【关键词】业务;;安全防护
近几年来,随着互联网技术和通信技术的高速发展,各大银行网络业务的竞争日益激烈,网络结构变得越来越复杂,进一步凸显了银行网络安全保障方面存在的问题。因此,必须加强对银行网络安全防护的统一规划和建设,确保银行网络业务的正常开展和运营,促进银行新型网络业务的发展。
1 银行网络安全防护机制的构建意义
随着银行网络业务规模的持续扩大,网络面临的安全隐患问题也逐渐增多。如何在确保银行网络业务可持续发展的基础上完善其安全体系,降低银行网络面临的风险问题,成为了网络安全领域面临的重大挑战。本文旨在解决银行网络业务存在安全隐患和威胁的基础上,形成清晰的网络拓扑结构,使其具有良好的身份认证策略、访问控制策略和入侵检测方法,确保银行网络在正常运营的前提下拥有较强的抗病毒、抗攻击能力。
2 银行网络安全防护系统体系架构设计
银行网络安全防护系统的基础网络采用三层架构模式,由上到下分别为网络核心层、网络汇聚层和网络接入层。
网络核心层:其功能主要是为银行开展网络业务提供高速率数据传输和稳定的骨干网络传输结构,因此,网络核心层必须具有郊区的可靠性和稳定性,以及高速率的网络连接技术,以适应网络情况的实时变化。
网络汇聚层:网络汇聚层是接入多台网络交换机的汇聚之处,需要对来自下层的全部数据通信进行处理,同时将处理结构反馈到网络核心层的上行链路,由此起到承上启下的汇聚作用。网络汇聚层的设计要充分满足银行网络业务增长的需求,还要进一步综合考虑新兴业务的扩展应用。
网络接入层:主要为网络用户连接到网络提供服务,具有网络带宽共享、网络划分和MAC地址过滤等功能。网络接入层的交换机端口密度高、价格成本低,可以考虑采用堆叠式和网管式交换机,其高速端口与汇聚层交换机连接,普通端口与计算机终端连接,从而缓解骨干网络的拥塞情况。
3 银行网络安全防护系统网络拓扑设计
图 1 银行安全防护网络拓扑结构图
银行安全防护网络拓扑结构采用三层双星型架构模式,这种网络架构模式的网络层次明确,具有高度的安全性、稳定性和可扩展性。三层结构模式使网络层级功能明晰,以确保网络后期建设维护操作方便;双星结构模式可以保证银行网络业务通信的实时性,同时实现网络负载均衡和实时备份功能。三层双星型复合架构有利于银行网络业务的动态扩展,更有利于网络安全防护机制的顺利实施。银行安全防护网络拓扑结构如上图1所示。
4 银行网络安全防护机制设计
4.1 入侵检测系统
入侵检测系统的部署主要是防止外界非法人员对银行网络进行攻击,及时发现非法人员的入侵行为,以确保能够立刻采取网络防范措施。在银行网络中的关键部位部署入侵检测系统,可以实时监测流入和流出银行网络的数据流量,分析确认非法入侵行为,以确保银行网络业务的正常开展。银行网络安全防护系统中的入侵检测工作流程如图2所示:
图2 入侵检测系统工作流程图
4.2 堡垒主机防御
堡垒主机的部署主要目的是实现银行内部办公人员与外部人员访问银行内部网络资源全部都要经过堡垒主机,对全部操作数据信息进行实时记录,确保操作行为审计。
4.3 网络防病毒系统
网络防病毒系统具有一定区域范围内实时监控和杀毒能力的软件系统,具有网络病毒隔离、病毒种类识别鉴定、病毒根源实时跟踪等特点。银行网络安全防护系统采用SOC病毒服务器,可以实现企业级的防病毒部署安装,对终端病毒进行统一管理。
4.4 动态口令认证系统
动态口令认证系统可以实现网络用户合法身份的认证,将发送给网络用户的密码和USB Key作为身份认证依据,在网络设备中启用Radius认证,同时实现口令认证服务器的联动来确保网络用户身份的合法性。当登陆到动态口令认证系统时,其口令是随机变化的,为了防止网络监听、数据假冒和猜测等攻击问题,每个口令只能输入使用一次。
4.5 漏洞扫描系统
漏洞扫描系统是采用扫描漏洞的手段对本地计算机系统的安全情况进行检测,基于安全漏洞数据库来发现系统漏洞,因此,漏洞扫描系统属于一种渗透攻击行为。
4.6 漏洞补丁系统
。
4.7 数据库安全设计
数据库安全指的是对数据库系统中的数据信息进行有效保护,防止数据信息遭到非法窃取和泄露。在银行网络安全防护系统中,数据库与操作行为的安全性是相互结合的,当网络用户登录到系统之后,系统会对应不同网络的权限进行角色确认,才能允许用户登录到数据库系统中,同时,用户存取数据库中的资源权限也要经过操作安全性检测后才能允许进行,以最大限度确保了系统数据库的安全。
5 结论
综上所述,本文提出的银行网络安全防护系统可以创建统一管理的网络对外接口,确保对银行网络业务数据的高效管理和内部资源共享,切实提高银行内部网络访问的可信度,降低网络安全威胁事故的发生率。
参考文献:
[1]于顺森.探讨银行计算机网络安全管理[J].信息与电脑(理论版),2013(02).
