前言:中文期刊网精心挑选了金融安全建设范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
金融安全建设范文1
(一)我国网络金融会计信息系统存在安全的威胁金融企业对于互联网的应用,不仅扩大了自身的业务范围,同时获得了信息资源的共享,对于金融企业的发展具有重要的意义。但是,由于网络具有一定广泛性,很难做到集中的管理,网络金融会计信息系统存在安全漏洞及安全威胁,很可能受到不法分子的威胁,利用网络技术盗取金融机构及企业的资金或机密。这种犯罪分子通常由两种构成,一种是内部人员犯罪,金融企业的内部人员在禁不住金钱诱惑的时候,会利用自身职位的便利,利用自身熟知金融企业操作流程,寻找金融企业会计信息系统的薄弱环节及漏洞,通过高科技手段,将国家的财产或客户的资产非法占为己有。另一种是外部人员犯罪,由于网络的传播范围不受时间及空间的限制,通常这种犯罪的地点很难掌握,对于案情的跟踪与破案也具有一定的难度,同时,犯罪分子的作案手段逐步智能化及技术化,给金融企业及其客户造成了极大的损失。
(二)我国网络金融会计信息的安全组织管理体系还不健全目前,我国的网络金融会计信息的管理体系还不健全,无论是机制体制还是法律法规都缺乏配套的规定,急需建立一套完整的网络金融安全管理组织体系。一方面,金融组织对于金融会计信息系统建设的安全设计上考虑不完善,缺乏统一的规划及部署,相关的网络技术标准、技术指标及技术体制没有达成统一,造成各系统部门各自发展,发展呈现无序、混乱的状态。另一方面,我国关于金融信息系统安全问题的相关法律及法规还不完善,现行的网络金融法律法规与金融会计信息系统的安全管理不匹配,同时新的法律法规的制定严重滞后于网络金融会计信息的发展,造成了大量的法律漏洞及死角,不能满足金融会计信息系统安全的需要。
(三)我国网络金融会计信息系统存在信息泄露造成金融会计信息数据失真的问题目前,我国网络金融会计信息系统存在信息泄露造成金融会计信息数据失真的问题。当今社会,科学技术迅猛发展,信息资源迅速膨胀,金融企业能否掌握信息的先机,已经成为了金融企业的一项重要的资本,对于企业在激烈的市场竞争中能否赢得席位具有重要的作用。金融企业的会计信息客观上反应了企业生产经营活动的状态,对于金融企业会计信息的质量把关是金融企业会计信息管理的基本要求,它不仅对整个金融会计信息系统具有一定的影响,而且对于企业其他系统的管理具有重要的作用。当前,我国存在利用科技手段窃取金融企业的信息机密网络犯罪现象,对金融会计信息系统的安全性造成了威胁,是金融企业面临的主要风险之一。电信网络在发展的过程中,自身设备也存在一定的不可控性,网络的安全级别低,难以抵御网络黑客的恶意攻击,同时,金融企业的应用系统不具备一定的安全访问控制,金融企业对于安全性没有足够的重视,种种原因造成了金融会计信息的泄露,造成了金融会计数据的失真。
二、我国网络金融会计信息安全系统的建设方式
(一)建设网络金融会计信息安全系统需要完善相关的标准及制度法规我国针对于金融会计信息安全的相关法律法规还不健全,同时金融企业间的行业规范也缺乏相应的标准,致使金融会计信息安全体系无法做到有法可依,有规可守。我国相关金融行业的监管部门需要在原有法规的基础上不断的完善相关的法规制度,针对电子支付和金融产品的服务需要完善相关的测评、认证及准入的标准及规定,建立一套集中的金融数据中心运营规范体系,确保每个岗位都配有相关的规章制度。
(二)建设网络金融会计信息安全系统需要运用系统物理安全进行控制构建金融会计信息物力安全控制,主要通过防火墙技术来实现。防火墙是由软件系统及硬件设备构成的,它是建立在企业内部网络与外部网络之间的一种访问控制系统,防火墙主要包括两张类型,过滤型与应用网关型,企业内部的所有网络信息都会经过防火墙的审查,由防火墙记录所有可疑问题,执行一定的安全管理措施,鉴定是否允许外部访问或内部访问。
(三)建设网络金融会计信息安全系统需要建设保密安全体系建设网络金融会计信息安全系统需要建设金融会计信息的保密安全体系,首先,需要构建用户分类安全体系,可以对信息的使用者进行数据管理权限的分类,通常情况下,企业会分为三类信息用户,数据库登陆用户、资源管理用户及数据库管理员用户。数据库的登陆用户只能访问相关会计信息,但是不能对会计数据进行修改,而数据管理用户除了可以访问相关的会计信息,还可以创建及修改信息。其次,需要构建金融会计数据分类安全体系,金融企业每个职位的人员所需要查询的相关会计信息是不同的,因此需要对企业需要查阅的金融会计数据进行分类,并将不同的查询权限分配给不同职位的人员,确保金融企业的人员能够查询自己职责范围内的会计数据。第三,需要构建金融会计数据加密安全体系。信息加密通过密钥对数据进行编码及解码,针对于金融会计信息系统需要通过双层加密来实现安全传输数据,采用标准SSL协议及私有加密协议确保金融会计信息的传输安全。
金融安全建设范文2
【 关键词 】 金融机构;信息科技;风险管理
1 引言
随着信息科技水平的不断提高,信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险,给小微金融机构的经营发展带来了挑战。当前,小微金融机构对信息科技风险管理的水平还比较低,如何有效控制与管理信息科技风险,是当前小微金融机构在信息化建设过程中必须面对的重要课题。
2 小微金融机构信息科技所面临的风险
小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中,因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下,信息科技风险事件涉及的范围广、程度深,给银行等其他金融机构带来较大的经济损失,尤其在小微金融机构中,信息科技风险带来的损失更为严重。
3 小微金融机构信息科技风险管理中存在的问题
3.1 信息科技风险管理的技术水平较低
从现状来看,我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面,首先,以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构,缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作,领导者与风险管理部门无法实现对风险管理的有效监督。另一方面,小微金融机构对信息科技安风险管理的工作仍停留在定性的层面,缺乏对信息技术风险管理专业的定量分析。与此同时,金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面,缺乏技术支持,对风险管理的预防措施有限,对风险管理的技术控制难度大,其信息系统的自我控制的能力较差。
3.2 基础设施安全建设存在隐患
从我国小微金融机构基础设施安全建设情况来看,存在较大的隐患。
一方面,机房管理滞后,在我国小微金融机构的机房中,存在着防水火及供电不达标的问题,且缺乏相应的防雷系统、门禁系统等,机房安全管理严重滞后;另一方面,网络运行安全性不高,由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中,这样就给金融机构网络的稳定性及通畅性提出了更高要求,而在小微金融机构中,存在未按监管要求配置主备通讯线路的现象,容易导致营业网点出现业务办理受阻的现象,致使信息科技风险隐患增加。
4 应急处置能力低
信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战,尤其对于小微金融机构来说,其应急保障机制更为落后。在我国小微金融机构中,一般都设有信息系统的应急预案,但对于预案却缺乏相应的应急演练,在系统发生紧急事故时,无法对问题实施预案应急措施。其次,部分小微金融机构的系统应急预案覆盖面笼统,缺乏针对性和操作性,缺乏有效的技术支持。另外,风险管理的人员的应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加。
