的变更单编号。对于首次初始化的安全基线,需要审核工作人员在审批单的编号中注明“初始化”字样,在此后所有关于基线标准的增加、变更或删除、丢弃中,也都需要进行相关标注的审批单编号,方便日后对基线标注的发展流程进行查看和追溯。
3 基于安全基线的金融信息安全管理方法
安全基线管理方法是为了保证通信网络中所需要使用的设备能够正常运作而制定出的标准,是一系列的安全设置指标。金融企业下层运作体系中几乎囊括了操作系统、运营设备、数据库等多种类型在内的系统和设备。在运行系统的各个操作环节中,对各项设备实施安全检查和配置,从而确保运营系统的正常运转。安全基线管理方法将会为各种设备和运营系统提供全面的监测表格和操作指南,规范了标准化的技术安全操作,并为其提供校验标准和框架。金融行业在日常的操作运转中,使用统一的安全基线规范对其工作人员进行相关指导,使工作人员树立检查操作设备及过程中可能存在风险的意识,但是,如果所面临的信息系统中,系统复杂多样,设备多而种类各异时,想要彻底进行规范性的系统配置检修,却是一件并不容易的事,同时对检测人员的技术水平和工作经验都有着非常高的要求。这种情况下采取高效率、自动化、规范性的配置检查工具来帮助安全检查与评估是非常必须的[4]。
想要在信息系统中健全完善安全基线技术体系,就需要将安全基线管理方法针对整个企业运营过程进行规划,并落实到运营、管理过程中,从而达到安全基线管理方法的完整性、合理性、有效性等,在各个运营环节中都保障信息系统的安全可靠性和可信任度。安全基线管理方法涉及范围广、内容复杂,是一个贯穿于信息系统全过程的复杂管理系统,需要采用过程性的控制方式才能确保其有效执行。
4 信息安全基线实践
将信息安全基线管理进一步细分,可分为网络安全管理、技术安全管理、机房安全管理、信息安全管理等十项内容,其下又包含了近千个小标准,囊括了金融信息安全的方方面面,细化、明确了安全管理工作的各项要求,规范了一致的安全模板,对金融信息安全检查工作起到了有效的推动作用,促进金融信息安全工作朝着科学化、有效化发展[5]。但是,与之同在的还有目的各异的检查工作和存在很大差别的安全标准,这两种情况的存在很大程度上阻碍了金融行业信息安全工作的进行和发展。针对这一问题,我们究竟该制定怎样的安全标准,成为了近些年来金融行业有关信息安全工作方面亟待解决的问题。
4.1严格执行各项制度
严格执行各项制度已经成为一个老生常谈的问题,大部分人都不以为意,但是在实际的工作过程中,还是经常会出现为送人情无视制度、未经审批率先操作、为求高业绩不畏高危险等不良行为,不具备高度安全责任意识,制度严格把关不到位,信息安全工作做不到贯彻落实。随着金融信息系统的改革创新,安全基线也在不断的变化发展。将信息安全基线管理制度贯彻落实,将监督、检测、学习放到同等水平面,逐渐营造出按规章制度操作的环境氛围,通过加大执行力度来促进信息安全基线的落实。
4.2做好信息安全基线变更工作
虽然已经有一部分金融企业的管理部门制定了一定的安全基线模版作为行业内的安全基线,但依旧有许多不符合标准的现象[6]。针对这种情况,金融企业中利用信息安全基线的变动和定期向上反应,使管理层更加明确的了解和掌握下级部门的信息安全工作状况。对于目前尚未解决的问题,金融企业下级部门要对其原因进行分析,提出改进计划,总结改进过程中存在的问题、所需要的专门技术以及设备资金等,并及时反馈给上级领导。信息安全基线的初始化必须保证科学、合理。下级部门进行审批时要加强检查,对发生变更的安全标准进行及时检查和重复检查。
4.3加大技术投入力度,提高管理水平
金融企业上级部门施行管理决策,其重要依据是下级部门的信息安全基线。提高信息安全基线制度的实施力度,加强管理,加大信息安全检查力度,以此来确保信息安全基线管理高效率的落实到工作中。另外,下级部门还要加大技术投入力度,提高管理水平。针对目前信息系统建设相继完善、技术水平不断提高的现状,必须施行动态的安全基线来满足信息建设的安全。对所涉及到的可能存有安全问题的新领域,要有警惕心理,不定时的检查安全基线,如发现隐患及时更新,从而快速有效的解决风险,避免不良情况的出现。
信息技术快速、持续发展,给金融行业的科技工作带来了新的挑战,同时,信息安全基线的更新和完善也需要先进的科学技术做后盾。作为金融行业下级部门的科技人员,不断扩宽自己的知识范围,深化专业知识,进而提高信息安全基线的管理水平,满足金融业科学技术的发展要求。
5 小结
信息技术与网络化范围的不断发展和进步,逐渐将网络与信息系统安全推进人们的视野中,受到越来越热切的关注,并且,其对金融行业信息系统的常规运转和职能发挥也开始产生威胁。由此可以看出,对金融信息系统进行安全管理体系研究,实施科学合理的安全管理,对提高金融信息系统的安全性能是十分必要的。
参考文献
[1]王海蕴.金融业如何助力实体经济[J].财经界,2013(16):46-47.
[2]陆磊.货币战争与金融稳定[J].南方金融,2013(5):1.
[3]宫晓琳.互联网金融模式及对传统银行业的影响[J].南方金融,2013(5):46-88.
[4]谌志华.安全基线管理在企业中的应用[J].计算机安全,2013(3):19-22.