[2]王晓姝.商业银行网络安全风险分析[J].中国新通信,2013(09).
[3]田雷年.银行无线网络组网及安全研究[J].中国新通信,2013(10).
XX农商行安全保卫部:
根据武穴农商行关于开展2020年“安全生产月”和“安全生产楚天行”活动实施方案,我支行迅速成立以行长为组长,其他员工为成员的安全活动领导小组,结合我支行的实际工作,广泛深入地开展了全方位、多层次、多渠道、多形式的安全生产月活动。
一、营业部XX行长迅速组织员工学总书记关于安全生产重要论述。营业部全体员工在认真聆听X行长行长对XX总书记安全生产重要论述的理解 。
二、开展安全教育,提高员工的安全意识。
三、我支行在门头LED上滚动播出“1,安全是发展的前提,发展是安全的保障。2,依法严厉打击各类犯罪活动,全力维护公共安全。3,网络安全为人民,网络安全靠人民。 ”活动主题。在营业网点设置宣传咨询台,向过往群众和员工宣传安全生产知识。
四、组织员工发现营业网点,自助银行等重点区域安全隐患及时整改,重点环节的人防、物防、技防、消防的重点场所,关键环节安全风险隐患进行了全面的深入的排查整治,确保安全无事故。扎实开展安全生产宣传教育和应急预案的演练工作,增强了营业部全体员工的安全意识和应急处置能力。为安全生产提供了坚实的保障。
最后,我支行将认真总结活动经验,坚持问题导向,拓展思路,砥砺前行。。
关键词:医院信息管理系统;安全管理
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Safety Management of Hospital Information Management System
Yang Haijun,Xiang Daji
(Zhejiang Yunhe People's Hospital,Lishui323600,China)
Abstract:With the development of the times,people are getting better and better living standards,health standards are constantly upgrading the security of hospital information management system is also more and more people's attention,the hospital has a patient information management system in various types of information in the same time,also includes information on the surgery can be said that the hospital information management system has a very important value.In this paper,the security of hospital information management system of management depth,and a few points.