5 加强小微金融机构信息科技风险管理对策
5.1 提升信息科技风险管控能力
小微金融机构要提高信息科技风险管理的水平,首先应该提高其信息科技风险管控的能力,因此,小微金融机构有必要建立三个机制。
第一,信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识,将信息科技风险管理工作纳入议事日程,并建立健全的信息科技风险管理机构的和岗位责任制度,充分发挥出安全检查、风险监控、审计监督的作用;加强对信息科技风险管控人员的培训与管理,并加大违规行为的处罚力度,提高其风险管理的能力。
第二,信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上,有针对性的落实风险评估制度和建立信息科技风险监测制度,将风险分类并制定相应的风险报告机制,使信息科技部门与业务部门紧密联合起来,加强沟通协调,提高对信息科技风险的评估与预防能力。
第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理,对应急预案要加以培训和演练,将应急和灾备工作从技术管理层面提升到全行工作层面,以提高应对信息系统安全事件的团队应急能力。
5.2 加强基础设施安全建设
加强金融机构基础设施安全建设,有利于提高基础设施安全水平,进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入,重点加强机房消防系统、防雷系统、UPS等的技术投入,完善机房基础设施并完善机房管理制度,保证系统设备的正常运行,加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组,负责基础设施的安全维护工作,确保基础设施安全管理的有效性。
5.3 强化金融交易监管
随着金融环境与金融交易方式的变化,信息化的金融交易也带来了一定的信息科技风险,小微金融机构应该采取措施强化金融交易监管。
一方面,要加快网络金融安全立法进程,制定金融安全政策和标准,成立对应的网络金融安全管理部门,指导网络金融的发展,并严厉打击网络金融犯罪;另一方面,要建立跨部门的现代化信息安全管理网络,实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式,建立适合于我国小微金融机构信息化建设的网络框架,以实时的监管小微金融机构业务,保证交易的安全性。
5.4 加强对从业人员的素质建设和岗位管理
相对于大型及核心金融机构,小微金融机构从业人员的专业素质及岗位配置明显落后,小微金融机构应该加大对农村金融机构人员的投入,积极引进高素质的信息科技人员,并对原有的从业人员进行定期的培训工作,提高其信息科技风险防范意识与风险管理能力。同时,金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置,以完善职责分配,落实岗位制衡。最后,完善相应的信息科技风险管理制度,加强信息科技风险审计,完善激励约束机制,激发从业人员的主观能动性,从整体上提升小微金融机构信息科技风险管理的水平。
6 结束语
在信息科技风险管理的工作中,小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理,在全面、可行的安全防护措施中,将信息科技风险降低到最低的程度,进而才能保证小微金融机构得到稳定的发展。
参考文献
[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融,2009(07).
[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(02).
金融安全建设范文3
随着教育网基础建设的逐步完成,其构成的信息化高速公路在学校教学、科研、管理和对外交流等多方面扮演着越来越重要的角色。
杨浦区早在1996年就成立了区教育信息中心,并将其建成了连接各校园网的门户站点,校际共享的教育教学的资料库,教育行政部门管理的网络中心。
全区中小学信息中心网络实现24小时开通,建立了全区中小学电子邮件系统,通知、提示、文件全部网上运行,加快了信息的传递速度,提高了工作效率。分批推进校园网建设,实施“校校通”工程,做到“线路通、资源通、应用通”。
但是,数字化技术的大量应用,也使恶意和非恶意性的侵害和攻击行为发生的可能性大大提高,如何保障信息系统安全、优良的运行,实行高效、及时的管理?同时维护也成为重点考虑的问题。
杨浦区教育信息系统是教育行业内发展快、基础架构完善的网络,承载着整个区的网络教育以及教职员的研究项目的任务。由于网络系统比较出名,容易招致黑客的恶意攻击。
每当攻击导致网络出现故障时,学生将无法完成自己的课堂作业,教职人员无法进行自己的研究项目,行政管理人员则无法完成日常的管理任务。攻击也会给网络小组造成极大的麻烦,此外,学校还必须投入数十万元的资金用于恢复网络。
如何寻求新的解决方案给网络安全再上一道门。那么,什么样的门才能实现这个功能呢?防火墙的目标是用于网络访问控制,对于黑客使用缓冲区溢出等应用或攻击OS弱点无能为力。
另外,对于通过邮件传播的蠕虫病毒,防火墙也无法阻挡。而且,黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击。IDS只能是被动的报警,有时候还有相当大的漏报和误报现象发生。
最终,IPS(入侵防护系统)吸引了信息中心同事们的注意。他们发现,IPS不仅具有IDS的预警功能,而且,还可以在报警的同时,截获恶意的数据包,实现主动防御。
通过对防火墙、IDS以及IPS等安全工具的优劣势进行比较分析,杨浦区教育信息中心的技术人员都觉得IPS是最佳的选择,于是,他们决定引进IPS系统。
通过多家公司的产品测试,最后决定购买McAfee的设备。McAfee具有全面的安全产品,如防病毒、病毒网关、入侵防护以及安全风险管理。目前主要是解决网络安全事情,特别是蠕虫和非法攻击。经过严格的测试和对比,最后决定选择McAfee Intrushield 2600。
McAfee Intmshield 2600可同时以In-Line的方式防护四条链路,做到对网络入侵攻击的实时阻断。提供一对千兆端口和三对百兆快速以太网端口,吞吐量高达600Mb/s,不仅满足了杨浦区教育信息中心的现有网络需求,并且为信息中心网络今后的扩展提供了很大空间。
同时,可以根据杨浦区教育城局域的需求,在McAfee Intrushield2600上针对VLAN和CIDR设定虚拟IPS,以做到更进一步的细致防护,确保整个杨浦区教育城域网网络的安全。
在安全系统中,将McAfee Intrushield 2600的一对检测防护端口以In-Line的方式串接在核心交换机和链路负载均衡设备Radware LinkProof之间,以做到实时的阻断整个杨浦区教育城域网内网对外网及外网对内网的入侵攻击。
一对检测防护端口同样以In-Line的方式串接在核心交换机和电信MPLSVPN接入之间,以做到实时的阻断内部网络中各学校对信息中心应用服务器群的入侵攻击,有效的保护信息中心的安全。
MsAfee IntruShield能够通过先进的签名检测、异常检测以及DoS攻击检测来预防各种各样的攻击,其先进的功能也使杨浦区教育信息中心的工作人员受益匪浅。自从部署了McAfee IntruShield以后,杨浦区教育城域网被攻击的次数显著降低了。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通过电子邮件进行传播,那么加油IC卡系统是如何对整个防病毒系统进行集中管理,如何在网关处就将带病毒的电子邮件扫除门外?