关键词:计算机安全;安全管理;金融行业
随着金融机构信息化建设的不断深化和加强,金融机构对计算机安全管理的认识也有了极大的提高。随着各家金融机构不断推进改革、各类业务也在逐步与国际化接轨,在金融机构发展和改革中,不免会出现这样那样的安全问题,尤其是计算机管理问题越来越凸显出重要性,一旦发生安全风险事故,不仅会给金融业务的正常运行和办理带来巨大的负面影响,同时也会给金融机构的声誉及其市值带来不必要的损失。所以,金融机构必须将计算机运行安全工作当做一项重要的工作紧紧抓在手上,切不可掉以轻心,出现纰漏,以此来维护金融企业正常的运营秩序,确保金融活动的安全。
1 金融企业计算机安全管理中存在的问题
对于金融机构来说,操作风险是一种难以控制的风险,我国金融企业目前还没有成熟的方法来对此进行计量。实际上许多的金融机构只是懂得如何去操作和使用计算机去办理业务,由于计算机隐形的漏洞对于一般的使用者来说是更本不存在着,因此会在一定程度上会放松这方面的控制。而国外的金融机构对安全工作极为重视,不断进行着监管和技术改造。从这些方面来看,金融业对于整个操作风险的管理体系。到目前为止,对传统信用的风险、市场风险的管理等方面尚不够完善。而实际上,在金融机构计算机安全管理上,可能出现的风险主要还是体现在人为工作的失误和复杂的计算机系统软硬件使用上,金融机构要做到科学、准确地度量和评估,仍然有很多管理和技术上的问题需要解决。笔者认为:我国金融监管部门应该建立一个能够量化的指标体系,用科学的手段对金融业存在的安全隐患作出更加明晰的指导,相关部门更需要就计算机安全管理领域的众多技术指标做一个规范,这样就有助提高金融机构计算机安全管理的规范化和标准化,增强金融企业防范和控制以及化解内在的风险和漏洞。关于对有效数据资源实行备份方面,经融机构够应该强化。需要金融企业根据业务系统的重要性,充分考虑一旦出现安全问题完成各种数据恢复的时效性,同时也要考虑自身风险承受能力等。目前,国际上许多管理先进的金融机构通常会采取系统的灾难备份应对措施,制定一系列相应的灾难备份策略,同时还针对重点部位和关键设施与系统的管理级别,开展高等级的灾难备份工作,从而防止安全隐患发生之后能够快速恢复所有的工作和数据,确保企业的整体运行质量。按照我国金融行业的发展实际,金融管理部门要督促各家金融机构按照企业实际,采用分级实施的办法,逐渐有序推进灾难备份体现建设工作,为避免和杜绝安全风险的发生奠定一个良好的基础。
金融企业是一个庞大的运行机构,涉及着许许多多的业务和工作。计算机安全管理对于金融机构来说,不仅是安全部门的事情,同时需要业务部门紧密的合作与配合,例如:相关部门的业务持续性管理问题,这个问题的解决就需要在科技部门完成备份系统的基础上,各个业务部门相应地按照自身业务特点制定出应急计划,做好在系统中断或者系统恢复过程中应急处理工作的培训和实际演练,目前,我国金融机构在这方面存在着很多的问题,其中业务部门和科技部门在应急恢复工作中的不衔接,尤其是在应用研发过程中,对一些产品质量会引发系统运行风险产品,程序设计或开发存在缺陷、质量不高等多种因素考虑的并不全面。要知道,这些问题的存在,尽管在短时间内不会显现出产品质量问题,同时也不会导致系统安全出问题,但是们这些安全隐患的存在,一定会在业务开展中逐步暴露出来,一旦产品质量,系统运行发生问题,就会给整个企业带来意想不到的灾难和损失。
2 强化计算机安全管理措施保证运行安全
(1)构建计算机安全管理体系。金融行业是一个充满风险和安全问题的行业,整个体系需要一个全局性。系统性的管理体系来加以监督,才能实现安全的运行,确保运行质量的高水平。针对银行系统的特点,我们应该进行规划组建一个计算机安全管理和监督机构,首先作为银行企业第一责任人的银行行长,应该担任计算机安全管理体系的组长,主管副行长担任副组长,同时要抽调办公室、营业部、信贷部、信息中心、运行管理部等有关部门的负责人作为安全管理的组成人员,组成一支具有高素质的计算机安全管理队伍,在日常的工作中随时要对自己所承担的职责进行了解和调查,全力做好重大事件的应急处理、灾难备份、恢复计算机信息系统等的各种安全防护工作。安全科技部门要定期向管理组织汇报计算机安全管理工作情况。各个成员单位也要在集体会议上汇报发现的安全问题,以及需要改进工作的意见和建议。对重大的安全问题要经过认真研究,进行解决,对存在的管理缺陷及时改进。同时,银行要重视科技安全人员的素质提升,要选派一些在计算机管理方面有专长的员工到相关院校学习,对那些管理能力较强的员工,要不断进行技术方面的技能提升,到先进的银行去学习取经,进而形成一批专业技能强、业务精湛的人才队伍,确保计算机安全管理工作的正常运行。
(2)认真抓好项目开发和管理确保质量。金融机构对于计算机软件版本质量的要求非常高,针对银行业的安全要求,我们要采取积极有效的措施来加以保障。首先要在研发与测试管理流程方面不断完善,加强对项目方案的认定和审核、对研发过程、项目质量的指标要严格控制;然后要及时对计算机应用版本进行优化调整,进而对所研发的产品进行测试和投产,要按照节能降耗的原则对版本进行集中投产,以此来解决版本投产较为频繁等问题,其次是要求业务部门开展有效地业务间的配合,深化合作交流的方式,从而形成相互配合、协调联动、环环相扣的局面,实现分散风险的目的。
(3)计算机运行维护与操作的监管。需要建立统一且集中的监控管理平台,对主机、开放平台等各类应用系统开展实时监控,实现生产操作、监控的自动化;接着经过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具与系统,逐渐提高生产运行管理的自动化程度;最后需要建立完备的应急管理体系,明确应急预案与流程,保证出现紧急事件依然能够进行妥善处理,把不良影响降到最低。实施信息安全管理工作,首要建立健全信息安全的内部控制体系,利用技术和管理手段,保证金融机构信息系统和数据的机密性、完整性、可用性。金融机构需要组建一支专门的信息安全防护队伍,对于各类信息存在的安全隐患,及时进行分析和解决。保持系统的正常运行和金融业务的办理,维护了金融机构的声誉。
3 结语
我们应看到,计算机在金融行业中的有效运用同时也会带来了一定的风险,如黑客攻击、病毒入侵等等,这些都是我们在享用计算机技术带来的好处的时候应该多加注意并防范的随着社会的信息化,应对监管部门业务人员进行统一的计算机培训工作并对监管部门的业务人员制定相应的培训制度和考核制度,以促使他们通过培训、自学等途径尽快掌握计算机的操作和应用等技能。作为中央银行的金融监管部门和科技部门,更需要互相配合,互相协作,将计算机技术和金融监管工作科学地结合在一起,努力在金融监管工作中开辟出一片新天地。
参考文献
[1]潘宇乐.浅谈金融机构计算机安全管理存在的问题及对策.工程技术,2010.11.
[2]王欣宇.基层金融机构计算机安全管理存在的问题及对策。应用科学,2008.
