前言:中文期刊网精心挑选了银行安全预案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
银行安全预案范文1
网络银行是于计算机出现之后,网络技术渐渐适用于传统银行业务,网络银行的产生。它的产生使得银行运营方式与服务内容发生了翻天覆地的变化,作为电子金融行业的先锋,已经成为引领世界各国银行业发展的方向。由于我国银行业起步晚,专业化程度赶不上发达国家,网络银行的出现可以成为我国赶超其它国家的契机。由于网络银行的特殊性,随着网络技术的不断升级,网络银行发生技术风险的可能性越来越大,因此风险控管应是网络银行关注的首要风险。
一、课题的研究背景与动机
1、信息技术的应用已成为企业发展的一把利器,在之前,银行业的工作中就经常用到信息科技,面对网络行业的兴起,在银行业的经营上掀起了一场全新的变革。传统银行在过去通常设立一些实体柜台,来增加自己的版图,网络银行利用信息技术的优势,将银行营业窗口带入到自己家中或工作室,提供各项金融服务。传统银行提供的电子银行的项目包含自动取款机,电话银行,其中的工作内容也是比较小范围的,网络银行为客户带来了极大的方便,足不出户就可以完成大多资金业务,这对于银行来说不仅降低了银行业的成本,还促进了国际相处。
2、网络银行的起源追溯到20世纪70年代的美国,在那时银行提供的所谓家庭银行是通过电话来进行少部分金融业务的,在之后的1995年第一个网络银行诞生,自此进入网络银行的新世纪,同年花旗银行率先在国际网络上架设网站,掀起网络银行的热潮。
3、本文的研究是就网络银行的发展状况,了解银行业者如何构建风险控管与交易安全的环境,对其交易安全技术与信息安全管理问题加以探索,为金融主管机关提供参考,也希望就本课题讨论过后针对网络银行的持久发展相关议题做深入的分析。根据研究目的与动机对网络银行现状进行实际调查。
二、网络银行交易安全分析
1、网络银行从广义上讲是所有通过国际网络提供各种金融信息的银行。它的优点可以由两个方面来说明,第一银行面,与实体银行相比,降低了建置成本;第二顾客面,为顾客提供更便捷有效的管理个人财务状况,信息提供及时服务,客户在银行建制的网站完成各项金融服务。网络银行的系统构架组成主要是客户端、银行端及签证中心。
3、在网络银行使用过程中,依赖密码技术达成虚拟世界的安全需求,网络银行系统的设计中尽力运用各种不同安全的保护措施来构建一个安全地网络交易环境,但是随着网络的普及,网网相连,降低了信息的取得程度,从而也增加了安全风险。网络银行是属于开放性的网络交易,尤其在遇到资金转移等敏感信息,安全保护更是重要。所以目前制造一个安全的网络交易环境是目前网络银行使用的关键问题。Netscape公司指定的SSL协议、VISA与MasterCard两大国际共同主导和IBM等信息业者共同制定的SET协议以及根据SET构建的Non-SET系统都在不同程度的对网络银行安全问题带来不同安全措施。
4、网络银行对电子金融服务的推进第一台自动柜员机的诞生,开启公共场所ATM的使用,推动建制了金融电子资料交换网络,这项功能是电子商务企业对企业付款作业之前身,还有电话银行的诞生,以及目前网络银行的兴起。网络银行所提供的服务会随着网际网络的发展成熟而有所不同,根据网络使用的普及,网络银行受其趋势的影响,银行客户中使用网络银行的逐步增多。根据相关调查,对网络银行使用者做了相关调查显示与传统实体银行使用者人数还有一定差距,所以如何吸引客户使用便宜的网络银行通路,以降低成本是银行业者应该努力的方向。由于网络银行提供的服务项目多元化,每一种服务项目的安全需求也有很大的不同,SSL、SET以及Non-SET解决了这样的问题。除此之外国家也建设了保护网上银行正常交易的相关法律法规,我国现行的有关监管法制还处于初期阶段,在很多地方还存在缺陷,即使是专门处理网上银行问题而出台的法制也处在表面层次,有待加强,在实践中还存在很多法律问题有待进一步研究,所以我国我国网上银行的法律体系还有很大的晋升空间。网上银行相关法律法规的制定需要具有高度的前瞻性和兼容性为了避免法律滞后以及实际使用所带来的麻烦。制定明确的责任规划,对于网上银行社会信誉的建立是非常有必要的。并将网上银行信息披露纳入法律法规,制定网上银行犯罪的法律法规,为金融安全问题提供保障。
三、结语
金融主管机关财政部应加大安全保护措施确保消费者权益,积极鼓励网络银行的使用,为客户营造一个安全放心的交易平台。采取各项措施鼓励消费者使用网络银行,对还没有建设网上银行的银行提出建议与意见,银行的组织规模以及员工的相关知识储备是银行业者重点考虑的,同时网上银行的风险控管与交易安全问题仍需完善管理,是我国网上银行能够健康、稳步的发展。
参考文献:
[1]薛夙珍.电子商务付款系统之研究[D].国立交通大学信息管理研究所,1998.