中国石化加油IC卡系统是中国石化集团公司与银行合作开展的跨系统、跨地区的特大型IC卡应用项目。
IC卡系统通过以现代支付工具IC卡取代传统的现金、油票等结算,实现加油款的电子支付和交易数据的自动采集,在各级石油公司和加油站建设零售业务管理信息系统,以高科技的经营管理和服务提高工作效率、降低经营成本,使企业在市场竞争中处于有利的地位。
项目的建设不仅为开展油品电子商务业务奠定基础,也有利于逐步以加油卡这一现代金融工具替代传统的现金、油票结算,同时采用银企合作方式建设通用加油卡系统,也为国有商业银行开辟了新的业务领域和新的服务市场。由于中国石化加油IC卡系统需要完成各种交易信息的传送和处理,因此,确保系统的安全可靠至关重要。
全方位保护系统
为了全面实现“中国石化加油Ic卡防病毒管理系统”的目标,最大限度地防范病毒危害,在建立“中国石化加油IC卡防病毒管理系统”时,针对网络构造和应用环境的实际情况,采用McAfee Active Virus Defense(AVD)和McAfee安全网关解决方案。
建立全方位的、统一完整的加油IC卡防病毒系统,从桌面客户端、服务器、群件以及网关上进行全方位、多层次的整体防护,并通过McAfee AVD的核心产品ePolicy Orchestrator(ePO)对整个防病毒系统进行集中管理,分级控制,确保保护整个企业网络远离各种病毒攻击。
针对桌面客户端的防病毒产品VirusScan,VirusScan支持多种操作系统,从而能够对最广大的用户群提供支持,同时集成了一些功能强大的辅助技术,可以自动地保护系统免于崩溃和数据的意外丢失。
针对服务器的防病毒产品NetShield,NetShield支持Novell、Win NT、Win2000S和NetApp等多种操作系统,能够从一个直观的控制台保护整个企业的文件、应用程序和群件服务器,方便地从本地服务器或工作站监测、配置和执行远程服务。
分别专门针对Lotus Domino和Microsoft Exchange群件环境的防病毒产品GroupShield for Domino和GroupShield for Exchange。
传统的反病毒产品并不能对专有数据库内部以及群件环境中使用的通信进行扫 描,但群件服务器级的病毒防护功能对于企业防止病毒的扩散是十分重要的。应用了McAfee高级扫描技术的GroupShield能够有效防止病毒在信息传递过程中发作,在病毒扩散到网络其他部分时有效地将其查杀。
VirusScan防范多威胁
VirusScan Enterprise 8.Oi使得用户和管理员能够从容应对最常见的潜在恶意软件程序,包括蠕虫、间谍软件以及广告软件。
VirusScan Enterprise 8.Oi扩展了对新类型恶意代码的检测功能,这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够预防约200多种最具危险性的潜在恶意程序,用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。
网关拦截病毒
电子邮件已经成为计算机病毒传播的主要媒介,据统计,80%的病毒通过电子邮件进行传播。
如果能够在网关处就开始对电子邮件进行扫描,在病毒进入网络之前就将其截住,从而将对关键业务系统可能造成的危害减到最低。
McAfee安全网关全面集成了软硬件技术的防病毒硬件设备。利用McAfee安全网关,企业用户能够对出入网络的电子邮件、HTTP数据与FTP数据进行扫描以搜寻病毒信号。一旦侦探到病毒信号,能够将其清除、阻止或隔离该信息或数据。
中国石化加油IC卡系统是中国石化集团公司的重要系统,整个系统的稳定性直接影响着业务的发展。自从利用McAfee构建起全面防病毒系统后,整个系统运行稳定,实现了全方位的病毒防护,确保了整个系统免遭病毒的攻击和危害,保障了业务的顺利发展。
SOC建设剑指金融安全
刘 岩
安全管理已经被业界所认可,那么如何将这些管理上的制度和规范落实,将这些安全管理目标真正用技术手段加以控制?
正如ISO 17799国际标准所强调的,“信息安全是管理的过程,而不能仅仅考虑技术因素。”随着信息技术的发展,金融领域的科技工作重点已经由网络建设、数据大集中、安全基础设施建设,发展到安全管理的阶段。
那么如何才能更加体系化、流程化、平台化的进行信息安全管理系统的建设呢?
