网络安全风险预案范文1
1.1计算机可靠性的定义
通常将在一定条件下,一定的时间段内的网络连通速率以及满足通信需求的能力,称作计算机网络的可靠性,其标志着计算机网络拓扑结构的扩容量的大小,网络拓扑结构对于满足计算机网络的正常运行具有重要的意义。
1.2计算机网络可靠性的设计
由于相关的科研人员针对于计算机网络可靠性方面的设计积累了很多实际的设计经验及原则,因此在落实计算机网络可靠性的设计技术方案过程中,起到了很好的规范和指导的作用,使网络可靠性的建设更为快捷。
1.3优化计算机网络可靠性
设立完善的计算机网络应急机构,并同时制定合理的应急预案,针对问题实时解决。
2网络应急预案的理论基础与价值目标
2.1网络应急预案的理论基础
(1)基础。中国的《宪法》第67条第20项全国人民代表大会常务委员会行使决定全国或者个别省,自治区,直辖市的国家紧急权力;第80条规定了全国人民代表大会和全国人民代表大会常务委员会的决定,宣布进入紧急状态。这充分说明了紧急状态下政府权力出现来源必须有法律依据。(2)社会连带责任思想。提倡社会各方面参与网络应急响应系统的实施。首先,在各方面都需要网络技术支持的今天,需要加强社会网络现有空间群众之间的联系、合作和责任,这是新时期新出现在网络信息安全的“文化理念”。这个“文化观”的思考,有必要根据在全球信息化网络安全性进行设立,其中相关人员应当履行网络安全责任,增强网络安全意识,及时的对事件所造成的问题作出反应,不定期评估网络应用可能出现的安全风险。其次网络突发事件,社会成员各方面的合作。面对当前复杂多变的网络应用现状,政府需要有各方面的机构和人员的积极参与。(3)权利平衡理念。通过实施本规定紧急状态下的应急预案应遵循的基本原则和基本条件,以及各种相应的监督程序,以防止政府滥用紧急权力的过程中,保障最小的民事权利。
2.2网络应急预案的价值目标
(1)安全价值。安全价值是网络安全应急响应计划所追求的最高价值目标,也是可靠性网络安全的主要内容。随着网络技术的不断发展,关键基础设施更加依赖于一个复杂的网络空间,它是基础设施的大脑神经系统,是一个国家的具体和重要的控制系统。一旦网络空间出现突发事件,会威胁到社会的整体安全,后果是极其严重的。网络技术革命促进经济的发展,但也被部分网络风险问题淹没,网络系统的脆弱性使得网络应用存在严重的危险。数据显示,金融业在网络关闭2天,遭受的直接损失高达成交额的50%,超过2周恢复正常的网络应用,75%公司的具体业务将停止,43%公司将不再能开业。(2)经济价值。网络应急计划的实质是对网络的应急反应,有效地处理应急事件,该事件可能造成的危害最小,同时也保护了人民的合法权益。必须提到,这里的效率价值主要是在紧急情况下,时间效率而不是金钱效率,因为网络上,这是难以用金钱来衡量的损失。
3编制实用、可操作应急预案
3.1目标
编制目标一是要符合国家关于网络和信息安全工作的相关要求,内容力求全面和规范。二是要求应急预案的结构设计合理,针对不同的应急人员和系统,所使用的应急预案都有与其相对应的内容。三是要从实际情况出发,具有较强的实用性及可操作性。四是应急预案体系中所包含的各部分密切衔接、协调一致。
3.2总体规划
应急预案的制定要以实际情况为依据,避免生搬硬套这种形式主义问题。各部门应清晰职责,在突发事件出现时,以国家制定的信息安全应急预案体系理论为指导,综合考虑业务及技术部门的相关职责,确保应急响应人员能够借助应急预案准确、迅速地作出反应。在编制应急措施时,大致可以分为3个阶段。(1)根据技术能力的现有情况,分析具体问题,直接套用已有预案,结合实际的信息化建设情况,制定既全面又规范的应急草案;(2)根据本单位信息化建设的实际状况进行整理,规划应急方案内容中应加入的重要信息系统;(3)根据重要信息系统的应急工作的需求,进而对整个应急方案进行优化,提炼精华信息,并细化具体方向,主要分为2个方面,其一为对于管理层面的紧急的操作措施;其二是针对于具体问题的应急处理以及对于部分重要的信息系统应急响应的应急预案,最终形成一个完整的应急预案体系。
3.3预案的编制
3.3.1编制准备
(1)调研信息系统状况。全面调查本部门、本单位信息系统状况,重点了解安全等级、承载业务的重要程度、受众规模,分析、梳理形成本部门、本单位重要信息系统目录。(2)开展风险分析。对重要信息系统进行风险评估,查找安全风险,分析可能出现的安全事件,并对安全事件及次生、衍生安全事件可能造成的后果进行预测。(3)明确相关人员。对照《信息安全事件分类分级指南》,对可能产生IV级以上(含)安全事件的信息系统,确定响应与处置安全事件的指挥机构、办事机构、责任处室、责任人员,确定技术专家、专业技术机构等技术支撑队伍。(4)应急保障能力评估。对本部门、本单位应急装备、技术支援能力等应急处置能力进行客观评价。(5)资料收集。搜集相关资料为编制应急预案做好准备,主要参考资料有:①相关法律、法规、行业规范、技术规范、标准等;②重要信息系统的技术资料(如网络拓扑图、信息系统结构、已有安全设备使用说明等);③借鉴国内外相关安全事件案例分析、教训和处置经验。