银行安全预案范文2
关键词:银行 保障 理论 原则
要防范在银行经营场所发生的侵犯客户人身权、财产权的事件,就应当赋予银行安全保障的义务,银行未尽合理限度内的保障义务应承担相应责任。
1.银行安全保障义务的理论渊源
1.1安全保障义务并非仅仅是侵权法意义的法定义务。按照传统民法的划分,对约定义务的违反就应该承担违约责任,对法定义务的违反则承担侵权责任。但是近代以来,契约法和侵权法各自都有一定的发展。对于契约法来讲,近代以来民法开始认识到人和人之间是有差异的,并非像传统民法所假定的那样所有的人都是同样的“理性和强大”。在现实中的的确确的存在的“愚而弱”的人,所以立法应该对其给予特殊的保护。 [1]因此,国家权力应该对契约进行适当的干预,以免一部分人利用其优势地位,利用契约滥用自由意志。从而,在契约法上出现了默示条款和附随义务等制度。所以说合同义务也并非绝对的约定义务,合同义务也存在法定义务。在我国,附随义务的一个重要方面就是保护性附随义务。由此可知,安全保障义务并非绝对意义的侵权法上的义务。
1.2安全保障义务具有法定性
民法上把义务往往划分为法定义务和约定义务两种,虽然一般来讲合同义务为约定义务,但是也并不绝对。安全保障义务从比较法的角度来看其经常体现为一种合同法上的义务,但其并非由当事人双方约定的,而是由法律明确规定或法官在审判当中根据诚实信用原则对合同义务进行扩张性解释而生的。 在适用上,如果约定的保护水平高于安全保障义务的应有水平,那么就应该适用合同的约定,如果低于安保义务的应有水平则还是得适用安全保障义务的规定。即使,有的时候也许双方当事人会对保护和关照彼此的人身和财产作出一些约定,但是基于这么一种约定而产生的义务不是安全保障义务,这种约定只是普通的合同义务。由此可见,安全保障义务具有法定性。
1.3安全保障义务也并不等同于英美法上的注意义务
可以说安全保障义务是注意义务的一种。 [3]他是一种单方面的注意义务,指的是行为人基于自己所开展的具有一定危险的活动,对不特定的第三人所负担的保护和关照义务。而注意义务是所有人为一切行为时均应负担的义务,其是过失侵权责任承担的基石。
1.4安全保障义务最先体现为一种合同义务,后来由于合同义务的局限性各国在司法实践当中往往又通过侵权法对安全保障义务进行规制。将安全保障义务定性为附随义务似乎是自然而然的事:消费者在从事住宿、餐饮、娱乐、交通活动时,或因上述经营单位照顾不周,或遭受第三人侵害而找不到第三人或第三人缺乏偿付能力。于此情形,法律理念告诉我们,应该让此类经营者承担赔偿责任,而其与消费者间往往存在合同关系,因而合同法上基于诚实信用原则而发生的附随义务恰好可以作为满足此种需要。
2.银行对经营场所安全保障义务的原则确定
2.1设定银行安全责任的本意
促使经营者提供足以保障消费者人身、财产安全的服务,不是苛求经营者担保不发生任何侵权案件。侵权案件在经营场所发生,经营者本身也是受害人,只应当就其有过错的事由承担民事责任。
2.2银行安全责任设定的意图
不使经营者承担无过错责任,主要是为了平衡社会利益。法律制度平衡当事人的利益关系的结果,影响到整个社会经济的发展,甚至会导致一个行业或产业的兴衰存亡。因此,我们应当清楚地认识到法律制度对社会利益的平衡作用,并正确地把握这个平衡。
2.3银行安全保障责任的局限
银行作为治安重点保护单位,其安全系数理应大于一般商品出售或服务提供场所。但是,银行对经营场所的防范和控制力度又是极其有限的:首先,银行又不同于其内部的办公区域,它必须向公众开放,不得无故拒绝公众进入;其次,银行也不同于宾馆、旅社要求对方在提供有效身份证明的情况下进入其营业场所;再次,银行的保安并无强制力的保障,其所提供的设备相对于犯罪分子而言也极其简陋。银行应对其经营场所尽何种程度的安全保障责任,应当充分考虑该银行所在的社会环境以及银行自身条件,即做到必要性与现实性结合。
3.银行应承担的经营场所安全保障责任义务
3.1银行与被害者之间的责任
客户在银行被侵害的直接原因是加害人所为的侵权及犯罪行为;银行在安全保障上的不作为并不是损害后果发生的真正的事实上的原因。银行与加害人之间不形成共同侵权关系,银行不承担连带责任;银行只对其未尽合理限度内的安全保障责任承担补充责任。
在银行经营场所发生侵害客户的案件中,能够确定加害人的,由加害人或其他负有责任的人承担责任,安全保障义务人不承担责任;加害人无法确定的,由安全保障义务人承担全部责任;如果能够确认加害人,但是加害人或者对损害负有赔偿责任的人的资力不足以承担全部责任时,则先由银行承担补充责任,银行在承担了补充责任之后获得对加害人或者其他赔偿义务人的追偿权。
3.2银行与客户之间的责任
银行对其经营场所的防范和控制力度是有限的,要防止或减少银行经营场所侵权案件的发生,到银行存款、取款等人员在维护自身安全上也负有观察、注意、自我保护的自警义务:如发现有不安全的隐患时,停止相应的存取款业务;对大额存取款业务应尽量避免为公众知晓;避免老、弱、病、残、孕等人员单独携带巨额现金等。银行只对合理限度内的安全保障承担责任;并且这种责任是银行在有能力为,而不为的情况下的过错责任。
现实中,相当一部分侵权及犯罪行为的发生,既有银行在履行安全保障责任时的懈怠,又与当事人的麻痹大意等主观因素有关。对于双方都负有过错应当首先依据双方的过错程度及比重来分配责任,若在过错程度大体相当或难以区分的情况下,则责任分配主要取决于双方过错行为对损害发生及扩大所起作用的大小的对比。如客户为一般过失,银行严 重违反安全保障措施的要求,则由银行承担主要责任;如双方均为重大过失或一般过失则平均分担④如客户为重大过失,银行有轻微违反安全保障措施的某些规定,则应当由客户承担主要责任。