从BS7799谈起
由英国标准协会(BSI)在1999年首次提出的BS7799安全管理标准,2000年正式成为ISO/IEC 17799,并于2005年发展为最新版本ISO/IEC 27001。
该标准通过11个大类的安全目标和安全控制,构建了信息安全管理系统的框架,为各机构进行信息安全管理工作提供基础的依据。
七分管理,三分技术,管理和技术在金融领域的安全工作中是密不可分的,管理需要以强大的技术手段作为依托,技术的实施需要以管理目标作为依据。
近年来,国内的各大银行均在加强安全策略和规范的建设,如人民银行早在2003年牵头编制了《银行和相关金融服务信息安全管理规范》,而交通银行也正在制定信息安全总体规划,并制定相应的规范。
国外的同行业机构已经将7799的认证工作确实的落实到具体的安全技术体系之上,例如英国的SmileBank,其网上银行最早获得了英国BSI的7799 ISMS认证,并以此认证工作为契机为网银的客户提供强有力的安全保障。
如何将安全管理上的目标真正用技术手段做到控制呢?SOC(Seevturity Op-eration Center)就是在这样的大环境之下顺理成章出现并不断发展,它是从单一的技术手段向管理过渡的重要里程碑。
四个中心,五个模块
启明星辰提出的SOC解决方案,其体系架构如图1所示,由“四个中心、五个功能模块”组成:
“四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心;
“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。常用的关键系统功能:
脆弱性管理
通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
综合分析与预警
综合分析与预警是安全运营中心的核心模块,依据资产管理和脆弱性管理中心进行综合的事件协同关联分析,并基于资产(CIA属性+价值)进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。
响应管理
响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。
网络安全响应模块负责根据预定义好的安全策略规则,及时工作指令,调动有关资源做出响应。实现人机接口,通过人工派单方式发送到相应的工单处理部门。工单的通知方式包括图形显示、SNMP Trap、邮件和短信。
安全策略管理
网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力。
同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
安全知识管理
安全信息管理是安全信息的WEB系统,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。
实现在安全管理中心WEB门户提供统一界面以安全WEB的形式最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该信息库的数据以数据库的形式存储及管理,为培养高素质的网络技术人员提供培训资源。
SOC架起安全桥梁
SOC是安全管理工作的重要工具之一。机构资产的梳理、防火墙的配置、入侵检测系统的事件分析、甚至整个信息系统的脆弱性和威胁分析,这些都不能做到整体的安全管理。因为管理者不可能过多的关注某些细节,安全管理需要对整体的安全现状和态势进行宏观地把握,并果断 有效的传达旨意,采取措施。所以SOC的首要价值是通过技术的实现手段加强对安全管理的关注。应该关注的问题有:
衔接宏观与微观
金融机构的安全建设提出了更多管理层面的问题,需要对多种资源的整合管理更加重视。目前企业的安全运行管理普遍现象是,不同类安全产品分别有其自身的管理控制台,网络与主机设备由网管系统管理。特别对于金融行业而言,需要有效地整合各系统,对事件的数据格式、分级进行标准化,从全局上对整个网络安全事件进行分析。
解决人员依赖性
企业需要解决人力严重不足的问题,降低对人员技术水平、经验以及责任心的依赖,把人员所造成的安全风险降到最低。考虑到事件优先级判断与参与人员的技术水平和经验相关,很难有客观的分析和判断,需要建立一套完整的事件采集、统计、判断和处理机制。
关注业务风险
对于技术型的人员来说,往往采用技术型语言来描述问题。这种情况下,容易与领导和非技术部门人员产生沟通和交流的问题。因此需要将技术型问题上升到管理型的问题,风险数字化,损失数据化。
合规性
BS 7799作为系统的安全管理标准,在国际金融界广为使用。所谓7分管理、3分技术。管理和技术一直很难整合起来,管理不仅是制度,还需要有一种系统来实现管理的目的。SOC将安全管理需求与安全技术解决方案的整合,将管理和日常技术工作融合在一起。
有效显示
第一时间发现病毒或者入侵事件源头和发展趋势,通过图形化显示,直观了解全网的情况。
SOC能够把问题显示出来,能够量化。每天发现了多少次,解决了多少次,从而了解到网络安全的真实现状。
通过监控大屏幕的显示可以将整个网络管理的现状和态势展示出来,机构领导者可以直观的在监控中心了解宏观安全,并指挥各地的安全工作的落实。
例如,交通管理指挥中心人员不需要亲自前往各个拥堵的路段,他们只需要通过各种手段采集交通信息作汇总和,统一的指挥调度。安全管理工作也同样需要这样的机制进行全局的管控。
有效提炼,实施预警
SOC系统可以从海量的安全事件报警中得出有价值的信息,及时采取报警措施。
有效投资
安全风险是无限的,而安全投资是有限的。应该利用有限的安全投资解决无限的安全风险(安全投资ROI=减少的安全损失/安全投入)。
与安全域划分相结合
安全域的划分和赋值是金融行业网络安全建设的重要环节。启明星辰的泰合SOC解决方案的另一大特点,也是安全建设非常有价值的功能之一,是可以部署基于安全域的SOC平台,从而实现多层次可定制的安全域管理,基于域的细粒度风险计算和监控能力,并且以安全域的思想进行风险管理。
安全域作为安全建设的核心,需要长期的管理,SOC是安全域管理监控的有效工具。使用资源管理中的安全域管理的核心功能,可以使安全建设从单纯的信息安全工作向业务保障转换,同时将宏观的信息安全建设向下落实。
中国的信息安全起步和发展都处于世界前列,特别是在金融领域,2000年以来信息安全的技术和管理层面都已经作了大量的工作。但是行业科技人员和管理者还需要继续脚踏实地的落实信息安全管理工作,从而切实地为我们的金融客户提供高可靠、高质量的服务,使金融机构稳步健康地发展。
双认证护航远程安全
满 欣
由于RSA SecurlD认证器上每隔60秒转换一次6位数的无穷尽无重复口令多么高明的黑客都无法在如此短的时间内猜测出如此复杂的口令。
中国大地财产保险股份有限公司(简称大地财险)由包括中国再保险(集团)公司在内的10家境内外投资人共同发起设立,总部设在上海,目前全国有15家分公司。
为了建设一个高起点和高标准的信息化系统,大地财险与IBM公司合作,引进国际先进的保险理念和信息技术,初步建立起公司的信息技术基础平台。
基于VPN的种种优势以及最大化保险人的工作效率,大地财险的许多业务资源访问已经开始通过VPN实现,具备合法身份的工作人员可以利用VPN访问公司的核心资源。
VPN是把双刃剑?