Keywords:Hospital information management system;Security management
一、引言
随着现代科技的不断进步,现代化信息技术也在不断发展,社会对医疗卫生事业的管理要求也越来越严格,医院的计算机网络系统也在不断的健全完善,医院信息管理系统的建立健全,给医院带来了很大的经济效益和社会影响力,但是我们必须意识到,在医院信息管理系统给医院带来好处的同时,我们也要意识到加强计算机系统的安全管理是重要的一环,不重视网络安全管理,势必会造成系统信息的失控管理,从而造成无法估计的损失。
二、计算机网络设备的安全管理
(一)网络设备供电的管理。不论是电脑本身,还是信息管理系统,都需要设备的支持,而网络设备正常的工作也离不开电源的供电,供电电压电流应符合网络设备要求,并且保证持续不间断供电,因医院信息系统要求每天24h正常运行,没有良好的供电措施是不行的。
(二)网络设备“三防”问题。在医院信息管理系统的管理问题中,计算机网络设备安全方面,有着非常重要的几点需要技术人员注意,其中最重要的是“三防”问题,“三防”指的是“防雷、防火、防盗”。
三、加强职业道德教育
不论是从事医护行业,还是从事其他的职业,每一个人都必须遵守职业道德。因此,医院的领导应该重视网络安全问题及以系统安全问题,对于医院的信息管理部门,医院应当加强部门和个人的职业道德教育,让大家正确的认识网络安全问题,正确的了解医院信息管理系统工作的意义所在,在思想上重视网络安全问题。
所以,在医院信息管理系统中,医院管理人员应当给予医院的信息系统管理员一定的权限,其配置权限不亚于银行证券等系统的管理员权限,正因为有了这种权限,管理人员就可以对数据库进行增、删、改等操作。
当然如果不正当的使用这种权限,就会给医院及患者带来的后果不堪设想,而系统客户端操作员的权限虽然较低,但是不按照规程操作,也会给医院利益带来负面影响,所以加强职业道德教育势在必行。
四、健全各项管理制度
在医院信息管理系统的管理中,管理者必须加强制度的完善,保障医院信息的安全。
(一)在医院信息管理系统中,管理人员应当加强计算机主机房的管理,严格控制计算机主机房进出人员的管理,同时,机房内的各种硬件设备的管理、服务器的日志管理、数据备份的管理。
(二)建立健全信息工作站管理制度。在每台计算机的工作站上建立每日的工作日志,同时,在计算机上安装记录软件,记录在该工作站上上机的每一位操作员的开机时间、关机时间、操作内容、系统运行情况以及操作员的姓名等等。
(三)人员培训管理制度。事实上,很多网络安全事故发生后,经过事后调查,我们会发现,通常是由于管理人员或者是操作人员的疏忽,导致不必要的事故发生,所以,医院信息部门应当加强对每一位工作人员在上岗前的技术培训,包括网络设备的安装、网络安全关口的设置,只有培训完全合格的人员,才能够上机操作。培训时,技术人员应当不断加强网络安全意识,此外还应建立数据库日常维护操作规程、网络安全保密制度、病毒预防和检查制度等。
五、制定应急预案,提升应变能力
在医院信息管理第统中,由于存在着网络安全隐患以及网络黑客的攻击,即便做出万全的装备,也不能保证网络安全系统真的万分安全,再严密的安保措施也不能确保网络的万无一失,因此,网络技术人员必须提高应对网络安全突发事件的处理能力,将中断时间、故障损失和社会影响降低到最低程度。
所以,医院管理人员应当和技术人员一起制定一整套应急的预案,以及一整套的应急的措施。当医院内网出现意外而又不能在短时间排除故障恢复正常的时候,就可以立即启动“医院信息系统故障时的紧急工作预案”,将计算机系统转为手工操作,确保医疗工作的有序进行。
六、结束语
提高医院信息管理系统的安全性是一项极为重要但又十分复杂的工作,本文从硬件系统及应用系统的两个层面阐述了各种提高系统安全性的方法,这些安全措施大多经过实践的检验是行之有效的方法,对保障整个信息系统的安全性至关重要。
参考文献:
[1]靳萍,尚邦治.医院信息系统运行安全策略[J].医疗设备信息,2007.6
[2]杨霜英.医院信息管理系统局域网改造的研究与实施[J].医疗设备信息,2006,12
[3]李志福.医院网络终端解决方案[J].中国数字医学,2007,4
【 关键词 】 金融机构;信息科技;风险管理
1 引言
随着信息科技水平的不断提高,信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险,给小微金融机构的经营发展带来了挑战。当前,小微金融机构对信息科技风险管理的水平还比较低,如何有效控制与管理信息科技风险,是当前小微金融机构在信息化建设过程中必须面对的重要课题。
2 小微金融机构信息科技所面临的风险
小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中,因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下,信息科技风险事件涉及的范围广、程度深,给银行等其他金融机构带来较大的经济损失,尤其在小微金融机构中,信息科技风险带来的损失更为严重。
3 小微金融机构信息科技风险管理中存在的问题
3.1 信息科技风险管理的技术水平较低