3.3银行与工作人员之间的责任
银行柜台的工作人员不能直接到大厅,大厅的安全主要靠保安来保障。当然,保安不同于警察,保安并无法定的制止犯罪行为的义务。对有预谋的恶性持枪、持械抢夺、抢劫案件,保安的控制与防范能力是很有限的。但是经过专门培训的保安,仍有较强的防范与处理突发性事件的能力:保安在大厅巡逻本身就可以抑制侵害念头的产生;保安敏锐的观察力,能发现、辨别风险,做到及时防范;对已发生的侵害行为,保安可以协助捉拿侵害人,或保护现场;对受人身伤害的客户,保安能提供第一手的帮助。
银行所做出的这些努力,一方面围绕银行内部的安全进行的,另外不能忽视客户在银行办理业务时的资金安全和人身安全,所以银行安全保障义务势在必行。
参考资料
[1] 星野英一:《私法上的人》载梁慧星主编:《为权利而斗争》中国政法大学出版社,2000年版。
银行安全预案范文3
关键词 银行卡 介入认证系统 类型 弊端 设计
中图分类号:TN918 文献标识码:A
1现在主要的银行卡安全接入认证类型
实体身份认证包括口令认证、挑战应答机制、基于同步机制的认证、智能卡认证技术以及生物特征认证。口令认证就是系统为每个用户建立一个用户名/口令对,当用户要登入系统进行操作时,就要输入相应的用户名和口令。这种认证方法比较方便灵活、简单实用、成本低廉。挑战应答机制则是在在用户登入系统时,认证服务器会随机发送一个挑战给用户,用户要进行应答,应答的内容跟系统计算出来的应答数相匹配,匹配上了则认证成功。基于同步机制认证则是挑战应答机制上再加上时间同步的要求,认证端和用户的应答器必须时间同步,这种认证方式保密性安全性比较高。智能卡认证技术则是将物理性的智能卡与密码相结合的双重认证系统,智能卡一般分为储存卡与芯片卡,储存卡只能存储客户的秘钥、个人化数据等信息,没有计算功能;而芯片卡则具有一个处理器,具有防篡改与非法读取的功能,不仅可以存储个人信息,还可以计算动态口令。IC卡还有个人识别码保护技术,输入三遍错误的个人识别码则会被锁住。这种认证系统要在终端上安装相应的智能卡识别系统。生物特征认证是利用人体的人体特征识别用户的身份,比如指纹、声音、脸谱等等。这种认证系统要安装相应的生物体认证系统,在数据库里还得采集用户的生物特征,用户在进行身份认证时可以将人体特征与数据库采集的人体特征相匹配、相吻合。这种认证方式技术要求比较高,身份认证结果也比较可靠。基于密码学的认证协议包括基于对称密钥算法的身份认证、Kerberos认证协议、公钥算法的身份认证以及基于哈希链技术的身份认证。Kerberos认证协议是根据秘钥分配中心的第三方服务来验证计算机的相互身份,并且建立秘钥保证计算机之间的安全。
2目前银行卡安全接入认证系统的主要弊端
虽然我国的银行卡安全接入认证技术发展地比较迅速,也越来越成熟。但是,作为关乎个人资金财产安全的互联网技术,安全性是最重要的第一要求。现在的银行卡安全接入认证系统仍然存在很多弊端,存在很多安全隐患。
现在的银行卡安全接入认证系统还是有很多是静态的,固定的口令秘钥式地认证方式,这种认证方式是单一固定的,由客户自行设置,客户设置密码时,容易设置过于简单,以自己的生日、手机号码、身份证等等作为密码。个人在ATM机上取款时都是直接输入6位固定的数字密码就行,这种秘钥固定单调,安全性机密性较低,不法分子极易窥视复制、易破解窃取。这会给用户的资金安全带来极大的威胁。而像生物特征认证方式则对技术要求比较高,对人体特征的采集录入工作量也比较巨大,而指纹、脸谱、声音也可以通过复制模拟,也不能完全保证银行卡的安全性。
3银行卡安全接入认证系统的设计与实现
银行卡安全接入认证系统是保障客户资金安全的第一道重要屏障,安全有效的银行卡接入认证系统是维护金融稳定、社会稳定的重要技术保障。而传统的银行卡安全接入认证系统仍然存在很多缺陷,存在很多安全隐患。因此,用户的资金财产安全要放在首位,银行卡的安全接入认证系统也要保证认证的安全性。传统的安全接入认证方式有很多都是单一的固定的秘钥式认证。
设计新的银行卡安全接入认证系统可以采用动态的双重认证方式,更加保障用户的财产安全,防治不法分子非法登入系统窃取用户财产。在客户登入系统时,既要输入自己的固定密码,同时系统会产生动态的一次性的口令发送到手机短信或者邮箱当中,客户根据自己收到的口令输入,并且登入。这种口令是动态的,一次性的,不法分子窃取了这个动态口令也没用,因为它是一次性的,口令的发送也是发到只有自己才能看到的手机或邮箱之中,同时结合自己本身设置的固定密码,这样双重、动态认证,极大地提高了银行卡接入认证的准确性与安全性。
4结语
银行卡安全接入认证系统作为互联网安全的一个重要组成部分,也是保障用户资金财产安全的重要技术屏障。我国的银行卡接入认证技术发展迅速,认证方式丰富成熟,方式多样,既包括实体身份认证、也包括基于密码学的认证协议。但我国目前的银行卡安全接入认证系统仍然存在很多弊端,存在很多安全隐患。我国还需要在银行卡安全接入认证技术上加大资金投入力度与科研力度,设计出更安全保密的安全接入认证系统,维护百姓的资金财产安全,同时保证金融市场的稳定与社会的和谐。
参考文献
[1] 张振权,罗新民,齐春.用AVR汇编语言实现AES及其优化[J].单片机与嵌入式系统应用,2005(08).
