信息系统主机安全风险的若干问题
一,电子支付的主要风险
电子支付的基本风险。
同时,电子支付在给消费者带来便利的同时,也给银行业带来了新的机遇,同时也对相关主体提出了挑战。电子支付面临的风险很多,既有电子支付本身的经济波动和技术风险,也有交易风险和信用风险。金融体系中的传统风险在电子支付中尤为突出。
(1)经济波动风险
电子支付系统与传统金融活动一样面临着经济周期性波动的风险。同时,由于其具有信息化、国际化、网络化、隐形化的特点,电子支付面临的风险传播更快、危害更大。金融机构一旦出现风险,很容易通过网络迅速在整个金融体系中引起连锁反应,引发全局性、系统性的金融风险,从而导致经济秩序的混乱,甚至引发严重的经济危机。
(2)电子支付系统的风险
首先是软硬件系统的风险。总体来说,电子支付的业务操作和大量的风险控制工作都是由计算机软件系统来完成的。全球电子信息系统在技术和管理方面的缺陷或问题已成为电子支付运行中最重要的系统风险。在与客户的信息传输中,如果系统与客户终端的软件不兼容或出现故障,可能会导致传输中断或速度降低。此外,系统停机、磁盘阵列破坏等不确定因素也会形成系统风险。根据发达国家对不同行业的调查,计算机系统停机等因素对不同行业造成的损失是不同的。其中对金融业的影响最大。发达国家零售业和金融业的商业服务在很大程度上依赖于信息系统的运作。信息系统的均衡、可靠和安全运行已经成为电子支付系统安全的重要保障。
其次,外部支持风险。由于网络技术的高知识性和专业性以及降低运营成本的考虑,金融机构往往依靠外部市场的服务支持来解决内部的技术或管理问题,如聘请金融机构外部的专家来支持或直接操作各种网上业务活动。这种做法适应了电子支付的发展,但也暴露出可能的操作风险。外部技术支持者可能没有足够的能力满足金融机构的要求,也可能因为自身资金困难而停止提供服务,对金融机构构成威胁。在所有的系统风险中,技术性最强的系统风险是电子支付信息技术选择的失误。当各种在线业务解决方案层出不穷,不同的信息技术公司极力推荐自己的解决方案,而系统兼容性可能存在问题时,错误的选择将不利于系统与网络的有效连接,还会造成技术机会的巨大损失,甚至遭受商业机会的巨大损失。
(3)交易风险
电子支付主要服务于电子商务的需求,电子商务的网上交易由于交易制度设计、技术路线设计、技术安全等方面的缺陷可能导致风险。这种风险是电子商务活动和相关电子支付所特有的,可能不仅仅局限于交易双方和支付双方,还可能导致整个支付体系的系统性风险。
2.电子支付的操作风险。
银行的经营风险由来已久,巴塞尔银行监管委员会组织各国监管机构系统总结了几种常见的风险,如操作风险、声誉风险、法律风险等。在传统业务中,这些风险有不同的形式。在操作风险上,可能是信贷员没有对借款人进行认真的信用调查,或者没有要求借款人提供合格的担保,没有经过认真审查就盲目提供担保,等等。这些风险可以通过一系列现有的管理措施来防范,比如双柜台,比如制定并严格执行一套贷款操作流程,等等。传统商业中的大部分风险与技术没有直接关系。虽然一个环节中的风险对其他环节有影响,但这种影响是局限在一定范围内的。
电子支付增加了风险,也扩大了影响范围。某个环节的风险可能对整个机构乃至金融体系产生潜在影响。互联网等信息技术领域的进步所带来的潜在损失已经远远超出了受害者所能承受的范围,已经影响到经济安全。这种情况与技术直接相关,其中最突出的表现就是操作风险。电子货币的许多风险可以概括为操作风险。一些从事电子货币业务的犯罪分子伪造电子货币,给银行带来直接经济损失。这些犯罪分子不仅来自银行外部,有时还来自银行内部,对银行的威胁更大。
(1)电子扒手
一些被称为“电子扒手”的银行窃贼专门窃取他人的网络地址,这种盗窃行为近年来呈快速上升趋势。一些窃贼窃取银行和企业密码,浏览企业核心机密,甚至将窃取的机密出售给竞争对手,这是出于商业利益或对其银行或企业的不满。美国银行每年在网上被抢6000万美元,网上电子盗窃未遂总数高达50-654.38+000亿美元。持枪抢劫银行的平均案值为7500美元,而“电子扒手”的平均案值为25万美元。“电子扒手”大多是破译密码的专家,作案手段隐蔽,不易被抓。