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定,因此国家金融监管部门对银行信息科技风险管理日益重视,对银行信息科技风险管理提出了明确要求,各商业银行也普遍提髙了对信息科技风险管理的关注程度。
1.加强信息科技风险管理是金融监管部门高度重视的重要问题
中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出,根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2〜3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。同时,中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作,并相继对各主要商业银行进行了现场专项检查;国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容,着重从信息安全的角度出发,站在维护国家金融稳定和国家安全的髙度,分析当前我国银行业信息科技工作面临的主要风险,并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施,对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的尚度重视。
2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求
在2004年正式公布的新《巴塞尔资本协议》中,重新修订了银行风险的分类和定义,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将防范操作风险放在一个重要的地位,并将信息科技风险明确划归操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
3.加强信息科技风险管理是银行提高IT治理水平的需要
根据IT治理模型,IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构,而且是其中的一个重要方面。随着各家银行信息化建设的深入,对信息科技风险的认识也在逐步加深,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理,信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后,商业银行已普遍认识到信息科技方面一旦发生风险事件,不仅会影响业务的正常办理,还可能会对银行的声誉和市值产生负面影响,因此更加重视信息科技风险管理,对加强信息科技风险管理提出了更髙的要求。
二、加强信息科技风险管理的相应举措
根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南,信息科技风险管理应关注IT治理、软件生命周期管理(即项目开发与变更)、IT服务交付与支持(即系统运行维护)、信息安全、业务连续性管理等五大领域。在上述领域,各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司(以下简称“工商银行”)为例进行介绍。
多年来,工商银行坚持“科技兴行'“科技引领”发展战略,建立了集约化的科技组织体系,并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起,工商银行正式将信息科技风险纳入了全行风险管理体系,作为操作风险管理的重要内容,并在信息科技风险管理方面开展了大量工作。
1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组,由行长担任组长,主管副行长任副组长,信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员,负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时,工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门,建立了一支专业的风险防护队伍,为加强信息科技风险管理提供了组织保障。
2008年,国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价,认为工商银行构建了较完整的信息科技治理结构,构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。
2.项目开发管理
针对由于版本质量造成的应用研发风险,工商银行采取了一系列措施,严格保障应用系统研发质量。一是不断改进研发和测试管理流程,加强需求管理、项目方案审查、研发过程管理和项目质量控制;二是及时优化调整应用版本、测试和投产策略,针对版本投产比较频繁等情况,明确了“版本集中投产”的原则,切实降低因版本投产和生产变更带来的风险隐患;三是与业务部门密切配合,力卩强沟通和协调,实现风险共担。
3.运行维护和操作管理
生产运行风险是信息科技风险的突出表现,并且根据实际情况统计,大约有50%的生产运行风险是由管理操作原因引起的。为此,工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想,并持续强化运行管理操作的各项措施,降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC),对主机和开放平台等各类应用系统进行实时监控,实现生产操作、监控的自动化;二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统,逐步提髙生产运行管理的自动化程度;三是建立了完备的应急管理体系,明确了应急预案和流程,确保出现紧急事件情况下能够进行妥善处理,将事件影响降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的内部控制体系,通过技术和管理手段,确保银行信息系统和数据的机密性、完整性和可用性。为此,工商银行建立了一支专门的信息安全防护队伍,及时分析和解决存在的各类信息安全隐患。同时,积极落实信息安全体系规范和信息安全等级保护措施,部署了入侵检测、漏洞扫描等一系列信息安全防护工具,实施了客户端安全管理。由于采取了及时有效的防御措施,假冒网站、网络攻击等事件虽然时有发生,伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间,工商银行成功抵御了针对网上银行系统的恶意攻击,保障了电子银行业务正常开展,维护了企业声誉。
5.业务连续性管理
多年来,工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设,自行建立了国内同业领先的完善的技术灾备体系。2003年以后,工商银行建立了核心业务异地灾难备份系统,实施了同城磁盘镜像,成为国内同业第一家同时具备同城和异地灾备系统的银行,为保障信息系统的连续性运行奠定了技术基础。与此同时,工商银行依靠自身力量制定了《信息系统连续性运作计划(ITCP)》,并从2005年开始,每年都进行一次全行业务级灾难恢复应急演练,模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下,将全行核心业务切换到北京的灾备中心的技术和业务处理,有效保障了灾备系统的有效性。
三、加强信息科技风险管理需要思考的若干问题
目前,商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。
1.要关注信息科技风险计量和相关标准规范体系建设
对于银行来说,操作风险本身就是一种比较难以控制的风险,目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本,进而控制操作风险。伹据调查,60%以上的银行未从2007年开始对操作风险实行量化管理,大多数银行的预期实施时间是2010年〜2012年。可见,银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外,还与日趋复杂的信息系统软硬件环境直接相关,因此要对其进行科学、准确的度量和评估,存在更大难度。从全球范围来看,尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验,伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此,国内银行业需要首先考虑建立一套量化的指标体系,科学衡量银行的信息科技风险。同时,建议相关主管部门牵头在信息科技管理领域建立相应的标准规范,以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。
2.正确认识灾难备份体系建设的内涵
建立完备的灾备体系对银行的重要意义毋庸置疑,伹灾备体系建设应遵循什么样的标准和原则,是否所有银行系统都遵循同样的标准建设灾备系统,是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下,银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素,参考相关国际标准n,综合评定划分灾备等级,确定业务恢复时间(RTO)、业务丢失时间(RPO)等关键指标,在此基础上,遵循成本效益的原则,按照相应的标准开展灾备建设。目前,国外现代化商业银行普遍采用此种做法,首先确定系统的灾备等级,并相应实施不同的灾备策略,重点对关键设施和系统实施髙等级的灾备保护措施。
因此,建议国内相关行业主管部门积极引导各商业银行根据实际情况,采取分级实施、逐步推进的原则,借鉴国外银行的先进经验,优先确保关键设施和重要业务系统的连续性运作,在实现灾备体系建设目标的同时,也相应降低建设和维护的成本。
3.信息科技风险管理需要业务部门的关注和共同参与
与应用产品创新工作需要科技部门和业务部门共同完成类似,虽然信息科技风险管理更多关注的是IT领域,伹其中相当一部分内容与业务部门息息相关。
在业务连续性管理方面,在科技部门建成了灾备系统的基础上,需要业务部门制定业务层面的应急计划,指导业务人员在信息系统中断和恢复时进行业务的应急处理,从而与科技部门协同开展应急恢复工作。
是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。
一、网络金融概念特点
(一)概念
网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。
(二)特点
世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。与传统金融相比,网络金融具有以下一些特点:
1、虚拟化。网络金融市场是一个信息市场,同时也是一个虚拟化的市场。网络金融虚拟化主要表现在金融实务虚拟化、服务机构虚拟化、交易过程虚拟化和交易货币虚拟化。
2、无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。
3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。
4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。
5、信用性。电子货币和网络金融的发展,使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务,而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。
二、网络金融安全现状
网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
有关调查表明,目前国内80%的网站都存在安全隐患,其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:
1、金融装备落后。我国金融电子设备的核心技术大部分都是从国外进口的,国产化率低、创新自主知识产权少,在金融电子化过程中,整个金融系统内的操作平台,以及电子支付系统等核心技术,都对国外技术的依赖性越来越大,由于平台软件源代码末公开,导致我国金融安全的基础相当薄弱。因计算机硬件故障造成系统停机、磁盘列阵破坏等事件,成为网络金融业务的安全隐患。
2、网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑 客攻击事件,40%是针对金融系统的,我国则高达60%以上。 3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访
问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。
4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。
5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。
三、网络金融安全对策
1、加快立法进程。我国网络金融立法滞后,网络金融安全立法更是一片空白。由于网络金融安全关乎我国的经济安全甚至国家安全,因此,网络金融安全立法进程刻不容缓,国家应高度重视,拟成立网络金融安全管理机构,研究制定金融安全政策和标准,规范、指导和约束网络金融的安全发展,应充分借鉴英美的成功经验,参照英美颁布实施的《电子通信法案》、《数字签名法》等法律,在制定出适合我国国情的电子签名法后,加快电子证书法、加密法等网络金融安全法律法规的出台,打造网络金融规范化、法制化环境,明确商家、消费者、第三方支付系统的权利、义务,规范市场参与者的资格、行为、责任,打击网络金融犯罪,保护金融机构及交易当事人的合法权益,保障网络金融业健康、规范、有序地发展。
2、强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。
3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。
4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。
5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。
6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。
参考文献
[1]赵艳.网络金融监管的难点及对策探究[J].学理论,2011(1).