3.3.2编制与管理
(1)编制组设立。结合本单位信息安全管理工作职责分工,成立以主管处(科)室主要负责人为领导的、相关责任人员参与的应急预案编制工作组,明确编制任务、进度安排,制定工作方案。(2)先期处置方案制定。研究安全风险可能造成事件的现场情况,从操作措施、现场保护、事件控制等方面明确先期处置措施,在事件发生后第一时间启动。(3)应急预案编制。根据分析报告,按照《信息安全事件分类分级指南》的事件分类和等级划分,对危害程度预计达到IV级以上(含)的各安全风险,制定全面的应对措施。明确各相关处(科)室、技术支撑机构或人员在安全事件各重要环节中的职责与分工,明确信息通报方式、渠道,明确各类各级安全事件应急措施、处置方案等。预案要具备可操作性。对某类或某级安全事件需要上级业务和信息安全主管部门、专业机构支援的,应在预案中具体指明。(4)预案评审与。应急预案编制完成后,可邀请相关专家、上级主管部门或同级信息安全主管部门进行评审。评审后由单位主要负责人签发,并报上级主管部门和同级信息安全主管部门。(5)预案培训与演练。应急预案制定后,集所有预防和应急处置相关人员培训。了解安全事件的风险源、风险点和危害程度,掌握预防主应急处置办法,明确预警信息和事件发生信息通报的程序、方式与渠道。应定期开展预案演练,模拟完成安全事件发现、研判、通报、处置、解除等各重要环节相关责任部门和人员的分工与协同。提供全天候不间断服务的重要信息系统每年应至少演练一次,演练情况应形成书面总结报告。(6)预案评估与修订。应急预案原则上两年评估一次,根据实际情况适时修订。重要信息系统发生重大调整变化时,要及时修订相应的应急预案。
网络安全风险预案范文2
一、研究现状
目前关于计算机网络安全问题与对策的研究比较多,主要集中在网络安全威胁的类型和网络安全的防范措施两个方面。第一,在网络安全威胁的类型方面,廖博艺介绍了网络安全威胁的相关情况,他认为计算机病毒是首要威胁,系统漏洞和恶意攻击是重要威胁。袁剑锋分析了网络安全中存在的问题,主要是自然威胁、身份鉴别威胁等。第二,在网络安全的防范措施方面,仝世君从用户、系统开发者、黑客这三个主体的角度分析了网络安全面临的问题,并提出了多种应对措施。罗涛提出网络安全最薄弱的环节是人的漏洞,因此要加强网络安全教育。
总体上,已有研究多关注网络安全建设,但大多是定性介绍,泛泛而谈,没有形成系统的分析框架。因此本文通过建立风险分析框架,基于流程来分析计算机网络在运行过程中存在的风险与问题,并提出针对性的对策建议。
二、计算机网络运行的风险分析
计算机网络在运行过程中会面临诸多方面的问题。为了更加全面地分析计算机网络运行过程中的风险与问题,本文以风险管理流程的三个层面为框架,结合计算机网络的风险来源和风险处理要素,构建了计算机网络安全的风险分析框架,并按照该框架提出对策意见。具体包括:风险来源分析,即从计算机网络运行的三个核心要素分析,包括操作系统、软件应用、数据信息;风险评估分析,即从资产损失、威胁行为两个方面分析可能的风险影响;风险处理分析,包括风险预防和风险应对两个层面提出应对策略。
(1)风险来源分析。计算机网络面临的风险来源包括三个方面。第一,在操作系统方面存在的风险。目前计算机的操作系统主要是Windows、Linux等。由于操作系统的集中性,导致操作系统的安全性存在很大的问题。这些操作系统的源代码是公开的,一些程序员可以在这方面做文章,如制作病毒攻击。这是所有计算机都可能面临的风险。第二,在软件应用方面存在的风险。某些黑客设计出一些带有病毒的软件来窃取用户的信息,如照片、通信信息等。第三,数据信息丢失的风险。例如应用软件不小心被卸载了,会直接导致用户数据的丢失。
(2)风险评估分析。风险评估是正确认识风险的重要一环。一般来说,对于计算机网络存在的风险的评估要素包括两个部分,即资产损失、威胁行为。首先,资产方面的评估不仅包括财产或货币资产,也包括无形的资产,比如当某个用户的信息被泄露了,可能造成该用户在名誉上的损失。其次,在威胁行为上的评估。计算机网络的运行是流程性的、多方面的,在每个环节都有可能受到影响,用户层面的受影响的范围还较小,但若是平台后台或者数据库被影响了,则波及面更广、破坏性更大。
三、计算机网络安全的对策分析