(2)网络诈骗
互联网欺诈包括市场操纵、内幕交易、无证经纪、投资顾问活动、欺骗性或不正当销售活动、误导高科技投资等互联网欺诈行为。根据北美证券经理协会的调查,网络欺诈估计每年给投资者造成6543.8+0000亿美元的损失。
(3)网络黑客
也就是那些非法入侵计算机系统的人,网络黑客攻击对国家金融安全有很大的潜在风险。目前黑客攻击几乎涉及所有操作系统,包括UNIX和windowsNT。因为很多网络系统都有各种各样的安全漏洞,有些是操作系统本身的问题,有些是管理员配置错误造成的。黑客利用互联网上的任何漏洞和缺陷,修改网页,非法进入主机,进入银行窃取和转移资金,窃取信息,发送假邮件。
(4)计算机病毒破坏
计算机网络病毒极具破坏性。以NOVELL网络为例,一旦文件服务器的硬盘被病毒感染,就可能破坏NetWare分区部分区域的内容,使网络服务器无法启动,导致整个网络瘫痪,这对电子支付系统来说无疑是一场灾难。计算机网络病毒一般具有很强的再生功能,一接触就能通过网络传播感染。一个程序一旦被感染,很快就会感染整个机器和整个网络。据相关资料显示,病毒在网络上传播的速度是单台电脑的几十倍,对电子支付也是致命的。鉴于计算机网络病毒极具破坏性、再生机制发达、传播范围广的特点,如何解决计算机网络病毒是当前电子支付监管要解决的首要问题之一。
这些风险可以概括为操作风险,与技术直接或间接相关。因此,巴塞尔委员会认为,操作风险来自“系统的可靠性和完整性存在重大缺陷导致的潜在损失”,电子支付机构的操作风险包括电子货币犯罪导致的安全风险、内部员工欺诈导致的风险、系统设计、实施和维护导致的风险以及客户操作不当导致的风险。其他组织,如欧洲央行、美国货币管理局、联邦存款委员会等,也对电子支付机构的运营风险做出了类似或相似的描述。
3.电子支付的法律风险。
电子支付业务往往涉及银行法、证券法、消费者权益保护法、财务披露制度、隐私保护法、知识产权法和货币银行制度。目前,全球电子支付立法相对落后。许多现行法律适用于传统的金融业务形式。电子支付业务出现了许多新问题。比如发行电子货币的主体资格、电子货币流通的控制、电子支付业务资格的确定、电子支付活动的监管、客户的义务和银行的责任等。,各国都还缺乏相应的法律法规来规范这些问题。以网贷为例。即使是发展网贷业务较早的台湾省金融监管部门,也没有相关法律法规对这一新兴业务进行规范。它的监管部门现在能做的就是批准银行提交的合同范本。法律规范调整缺失的后果表现在两个方面:要么是司法机关,要么是仲裁员,必须运用传统的法律规则和法律工具来分析网上商务产生的纠纷;法官或仲裁员不得不放弃接受这种争议。由于网络纠纷的特殊性,用传统的法律规则来解决是一个非常困难的问题;但是,消极地拒绝接受相关争议也无助于问题的解决。法律规定的缺失使得金融机构面临巨大的法律风险。
目前,在电子支付业务的许多方面,没有法律法规可以用来规范业务和当事人之间的关系。在电子支付业务的某些方面,虽然有一些传统的法律法规,但是否应该适用以及适用到什么程度,当事人并不清楚,有时监管机构也可能不了解。这种情况下,一方面当事人可能不愿意从事这种活动,另一方面纠纷发生后,谁也说服不了谁,解决不了问题。比如在处理银行和客户的关系上,现有的法律总是更倾向于保护客户,对银行设置更严格的义务。美国1978电子资金划拨法案规定,银行在向客户提供ATM卡等借记卡服务时,必须向客户披露一系列信息,否则银行将面临潜在风险。但是,电子货币尤其是智能卡出现后,智能卡是否需要披露同样的信息,即使是监管者也无法马上做出决定。由于两种卡的性能完全不同,借记卡业务要求披露的信息对智能卡可能毫无意义,有时要求过于严格,导致发卡银行成本过高,阻碍业务发展。在这种情况下,从事这项业务的银行将陷入两难境地,谁也无法预料未来一旦发生纠纷或诉讼会发生什么。