(如东县农业机械管理局,江苏 如东 226400)
摘 要:随着我国经济的迅速发展,经济安全问题逐渐提上管理议程,并开始得到广泛关注。经济安全是国家总体安全的基础。经济全球化促进了世界经济的发展,给世界各国既带来机会,也带来挑战。随着生产力发展的区域化与全球化,各个国家之间的相互依存度持续增加,使经济安全问题日益具有区域性、全球性的特点。加上近两年来我国经济改革的不断深入和贯彻,经济安全问题已经渗透到经济领域的各行业、各阶层。经济安全包括金融安全、产业与贸易安全、战略资源安全以及经济信息安全等。本文主要对新形势下我国经济安全问题进行研究。
关键词 :国家;金融安全;产业与贸易安全;战略资源安全
中图分类号:F12文献标志码:A文章编号:1000-8772(2014)25-0166-02
一、我国经济安全体系及其现状
(一)金融安全,内忧外患。金融安全是经济安全的核心。然而,我国的金融并不安全,甚至对经济安全构成了极大的威胁。一方面,长期以来积累的体制性矛盾使得我国金融安全存在巨大的隐患;另一方面,随着国际金融一体化以及中国加入WTO,我国的金融安全将面临外部冲击的考验。这些安全问题主要体现在金融机构违法违规活动严重、金融监管体制滞后;金融开放和金融全球化带来的外部冲击;国际游资对我国金融安全构成潜在威胁。
(二)产业与贸易安全,外部冲击不断加大。产业与贸易安全是国家经济安全的重要组成部分。随着改革开放战略的实施,我国在吸引外资和对外贸易方面取得了可喜的成就。与此同时,我国的产业与贸易安全也面临着外部冲击不断加大的风险。这些安全问题主要体现在外商直接投资对我国产业发展带来了一定的冲击;较高的外贸依存度降低了我国经济抵御外部风险的能力;
(三)战略资源安全,形势极为严峻。改革开放以来,我国经济增长取得了举世瞩目的成就,但这种粗放式的经济增长却是以资源大量消耗作为代价的。从1990年到2001年,中国石油消费增长了100%,天然气消费增长92%,钢材消费增长143%,铜消费增长189%,铝消费增长380%,锌消费增长311%,10种有色金属消费增长276%。自20世纪90年代以来,中国能源消费总量远远超过生产总量,能源供需矛盾不断加剧。为了弥补国内能源供给不足的缺口,必须依靠国外进口,从而使得能源的对外依存度逐渐提高。据有关报导,到2014年,我国铁矿石对外依存度超过了60%左右。因此,一旦国际能源市场发生波动,那么必然会对国内经济的发展造成强大的冲击,影响国家经济安全。
二、新形势下我国经济安全面临的主要问题与挑战
(一)经济转型重要时期带来的改革
根据相关文件,未来中国经济将继续保持7%以上的增速,创新、国企改革、刺激内需增长等都将成为驱动中国经济发展的力量。当前的关键是推动中国从出口导向型经济向消费导向型经济转变,从过去主要投资硬件设施转向更加重视教育、科技等软性基础设施建设。
经济转型意味着国家经济秩序的重塑。这个重塑的过程就蕴含着一定的风险。以金融安全为例,金融领域的风险点主要集中在房地产等领域形成的银行信用风险和影子银行风险;中长期看,要高度关注企业债务率过高、流动性结构失衡等问题。在经济快速增长、结构转换的重要时期,金融安全管理机构与人员需要时刻注意房地产市场的变化、地方政府性债务风险以及流动性失效造成的结构性问题等。
经济转型为金融等各个经济领域带了发展的巨大机遇,但同时也带来一定的安全隐患。相关机构应当认真看待转型期的进步,也要时时检验,提前预防,将经济风险降到最低。
(二)网络安全问题渗透于经济安全
新时代是网络的时代,是多媒体的时代。网络的日益普及和更新换代,都让更多的企业和事业单位依赖于网络的应用。伴随着网络技术的发展,各种隐形的安全问题日益突出。在前几年,网络安全就被美国列为最严重的经济和军事挑战。相关数据显示,2013年中国的活跃智能设备总量从3.8亿台增至7亿台。同年11月11日当天,线上购物平台淘宝和天猫的销售额就超过362亿人民币。此外,百度的网络搜索量每天高达50亿次。上亿的中国人使用腾讯的社交应用软件“微信”。目前中国的网名规模达到6.32亿,并在持续增长。这些数据都反映了互联网在经济中的重要作用。
网络重要性日渐突出的同时,网络安全也应得到充分重视。2014年相关机构继续加强对网络安全的监管,指导督促相关企业重视网络安全问题,完善和落实企业自身的网络安全管理制度和基础设施。
三、维护我国经济安全的有效途径
(一)健全维护我国产业安全的法律体系。首先,完善有关产业安全的法律法规。我国应及时修订完善包括反倾销、反补贴、对外投资、知识产权保护、国家安全、农业保护等方面的法律法规,形成符合WTO规则的产业保护法律体系,促进产业保护手段法制化、体系化;并加强技术性法规和标准的制定,强化产业保护的效果。同时,加强对企业的应诉指导,加大谈判和交涉力度,建立可行、有效的激励机制,促进企业应诉取得较好结果。其次,制定规范外商投资的综合法律。建议有关部门考虑将外商投资的产业导向、对象、原则、方式、法律适用、法律责任以及国家对外资并购的审查和监管等内容囊括其中,使之成为我国规范外商投资的纲领性法律。再次,强化产业安全预警体系立法。适时推出产业损害预警监测方面的法律法规,以加强对产业安全预警工作的指导。最后,加强各相关法律法规的协调。
(二)发挥政府主导作用,切实提升产业竞争力。我国需要抓住国际产业分工、调整、重组的机遇,充分发挥政府对产业发展的主导作用,实施促进产业发展的政策,通过产业政策和贸易政策的有机配合,对具有潜在优势的产业在一定时期内提供必要的保护和支持,促进其发育、成长、壮大,直至成为国民经济的重要产业。构建产业安全预警体系。建立政府、行业协会和企业之间的有效互动机制。外国的经验表明,维护产业安全,不是某个部门或某个企业自己的事,需要各有关方面的共同努力,政府、产业界及企业间的密切配合至关重要。只有上下协调、团结一致才能形成合力,才有力量去维护产业安全。