银行安全预案范文4
当下,我国很多银行网络安全体系中都运用到了访问控制技术,它成为了银行金融网络的一大保护屏障,也是银行网络安全体系的重要构成。本文主要从访问控制技术的角度来谈谈银行要如何保护金融网络安全,以期提出有益的建议。
【关键词】银行 网络安全 访问控制技术
计算机网络的普及已经深入到我们社会生活的各个角落,在银行金融业务中,如何解决银行网络安全是银行十分重视的问题。在这种背景下,访问控制技术诞生了,并成为了银行金融电子化及网络安全保护的重要措施。
1 访问控制概念及原理
1.1 访问控制的概念
所谓访问控制,就是一种允许或者限制范围能力和范围的方法,它是利用某种显式的途径来实现,并且可以防御非法的资源使用行为。对于非法用户的入侵行为,访问控制可以限制其访问重要资源,如果合法用户因为失误造成的破坏,访问限制也可以进行阻止,这样就能够让银行金融网络受到良好的控制,被合法使用。用户要想访问系统资源,必须在自己的权限范围内,禁止越权访问。访问控制技术不等于身份认证,不过却是以身份认证为前提的。
1.2 访问控制的原理
我们可以运用路由器上的访问列表对数据包过滤。网络数据包传递由访问列表控制,并对虚拟终端线路通信量进行限制,也可以对路由进行控制。路由器产生的数据包并不是因为包过滤功能引起的,数据包到达一个端口之际,路由器会针对这种数据能不能以路由或者桥接的方法送出去进行查验。要是无法发送出去,路由器就会把这个数据包丢弃,反之,那么路由器会对这个数据包进行检查,以符合端口定义的包过滤规则为检查依据,要是不符合包过滤的要求就会禁止数据包通过,路由器也会将之丢弃。多条规则构成了单个访问列表,数据包的允许或禁止通过需要遵循输入规则。号码是访问列表的标志,相同的访问列表需要一样的号码,列表中每个语句都是如此。访问列表的正在应用类型代表了号码的使用范围。
2 访问控制技术在银行网络安全中的应用
银行金融网络信息的整个系统都可以运用访问控制技术,例如:
2.1 应用系统层
数据库管理系统、操作系统等软件是应用系统的基础构架,它能够让具有不同需求的客户在应用需求方面获得满意的软件程序的帮助。要开发应用系统,必须先有效地分析、规划访问控制措施。访问控制措施必须运用到银行信息系统里的关键综合业务系统以及别的应用系统中。各级柜员、管理者、自助设备等是综合业务系统的主体,而相关的交易、操作则是客体。针对综合业务系统里的安全管理环节,应该定义访问控制措施的规则。不管是交易还是操作,只有根据规则来进行,主体才有权进行合理的访问与执行。
2.2 网络层
路由器和三层交换机中会大量运用到访问控制列表,主客体分别为源地址、端口号与目的地址,对控制列表的访问则是按照相关的保护规则来进行,如果数据包满足保护规则要求,则允许通过,反之则被阻止。在MAC地址过滤中,待访问目标是客体,而MAC地址则是主体。保护规则都是根据定义MAC地址过滤列表来进行的,只有符合该规则的MAC地址数据包才能得以通过。另外,还有一种常见的访问控制技术,那就是防火墙技术。网络有内网和外网之分,源端口号、源IP地址是主体,而目的端口号与IP地址是客体,以保护规则定义的方式让遵循规则的数据包得以通过。
2.3 数据库管理系统层
银行金融网络系统中,操作系统固然头等重要,然而数据库管理系统的重要性也是不言而喻的,它是应用系统不可或缺的组成部分。在数据库管理系统中,十分重要的一个安全措施就是访问控制。用户安全管理是数据库管理的集中体现。系统对通过身份认证的登录信息会将之当做主体,而数据库管理系统中的文件、字段、数据库、表以及系统操作则是客体,而字段与表会存在一些增删、查询、和修改方面的操作,而数据库则存在恢复、备份等方面的操作。用户的存取、访问规则是用户对数据库存取控制的执行依据。存取矩阵也能够表示访问控制规则。列在该矩阵中代表着系统客体是数据库、字段以及表等等,而阵列各单元代表主体对客体或者不同主体的存取方法是增删、查询、修改等操作。