(1)风险预防层面。用户、计算机系统设计者要结合风险隐患可能存在的三个方面进行预防。首先,在操作系统方面,操作系统设计公司和设计者们要不断更新完善。其次,在软件应用方面,用户要学会使用计算机内部的安全设置功能。例如用户可以在計算机内部存储运行设置方面进行操作,做一些安全隐私性的设置。再次,在数据信息方面,用户要及时保存原始数据,如上传云盘,避免电脑崩溃、软件运行错误等带来的不必要的损失。
(2)风险应对层面。上述风险预防的措施主要是针对用户的,因为这些用户是使用计算机的主要对象,他们把预防工作做好了,会极大地减轻自身的风险损失。在风险应对方面,用户面临风险威胁时,比如支付信息被盗窃、个人隐私泄露等,用户首先要与应用软件的工作人员沟通,共同寻找降低损失的方案,其次要及时停止使用该软件,以免造成二次损失。在必要时候可以向有关部门反映情况。对于平台而言,当平台被恶性攻击,如平台数据库被破坏时,相关管理部门要启动紧急预案,查明原因,追究破坏者的责任,降低平台的损失,创造一个公正、透明、有序的网络环境。
参考文献
1.廖博艺.浅析计算机网络安全问题与对策.网络安全技术与应用,2014(06).
2.袁剑锋.计算机网络安全问题及其防范措施.中国科技信息,2006(15).
3.仝世君.浅谈计算机网络安全问题与对策.中国科技信息,2006(10).
4.罗涛.浅谈计算机网络安全问题及其对策.中小企业管理与科技(下旬刊),2010(04).(责任编辑:兰卡)
网络安全风险预案范文3
一、网络银行面临的新风险
—方面,传统银行面临的风险,如流动性风险、信用风险、利率风险等,在网络银行的经营中依然存在。另一方面,网络银行改变了传统银行业的经营理念和经营模式,不可避免地带来了更多的风险种类。根据网络银行的构成及运行方式,从技术和业务的角度分析,网络银行面临的这些新的风险可分为两类:基于网络信息技术导致的技术风险和基于网络金融业务特征导致的业务风险。
(一)网络银行的技术风险
网络金融是基于全球电子信息系统基础上运行的金融服务形态,因此,全球电子信息系统的技术性和管理性安全成为网络银行最为重要的系统风险。这些技术方面的原因主要包括:
1.技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能,也来自于选择了被技术变革所淘汰的技术方案,造成技术相对落后、网络过时的状况,导致巨大的技术和商业机会的损失。
2.系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成,所以,电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统,并不断出现新的、安全性的技术及方案,以保护虚拟金融柜台的平稳运行,但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素,也来自网络外部的数字攻击,以及计算机病毒破坏等因素。根据对发达国家不同行业的调查,系统停机对金融业造成的损失最大。网上黑客的袭击范围不断增大,手段日益翻新,攻击活动能量正以每年10倍的速度增长,其可利用网上的任何漏洞和缺陷非法进入主机、窃取信息、发送假冒电子邮件等。计算机网络病毒则可通过网络进行扩散与传染,传播速度是单机的几十倍,一旦某个程序被感染,则整台机器、整个网络也很快被感染,破坏力极大。系统安全风险不仅会扰乱或中断提供正常的服务,给银行带来直接的经济损失,而且影响网络银行的形象和客户对网络银行的信任水平。
3.外部技术支持风险。由于网络技术的高度知识化和专业化,或出于降低营运成本的考虑,网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求,但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。
(二)网络银行的业务风险
网络银行基于虚拟金融服务品种形成的业务风险主要包括操作风险、市场信号风险和法律风险。
1.操作风险。操作风险是指由于系统可靠性、稳定性和安全性的重大缺陷导致的潜在损失的可能性。这类风险可能来自于网络银行安全系统和其产品的设计缺陷及操作失误,也可能来自于网络银行客户的疏忽,商业银行职员在业务上的误操作,也可能导致网络银行严重的业务风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如,网络银行改变了传统的以图章为支付指令的结算手段,采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”,数字签名的可靠性完全取决于银行安全控制系统的严密与否。