(三)建立安全预警机制。首先,建立产业安全预警指标体系。产业安全预警系统的一个重要组成部分是构建一套能够全面、动态、及时反映产业发展状况和趋势的指标体系。其次,确定产业安全预警临界域。产业安全预警体系只有在确定了指标预警临界域之后才能真正运行。预警临界域的合理界定,对于准确监测各项预警指标的演进情况,进而对产业的运行状况和发展趋势做出准确的判断,有很大影响。最后,对产业安全预警结果进行分析与输出。建立产业安全预警体系旨在出现警情之前做出预测并及时发出警报。预测与警报都是依据预警体系输出的结果,而对于预警系统运行绩效的最终判断也完全取决于预警体系输出的结果。
(四)切实推进自主创新。随着我国经济逐步融入国际化,自主创新在提高产业国际竞争力中的地位越来越重要,特别是要形成产业持续的竞争力,保持持续发展的后劲,就必须在自主创新上有大的突破。要把建立创新型国家、培育创新型企业作为保障产业安全的根本举措,把产学研技术创新战略联盟作为推进自主创新的战略措施,把建立企业技术创新服务平台作为战略的突破口,把引进和培养优秀人才作为战略的关键,把完善和落实自主创新的各项政策作为产业安全的战略保障。总之,只有建立以企业为主体的技术创新体系,大幅提升我国企业自主创新能力,实现经济的创新驱动发展,才能维护我国产业安全,促进经济平稳持续快速发展。
(五)加强对产业安全的监管。随着外商投资的快速增长和外资并购节奏加快,带来的产业安全问题会越来越多,需要加强对产业安全的监管。严格对外资的管理,尤其要严格规制外资并购。对外资应采取鼓励与防范“两手抓”,其松紧度的把握、政策组合的设计,应根据我国的发展战略、所处的经济发展阶段、产业成熟度与国内外形势和条件,适时灵活地调整,做到审时度势、与时俱进。同时,要转变对外资的管理方式,加强对已引进外资的管理,通过监管投资企业的发展状况,建立对外资企业评估的指标体系,区分外资企业的级别,采取不同的标准对待,限制甚至关闭那些给我国发展带来收益较少的企业。
参考文献:
1.1成本低在互联网金融模式下,进行资金交易的双方可以通过网络平台了解对方的信息,根据彼此的利益需求,制定合适的交易定价、交易内容等,实现资金交易。利用网络平台进行金融交易,可以节省开设营业网点的资金,消费者直接通过网络平台了解金融产品,这有效地降低了金融交易成本,促进了金融产品的销售。
1.2效率高互联网金融业务是以计算机技术、网络技术、信息技术等科学技术为支撑,可以为用户快速地进行金融产品计算、办理金融相关业务等,促使金融交易和金融业务快捷便利地进行。
1.3覆盖广当下网络技术的有效覆盖,促使互联网金融业务可以在网络环境下顺利进行,用户可以不受地域、时间的约束,随时随地地进行金融产品查询、购买等行为,这充分说明互联网金融覆盖面较广。
1.险大之所以说互联网金融风险大,是因为当前我国信用体系还不完善,对于互联网金融业务的法律约束存在一定缺陷,因而网络诈骗、金融违约等问题层出不穷。另外,我国互联网的安全程度并不是非常高,容易遭到黑客、病毒的侵袭,使得互联网无法正常运作,这会给互联网金融的运行造成严重的影响。
2互联网金融存在的金融风险
作为互联网技术与金融全面结合的产物,互联网金融扩大了金融业务范围,降低了金融成本,提高了金融业务办理速度,但它存在的金融风险同样不可忽视。互联网金融存在的金融风险主要体现在以下几方面。
2.1技术风险互联网金融以计算机技术、网络技术、信息技术等作依托,在开展和执行各项金融业务的过程中各种技术的应用是非常关键的。保证各项技术的有效应用就意味着互联网金融业务可以有序、合理、快速地实施。然而在应用各种科学技术的过程中,也可能出现一些技术问题,致使互联网金融的运作受到影响。综合我国互联网金融的实际情况,互联网金融存在的技术风险有三方面。
2.1.1系统性的安全风险互联网金融系统性的安全风险与计算机网络技术应用是否合理、有效有很大关联。目前常见的系统性安全风险主要表现为:
(1)加密技术不完善。依靠计算机系统,互联网金融业务才能顺利的开展和执行。但在应用计算机系统的过程中如若加密技术不完善,一旦黑客攻击或病毒侵袭,保存在计算机系统中的金融信息将会被破坏或盗取,系统终端可能被攻击,致使互联网金融受到重创。
(2)TCP/IP协议的安全性较差。目前互联网采用的传输协议是TCP/IP协议族,此种协议最大特点就是信息沟通流畅,但存在的最大缺陷是安全程度低。这使得目前互联网金融安全防范效果不佳,信息传递、资金转移过程中容易被盗取。
2.1.2技术选择风险因为互联网金融存在系统性的安全风险,所以选择适合的互联网金融技术来解决安全问题是系统维护者需要仔细考虑的,但互联网金融技术的选择也存在风险。如若互联网金融技术设计存在缺陷或操作不当,可能引发信息传输低效、技术运用效果不佳等问题,致使互联网安全问题不仅没有得到解决,反而给互联网金融带来更大的危害。
2.1.3技术支持风险由于互联网技术具有很强的专业性,从事互联网金融业务的机构受技术限制或运用成本有限等因素的困扰,互联网金融所应用的技术不能够及时地更新或更换,这使得互联网金融业务的实施受到一定的限制,在进行某些高端服务的过程中技术难以满足要求,如若强制应用可能造成一定程度的损坏。所以,互联网技术支持不到位也会影响整个互联网金融的运行,容易给互联网金融带来技术支持风险。
2.2业务风险
2.2.1操作风险从互联网金融的安全系统来看,互联网账户的授权使用、互联网金融的风险管理系统、从事互联网金融业务的机构与客户的信息交流等与互联网安全操作有很大关联。如若互联网操作过程中交易主体出现操作错误,可能会导致业务风险产生。由于互联网金融业务是在虚拟环境下进行的,交易主体对互联网金融业务的操作规范、操作要求、操作流程等方面不够了解,交易主体交易过程中产生的操作失误,极大程度降低了互联网金融安全性,给互联网金融业务带来风险。