从操作系统的访问控制安全角度讲,访问控制措施在数据库管理系统中作用重大。数据库管理系统成为了不少应用系统的的设计依据,系统的关键部分是数据,其权限被用户掌握以后,就能够不经过应用系统,直接通过操作数据库的记录,实现犯罪目的。所以,科技部门必须细致地分析设计数据库系统的访问控制措施,严格分析数据库管理系统中主体的最小权限,然后据此对存取矩阵进行设定。
通常数据库管理系统权限是应用系统最终用户无法获得的,这样一来也不能直接操作数据库管理系统,要最大限度地不让内部和外包开发用户对数据库管理系统进行直接登录操作。以严格的管控措施减少直接操作授权。假如必须直接登录操作,那么要针对部分表的部分字段来操作,不能授予内部或者外包开发用户全部权限。同时,针对查询权限的授予,可以一定程度上降低要求,但要控制好增删与修改操作。例如,一个用户需要进行客户存款信息查询,那么他被授权查询姓名Name、住址Address 、存款余额Deposit3个字段的信息表User,不过只允许修改Address字段,但是严禁执行插入或者删除操作。
在不少情形下,个人征信系统、反洗钱系统等应用系统都是主体。要创建对应的用户,则需参照应用系统对数据库管理系统的最小授权来进行。在个人征信系统中,外包开发用户要规划系统,那么需要同科技部门沟通,对应用系统的最小授权集合进行制订。客户贷款信息数据表中的一些字段或许或会出现在个人征信系统中,那么存款信息之类的数据库表就不应该被访问,可以允许查询。分析访问控制措施,可以极大地减少因为内部和外包开发员的过渡授权而产生的金融安全风险。
2.4 操作系统层
有着访问控制措施的常用操作系统主要注重对用户进行安全管理。用户的身份认证关系到访问控制权限,也是访问控制执行的依据。身份认证的方法有很多种,比如口令与指纹、身份卡与口令以及USB钥匙等等。系统会禁止缺乏正确身份认证的用户,如果认证成功,那么登录身份信息将被系统当做主体。而系统设备、文件、操作、进程则是客体,一般会出现读写、运行和删除及修改等行为。对于用户的识别和存取访问规则是由用户对信息存取控制的来确定。系统对不同的用户会授予不一样的存取权限,比如写入或者读取被允许。存取矩阵模型一般被用来表示访问控制规则,大型矩阵阵列则可以用来表示系统的安全情况。行在这种矩阵中代表系统主体,系统的客体则用列表示。主体对客体或者不同主体的存取是以阵列单元的填入数值来描述。数据库管理系统以及操作系统都能够使用这种模型。
要想对内部与外包开发人员进行有效限制,就需要合理配置访问控制措施,这样才能让他们不会故意越权操作系统。如果配置不佳,就会让内部和外包开发员有过多的权限,不利于银行金融网络的安全。科技部门必须细致地分析设计操作系统的访问控制措施,严格分析文件系统中用户的最小权限,然后据此对存取矩阵进行设定。
2.5 防火墙
访问控制技术在银行金融网络防火墙中也有广泛的运用。从网络防火墙技术上来讲,网络具有内外网之分,该项技术可用于对所有的内外和外网通信应用协议的分析,由此查找出主机的IP地址和IP上联端口号,并对业务流进行有效的规划,进而合理控制对应的业务流。源IP地址、目的IP地址、源上联端口号、目的上联端口号中的访问权限都可以利用防火墙技术来进行最大化的限制,能够对业务流的通断进行限制,以保证银行的金融业务安全。
3 结语
总的来说,访问控制措施必须符合相关的要求,即制定严格、遵循最小特权、职责分离与多人负责,这样才能让金融网络变得更加安全,对非法用户的阻止是很有效的。特别是当前银行经常出现的内部与外包开发人员越权操作系统的案件,所以银行必须科学而合理地使用访问控制技术,以保证银行金融网络的安全。
参考文献
[1]戚文静,刘学.网络安全原理与应用[M].北京:中国水利水电出版社,2005.
[2]蒋茜,张帆.访问控制技术在银行网络安全中的应用[J].重庆工学院学报(自然科学).2008,22(12):153-154.
[3]王铁刚.浅谈“访问控制”技术在银行网络安全中的运用[J].计算机光盘软件与应用,2012(20):127-128.