从现状来看,我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面,首先,以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构,缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作,领导者与风险管理部门无法实现对风险管理的有效监督。另一方面,小微金融机构对信息科技安风险管理的工作仍停留在定性的层面,缺乏对信息技术风险管理专业的定量分析。与此同时,金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面,缺乏技术支持,对风险管理的预防措施有限,对风险管理的技术控制难度大,其信息系统的自我控制的能力较差。
3.2 基础设施安全建设存在隐患
从我国小微金融机构基础设施安全建设情况来看,存在较大的隐患。
一方面,机房管理滞后,在我国小微金融机构的机房中,存在着防水火及供电不达标的问题,且缺乏相应的防雷系统、门禁系统等,机房安全管理严重滞后;另一方面,网络运行安全性不高,由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中,这样就给金融机构网络的稳定性及通畅性提出了更高要求,而在小微金融机构中,存在未按监管要求配置主备通讯线路的现象,容易导致营业网点出现业务办理受阻的现象,致使信息科技风险隐患增加。
4 应急处置能力低
信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战,尤其对于小微金融机构来说,其应急保障机制更为落后。在我国小微金融机构中,一般都设有信息系统的应急预案,但对于预案却缺乏相应的应急演练,在系统发生紧急事故时,无法对问题实施预案应急措施。其次,部分小微金融机构的系统应急预案覆盖面笼统,缺乏针对性和操作性,缺乏有效的技术支持。另外,风险管理的人员的应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加。
5 加强小微金融机构信息科技风险管理对策
5.1 提升信息科技风险管控能力
小微金融机构要提高信息科技风险管理的水平,首先应该提高其信息科技风险管控的能力,因此,小微金融机构有必要建立三个机制。
第一,信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识,将信息科技风险管理工作纳入议事日程,并建立健全的信息科技风险管理机构的和岗位责任制度,充分发挥出安全检查、风险监控、审计监督的作用;加强对信息科技风险管控人员的培训与管理,并加大违规行为的处罚力度,提高其风险管理的能力。
第二,信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上,有针对性的落实风险评估制度和建立信息科技风险监测制度,将风险分类并制定相应的风险报告机制,使信息科技部门与业务部门紧密联合起来,加强沟通协调,提高对信息科技风险的评估与预防能力。
第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理,对应急预案要加以培训和演练,将应急和灾备工作从技术管理层面提升到全行工作层面,以提高应对信息系统安全事件的团队应急能力。
5.2 加强基础设施安全建设
加强金融机构基础设施安全建设,有利于提高基础设施安全水平,进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入,重点加强机房消防系统、防雷系统、UPS等的技术投入,完善机房基础设施并完善机房管理制度,保证系统设备的正常运行,加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组,负责基础设施的安全维护工作,确保基础设施安全管理的有效性。
5.3 强化金融交易监管
随着金融环境与金融交易方式的变化,信息化的金融交易也带来了一定的信息科技风险,小微金融机构应该采取措施强化金融交易监管。
一方面,要加快网络金融安全立法进程,制定金融安全政策和标准,成立对应的网络金融安全管理部门,指导网络金融的发展,并严厉打击网络金融犯罪;另一方面,要建立跨部门的现代化信息安全管理网络,实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式,建立适合于我国小微金融机构信息化建设的网络框架,以实时的监管小微金融机构业务,保证交易的安全性。
5.4 加强对从业人员的素质建设和岗位管理
相对于大型及核心金融机构,小微金融机构从业人员的专业素质及岗位配置明显落后,小微金融机构应该加大对农村金融机构人员的投入,积极引进高素质的信息科技人员,并对原有的从业人员进行定期的培训工作,提高其信息科技风险防范意识与风险管理能力。同时,金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置,以完善职责分配,落实岗位制衡。最后,完善相应的信息科技风险管理制度,加强信息科技风险审计,完善激励约束机制,激发从业人员的主观能动性,从整体上提升小微金融机构信息科技风险管理的水平。
6 结束语
在信息科技风险管理的工作中,小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理,在全面、可行的安全防护措施中,将信息科技风险降低到最低的程度,进而才能保证小微金融机构得到稳定的发展。
参考文献
[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融,2009(07).