2.市场信号风险。信息的非对称性可能导致网络银行面临不利选择和道德风险,这一风险被称为市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的选择地位,网上客户可能利用他们的隐蔽信息和隐蔽行动做出对自己有利但损害网络银行利益的决策等。另外,在虚拟的金融市场上,网上客户不了解每家银行提供的服务质量究竟是高是低,多数客户会按照他们对网络银行提供服务的平均质量来确定预期购买价格。结果,高质量的网络银行反而可能被低质量的网络银行排挤出网上市场。
3.法律风险。网络银行的法律风险源于违反相关法律规定、规章和制度,以及在网上交易中有关权利与义务的规定多不清晰,缺乏相应的网络消费者权益保护管理规则及试行条例。网络银行在我国还处于起步阶段,政府尚未有配套、完备的法律、法规与之相适应,金融立法框架主要基于传统金融业务,使银行在开展业务时无法可依。即使各国有相关的法律、法规,但网络是跨越国界的,各国之间有关金融交易的法律、法规存在差异,在网络银行的跨国交易业务中,难免产生国与国之间法律问题上的冲突。目前国际上尚未就网络银行涉及的法律问题达成共同协议,也没有—个仲裁机构,客户与网络银行很容易陷入法律纠纷之中。因此,利用网络提供或接受金融服务,签订经济合同就会面临在有关权利与义务等方面的相当大的法律风险,容易陷入不应有的纠纷之中,结果是使交易者面对着关于交易行为及其结果的更大的不确定性,增大了网络金融的交易费用,甚至影响网络金融的健康发展。
二、网络银行的监管
通过以上对网络银行面临的诸多崭新风险的分析,我们可以看出网络银行的发展将银行业的监管提升到更高的难度,网络银行的风险监管与控制更趋复杂化。笔者认为,要有效控制网络银行带来的新风险,必须针对各种风险的特征建立起国家、行业、企业三层次的网络银行监管系统,互相支持,互为补充,达到对风险强有力的预测、控制、化解的作用。
(一)国家层面的网络银行风险控制
国家层面的网络银行风险控制,具体是指在宏观层次上的风险防范与控制,旨在为网络银行的健康发展提供良好的环境和平台。具体来说:
1.大力发展先进的、具有自主知识产权的信息技术。目前我国在金融电子化业务中使用的计算机、路由器等软、硬件系统大部分由国外引进,而且信息技术相对落后,因此增大了我国网络银行发展的安全风险和技术选择风险。因此,应大力发展我国先进的信息技术,提高计算机系统的关键技术水平,在硬件设备方面迅速缩/j、与发达国家之间的差距,提高关键设备的安全防御能力。
2.加强防范和控制网络银行风险的制度建设。我国目前已初步制定关于网上证券交易、计算机使用安全保障等方面的法规,但还远不能适应网络发展的要求。应借鉴外国经验,在网络金融发展的初期及时制定和颁布有关法律法规,如在电子交易合法性、电子商务的安全保密、禁止利用计算机犯罪等方面加紧立法,修改(
合同法)、(商业银行法)等法律条文中不适合网络金融发展的部分。另外,建立完善的社会信用制度是减少金融风险,促进金融业规范发展的制度保障。没有完善的社会信用体系,人们就会减少经济行为的确定性预期,网络金融业务的虚拟性会使这种不确定性预期得到强化,不利于网络金融的正常发展,也会增大法律调节的障碍和成本。
3.加强网络银行风险控制的国际协调与合作。网络金融业务环境的开放性、交易信息传递的快捷性强化了国际金融风险的传染性。对网络银行的监管需要不同国家金融监管当局的密切合作和配合,形成全球范围内的网络银行监管体系。对网络银行的监管包括对借用网络银行方式进行非法避税、洗黑钱等行为的监管;对利用网络银行方式进行跨国走私、非法贩卖军火武器及贩卖等活动进行监管;对利用网络银行方非法攻击其他国家网络银行的电脑黑客网站,以及其他国际犯罪活动进行监管;对利用网络银行方式传输不利于本民族文化和伦理道德观念的信息进行监管等等。
(二)行业层面的网络银行风险挫制
行业层次即在中观层次的风险防范和控制,主要是中央银行对网络银行的各种风险进行监控。具体来讲:
1.及时调整和转变传统的监管思路和监管理念。应当清醒地认识到网络银行的诞生对中央银行传统监管方式带来的挑战:其一,网络银行的发展打破了传统的金融区域界限和行业界限,使得金融业务综合化发展的趋势不断加强。其二,网络的无界性使一项金融业务的开通将迅速普及到一家银行的各个分支机构(网络终端),这将宣告传统监管方式下金融业务的市场准人实行分区域、按行业逐一严格审批的传统监管方式成为历史,金融监管部门面临的将是金融业务“一通百通”的局面。
2.严格网络银行的市场准入。现阶段,在审批过程中应把握:(1)严格制度建设。网络银行的公示、信息披露、内部控制和系统设计等制度性安排,必须严格审批。但对网络银行的硬件设施配备、技术投入、人员配置不宜干预过多,应当给银行以适当的弹性空间使其根据自己的实际情况进行筹划投资,避免因行政干预造成不必要的资源浪费。(2)重风险防范、化解机制,网络银行的设立或新业务的开展,必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案、计划。
