前言:中文期刊网精心挑选了金融网络安全管理办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
金融网络安全管理办法范文1
论文摘要:随着商业银行网上业务的不断发展,电子商务安全风险管理策略成为理论与实践中必须重视的课题。剖析现阶段电子商务安全网风险策略的薄弱点,发展商业银行电子商务安全风险管理策略,应借鉴成熟的传统金融风险度量中的一些方法改变电子商务安全管理对资产进行粗略的优先级别排序,用系统管理思想构建商业银行电子商务安全管理框架,并将商务安全风险纳入风险管理范畴。
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
金融网络安全管理办法范文2
关键词:网络银行;internet网络;安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)20-5453-02
Internet Banking Security Prospects
ZHOU Kai
(Jining City Medical Insurance Management Center, Ji'ning 272059, China)
Abstract: That cyberbank's appearing, maximum field have changed society economy is operating a pattern, is creating new social value in the process reforming now available social value structure. While human being enjoying what informationization society brings about facilitating, also have to ingest bitter pill brewed by information society: Cyber crime is rampant, intellectual property rights and the individual privacy are infringed upon by grave field, national security is waited for a while by grave challenge and the threat. This law will be to one kind of mandatory measure adopted by information safety, the information behavior being that the mandatory strength of country uses the what be in progress law to adjust sum norm, its to information resources and information implement uses people conscientious or compels the field bureau.
Key words: internet banking; internet network; safety
随着“以网络应用为核心的数字化革命时代”的到来,金融业首当其冲地受到了电子信息技术的深刻影响,由此形成了全新的经营模式――网上金融。网上金融引发了一系列复杂的问题,其中最为普遍的是与网络银行有关的问题。“网上银行”在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物,人们却有一个最大的疑惑:“网上银行”安全吗?
1 网上银行的安全性分析
1.1 网上银行安全问题
一般来说,人们担心的网上银行安全问题主要是:
1.1.1 银行交易系统被非法入侵。
黑客可以通过入侵级别很高的服务器,如政府机关的服务器访问银行的服务器,通过这样的手段来窃取银行客户的资料。或内部人员利用外面的计算机通过别的手段进入服务器窃取资料。
1.1.2 信息通过网络传输时被窃取或篡改。
黑客通过某种手段在网上截取银行和客户之间的信息,或监控客户的电脑,把客户的电脑改为黑客的肉鸡,达到窃取银行客户资料的目的,如前一段时间爆发的“熊猫烧香”的病毒,“熊猫烧香”病毒有窃取电脑帐号密码的功能,然后发到指定的邮箱里。如果客户的电脑感染了这种病毒,那客户的资料就有可能被盗。
1.1.3 交易双方的身份识别;账户被他人盗用。
上面讲到了病毒和木马有窃取帐号密码的功能和目的,黑客用窃取的资料伪装成合法真实的银行客户与银行或其他消费性行业进行交易.业务。
网银,一般分为大众版和专业版。专业版必须由用户本人到银行网点申请办理数字证书,大众版允许客户凭身份证、账号和密码在网上自助开通。但大众版只能提供查询、小额支付等基本功能,专业版可提供转账支付等服务。