[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(02).
关键词:安全隐患;信息系统;防护措施
中图分类号:TP309.2
自改革开放以来,我国的各个方面都得到了极大的发展和提高,尤其是近几年来,计算机技术逐渐的得到了普及,使得计算机和信息系统逐渐发展成为众多行业和领域维持正常工作的必要手段,信息系统对企业、单位等正常运行的重要性及其自身持续工作的特点,增加了对其进行安全防护工作的重要性。近些年来,我国的经济、文化、科技等各个方面都取得了极大的进步,计算机也逐渐得到普及,信息系统逐渐成为各行各业维持正常运行的必不可少的手段。企业自身的管理、业务、发展等都离不开信息系统,信息系统的终止、瘫痪会严重影响到企业的正常运营,而且现阶段,信息系统所处的运行环境也不断的恶化,病毒、黑客等等原因都在一定程度上对信息系统的安全造成影响。因此,相关管理人员的重要任务就是分析现阶段信息系统中存在的不安全因素,并采取有效的措施对其进行防护。
1 现阶段信息系统存在的安全隐患
1.1 存在网络安全隐患
;二是配置管理不合理,网络是确保信息系统正常运行的基础,一旦网络设施出现问题就会给整个系统造成重大影响,比如交换机配置不正确、路由信息错误等,同时现阶段配置管理中还往往存在缺乏严格的密码管理、缺乏配置备份等问题,这些都会对系统的正常运行造成危害;三是网络管理隐患,现阶段信息系统的网络管理中常常存在有走线无规律、网口常常增加或者减小、私设无线网、面板标示模糊等众多问题,只有建立健全的管理制度才能对其进行规范管理,从而有效的减少故障的发生及在故障发生时能在第一时间发现故障位置;。。
1.2 存在数据安全隐患
数据安全隐患主要包含两个方面,一是介质安全隐患,由于信息系统是一个持续运行的系统体系,其运行的时间长,而且与之相关联的系统繁多,现阶段众多的应用系统往往不是由同一厂家制造的,因此彼此之间就免不了存在数据平台的差异性,从而造成数据存储位置不集中。存储介质出现问题、磁带毁坏、备份失效等等都是造成数据出现问题的常见原因;二是数据库安全隐患,数据库是信息系统中最重要的组成部分之一,企业、单位等的重要数据都是存储在数据库中的,一旦数据库出现问题就会影响整个系统的正常运行,数据库缺乏有效的管理、非授权用户攻击、非法操作、缺乏审计工作等等都是造成数据库出现问题的主要原因。因为缺乏系统的权限管理体系,导致非法操作等不良现象发生几率居高不下,从而严重威胁着系统的安全。
1.3 存在管理安全隐患
管理隐患主要包括三个方面,一是缺乏合理的管理规划,缺乏合理的系统管理规划是现阶段众多企业、单位信息系统中存在的最主要的问题。其往往把重点放在系统的建设上,而忽略对其维护、管理等的重视,从而造成安全预算的缺乏,也就在一定程度上增加了系统的安全隐患;二是缺乏严明的规章制度,缺乏严格的明确的规章制度,没有规定明确的奖励机制和惩罚措施,从而不能很好的对工作人员进行约束和激励;三是缺乏对人员管理的重视,企业信息系统中往往存在有技术人员缺乏的现象,从而造成在系统出现问题时不能在第一时间得到解决,从而对整个信息系统的安全正常的运行造成影响。
2 信息系统安全隐患防护策略
2.1 增加信息防卫能力
加强对信息防卫工作的重视,有效的提高防卫能力是系统安全隐患防护的重要方式。信息防卫能力的增强也可以说是提高信息加密技术。想要确保信息系统的安全运行,就一定要以企业、单位等信息系统的具体情况为依据,采取必要的技术手段对其进行加密保护,并不断对其技术进行更新和提高,常用的安全技术有安全认证技术及加密技术等。通过对这些技术的使用及提高才能有效的对信息系统中的数据等信息进行保护,防止信息泄露、盗用等现象的发生。
2.2 建立健全的应预案