大地财险的运营越来越依赖企业的核心力系统和数据,在通过VPN提高工作效率的同时,也看到了潜在的安全风险。
毕竟,VPN所应用的通信隧道,需要通过公共网络并且必须向各种各样的用户打开自己的“网络之门”。如果是正确的人存取了正确的信息,就等于你找到了一种功能无与伦比的商务工具。但是,当VPN的远程存取权落入错误的掌握之下时,就无疑是一场大灾难。
如何为企业的VPN访问建立一个更加安全的环境,成为大地财险完善VPN服务的一个关键因素。
VPN网络安全认证主要有以下几种形式:密码属于一种最弱的安全形式,密码公认的优点在于易于部署应用并且费用非常低廉。但是,密码非常容易被猜中、被窃取或者受到其他的破坏。
双因素认证必须提供两种形式的认证内容。这就象是一部银行的自动取款机(ATM),用户既需要知道身份(卡)号码,还需要拥有认证设备(令牌或者智能卡)。
随着互联网交易数量的增长,将数字证书作为一种认证形式变得更加广泛。数字证书可以帮助识别用户,因为它要求使用具有唯一性的数字信用证明。
使用智能卡的安全等级最强。这不仅在于使用智能卡得到了双因素认证保护,而且还因为双密钥可以在智能卡上生成并储存。
生物认证利用的是某个用户所拥有的唯一生物特征。利用这种技术需要掌握某些生物数据,例如:指纹、视网膜扫描以及声波纹等等。
最终,大地财险决定采用双因素认证来保障其VPN网络的安全登录。
虚拟专用网络(VPN)正迅速成为远程存取应用中最普及的一种方法。通过建立在复杂交织的公共网络中的一个专用通信隧道,VPN可以使用户充分利用互联网的强大功能,不仅大大节省了用户远程存取应用的费用,而且还进一步提高了工作效率。
但是,作为个人专用并不一定意味着一个虚拟的个人网络具备应有的安全性,这是由于VPN经常采用的保护手段仅限于一种门槛偏低的密码屏障。
大地财险通过对业界知名安全厂商所提供解决方案的对比,最终采用了RSA SecurID和Web Express认证解决方案。
同步令牌双认证
目前,大地财险仅仅为其符合资格的保险人配备了RSA SecurID令牌。RSA SecurID时间同步令牌提供功能强大的双因素认证,这种技术要求用户提供他们知道的口令和他们拥有的硬件令牌。
这些令牌被设计成一种易于操作使用并且便于携带的小件产品,用来替代口令这种可以被轻松猜中或破解的安全性能偏弱的认证形式。
双因素用户认证系统能够代替基本的密码安全机制,有效抵御非法入侵,使宝贵的网络资源获得完善的保护,免受意外造成的破坏及恶意入侵。
RSA SecurID双因素用户认证产品的操作,如同使用取款卡一样简单方便。用户只需在进入受保护的网络前,先行输入个人识别密码,以及在RSA SecurlD认证器上每隔60秒转换一次口令,就能通过认证。
金融安全建设范文4
[关键词]互联网金融;互联网金融风险;监管体系
一、问题的提出
互联网金融的兴起可以说是金融业的一次历史性革命,“长尾理论”和“大数据效应”在互联网金融中起到了十分重要的作用,互联网金融通过网上交易,交易信息和过程都被记录在金融大数据之中,提高了交易成功率和交易过程的透明度,极大地丰富了投融资渠道和方式,对现有金融体系的完善和发展具有重要的作用,互联网金融逐步成为一个国家和地区经济增长中最具创新和活力的战略型产业,进而成为推动经济飞速发展的重要力量。与国外发达经济体相比,我国互联网金融发展起步较晚但发展迅速。2008年以来,我国互联网金融行业不但出现了传统金融业务的网络化、第三方支付、P2P网络借贷、大数据金融、众筹和第三方金融服务平台等六种发展模式,而且交易规模、用户规模急速扩大。其中,网络银行用户规模从2010年的13948万人增长到2015年6月的30696万人,用户规模增长率从30.50%发展到46%;第三方互联网支付市场交易规模从2010年的10105亿元增长到2014年53730亿元,2014年实现的交易规模是2010年的五倍多;P2P借贷行业的市场规模更是从2010年的19.5亿元,快速增长到2014年的2528亿元①。但是,作为互联网技术和金融业相结合的新兴产业,互联网金融的风险相较于传统的金融风险更加隐蔽和复杂,其可能对客户造成的危害和损失也更大。以P2P借贷行业为例,2014年1~12月每个月都有问题平台,在最多的12月,问题平台达到了惊人的79家②。从中国遭遇坏账网民的P2P资金损失情况看,P2P用户中有资金实际损失的达到了近80%高的比例,即使在有担保的损失中,仍然有13%左右的P2P用户遭受损失。因此,对互联网金融行业进行监管势在必行。
二、国外互联网金融风险与监管实践
从世界范围看,由于互联网金融正处在起步发展中,系统完整的互联网金融监管体系和理论研究还需要不断完善。国外互联网金融的理论研究基本上都是通过对其风险产生的根源进行分析,从而提出监管重点。如,ChiouandShen(2012)认为互联网金融风险从整体上讲包括金融风险和互联网技术的风险,需要从这两个方面进行监管;EilandDavid(2014)则认为互联网金融风险的分析应该更多地立足于对金融风险的分析,因为互联网金融的理财产品都来源于传统的金融业;MartinsandTiago(2014)在分析互联网金融的起源之后,认为互联网金融风险的防范应该基于原有的金融服务、流程和运作方法,其次是外部金融环境的净化和规范。这些理论研究为互联网金融的监管提供了实践基础。欧美等发达国家和地区通过不断补充新的监管法律法规,使得原有的金融监管规则逐步适应互联网金融迅速发展的需求及风险防范要求,初步建立了较为完善的监管体系和风险监测系统。美国互联网金融监管模式的突出特点是:注重法律的规范、联合监管和对消费者的保护。首先,在现有法律法规基础之上,美国根据互联网金融自身发展所体现出的特点,对原有的监管准则不断完善和修补,使之更加适用。如已经将网络信贷纳入《证券法》监管的范畴,《证券法》监管侧重于市场准入的监管和信息的披露;2012年美国还通过了《促进初创企业融资法案》,这一法案放开众筹股权的融资,并在保护消费者权益方面作出详细规定。其次,美国法律对于什么时候适用行业监管和什么时候适用企业监管有着明确的和详细的规定,通行的企业级监管是次重要程度的监管,只要开展提供互联网金融服务的企业都要受其监管,监管的重点在于风险的防控,消费者信息的保护以及网络安全的维护等方面。相对于企业级监管,重要程度最高的就是行业监管,监管的重点在于排查互联网金融行业的业务安全,对国家金融安全所带来的风险评估,及完善国家金融调控政策。同时,美国对互联网金融的监管也涉及多家监管机构,随着互联网金融的跨行业运行,美国逐步建立了联合监管模式。