2.2.2市场选择风险互联网金融业务如若出现市场选择风险,其来源主要是互联网金融业务信息不对称以及信息不对称情况下互联网金融市场出现“柠檬市场”。所谓互联网业务信息不对称是指在虚拟的互联网环境下,金融业务主体为用户提供不准确、不恰当的信息,这使得市场选择欺骗性,可能使用户丢失资金,此种情况不利于互联网金融的发展。而在互联网金融业务信息不对称情况下产生的“柠檬市场”是指在起步阶段的互联网金融环境中,金融产品定价低、服务质量差的金融业务被广大用户所接受;而金融产品定价高、服务质量高的金融业务不被接受。这种不良的市场选择现象不利于互联网金融良性发展,容易给互联网金融带来市场选择风险。
2.2.3法律风险虽然我国出台了《电子银行业务管理办法》《、非金融机构支付服务管理办法》《、电子签名法》《、网上证券委托管理暂行办法》等相关法规,但我国互联网金融还处于起步阶段,互联网金融相关法律法规尚不完善,互联网金融立法比较落后和模糊,相关监管规定还处于滞后状态,即监管空白,致使互联网金融业务在实施的过程中,一些不良人员钻法律的空子,开展不正规的金融业务活动,给互联网金融带来一定的风险。所以,不断地完善互联网相关法律法规是降低互联网金融法律风险的关键。
3加强互联网金融风险防范的有效措施
3.1构建互联网金融安全体系构建完善、健全的互联网金融安全体系,可以提高互联网金融业务运行的安全性,降低互联网金融风险。对于互联网金融安全体系的构建,主要从两方面入手。
3.1.1改善互联网金融的运行环境为了保证利用计算机系统进行的互联网金融业务可以有效地实施,应当对计算机系统的防火墙、密银等安全防护功能进行强化,增强计算机系统的安全性,避免其受到黑客或病毒的侵袭,以此来保证互联网金融业务在安全的环境中运行。
3.1.2加强数据管理为了保证互联网金融业务信息或数据不被盗取、破坏,以及丢失,应制定统一、合理、有效的技术标准规范,按照此标准规范,选择适合的互联网金融技术,并且设计制订合理的技术应用方案,科学地运用互联网金融技术,加强互联网金融实施的安全性、有效性、合理性,降低互联网金融技术风险。
3.2健全互联网金融业务风险管理体系风险管理的有效实施,可以对互联网金融业务进行科学、合理的规划、监督、控制,最大限度地提高互联网金融业务实施的安全性和有效性。当然,确保互联网金融业务风险管理有效应用的关键是建立健全的互联网金融业务风险管理体系。风险管理体系可以调险管理制度、约束风险管理、优化风险管理环境等,监督风险管理有效实施。建立互联网金融业务风险管理体系时,需要注意两方面:其一是加强金融机构互联网金融业务内部控制,通过制定完善的金融风险防范制度、安全管理办法,规范的业务操作流程等来有效的控制互联网金融业务,促使金融业务有序、规范、合理地实施;其二是加快社会信用体系建设,建立完善、客观的企业信用评估体系和个人信用评估体系,通过信用评估体系对参与互联网金融业务的企业、个人信用进行评估,确定个人或企业信用良好的情况下,允许双方进行互联网金融业务。
3.3加强防范互联网金融风险的法制体系建设对于当前我国互联网金融相关法律法规不完善、不健全的情况,应当加强互联网金融法制体系建设,不断地完善互联网金融法律法规,约束互联网金融业务,为促进互联网金融的良好发展创造条件。对于互联网金融法制体系的建设,可以通过加大互联网金融的立法力度,填补互联网金融的监管空白,修改和完善现行法律法规,制定网络公平交易规则等,以此来完善互联网金融立法和法律法规,为营造良好的互联网金融法律环境而努力。
4结语
网络金融课程就是因教学需要,尝试性地将信息技术和金融理论与实务相融合的产物。网络金融课程的建设也是顺应金融电子化和财会电算化的发展趋势,而对其从业人员素质提出新要求的必然选择。
网络金融课程定位
金融类高职院校是以培养高级技术应用型人才为目标的高等院校。网络金融课程的培养目标是通过理论与技术的学习与实践,培养适应金融电子化业务发展的操作员与技术维护人员。所以,网络金融课程在教学方面的重点是注重信息技术在金融业务中的应用。例如:金融电子化业务解决方案的分析,以及如何结合不同金融企业的业务特点选择解决方案;金融电子化业务软硬件的现状与发展;金融电子化业务的技术应用与维护;金融电子化业务的安全评估与风险防范等。
学校对网络金融课程的定位是:以技术应用为核心、以能力培养为重点的金融业务电子化的技术应用与技术维护的专业课程。网络金融课程通过以技术应用提高营运业务能力为主线设计教材体系;以网络经济特征和金融电子化为引导,以电子货币、网络金融产生与发展、网络金融业务营运模式、网络金融服务与清算、网络金融经营管理、网络金融业务监督、网络金融安全等为主要内容。网络金融教材以基础理论够用为度,专业技术与业务应用突出其针对性和实用性。
网络金融课程的内容
网络金融课程的内容由信息技术、网络技术、计算机技术、网络经济理论、金融理论与业务等部分组成,并形成知识模块。
第一知识模块由信息技术、网络经济理论、金融电子化理论整合形成网络金融理论综述;第二知识模块由电子技术与货币理论组成,有机地将虚拟货币与实物货币理论进行融合,形成网络金融的货币理论;第三知识模块由计算机软件技术、网络技术和金融业务知识整合形成网络金融主要业务平台功能综述;第四知识模块由计算机软件技术、网络技术和银行业务等知识整合形成虚拟银行业务平台功能综述;第五知识模块由计算机软件技术、信息技术、网络技术和银行会计知识整合形成电子支付平台功能综述;第六知识模块由计算机软件技术、信息技术、网络技术、多媒体技术、信息安全技术、知识管理技术和金融管理知识整合形成虚拟金融管理平台功能综述;第七知识模块由计算机软件技术、信息技术、网络技术、风险管理技术和金融监管知识整合形成虚拟金融监理平台功能综述;第八知识模块由计算机软件技术、信息技术、网络技术、信息安全技术和金融安全管理知识整合形成虚拟金融安全管理平台功能综述。
网络金融知识模块中对学生技能培养的标准设计