(三)企业层面的网络银行风险控制
企业层面的网络银行风险控制是指各网络银行在各自经营活动中对风险的防范和控制。
1.透彻研究国家的法律法规,必须强化内部监控,防范违规行为和电脑犯罪,避免因法律的不确定性带来的法律风险。
2.加强日常安全管理,对网络银行技术方案进行科学缜密的论证,以避免出现大的技术选择错误。
3.在经营过程中对网上金融消费者进行跟踪和信用登记,尽量避免与信用等级低的客户发生业务关系,降低信用风险。
4.在经营活动中严格按照信誉至上的准则办事,树立良好的银行信誉。
网络安全风险预案范文4
【 关键词 】 金融机构;信息科技;风险管理
1 引言
随着信息科技水平的不断提高,信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险,给小微金融机构的经营发展带来了挑战。当前,小微金融机构对信息科技风险管理的水平还比较低,如何有效控制与管理信息科技风险,是当前小微金融机构在信息化建设过程中必须面对的重要课题。
2 小微金融机构信息科技所面临的风险
小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中,因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下,信息科技风险事件涉及的范围广、程度深,给银行等其他金融机构带来较大的经济损失,尤其在小微金融机构中,信息科技风险带来的损失更为严重。
3 小微金融机构信息科技风险管理中存在的问题
3.1 信息科技风险管理的技术水平较低
从现状来看,我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面,首先,以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构,缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作,领导者与风险管理部门无法实现对风险管理的有效监督。另一方面,小微金融机构对信息科技安风险管理的工作仍停留在定性的层面,缺乏对信息技术风险管理专业的定量分析。与此同时,金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面,缺乏技术支持,对风险管理的预防措施有限,对风险管理的技术控制难度大,其信息系统的自我控制的能力较差。
3.2 基础设施安全建设存在隐患
从我国小微金融机构基础设施安全建设情况来看,存在较大的隐患。
一方面,机房管理滞后,在我国小微金融机构的机房中,存在着防水火及供电不达标的问题,且缺乏相应的防雷系统、门禁系统等,机房安全管理严重滞后;另一方面,网络运行安全性不高,由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中,这样就给金融机构网络的稳定性及通畅性提出了更高要求,而在小微金融机构中,存在未按监管要求配置主备通讯线路的现象,容易导致营业网点出现业务办理受阻的现象,致使信息科技风险隐患增加。
4 应急处置能力低
信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战,尤其对于小微金融机构来说,其应急保障机制更为落后。在我国小微金融机构中,一般都设有信息系统的应急预案,但对于预案却缺乏相应的应急演练,在系统发生紧急事故时,无法对问题实施预案应急措施。其次,部分小微金融机构的系统应急预案覆盖面笼统,缺乏针对性和操作性,缺乏有效的技术支持。另外,风险管理的人员的应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加。
5 加强小微金融机构信息科技风险管理对策
5.1 提升信息科技风险管控能力
小微金融机构要提高信息科技风险管理的水平,首先应该提高其信息科技风险管控的能力,因此,小微金融机构有必要建立三个机制。
第一,信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识,将信息科技风险管理工作纳入议事日程,并建立健全的信息科技风险管理机构的和岗位责任制度,充分发挥出安全检查、风险监控、审计监督的作用;加强对信息科技风险管控人员的培训与管理,并加大违规行为的处罚力度,提高其风险管理的能力。
第二,信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上,有针对性的落实风险评估制度和建立信息科技风险监测制度,将风险分类并制定相应的风险报告机制,使信息科技部门与业务部门紧密联合起来,加强沟通协调,提高对信息科技风险的评估与预防能力。