银行安全预案范文5
1 引言
随着计算机和网络通信技术的快速发展,信息技术越来越多地被应用于银行各项业务,银行可以为客户提供“3A”(Anytime,Anywhere,Anyway)服务,信息技术在给业务办理带来巨大方便、高效的同时,也带来了极大的信息安全隐患。从一般概念上来讲,网络信息安全主要指网络信息的完整性、保密性、可用性、真实性和不可抵赖性。但是银行作为一个特殊的机构关乎国家经济命脉和人民生活,银行信息安全自然非常重要,它是指银行信息系统的软硬件资源及其数据受到严格保护,不受恶意的或偶然的原因而遭到更改、破坏、泄露,系统可持续稳定可靠地运行,信息服务不间断。银行信息安全是银行业务开展的基础,是银行经营稳健运行的保障。
2 我国银行信息安全的现状
自1998年3月6日,中国银行业务系统第一次成功办理电子商务交易,从此开始了中国内地网上银行业务发展的序幕。近年来,我国银行业的信息系统经历了地震、泥石流等各种各样的考验,充分说明了我国大陆银行业信息系统建设取得了一定成绩,同时监管层也颁布了《金融机构计算机信息系统安全保护工作暂行规定》、《关于进一步加强银行业金融机构信息安全保障工作的指导意见》等政策法规。目前,各大银行已经意识到网络信息安全的重要性,成立了信息安全专门管理机构,并在信息安全管理机构内养一些专业人才,并增加了信息安全的投入。
虽然中国银行业在信息安全建设方面取得了佳绩,但是银行信息安全危险依然存在,银行信息安全保障依然不能忽视。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪率达到了60%以上。据互联网新闻报道,2009年上海农商银行信息系统出现故障,区域内大量营业网点无法正常办理业务;2010年2月3日中国民生银行网络信息系统出现长达4小时的系统故障,全国范围内无法办理业务;2014年2月支付宝员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司。上述事件严重影响了人民的利益,对金融企业的形象和声誉造成了极大的负面影响,充分暴露出银行业机构在网络信息安全领域有较大隐患,不容小觑。
3 银行信息安全存在的问题
银行信息安全系统的建设是一个庞大复杂的工程,大部分工作牵扯到银行业务管理水平和信息安全技术,目前无论从系统管理的角度还是从安全技术水平的角度,银行信息安全方面都存在着较多问题,下面从这两个方面展开论述。
3.1 从业务管理的角度看银行信息安全存在的问题
⑴对信息安全的认识不到位,信息安全的意识观念薄弱
银行业的信息安全问题,首先是意识和观念的问题。不管是管理层还是底层员工,能认识到网络信息安全的重要性,熟悉信息安全的基本内容和具体工作要求是非常重要的。人们往往认为信息安全的核心安全性取决于核心技术,其实这种思想是错误的,信息安全首先取决于基本规范的实施和安全手段的应用。
⑵重视信息安全产品的投入而忽视管理投入,应急预案不完备
网络信息安全投入不完全是安全产品和工具的投入,还应包括操作流程、应急处理机制策略等方面的投入,还必须配套与安全产品有相适应的过程管理机制。建立合理的流程管理机制需要投入,这些投入与安全体系的完整性有着紧密的联系,否则报警无人处理、入侵无人响应,效果并不理想。应急预案的覆盖范围必须足够广,制定规范性、系统性应急预案并进行实践检验,部分应急预案的制定与银行实际工作情况没有关联,侧重于应急预案的形式,而不注重应急演练实践检验,极少有银行机构做到模拟真实场景进行应急演练和评估风险。
⑶银行缺少信息安全管理的复合型人才
金融管理离不开管理方面的人才,金融企业信息安全管理需要复合型人才,这种复合型人才必须熟悉计算机和网络技术,又要懂银行业务流程和信息安全风险防范知识。目前,这种复合型人才还比较少。各大银行的信息安全专业技术人员大部分都是毕业于计算机或相关专业,他们对计算机专业知识相对比较了解,但是对银行业务的工作流程和信息系统潜在威胁的把握还不够。
3.2从专业技术角度看银行信息安全存在的问题
⑴银行使用的软件安全性比较弱
由于计算机应用软件是银行内部信息的载体,所以软件本身的质量相当重要。目前银行业务系统的软件体系,包括项目管理系统和软件开发生命周期都只注重软件功能、开发速度和市场,很少考虑安全的需要。现在发现管理和技术上存在的安全威胁,主要出现在应用软件安全设计上。
⑵系统漏洞和信息泄密
所谓漏洞一般是指系统设计开发人员在软件开发的时候,故意设置的。这样做的目的是为了保证银行从业人员在某些特殊情况下失去系统访问权限时可以顺利进入系统,正是因这些软件漏洞的存在,给银行业务系统带来了信息安全威胁,这样就会造成信息的泄露。其次,银行的内部职工最熟悉金融企业的计算机应用系统,他们知道那些操作能使计算机系统出现故障、损坏或泄密。某些时候金融企业裁员也可能导致计算机泄密,当裁员时某些系统账号没有及时删除,也可能导致重要敏感信息的泄露。
⑶计算机黑客的恶意入侵
网络黑客是一些具备较强计算机专业技术知识的爱好者,他们可以在他人无法察觉的情况下,利用计算机设备侵入一些重要行业的计算机系统,并从中获的有价值信息或破坏信息系统。大多数的网络黑客主要利用计算机软件系统的漏洞来入侵信息系统,入侵方法高明且多种多样,并且入侵手段更新速度也很快,从而使现有的计算机系统安全产品很难及时做出相应的预防,进而导致计算机网络经常遭到网络黑客的侵入。
⑷计算机病毒和木马