美国为了强化其自身对第三方支付的监管能力,借助于原有的监管机构,例如美国财政部通货监理署、美联储(即美国中央银行)、联邦存款保险公司等,建立起联合监管的模式。欧盟在较长时间互联网金融实践基础之上,总结了一套独特的监管体系,将欧洲多容并包、开放透明的理念贯穿其中,极为重视保护客户的财产和信息安全,也促使欧盟采取极为谨慎和严格的监管策略。如,在交易和信息公开透明问题方面,欧盟要求交易必须在百分之百的监控之下进行,完全杜绝损害客户利益的私下交易和暗箱操作发生;在服务质量和服务能力方面,欧盟更加注重网络银行所提供的服务质量和产品真实性,一旦发现网络诈骗,必将严格处理。同时,欧盟有着较为完善的法律法规和政策制度来确保行业的安全。如在网络信贷方面,欧盟与网络信贷相关的法律主要包括《消费者信贷法》,同时欧盟还建立起了一套完善的信息透明公开机制,将真实准确信息向客户免费且定时公开并不断更新。在具体监管行为方面,欧盟有着一套严格完善的规定。例如,欧盟在准入门槛的设置上有着极为苛刻的条件,只要有任意一条不满足就不能进入该行业,在这样严格的准入条件之下,杜绝了缺少资质的不良企业进入,从而净化了网络信贷环境。与此同时,欧盟还制定了一系列严格的信息披露要求和准则,相比于传统信贷形式,欧盟更加注重网络信贷的信息披露和交易安全,严格控制网络金融风险。在实践中,欧洲网络信贷市场上的欺诈和网络信贷违法案件均低于其他经济体。
三、国内互联网金融风险与监管
与国外相比,我国正处在互联网金融的兴起和发展阶段,缺乏较为丰富的实践经验,风险较多。主要有:信用风险、系统风险、信息风险、法律风险、货币政策风险、期限错配风险和最后贷款人风险七种。从类型上看,法律风险、货币政策风险属于政策层面的风险。信用风险、最后贷款人风险、期限错配属于业务层面的风险,信息风险和系统风险属于技术层面的风险。针对这些风险,国内理论动态研究也提出了不同的见解:如,叶冰(2012)、王石河(2012)、沈丽(2014)等认为互联网金融是一种动态的融资行为,即应该将对互联网金融风险监管的重点放在金融活动传统的三大业务上,即融资、支付和交易环节上面;孟祥轲(2013)和熊建宇(2010)在研究后更加强调人作为参与主体的角色定位上面,认为互联网金融的核心是人的行为,而不是一种技术的驱动,因此,应该将对人的参与行为作为对互联网金融风险的监管重点。总之,国内对互联网金融风险监管的研究思路,基本上也都是从风险发生的原因入手来研究行业监管问题。但笔者认为,由于目前国内互联网金融已经具备了一定的规模和现实数据,完全可以尝试从实证入手,来研究各种互联网金融风险的易发性程度,根据易发程度,从另一研究角度有的放矢地提出风险监管建议。本文利用中国宏观面板数据对我国互联网金融各风险分别进行了实证分析①。根据回归结果显示,可以得到以下结论:一是监管力度和法律法规两个二值变量均在1%的显著性水平下显著,用户规模这一控制变量也在1%的显著性水平下显著,说明政府的政策导向对于互联网金融市场的影响力不可低估。对比去掉时间虚拟变量的第(1)列和加上时间虚拟变量的第(2)列,我们发现时间虚拟变量并不显著,y08、y10、y12的系数均很低,且不显著,说明国家目前并无重大政策对互联网金融行业的干预。二是信用风险系数为2.02,t统计量是19.40,根据回归结果,信用风险在1%的显著性水平之下最显著,说明目前我国的信用风险最高,在现实中,这与我国法律法规和行业准则缺失有密切的关系。影响显著的风险还有最后贷款人风险、法律风险、货币政策风险和系统风险,其中最后贷款人风险、法律风险和货币政策风险在1%的显著性水平下显著影响着互联网金融市场,系统风险在5%的显著性水平下显著。未来,我国需要首先加强风险监管。三是期限错配风险和信息不对称风险对互联网金融的影响并不显著。可能的原因是市场中的消费者更多的关心所购买的互联网金融理财产品及其回报率,而对于用以购买金融理财产品的资金成本并不关心,用储蓄金购买理财产品是绝大多数消费者目前的状况,其次,数据的误差以及变异性也可能会造成回归结果并不显著。四、我国互联网金融监管体系构建的思考根据以上计量结果和发展实际,本文认为:国家应以保护投资者利益为目标,尽快加强对互联网金融风险的监管,促进互联网金融行业健康发展。根据我国目前互联网金融风险状况,借鉴国外监管实践,提出以下监管框架:
1.建立完善法律法规体系和行业准则是构建监管体系的基础。从我国互联网金融行业立法现状来看,互联网金融立法迟滞,现有法律法规存在着大量的漏洞和不完善之处,监管机构缺乏依法监管的法律保障。我国可以从两个层次完善法律法规体系:一是制定统一的法律法规和行业准则,加大对投资者的保护;二是在统一的法律法规体系下,细分具体业态,制定具体业态监管办法。同时,及时修订现有法律法规中不适合互联网金融发展的部分,对利用互联网实施犯罪的行为,明确应承担的法律责任,加大量刑力度。
2.建立适合跨界监管的监管机制是监管体系的主要手段。互联网金融的发展已经超越了一般行业的发展理念和界限,这就需要我们利用金融大数据理论,云计算平台等新技术去进行准确的分析并及时跟进行业发展的实际情况,并在此基础上运用风险监测预警机制,在危机或风险发生之前对其进行预警和处理,将互联网金融产生的风险降到最低。同时,针对互联网金融的跨界特性,应建立中央和地方两个层次的监管主体,设立高于银监会、证监会、保监会的金融监管机构和包括一行三会、工商、工信、司法等相关部门在内的联席会议制度,作为高层次监管主体,主要负责宏观审慎监管。建立地方金融监管主体,负责微观审慎监管,在此基础之上加强对消费者权益的保护。
3.完善互联网金融的配套服务机制,降低信用风险。主要是要加强行业信息披露和信息安全保护,并完善互联网征信系统建设。完善互联网金融行业内部的信息披露机制,将有利于行业内部企业,加强行业自身的约束和自律,促进互联网金融行业能够在阳光下发展;信息安全是保障互联网金融创新发展的基础,互联网金融虚拟化的服务方式、跨领域的业务开展、开放与透明的市场经营环境,使其具备了互联网所包含的信息安全的动态性、综合性等特点,应建立以国家安全战略为指导,包括国家金融行业主管部门、互联网服务机构和安全服务企业的信息安全服务保障联盟,在互联网金融信息安全标准规范下,指导互联网金融业务服务平台的安全建设和运营;在完善互联网征信系统建设方面,要以建立征信信息标准和共享机制为突破,加快构建个人和企业网络信息采集标准、征信服务标准等,通过利益激励机制,推进互联网征信条件下的信息共享。
[参考文献]
[1]雷舰.我国P2P网贷行业发展现状、问题及监管对策[J].国际金融,2014(8).