为确保企业、单位等工作、业务等的正常运行,避免由于系统故障而造成的工作终止现象的发生,就要建立健全的应预案,其主要由主机系统应急预案、数据灾备系统等等部分组成。一旦故障发生就能及时进行系统恢复。要确保预案的简洁性、易操作性,而且要保证工作人员充分的掌握预案,此外,预案中还要制定明确的责任制度,将责任划分到个人。在条件允许的情况下可以进行预案演示,从而能更好的找出其中存在不足之处,以便及时的对其进行修改,提高预案的可行性。
2.3 建立健全的管理制度
提高对信息系统安全管理的重视是安全隐患防护的有效方式,建立健全的安全管理制度,加强对信息系统环境、网络终端使用、数据备份、系统配置等各个方面的管理,同时要制定严格、明确的奖励机制和处罚标准,使管理制度得到切实有效的落实,从而为信息系统的运行和发展提供一个良好、健康的环境。
2.4 提高人员素质
相关工作人员对确保信息系统安全运行的重要因素,加强对工作人员素质的培训和提高对也是安全隐患防护的重要手段。通过系统、专业的培训,使工作人员深刻的认识到自身工作的重要性,同时对所需的专业技能进行巩固和加深,提高其自身的素质,同时还要制定严格的奖惩制度,从而避免不必要的问题的发生,保证信息系统的安全运行。
3 结束语
随着科学技术的不断进行,计算机技术已经得到了极大的普及,信息系统也逐渐成为现代社会中企业、单位等管理水平的直接体现形式。。
参考文献:
[1]杨小宁,李晓娥.浅析信息安全风险评估在供电企业的实践[J].电力信息化,2010,4(2):89-91.
[2]侯波涛,刘欣.信息安全隐患排查治理管理系统研究与应用[J].电力信息化,2012,7(11):90-92.
[3]潘洁,刘爱洁.基于APPDRR模型的网络安全系统研究[J].电信工程技术与标准化,2009.3(7):97-99.
当前国内网络安全问题依然突出
人们使用网上银行最为关心的莫过于网络安全问题。目前,国内互联网风险形势严峻,网上交易的安全性成为公众使用网上银行时心中最大的隐忧。根据国内互联网安全公司金山网络2012年2月20日的《2011~2012中国互联网安全研究报告》,2011年金山毒霸累计捕获新增病毒约1 230万个,全国平均每天在4%~8%的电脑上会发现病毒,金山毒霸保护用户免于病毒攻击的次数约每天500万次。。金山毒霸云安全中心数据显示,2011年,金山毒霸网购保镖日平均保护2 000万次网购操作,日均覆盖500万网民。病毒产业追逐经济利益的趋势不会改变,随着互联网产业的飞速发展,2012年,病毒制造者会通过各种手段给用户带来新的安全威胁。
网上银行业务的主要风险点
与传统的银行业务相比,网上银行具有开放性的特征。主要体现在:一是网络社会化,互联网是社会化网络;二是终端社会化,进行网上银行操作的计算机都不是银行的终端;三是客户自助操作,网上银行业务是由客户操作,而非银行柜员进行操作。这些开放性的特征,形成了网上银行业务特有的风险。
网上银行的风险点主要存在于三个方面:用户端、信息传输过程、银行端和商户端。。信息传输过程中的风险是由于网上交易的信息是在互联网上公开传递的,如没有采取必要的安全措施加以防范,则存在着交易信息被篡改和窃取的可能性。。。
商业银行防范网上银行业务的风险措施
网上银行风险防范不仅仅是银行的责任,也是整个社会的责任。本文仅从商业银行角度,从事前、事中、事后三个方面提出网上银行风险防范对策。
(一)事前防范措施