计算机病毒是目前信息安全主要威胁因素之一,而且现在的计算机病毒千奇百怪,多种多样。计算机病毒是一些计算机爱好者刻意编写的程序代码,具有类似于生物病毒的破坏性、传染性、隐蔽性等特点。为了保证银行计算机网络系统的安全运行,应重视防范病毒。另外还有就是木马程序,木马程序是一种由攻击者悄悄安装在受害人计算机上的窃听及控制程序,通常包括控制端和被控制端两个部分,被控制端程序通过网络或其他介质植入受害人计算机,控制端程序则安装在不法分子的计算机设备上,利用控制端远程的和被控制端传送数据,以窃取受害人计算机上的资源,盗取个人信息和各种重要敏感数据,给单位和个人造成相当大的损失。
⑸灾备措施不完善和基础设施故障
银行的灾难备份和恢复能力必须进一步加强,中国银行业的灾备系统类型比较单一,覆盖面还较小,尤其缺乏系统的灾难恢复方案。正因为这些情况的存在,导致了各种各样的自然灾害发生后,无法立刻启动应急预案并快速切换到备份系统,所以才会出现长达数小时的信息服务中断。计算机基础设施可以说是任何计算机系统安全运行的保障,当基础设施出现故障后,势必会造成信息服务的中断,同时这种情况的发生是不可预知的。基础设施的出现故障的原因比较复杂而且多样化,具体包括服务器电源故障、网线老化、通信中断等。
4 银行信息安全风险的应对策略与建议
从以上关于我国银行信息安全问题的分析可以知,构建一套可行的银行信息系统安全保障体系和方法,加强防范信息安全风险势在必行。因此,应做好以下方面的工作。
⑴认真做好相关专业人员的安全意识教育,而且常抓不懈
银行内部比须加强信息安全监管和惩戒力度,明确法律责任,将信息安全的责任落实到每个相关人员,出现问题谁负责追究谁,将违规操作的可能性降到最低。对于银行而言,任何的数据和客户信息都非常重要,必须有严格的保密规定,但是常常在实际工作中出现这样那样的小问题,因此要强化内部员工的安全意识教育和信息安全基础知识培训,此项工作必须常抓不懈,然后将相关内容整理成册,定期的学习考核。必要时,有机会接触重要信息的员工在进入岗位之前必须做出书面承诺,保密承诺要包括重要信息的范围以及泄密需要承担的相应责任,使每一个能接触重要信息的人员明确信息泄露的危害。同时通过培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。
⑵建立与灾备体系相适应的应急管理机制,两者缺一不可
日常生活中突发事件是不可预知的,尤其是各种各样的自然灾害,其破坏力比较大。如果银行能事先把预防措施做到位,做到防患于未然,就可以最大限度地减少经济损失,保证人民财产不受损失,保障国家经济安全运行。首先是要建立完善的应急预案机制,有针对性的强化应急演练,对各种自然灾害事件进行全面有效的风险评估,分类制定科学的应急方案,开展接近于实际情况的模拟应急训练,及时评估应急演练的效果,做到突发事件发生时无死角,有的放矢,同时通过应急演练检验应急预案的实用性、合理性、可行性。接下就是建立与应急机制相适应的灾难备份恢复系统,提高业务可持续性。大型的银行要积极建设“两地三中心”,中小型银行可以考虑选择灾难备份外包服务,使银行具备抵御火灾、地震、暴雨等自然灾害的能力。全面促进业务系统的连续性,着实增强银行防范风险能力。
⑶加大银行信息安全复合型人才的培养力度,拓宽培养渠道
任何科技工作都必须以人才为重心。为了彻底清除银行信息化建设中的障碍,切实保障金融企业信息安全,各大银行要大力培养信息安全复合型人才。首先根据各单位信息安全的人员结构和知识结构,在强化信息安全专业知识教育的同时,还要兼顾计算机专业知识和金融业务知识的培训,而且此项工作必须长期坚持,做好人才储备。在人才培养的同时还要与实践相结合,在学习各类信息安全知识的前提条件下,组织参与培训专业人员针对信息安全制度进行实践检验。
⑷敏感重要数据务必加密,同时安装杀毒软件
首先,加密是确保信息安全的关键技术之一。越来越多的数据要求银行的业务系统在选择加密方式时要尽可能的有多种数据防护需求,在已有的加密方式下,多模加密技术是较好的选择。多模加密技术是将非对称加密算法(如RSA)和对称加密算法(如DES和AES)相结合,在确保数据安全的同时,其多模的特性可以根据需求选择对称或非对称加密方式。另外防范计算机病毒最有效的措施就在银行的各类计算机系统中安装正版的防病毒软件,力争做到病毒防范无死角无遗漏,并且确保杀毒软件能实时更新病毒库。对于新购置的软件和类似于U盘的存储介质,在使用前银行员工须使用杀毒软件进行全面的病毒扫描,确认安全之后方可使用。
⑸进一步推进银行信息化技术法规和标准化体系建设
结合银行信息化发展的实际需要,以各种方式协作,分层次和有序的加快银行信息化技术规范和标准的建设进度。组织完善数据中心建设、数据存储、网络互连、安全加密、数据交换、安全认证、客户服务方面标准的制定。对网上银行、移动银行、电子商务等创新产品和服务,制定与之相适应的标准和规范。同时,建立科学的监督策略,通过制度建设,强化技术标准和规范的执行强度。
银行安全预案范文6
1 银行业当前安全形势
11 社会经济形势依然严峻
一是经济危机对国内实体经济的影响仍在继续,部分企业尤其是中小企业和出口型企业经营出现困难,资金链濒临断裂,资金需求意愿极其强烈,导致针对金融机构的各类违法违规案件尤其是诈骗案件有所增加。二是下岗失业、进城务工人员增多,维护安全稳定面临的压力明显增大,安全防范任务十分繁重。三是随着当前我国经济改革的不断深入,城乡之间经济差距进一步缩小,农村网点的各项业务迅猛发展,现金库存量、流通量不断增加,但由于农村偏远地区受当地经济条件制约,加之交通不便、信息渠道不畅等客观条件的限制,人员防范意识淡薄,鉴别能力较低,安防设施相对落后,较难抵御犯罪分子的侵害。因此一些犯罪分子把目光集中到农村偏远地区,给金融营运安全带来很大风险隐患。