网络金融课程的八个知识模块中,有三个模块着重对学生技能的培养,为此,学院根据需求制定了以下标准,请见下表。
网络金融实践教学设计方案
利用信息化技术处理金融业务的特点是按软件提供的模板进行操作,所以,熟练应用软件是基本技能。
网络金融课程模拟实习主要分两种途径进行,一是整合利用免费网络资源进行模拟操作,二是利用综合实验室的业务系统平台和应用软件对网上银行、证券和保险进行模拟实践。但是,模拟实践与真实业务还是存在一定的差距,因为各家金融机构不会将自己正在使用的软件卖给学校或其他机构作模拟练习,除非他们自己对员工进行培训。另外,对于一些小软件可以通过安装与运行来了解其功能。例如,CA证书软件、电子钥匙、数字签名、客户管理等软件。
虽然利用免费网络进行模拟操作成本很低,但网络资源是有限的,并且有些业务在网络上是不可能进行模拟的。例如,CA认证、电子钥匙加解密、数字签名、客户管理等。如果将以上两种途径有机地结合起来,就可以起到互相补充的作用。
1.利用网络资源进行网上银行实习模拟
网上公司银行服务模拟:网上银行服务中一般可以为注册用户提供如下网上公司银行服务模拟。东亚银行省略/maindoc/whp_servchina/,进入东亚银行网站主页,选择网上公司银行服务,然后在下拉菜单中选择示范,网上公司银行服务流程与内容就会根据你的选择进行演示,多次重复实践就会熟悉该软件的功能与如何操作的具体步骤和方法。
个人网上银行业务模拟:网上银行个人业务模拟一般由花旗银行省略/portal/citiwm_home_center.jsp、招商银行省略、中国建设银行省略、中国银行省略、中国工商银行省略、广东发展银行省略、深圳发展银行省略等网站提供。虽然各网站提供的服务或业务分类有细微的差异,但是基本功能是相同的。首先选择一家网站,进入主页面,选择个人银行模拟,或选择个人银行菜单,在下拉菜单中选择演示项目,个人银行业务流程以及内容就会根据你的选择进行演示,多次重复实践就会熟悉该软件的功能与如何操作的具体步骤和方法。
电子支付安全模拟主要是通过对中国金融认证中心省略/网站的浏览和学习,通过知识园地、解决方案和产品与服务,了解电子支付安全的要求和流程,以及电子印章、金融信息安全管理机制和相关软件的应用。学生也可以通过对不同网站的比较,了解目前网上银行的现状与功能。
2.利用网络资源进行网上证券模拟实习
模拟炒股的证券服务系统由盛润2000、胜者之星、证券之星、天一证券等网站提供。学生可以选择其中一家网站注册参加模拟炒股。注册成功后系统会给模拟炒股者提供虚拟资金50万元或10万元人民币,模拟炒股者在网上炒股,除了资金和股票是虚拟的,其他操作与真实炒股没有区别。例如:选股、委托买入或卖出、撤单、查询等。通过一或两个月的操作,学生自己可以根据虚拟账面资金分析自己的成绩。另外,也可以进入招商银行网站选择手机银行演示,模拟仿真手机炒股。
3.利用网络资源进行网上保险模拟实习
进入保险网站后,可以了解我国保险业网上业务开展状况,查看各家保险公司网上保险业务的种类,了解网上投保的流程,了解各险种的特点与利益。例如:中国太平洋人寿保险有限公司省略/,中国人寿保险股份有限公司省略/,中国人民财产保险股份有限公司省略/cn/index.shtml,美国友邦保险有限公司www1.省略/aia/等,都可以查询相关的内容。学生也可以通过对不同网站的比较,了解目前网上保险的现状与功能。
教学方法的改革探索
在改革网络金融课程的教学方法上,学校利用博客进行了有益的探索(省略/zjswljrzy)。学校的博客教学网站主要包括:案例、电子货币、教学视频、网络金融关键词、网络金融机具、网络金融拓扑图、网络金融在线测试、网络经济、网上保险在线实习、网上银行在线实习、学生作业、中国金融认证中心等。
学校的网络金融课程在历时五个月的教学中,采用博客这种新的教与学的互动模式进行试验,参与试验的学生是金融专业05级两个班的103位学生。实验初期,学生对新的教与学的互动模式不太适应,不知道如何学习与交流,但在教师的引导下,逐渐都进入了状态,部分学生讨论的话题还有了一定的深度。例如:探讨网络钓鱼、Q币问题等。103位学生都创建了自己的博客,并对博客教学的方法、教学内容进行了讨论,很多学生还发表了自己的学习体会、网上调研的心得与调研报告。学生对教学内容的访问量达到10182人次;对教学内容发表的评论达1972人次;对教学内容的疑惑与见解提交的留言有720人次。其中,孙丽丽同学的作业还被其他院校的教师引用。
采用博客教学最突出的效果是增强了学生自主学习的主动性;拓展了师生之间、学生之间的互动空间;开放式教学吸引了更多的其他学校师生、行业职员参与交流讨论,扩大了交流的范围和受益的群体。
总结历时五年的信息技术与金融专业课程整合的思考与实践,学校深感虽取得了一点成绩,并积累了一些经验,但同时也面临许多困惑。例如,有些软件在实验室只能做部分实验,整体运行缺乏应有的数据资源。如果能与金融机构共同建立校内实验室,并且聘请行业专家管理和指导学生,或者对过去的数据进行修改,替换真实的客户名、单位名等,也许就会缓解运行缺乏数据资源的矛盾。另外,利用免费网络资源虽然成本低,但是存在不可控、不确定的因素较多。因为,免费网络资源针对的群体是消费者而不是学生,提供的资源也是满足消费者的需求而不是教学需求,这些都是学校不可控的因素。所以,目前可利用的网络资源也不足,课程整合不能完全依赖免费的网络资源。如果有某家金融机构建立有偿网上金融业务培训,并提供真实的实践环境,或者学校与行业机构在校外共同建立培训基地,面向社会有偿提供网络金融业务培训服务,也许会缓解这一矛盾。
综上所述,信息技术与金融专业课程整合还需要进一步探索与实践,课程内容与教学实践还需要进一步完善。
作者简介:
李逸凡,浙江金融职业学院党委书记,副研究员,研究方向是现代教育技术与应用;
论文关键词:金触信息系统风险隐患防范措施