1.确定风险管理原则,即审慎性原则和安全性与便利性均衡原则。银行是经营风险的特殊企业,银行要防范风险,规避风险,减少客户的资金损失,保障银行的资金安全,因此,要坚持审慎性原则。同时,银行也是服务行业,面向广大客户提供服务,要秉承“以客户为中心”的宗旨,最大程度满足客户的需求,方便客户使用。网上银行是客户自助操作,通过互联网公开透明渠道提供服务,因此必须采取必要的安全措施、安全手段;然而风险防范措施过于严密,采取过多的安全手段、措施,为防范个别、少数不法分子的作案而采取过高、过多的安全手段,会影响广大用户的方便性,因此,过分强调方便也是不现实的。处理好安全性与便利性的关系是一个难题。银行应以满足广大客户最基本的安全手段、安全措施为基础,在设计管理制度、风险控制手段时应考虑广大客户最基本的需求,统筹兼顾便利性与安全性的平衡。
2.把风险防范嵌入到产品创新和流程优化工作之中。商业银行设计新产品、新业务流程和编写业务需求时,必须同时分析风险点和风险环节,并相应制定防范措施,杜绝制度缺陷、流程缺陷和系统缺陷。
3.普及网上银行安全知识,提高公众的风险防范意识。。。此外,还应通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码。网上银行用户自身也要加强学习,掌握基本的安全知识,培养良好的安全操作习惯,增强风险防范意识。
(二)事中防范措施
1.合理制订网上银行相关业务制度和操作流程,严格内控管理。在科学论证基础上,合理设置网上银行有关参数,并进行规范管理,规范操作人员和操作权限。参数管理中,最重要的莫过于网上银行的交易限额管理,银行要对客户的不同情况(例如,使用安全产品的情况),针对不同交易种类合理设置交易限额,防范大额资金风险。
2.加强安全防护手段,根据当前互联网安全形势,持续优化安全产品和手段,不断加固防范措施。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。加快网上银行安全产品升级换代,提高客户使用网上银行的安全性。近期,建设银行、工商银行推出了二代U盾,与原有普通U盾相比,二代U盾增加了液晶显示屏回显交易信息、物理按钮确认交易两道安全环节,液晶显示屏回显交易信息可让客户再次确认收款人账号和交易金额等信息,防止不法分子利用恶意软件篡改客户提交的交易信息;通过物理按键来增加客户干预,可防止不法分子远程控制客户计算机、利用客户插在计算机上的原有普通U盾进行网银交易而给客户造成损失。同时,银行还可提升多渠道信息交互的产品研发,针对较高风险的交易。例如,银行在验证证书或动态口令后,仍不对交易进行处理,而是将登录状态、账户、金额等敏感信息即时通过短信方式发送至用户手机,待用户核实后,最终决定对交易进行确认或取消。
。。
4.构建科学的电子银行风险管理体系,提高风险管理水平。建立网上银行风险监控系统,对网上银行系统资源使用情况、业务覆盖区域网络性能、外部系统访问情况等进行监控,有效识别、衡量、监督和控制网上银行风险。首先,要建立有效实用的网上银行风险稽核模型,确定具有什么样特征的交易是可疑的交易,进而采用事中监控手段。在日常工作中,应实现对风险稽核模型的动态管理,随着业务发展和客户交易习惯的变化而作相应调整。其次,在此基础上,制订监控规则,并依据监控规则,分析客户交易行为,识别高风险交易,进行事中监控管理。在监控中,应重点加强对大额、频繁、跨地区操作等交易的分析、识别和事中监控,实现对高风险交易的实时监测、事中干预、事后核实、事后提醒等功能,对风险等级高的交易实施事中干预。此外,要完善黑名单的监控类型和控制措施,以作为事中监控的有力补充。对已经发生风险事件的,通过客户服务中心、业务部门以及其他渠道收集风险事件涉及的账号、手机号、证件号以及IP地址,经过一定的审批程序,将涉嫌信息在黑名单中进行登记,关闭其今后的电子银行交易,防止损失扩大。
5.建立风险防范信息共享机制,实现风险信息跨系统、跨渠道共享和联动。建立银行同业之间,以及银行与合作伙伴间的风险联防机制,推进可疑交易跨行追索机制,实现跨行可疑交易账户的快速锁定和资金冻结。
(三)事后补救措施
因篇幅问题不能全部显示,请点此查看更多更全内容