第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理,对应急预案要加以培训和演练,将应急和灾备工作从技术管理层面提升到全行工作层面,以提高应对信息系统安全事件的团队应急能力。
5.2 加强基础设施安全建设
加强金融机构基础设施安全建设,有利于提高基础设施安全水平,进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入,重点加强机房消防系统、防雷系统、UPS等的技术投入,完善机房基础设施并完善机房管理制度,保证系统设备的正常运行,加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组,负责基础设施的安全维护工作,确保基础设施安全管理的有效性。
5.3 强化金融交易监管
随着金融环境与金融交易方式的变化,信息化的金融交易也带来了一定的信息科技风险,小微金融机构应该采取措施强化金融交易监管。
一方面,要加快网络金融安全立法进程,制定金融安全政策和标准,成立对应的网络金融安全管理部门,指导网络金融的发展,并严厉打击网络金融犯罪;另一方面,要建立跨部门的现代化信息安全管理网络,实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式,建立适合于我国小微金融机构信息化建设的网络框架,以实时的监管小微金融机构业务,保证交易的安全性。
5.4 加强对从业人员的素质建设和岗位管理
相对于大型及核心金融机构,小微金融机构从业人员的专业素质及岗位配置明显落后,小微金融机构应该加大对农村金融机构人员的投入,积极引进高素质的信息科技人员,并对原有的从业人员进行定期的培训工作,提高其信息科技风险防范意识与风险管理能力。同时,金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置,以完善职责分配,落实岗位制衡。最后,完善相应的信息科技风险管理制度,加强信息科技风险审计,完善激励约束机制,激发从业人员的主观能动性,从整体上提升小微金融机构信息科技风险管理的水平。
6 结束语
在信息科技风险管理的工作中,小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理,在全面、可行的安全防护措施中,将信息科技风险降低到最低的程度,进而才能保证小微金融机构得到稳定的发展。
参考文献
[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融,2009(07).
[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(02).
网络安全风险预案范文5
关键词:金融信息;计算机安全;风险防范
文章编号:1003-4625(2009)04-0112-02 中图分类号:F832.31 文献标识码:A
近年来,利用计算机进行智能犯罪导致信息系统瘫痪等事故时有发生,如何在金融信息化形势下,预防业务风险和违法违纪案件的发生,是摆在各级银行和风险管理部门面前的一个新的课题,必须加以认真研究、探索,筑牢预防业务风险的防线,确保金融工作的稳定健康发展。本文从金融信息安全的角度来探讨基层央行业务风险的防范。
一、金融信息化形势下风险防范的特点
(一)金融风险的内涵和外延发生重大变化。金融风险已不仅仅是人、财、资金安全的范畴。正在向人、财、资金安全、实体资源安全、网络安全、信息安全、数据安全、信息保密、有害数据、病毒防护、黑客攻击、非法入侵、智能犯罪等全方位、立体化转化。传统的以重点保卫金库安全和防范资金风险的理念已经不能适应形势发展的需要。
(二)金融风险从有形向无形延伸。金融信息化使大部分的信息和数据通过计算机进行存储、加工处理,成为看得见摸不着的东西,更多地表现为网络银行、网络金融、信息金融、知识金融和数字金融,具有隐蔽性,一些风险和案件的发生不易被察觉,也给审计和监督带来新的挑战。
(三)金融风险的形式呈现多样化趋势。一是在金融信息化条件下,由于计算机信息有共享和易扩散等特性,在处理、存贮、传输和使用上很容易扰滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染;二是由于操作者的误操作引发操作风险;三是信息系统的安全面临多种威胁,主要有“黑客”攻击、程序化的侵入攻击、计算机病毒、利用系统隐蔽通道的攻击、拒绝服务攻击;四是办公自动化运转流程相应发生较大变化,文件传输保密、存贮介质的管理与传统方式有着截然的不同;五是资金清算系统存在被黑客攻击、网络盗窃、病毒破坏的风险;六是计算机网络系统有系统瘫痪、丢失数据等风险困扰;七是计算机智能犯罪。利用计算机系统实施金融诈骗、盗窃、挪用公款等,它具有专业性与业务性、犯罪手法的隐蔽性和多样性、犯罪后果的严重性等特点,犯罪分子有时只需在键盘上轻敲几下,就可能窃取巨额的款项。同时,还具有行为人的持续性、行为时与结果时的分离性、侦察和取证的困难性等特点。