[2]李博,董亮.互联网金融的模式与发展[J].中国金融,2013(10).
[3]袁博,李永刚,张逸龙.互联网金融发展对中国商业银行的影响及对策分析[J].金融理论与实践,2013(12).
[4]黄海龙.基于以电商平台为核心的互联网金融研究[J].上海金融,2013(8).
[5]龚明华.互联网金融:特点、影响与风险防范[J].新金融,2014(2).
[6]张启晨.我国互联网金融发展现状、问题及对策研究[J].青年科学,2014(5).
[7]芮晓武,刘烈宏.中国互联网金融发展报告(2013)[M].北京,社会科学文献出版社,2014.
金融安全建设范文5
市场取向改革一直是我国保险业发展的重要推动力,作为产业政策的一部分,在保险业中引入市场机制,激活竞争因素,能够充分发挥看不见的手的作用,使保险机构在利润的激励和生存的约束下,不断进行自我发展,从而实现整个产业的发展壮大。竞争是如此重要,即使它不是市场机制运行的全部,也是其中的主要内容,经济中存在着竞争一创新一发展的动态机制,竞争诱发创新,创新不断降低产业的相对成本,从而使经济效率和福利水平得到提高。本文试图从竞争的角度来保险市场的实践,探索如何为中国保险业的发展提供有效的政策支持。
一、对保险竞争认识的深化和发展
1.保险竞争手段的多样性以及创新的决定性作用
在现实保险市场中,竞争手段是多样性的。保险公司可以利用新产品开发、特色服务、组织调整、促销、广告、公共关系等众多方式形成相对优势,以扩大自己的份额。在众多的竞争手段中,创新居于核心地位,由于创新的作用,保险活动首先趋向均衡,但又旋即克服了边际收益递减的趋势并打破了均衡,向更高产出水平的均衡扩张,保险业因此实现了质量相统一的发展。
2.保险竞争的多维性以及制度因素的重要性
人们在分析保险市场时有将竞争限于经济维度的倾向,仅仅分析公司在保险产品市场和要素市场的竞争,这不能解释真实的保险活动,一旦考虑到时间的不可逆性以及不确定性和交易费用的重要性,并将保险市场体制置予特定的制度环境中进行研究,就会发现保险活动中存在政府对自我利益的追逐。事实上,只要存在着不同的利益主体对稀缺性资源的需求冲突,竞争就会发生。因此,现实的保险竞争至少在经济、和三个方面展开。而要研究这种多维竞争,就必须引入制度因素,因为政治过程和立法活动就其经济本质而言,是关于制度的竞争。
二、我国保险竞争的现状及成因分析
与银行等产业相比,我国保险业存在更多的竞争,但令人困扰的是,保险业竞争性的增强虽然使各保险公司越来越重视经营效率的提高,并在组织结构上进行调整和改革,但是,由于保险市场竞争主要表现为价格竞争,导致了保险公司不计后果地进行高风险活动,结果提高了公司的经营成本,加大了行业风险,降低了服务效率,破坏了市场秩序,迫使监管部门承担了本应由保险公司自己承担的内部管理工作,监管成本大大提高,市场机制发生扭曲。另一方面,从产业发展的角度看,缺乏必要的利润激励,即使不会使保险业陷于停滞,也会对其成长速度产生严重不利影响,这就形成了一个逻辑怪圈,促进竞争的目的原本在于降低成本,促进发展,但现实却表现为竞争推动了成本的上升,保险业本来是管理风险的行业,却依靠制造风险来生存。为寻找产生这些矛盾的原因,有必要从理解我国保险竞争体系入手,考察保险业创新活动的开展及其所在的制度环境。
根据产业组织,一个产业的竞争状态由五种基本力量综合决定,一是产业内既有厂商的竞争;二是新进入者的威胁;三是供应商的议价能力;四是客户的议价实力;五是替代品的威胁。如果视风险为一种负商品的话,保险业的供应商和客户是两位一体的,上述也可以在这一框架中进行分析。
1.产业内普遍忽视创新,采取模仿为主的竞争模式
受发展阶段的限制,我国保险公司的竞争战略多定位于模仿,希望通过经营效率的改善超越竞争对手,即使推出新产品、改进组织形式也只是引进国外的实践经验,本质上仍是一种模仿行为,所以保险市场上绝大多数竞争者的产品、功能与服务,所使用的销售渠道,甚至公司的组织架构都基本一致。这种竞争模式在产业内的经营效率差异较大时,有助于实现成本与品质的双赢,但是随着模仿的普遍,效率差异逐渐缩小,公司实现市场份额扩张的努力必然导致销售成本的增加或采取非正当竞争手段,误导宣传、高退费、高返还等现象屡禁不止,形成消耗战,造成保险资源的无效配置,这种情况只是在限制竞争的条件下才能停止。
2.高壁垒、缺乏退出机制以及费率管制压抑了创新动机
长期以来我国对保险业实行严格的市场准人制度,如规定较高标准的资本金要求等,这种制度安排进一步提高了保险业由于规模经济的存在原本就具有的进入壁垒,同时,由于费率受到管制,获取保险执照的公司受到双重保护,保险业缺乏必要的退出机制,这就使保险市场的潜在竞争压力大大减弱,生存检验机制失效,无法实现优胜劣汰,削弱了作为市场主体的保险公司的创新动机。
3.消费者需求方面存在制约创新活动开展的因素
近年来,我国经济的快速成长和居民收入的大幅增长有力地提高了潜在的保险需求,为行业发展提供了巨大的想象空间,但潜在需求向现实需求的转化要受到社会保险意识的制约。而社会保险意识除了受收入影响外,还决定于社会的文化传统和特定的经济体制,我国的主流文化是儒家的中庸文化,在对待经济活动中大量存在的不确定性时,强调风险回避而不是进行积极风险管理,同时,长期的小农经济和计划经济传统的影响力也不会在短期内消除,人们对商业保险的充分认识还需要一个过程。社会保障意识淡漠导致了保险需求严重滞后于经济发展,并阻碍着保险需求向多样化的方向转化,从而制约着保险业中产生顺应需求变化的创新活动,预期市场空间与现实市场容量的强烈反差加剧了公司之间的销售成本竞争。