随着,国金融电子化建设的不断深人,电子化、网络化、集约化已经成为金融业信息化发展的大趋势,电子计算机及信息技术的应用已经渗透到金融业经营的各个层面,成为了金融业务开展的基础,现代金融就是“货币+信息”。金融信息化系统安全的重要性也与日俱增,成为金融业经营管理工作中的头等大事。本文就当前金融信息系统风险隐患的成因进行剖析并提出对策措施。
一、金融信息风险成因
1.系统运行环境的不安全。一是操作系统平台的漏洞。金融信息系统主要是基于UNIX.Windows,SUN等系统平台设计的,而这些操作系统,安全级别较差,存在着安全漏洞,如系统崩溃漏洞、拒绝服务攻击漏洞、缓冲区溢出漏洞等,都能导致系统的瘫痪。二数据库管理系统的缺陷。数据管理系统是信息系统的基础,必须与操作系统的安全配套,但这无疑是一个先天不足。三是网络协议安全的脆弱。计算机网络系统大都使用TCPIIP协议,传统的FTP,E-MAIL等服务都包含着影响金融信息安全的因素,存在着漏洞,容易被攻击,直接威胁到金融信息系统的安全。
2.信息系统设计不完善。近几年,金融信息系统不断开发出来和投人运用,创新了金融工具和金融业务,但由于有的系统在开发中,片面注重科技创新追求快出成果,对安全的认知程度不高,缺少风险管理概念,忽视了系统的有效性和安全性,系统没有统一的安全标准,功能单一、容灾、容错能力弱,应用效果差,没有发挥应有的作用,造成信息资源的浪费。
3.安全系统建设缺乏整体性。根据木桶理论,金融信息系统的整体安全性,取决于安全系统的最薄弱环节,而当前安全系统只重视单一或几个安全产品的部署,网络安全产品仍然是在以“点”发展,停留在访问控制、病毒扫描、内容过滤等方面,而忽视整体安全系统建设。
4.安全队伍建设和员工安全意识教育不到位。高素质的安全管理人员的缺乏严重地影响了计算机信息系统安全措施的有效落实。就当前情况来看,金融机构安全管理人员大都是由计算机工程技术人员兼任,他们既是电子化工程项目的建设者、管理者,也是信息安全的管理者,集电子化建设和信息安全管理于一身,职责不明,责任不清,不能有效地对安全现状进行真实、客观的评估和审计。
5.安全防范措施不力,内部控制不产。落后的管理也使计算机安全工作大打折扣。据统计我国银行业的IT投人有59%花费在了硬件设施上,软件投人所占比例为23%,管理服务上的投人少,只有18%,这与国外银行业的IT投人比例形成了鲜明的对比。落后的管理也使计算机安全工作大打折扣。从已经发生过的金融计算机犯罪事例来看,大多数问题出在疏于检查、放松管理上。据有关部门统计,我国银行系统发生的计算机犯罪案件,85%来自内部人员或内外勾结作案。
二、构建安全的金触信息系统
1.树立正确的信息安全观。从金融管理机构到金融机构、从金融管理层到基层员工都要高度重视金融信息安全,清醒的认识到加强金融信息安全的根本是保障金融业务的连续性、是促进金融的可持续发展,有效的金融信息安全管理策应对企业的财务状况,现金流量等进行分析。一是资产负债结构。分析受评企业负债水平与债务结构有助于了解管理层理财策略(如债务到期安排,企业偿付能力等)。此外,企业的融资租赁、未决诉讼中的负债项目也会影响评级结果;二是盈利能力。通过对销售利润率、净值报酬率、总资产报酬率等指标衡量;三是现金流量充足性。现金流量是衡量受评企业偿债能力的核心指标。净现金流量、留存现金流量和自由现金流量与到期总债务的比率,基本可以反映受评企业营运现金对债务的保障程度;四是资产流动性。主要考察企业流动资产与长期资产的比例结构。同时,通过存货周转率、应收账款周转率等指标反映流动资产转化为现金的速度,以评估企业偿债能力的高低。
为了能准确地考察借款人的偿债能力,非财务因素对于借款人的影响也是不可忽视的。非财务因素主要指借款人所处的行业、经营特征、管理方式、还款意愿以及其他一些因素。
上述模型考虑了企业自身的内部组织结构,经营方式的不同给银行在实际贷款时可能带来的不同程度风险。该模型对各因素的内容作了具体描述,对风险的程度划分详细,便于操作。在深层次的信用评级中,还应考虑相关的实际因素如行业风险、业务风险等对企业信用的影响。
滥发信用卡,过度依赖刷卡、过度透支,给美国金融体系埋下了巨大的隐患。截至去年底,美国持有信用卡家庭的平均债务约为1.06万美元,债务总额接近万亿美元。有机构预测,到今年年底,美国信用卡违约率可能上升到前所未有的9%。很多人现在担心,一旦美国爆发信用卡还款危机,将会成为继次贷危机之后,重创美国经济的第二颗重磅炸弹,全球走出金融危机的时间表又将大大推迟。
随着信用卡在我国的广泛使用,一些不法分子开始盯上了信用卡套现这个生财之道。在我国,POS机分为直连POS和间连POS,分别由中国银联和各商业银行提供,银联和各大银行为扩大自有POS机的覆盖范围,都逐渐降低了POS机安装的门槛,恶意套现公司往往以超市或商户的名义,向中国银联和商业银行申请POS机,对于非法商户和虚假交易审查方面的漏洞,交通银行首席经济学家连平表示,银行和银联也应负起相应的责任。
现在银行卡在我们生活中的位置越来越重要,大到购房买车,小到网上购物,都离不开刷卡消费。按照央行的统计,我们日常生活中每花出去100块钱,几乎就有25块钱是通过银行卡支付。而其中,信用卡透支消费占到了相当大的比例,然而,就在日前,央行、银监会、公安部和国家工商总局联合发出《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》要求从六个方面加强银行卡尤其是信用卡的安全管理,预防和打击相应的犯罪。其中信用卡的恶意套现也将是打击的重点。
为什么信用卡持卡人会选择这种非正规的中介公司套现,而不是去银行取现呢?原来在银行的ATM机上用信用卡取现,持卡人往往只能取出信用额度一半左右的现金,此外,银行还要收取1%~3%不等的手续费和每天万分之五的利息,如果逾期没有还款,银行还要收取欠款的循环利息。