金融信息化引发的巨大变化和风险特点,要求必须从以人防和制度管理为主向依法管理、制度建设和技术防范转变,从主要预防资金风险向资金、实体资源安全、数据安全转变,从事中或事后监管向事前监测、事中跟踪、事后监督转变。
二、基层央行业务风险点透析
(一)业务办理启动环节风险防范的“疏点”。一是道德风险引发业务操作风险失范。管理人员与操作人员对会计基础工作的重要性认识不足,防范风险的警惕性不高,内部的管理控制不到位。如操作人员不认真执行口令保密制度和操作规程,没有认真履行职责,审核不严、操作失误;管理层对制度执行情况检查不到位等。二是人力风险导致业务操作风险失控。大部分县支行只靠一人行使科技管理职能,休假或参加培训,往往造成科技维护空白。科技人员又兼任计算机安全员,监督者与被监督者同为一人,计算机安全管理无从谈起。
(二)业务办理转型环节风险防范的“空点”。外部转型包括宏观政策调整、市场供求急变、同业竞争加剧等变化;内部转型包括业务运行方式的转变、业务流程的再造、新系统上线等。这些变化都容易产生管理真空,给作案分子可乘之机。
(三)业务办理转换环节风险防范的“弱点”。《中央银行会计集中核算系统》和《大额支付系统》等的陆续成功上线,取消了县支行的会计核算主体资格,业务内容仅包括同城清算业务、发行库存取款业务和零星的支付往来业务。由此,大多数的县支行把工作重心转向财务管理与核算、账户审批等业务,而对会计基础核算工作则不再重点关注,与之相关的内控工作也随之松懈。
(四)业务办理衔接环节风险防范的“难点”。随着国库核算系统不断升级完善,国库数据集中,会计核算体系独立,国库部门走向资金清算的前台,高智能、高技术的作案手段也随之增加,加大了国库资金风险防范的难度。首先是计算机病毒问题。现在国库会计核算系统主要通过人行内部局域网传输数据。这种半开放的网络极易受到病毒攻击。其次是网络非法入侵问题。由于现在内联网未就重要部门实行专门的网络安全措施,只能依靠简单的口令密码进行控制,很容易被解密遭受网络远程攻击。再次是国库会计核算系统自身设计有缺陷。如国库会计核算程序中的权限分配机制不完善,表现为一级会计主管权限过大,一旦没有较好的制度约束和事后监督,就容易出现主管违规操作带来资金风险。
(五)业务办理收关环节风险防范的“盲点”。一是日终业务处理中风险防范“盲点”。每日下班前一小时,往往因下班时间在即,容易出现违规操作甚至“一手清”现象的发生。二是事后监督工作中风险防范“盲点”。目前事后监督人员主要依赖于手工计算、翻阅、勾对,体现的是一种纠错功能,难以及时防范计算机操作风险,对经办人员执行有关岗位责任制等规章制度不能适时有效监督,对支付系统有些业务处理不能起到把关堵口的作用,尤其是难以防范支付系统资金划拨风险。
三、金融信息化条件下业务风险防范对策
(一)加强组织领导,建立信息化风险管理保障机制。充分认识信息化风险防范的紧迫性、艰巨性、复杂性和长期性,实行风险、案件预防工作“一把手”负责制,成立相应的组织领导机构,贯彻“统筹兼顾、突出重点、积极预防、综合治理”的指导方针和安全教育与规章制度约束相结合、积极预防事件发生和有效的应急处理相结合、安全管理与风险监察相结合的原则,落实信息化安全责任制,打牢预防信息化风险的基础。
(二)制定推进规划,建立信息化风险管理制度和技术防范机制。在充分开展调查研究的基础上、认真规划论证,尽快建立一套包括风险防范机构、人员、岗位分工、岗位定期轮换、业务复查核对、计算机机房、数据、磁介质、计算机数据输入输出和存贮控制、保密安全监督、信息化风险监管的制度标准,规范内部人员操作行为和健全内部制约机制,做到有章可循。加强技术防范,一方面要采取加密措施,另一方面利用防火墙、系统安全监测、系统身份认证等技术安全手段,不断提高信息网络的坚固性、安全性和有效性,真正达到“四防”,即:“防泄密”、“防病毒”、“防黑客”、“防篡改”,做到防患于未然,增强信息化系统的可生存性、服务的连续性和行为的完整性。
网络安全风险预案范文6
【关键词】网络银行 风险 防范措施
一、网络银行的技术风险
(1)技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能,也来自于选择了被技术变革所淘汰的技术方案,造成技术相对落后、网络过时的状况,导致巨大的技术和商业机会的损失。