对客户来说,从以下几个步骤可以看出网银的“安全指数”:登陆、数字证书、密码验证。目前,各家银行采用的登陆方式不同,即使是同一家银行,也会让客户选择多种登陆方式,一般情况采用银行卡号、客户号或身份证号登陆,也有的让客户自己设置昵称登陆,也有不用输入用户名即可登陆,如招行、农行。
相对来说,数字证书略微复杂一点。数字证书是网银用户使用的一种将个人信息与电子签名唯一绑定的电子文件,通过它可对网上交易进行身份确认,确保交易的唯一、完整和不可否认。数字证书分为“移动数字证书”和“文件数字证书”。“文件数字证书”是IE浏览器证书,成本低,客户需要将此证书的软件安装在电脑上;“移动数字证书”外形类似U盘,安全性高,便于携带。有了数字证书后,等于为客户设置了三道防火墙:用户名、密码、数字证书,这就能提供最基本的网银安全保障。需要注意,在网银的转帐中,会涉及支付密码,一般支付密码和登陆密码不宜设为同一个。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
1.2 为防止交易服务器受到攻击,银行主要采取的技术措施
1.2.1 设立防火墙,隔离相关网络
一般采用多重防火墙方案。其作用为:
1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。
2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3) 还应安装杀毒软件,每天定时升级,加强对服务器的管理。
1.2.2 高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
1.2.3 24小时实时安全监控
在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
2 网络银行的展望――客户的安全意识
2.1 客户的安全意识
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用
网上银行账户被盗用,经过调查分析主要由以下几种情况引起:
点击浏览了一些被安装了木马程序的网站,木马就会自动下载并根植于受害者的电脑中,一旦受害者使用网上银行功能,木马程序就会自动将受害者的银行账号和密码发给盗号者。在网吧使用网上银行功能,被盗取的可能性极大。因为网吧的电脑有可能被黑客种植了木马盗号程序。下载安装了一些盗版或可疑软件,也可能会被种木马,有些来历不明的邮件也会携带木马。受害者不注意密码保护,将银行账号的密码设置成生日等容易被猜测的数字,也会增加被破解盗取的几率。
网外其他途径泄漏,如在取款机取款时被泄漏,被钓鱼短信所骗取,如说你在哪里消费了多少,打什么电话查询之类的。
防范的办法:
首先要提高自身的安全意识,注意自己银行账号的密码保护,尽可能降低泄漏的可能性。
最安全的办法是向银行申请自己的数字证书,例如工商银行的用户,其个人网上银行USBKey客户证书(U盾)是一个带智能芯片、形状类似于闪存(即U盘)的实物硬件,是专门用于网上银行的安全通行证。拥有这个属于自己的硬件安全证书,不但可以确保个人网上银行的安全,而且对外转账金额不受限制。建行的客户证书则是数字证书,也能起到保障网上银行使用者利益的作用。
在电脑环境方面,建议及时更新操作系统的补丁,确保操作系统在最新的版本状态,减少相应的安全漏洞。安装针对病毒及木马的查杀软件,并及时进行更新。
千万不要相信一些骗人的短信,如果有疑问,可以直接打银行提供的电话进行相关的账号信息查询。
在上网时,尽量不要浏览一些来历不明的网站,不要轻易下载、安装、运行来历不明的软件,尽量避免在不属于自己的电脑上使用网银功能,减少中木马的可能性。在进行网上银行、网上购物或其他需要输入密码的操作时要特别仔细核对网址,有些不法分子就是注册和银行相似的网址,然后让客户上当,总之,在网上银行业务操作时一定要多留个心眼。
一旦发现自己的网上银行账户被盗用,马上联系当地的公安网监部门帮助解决。一般情况下,商家都会配合公安部门做好协助工作,可尽量减少损失额。
我国法律对于网络安全保护及计算机犯罪的制裁是有规定的。1997年修订的新刑法第285条、第286条及第287条,对以计算机系统为客体的犯罪、以计算机中的信息为客体的犯罪、制作传播病毒破坏性程序的犯罪、以计算机为工具的金融犯罪都做出了明确的规定与制裁。此外,国务院、公安部等部门颁布的《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《金融机构计算机信息安全保护工作暂行规定》、《计算机信息网络国际联网保密管理办法》等法规对有关问题也作出了规定。
综上所述,网上银行作为一种与现代科技迅猛发展紧密相连的新型贸易方式,对现行法律提出了前所未有的挑战。对于网上银行带来的新问题,需要对原有法律法规的进行调整修正来解决。密切注意网上银行发展趋势,积极探讨、研究和学习国外的先进立法经验,并结合中国国情,制定符合实际需要的网上银行法律规范,改善我国网上银行发展的基础环境,对促进我国网上银行健康、有序的发展有着非常重要的意义。
参考文献:
[1] 黄敏学.电子商务[M].北京:高等教育出版社,2001.