12 外部侵害的手段在不断翻新
当前,金融行业安防工作形势依然严峻,一些社会不法分子针对银行营业场所实施的抢劫、盗窃及诈骗案件依然频有发生,犯罪分子的作案方法和手段逐步趋向多样化、智能化,一些依托电子设备、网络技术等高新技术,主要针对自助银行、网络银行的新型犯罪形式也在不断出现,同传统犯罪形式相比,这种以高新科技为手段的新型犯罪形式具有隐蔽性强、涉案资金转移快、犯罪区域跨度大、追捕困难,甚至可以利用尖端的通信技术跨国进行犯罪,犯罪分子紧跟科技发展步伐,一步步更新作案方式手段,给银行和客户带来巨大的经济损失,扰乱了金融秩序和社会治安秩序,严重影响到银行业的企业形象和公众认可度,对我们的安全防范能力形成了很大挑战。
2 山西银行业金融安全管理现状
21 过于注重业务发展,漠视安全保卫工作
三晋大地,四面环山,沟壑纵横,南高北低,山多川少,交通闭塞,当地百姓思想保守,民风淳朴,各类金融刑事案件罕有发生。调研中发现,除电信诈骗事件外,近些年山西金融机构没有发生过以暴力侵害为手段的重、特大刑事案件。正是由于长期的安全和稳定,致使部分银行对社会治安现状和金融安全的严峻形势认识不足,平时只重视业务发展,而对安全保卫工作认识不到位,重视程度不够,存在麻痹思想和侥幸心理,缺乏安全防控和风险防范的紧迫感、危机感,致使制度落实不到位,银行对员工违反安全制度的行为往往是批评教育、查而不处,降低了安全保卫工作内控制度的严肃性和权威性,对物防、技防不达标的问题,仅限于向上级打报告,而不是积极采取措施加以解决,使一些安全隐患久拖不决。
22 受传统观念的影响,优秀员工不愿做安保工作
调研中发现,虽然当前各银行均按要求配备了专、兼职安全管理员但也只是名义上的“专职”,实际工作中有的身兼数职,有的年龄偏大,有的甚至一直没有固定的专、兼职安全管理人员,人员更换频繁。随着我国银行业务的深入发展,对安全的需求越来越高,社会对银行所提供安全服务的要求也越来越高,各银行现在急需一支高素质、高水平的安保队伍提供优质安全服务。但长期以来,大部分人对银行安保工作缺乏了解,还停留在素质低、工资低、学历低等认识层面上,调研中,80%的员工表示,不愿意做安全保卫工作,他们普遍认为银行以信贷业务发展为中心,安全保卫工作只是处于“配角”的地位,而且现在都实行责任追究制,安全保卫工作平时不受重视,一旦发生却要承担主要责任。
此外,虽然大部分银行营业网点的兼职安全员为30岁左右的青年员工,但也仅停留在“业余兼职”的层面上,缺乏专业性和实践性,先不说他们是否能保障员工和客户的安全,在特殊情况下,他们自身的安全也成了一个问题,尤其是面对穷凶极恶的歹徒时。实际上,目前银行业的安全保卫工作正从以往单一的人防服务,向科技安防服务的方向转变,银行更需要将一些高素质、高学历、年轻化的人员充实到安保队伍里面。
23 业务素质良莠不齐,教育培训体系不规范
从事安全保卫的人员专业化水平不高,良莠不齐,接受系统化的培训少,部分基层工作人员更是对安全防范基础知识缺乏了解。虽然,接受调研的网点均表示能保证每季度至少进行1次安全教育培训,平均培训时间达2个小时以上,但是存在着教材内容陈旧,专业性不强,培训过程不规范的现象,在与银行员工进行交流的过程中,发现部分员工对当前以电信网络技术为手段,针对自助银行、网络银行的高科技犯罪的现状缺乏了解和认识,鉴别能力和防范措施有待加强。
3 提高金融安全管理的建议及对策
31 提高责任意识,加强执行力建设
改变员工对安全保卫工作的传统观念,并非一朝一夕之事,各银行机构主要负责人担负起模范带头的作用,加强组织领导,始终把安全保卫工作纳入重要议事日程中,把安全工作当作头等大事来抓,充分认识到做好安全保卫工作的现实意义和重要性,以高度的责任心,严格履行安全保卫工作职责,建立健全奖惩机制,坚决查处履职不到位行为,杜绝“以习惯代替制度、以信任代替制度”的不良行为,认真落实“一票否决”制,真正把安全保卫工作落到实处。
32 加强教育培训,提高应对突发事件能力
一是要切实落实加强安全教育培训工作,一是开展多层面、多形式的安全培训学习,不断提高安保人员业务知识、设备操作、突发事件处置等方面的水平,增强工作执行能力。通过抽查、暗访、考试、座谈会等形式,对培训效果进行检查测评,加大监督检查力度,保证培训质量。
二是规范预案演练管理。制定预案演练计划,通过视频监控系统进行非现场监督,定期通报演练计划实施情况,确保演练的频次达标,总结推广好的演练预案,提升预案的科学性、操作性,强化演练培训的实效。
三是加强对安全保卫人员的思想教育和职业道德教育,引导他们树立正确的人生观、价值观,提高员工遵纪守法和自觉防范风险的意识,主动防范和化解各类安全风险隐患,杜绝治安刑事案件和责任事故的发生。
33 推进队伍建设,提升安全管理水平
推进银行安保机构的建设步伐,根据组织结构、营业网点规模定岗定编,配备专职的安保干部,并进一步完善考核方式方法,坚持过程与结果并重,加大对安全保卫干部履职的监督检查和考评力度,强化约束激励机制,充分调动安保干部工作的积极性和主动性,充分认识到安保队伍建设的重要性和紧迫性,选拔安全管理员时要严格把关,优先选拔德才兼备、责任心强的优秀员工,提高全行安全管理队伍整体水平。