(2)系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成,所以,电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统,并不断出现新的、安全性的技术及方案,以保护虚拟金融柜台的平稳运行,但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素,也来自网络外部的数字攻击,以及计算机病毒破坏等因素。
(3)外部技术支持风险。由于网络技术的高度知识化和专业化,或出于降低营运成本的考虑,网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求,但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。
二、网络银行的业务风险
(1)操作风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如,网络银行改变了传统的以图章为支付指令的结算手段,采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”,数字签名的可靠性完全取决于银行安全控制系统的严密与否。
(2)市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的地位,在虚拟的金融市场上,网上客户不了解每家银行提供的服务质量究竟是高是低,多数客户会按照他们对网络银行提供服务的平均质量来确定预期购买价格。结果,高质量的网络银行反而可能被低质量的网络银行排挤出网上市场。
(3)法律风险。网络银行的法律风险源于违反相关法律规定、规章和制度,以及在网上交易中有关权利与义务的规定多不清晰,缺乏相应的网络消费者权益保护管理规则及试行条例。目前国际上和国内都尚未就网络银行涉及的法律问题达成共同协议,也没有―个仲裁机构,客户与网络银行很容易陷入法律纠纷之中,结果是使交易者面对着关于交易行为及其结果的更大的不确定性,增大了网络金融的交易费用,甚至影响网络金融的健康发展。
三、网络银行的监管
通过以上对网络银行面临的诸多崭新风险的分析,我们可以看出网络银行的发展将银行业的监管提升到更高的难度,网络银行的风险监管与控制更趋复杂化。要有效控制网络银行带来的新风险,必须针对各种风险的特征建立起国家、行业、企业三个层次的网络银行监管系统,互相支持,互为补充,达到对风险强有力的预测、控制、化解的作用。
(1)国家层面的网络银行风险控制。国家层面的网络银行风险控制,具体是指在宏观层次上的风险防范与控制,旨在为网络银行的健康发展提供良好的环境和平台。具体来说:大力发展先进的、具有自主知识产权的信息技术。目前我国在金融电子化业务中使用的计算机、路由器等软、硬件系统大部分由国外引进,而且信息技术相对落后,因此增大了我国网络银行发展的安全风险和技术选择风险;加强防范和控制网络银行风险的制度建设。我国目前已初步制定关于网上证券交易、计算机使用安全保障等方面的法规,但还远不能适应网络发展的要求。应借鉴外国经验,在网络金融发展的初期及时制定和颁布有关法律法规,如在电子交易合法性、电子商务的安全保密、禁止利用计算机犯罪等方面加紧立法,修改(合同法)、(商业银行法)等法律条文中不适合网络金融发展的部分。
(2)行业层面的网络银行风险挫制。行业层次即在中央层次的风险防范和控制,主要是中央银行对网络银行的各种风险进行监控。具体来讲:及时调整和转变传统的监管思路和监管理念。应当清醒地认识到网络银行的诞生对中央银行传统监管方式带来的挑战,网络银行的发展打破了传统的金融区域界限和行业界限,使得金融业务综合化发展的趋势不断加强;严格网络银行的市场准入。现阶段,在审批过程中应把握:严格制度建设。网络银行的公示、信息披露、内部控制和系统设计等制度性安排,必须严格审批。重风险防范、化解机制,网络银行的设立或新业务的开展,必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案和计划。
(3)企业层面的网络银行风险控制。企业层面的网络银行风险控制是指各网络银行在各自经营活动中对风险的防范和控制。
透彻研究国家的法律法规,必须强化内部监控,防范违规行为和电脑犯罪,避免因法律的不确定性带来的法律风险。
加强日常安全管理,对网络银行技术方案进行科学缜密的论证,以避免出现大的技术选择错误。
在经营过程中对网上金融消费者进行跟踪和信用登记,尽量避免与信用等级低的客户发生业务关系,降低信用风险。
在经营活动中严格按照信誉至上的准则办事,树立良好的银行信誉。