4.替代品的竞争面临制度障碍,压抑了金融创新动机
保险产品在某些性质和功能上与银行、证券产品有重叠之处,而且保险的资金运用业务与银行、证券的资产业务的本质是相类似的,三者之间存在着替代品竞争的问题。为了维护金融安全,我国采取保险、银行、证券分业经营的制度安排,并对保险公司的投资渠道进行严格限制,这在金融机构内部管理制度不健全,金融市场制度不完善的条件下具有现实合理性,但是,它同时也缓解了保险业所面临的替代品竞争压力,不利于保险业的资产业务和负债业务创新。从全球金融发展的趋势看,混业的制度安排能够从总体上增强保险业的竞争力,如一些保险公司甚至能够为客户提供超越精算意义上的保险保障,原因就在于投资渠道的多样性,使保险公司能够通过较高的投资收益弥补了保险业务的亏损。
由上述可见,并不是竞争导致了,出现矛盾的原因是政府监管和的重点集中于价格竞争或变相的价格竞争,未能对竞争手段的多样性和多维性予以重视,忽视了竞争有着重要作用的制度因素,从而造成贯穿整个体系的创新动机被压抑。如果保险业缺乏持续创新的能力,完全依赖于其它形式的竞争手段,经营风险的上升、服务质量的下降和经营成本的上扬将不可避免。
三、我国保险产业政策的现实选择
发展史表明,产业成长的过程是一个演化的过程,竞争是这一过程的原始推动力,竞争是否以创新为主要手段决定着发展的方向与质量,同时,现有制度也会对发展产生有利或不利的影响,其关键在于制度是否适应创新。当我们以这一视角看待保险产业政策时,可以得出一个基本的判断,即保险产业政策必须围绕创新和激励两方面来开展,按照促进竞争、创造需求、培育人力资本、重视信息技术的等原则,一方面应致力于推动保险企业创新机制的形成;另一方面则应从改善竞争条件入手,推行制度创新以促进保险创新。
1.推动产权改革,重塑市场主体
只有产权受到保护和足够的尊重、能够较好地得以实施,公平、有序的竞争才有可能存在,经济增长才有可能出现。否则,产权严重残缺,尤其在受到政府严重侵权的情形下,充分竞争将不可能存在。我国保险市场的最初形成是计划经济体制下政府行政配置资源的结果,市场的产权结构很不合理,市场份额问题不是通过竞争机制来解决,而是通过私下的关系,通过关系之间的谈判来解决的。要把这种市场改造成为理想的竞争市场,首先要全力推动产权制度改革,为符合条件的保险公司创造上市条件。产权改革是人们之间利益的重新调整,不可能靠自发来完成,必须有外力推动,这个推动力就是政府。值得注意的是,对于产权改革的目标——建立企业制度而言,不应把它仅仅局限于股份有限公司和有限责任公司这两种形式,而应包括所有经过市场竞争考验的现存的企业组织形式。只有这样来思考和观察、处理问题,才能开阔我们的眼界,拓宽我们的思路,寻找到适应不同领域、不同经营层次、规模的合理的形式。
2.促进市场竞争,形成创新压力
对竞争规则的保护是政府公共政策的根本任务之一,一旦规则失去权威,积极的竞争行为将会向寻租转变,不但浪费了稀缺的保险资源,而且导致了创新的热情的衰减,保险业成长的步伐就会放慢。政府必须在以下方面采取积极的措施并确保其得到认真执行,一是坚持费率条款市场化的改革取向,使保险公司在保险产品开发、定价上具有更大的自主性和灵活性,便于其采取差别化的竞争战略。二是执行严格的保险服务标准,严格的标准能够迫使保险公司改善产品品质,提升服务水平,从而增强竞争力。三是对保险业内竞争对手的直接合作进行限制,避免大公司之间进行串谋,形成卡特尔,妨碍市场竞争,并损害保险消费者的利益。四是降低市场准入条件,使保险机构面临潜在竞争的压力,同时,建立市场退出机制,及时将不具备偿付能力和竞争力的保险机构清除出市场。五是适应保险、银行、证券业务交叉日益普遍的发展趋势,逐步进行监管体制改革,为混业经营做好准备。
3.培育保险意识,改善需求条件
保险发展具有积极的外部效应,提高保险意识,推动行业发展是政府应当也必须担负的责任,当前一是要积极在社会中普及保险知识,引导社会关心支持保险业发展,特别是在引导新闻媒体发挥好舆论监督作用的同时,真心呵护保险业健康的成长。二是要积极推行社会保障体制改革,尽可能将政府承担的保障职能交给商业保险市场,为保险业的创新和发展创造发展空间。
4.注重基础,实行联合研发
人力资本的积累对保险业有特别重要的意义,创新活动对保险业内的人力资源存量有着较大的依赖性,当前,一是要致力于保险专业人才的培养,开展与保险产业相结合的学术研究,先进的、专业化的而且与保险产业相结合的知识可以通过企业的投资机制创造出产生竞争优势的要素。二是要引导保险公司建立区域性的研发中心,根据各地区的不同风险状况设计产品,适应地方经济发展的客观情况。三是要实行合作研发,由政府牵头,联合各保险机构承担起研究保险发展和提升产业竞争力等重大问题的责任,以节约研发资源。
5.注重政策的协调性,降低运行成本
政策协调是保险产业政策有效运行的本质要求,不仅要做到政策制定的有效性,而且要保证政策切实得到贯彻和执行,因此在制定行业法规、政策时,应向保险公司、消费者及社会广泛征求意见,得到各方面有力的、低成本的一致性认可,以保证政策运行的效率。此外,保险业发展并不处于一个封闭的环境中,保险产业发展必然与其他经济部门的活动发生联系,减少冲突和协调矛盾也是产业政策动态一致性的必然要求。