此外,电子支付还面临洗钱、客户隐私、网上交易等法律风险。,这就要求银行在从事新的电子支付业务时,要认真分析和研究所面临的法律风险。
4.电子支付的其他风险。
除了基础风险、操作风险和法律风险,电子支付还面临市场风险、信用风险、流动性风险、声誉风险和结算风险。
(1)市场风险
电子支付机构的各项资产项目因市场价格波动而遭受损失的可能性,外汇汇率变动带来的汇率风险是市场风险之一。此外,国际市场主要商品的价格变动和主要国际结算货币银行的经济状况也会间接引发市场波动,构成电子支付的市场风险。
(2)信用风险
交易对手在到期日不完全履行其义务的风险。电子支付拓展金融服务的方式不同于传统金融。其虚拟服务业务形成了突破地域界限的无边界金融服务特征,对金融交易的信用结构要求更高、更合理,金融机构可能面临更大的信用风险。以网上银行为例,网上银行通过远程通讯、信用确认程序等方式对借款人的信用等级进行评估,可能会增加网上银行的信用风险。由于借款人很可能未能履行电子货币借贷义务,或者由于借款人网络上运行的金融信用评估系统不完善,导致信用评估错误。此外,从发行方购买电子货币并转售的国际银行也将承担信用风险,因为发行方不兑现电子货币。有时,电子货币的发行者会将出售电子货币获得的资金进行投资,如果被投资者未能履行其业务,可能会给发行者带来信用风险。总之,只要与电子支付机构交易的对方不履行义务,就会给电子支付机构带来信用风险。
社会信用体系的不完善是信用风险存在的根本原因,也是制约电子支付业务乃至电子商务发展的重要因素。
(3)流动性风险
当电子支付机构没有足够的资金满足客户兑现电子货币或结算的需求时,就会面临流动性风险。一般情况下,电子支付机构往往会因为流动性风险而陷入恶性循环的声誉风险。只要电子支付机构不能在一定时间内迅速增加负债或以合理成本变现资产以获得足够的资金偿还债务,就存在流动性风险,这种风险主要发生在电子货币的发行者身上。发行者将把出售电子货币所得的资金用于投资。当客户要求赎回电子货币时,所投资的资产可能无法迅速变现,或可能造成重大损失,从而使发行人面临流动性风险,并造成声誉风险。流动性风险和声誉风险往往联系在一起,成为相互关联的风险。电子货币的流动性风险与电子货币的发行规模和余额有关。发行规模越大,用于结算的余额越大,发行人无法赎回其发行的电子货币或缺乏足够的清算资金等流动性问题越严重。
由于电子货币流动性强,电子支付机构比传统金融机构面临更大的流动性风险。
(4)结算风险
清算系统的国际化大大增加了国际结算的风险。对于基于电子支付结算系统的各类金融交易,发达国家每天的汇款笔数可达数百笔甚至数千万笔。
二、电子支付的风险防范
1,电子支付风险管理步骤
电子支付与传统金融风险管理的基本步骤和原则几乎相同,但不同国家、不同监管机构可能会根据不同情况制定不同的电子支付风险管理要求。目前,最常见和最容易理解的是巴塞尔委员会采用的风险管理步骤。以网上银行为例,巴塞尔委员会将电子支付的风险管理分为三步:风险评估、风险管控、风险监控。风险评估实际上包括风险识别的过程。但是,风险识别只是最基本的一步。风险识别后,要尽可能量化风险。量化之后,银行的管理层就可以知道银行面临的风险有多大,会对银行产生什么影响,这些风险发生的概率是多少。等一下。在此基础上,银行的管理层应该做出决定,确定银行可以容忍多大的风险。换句话说,如果这些风险发生。造成相应损失。银行管理层能接受吗?至此,风险评估完成。管理和控制风险的过程是复杂的,简单来说就是采取各种相应的控制措施和制度。最后一步,风险监控,建立在前两步的基础上。实际上,在系统投入运行并陆续采取各种措施后,通过对机器设备的监控和人员的内部或外部审核,检测和监控上述措施的有效性,及时发现和解决潜在问题。
简单地说,风险管理过程是技术措施和管理控制措施相结合形成的一系列制度和措施的总和。整个过程与传统银行业务的风险管理没有太大区别,但电子支付采用的新的风险管理措施需要与银行原有的内控制度相协调,与传统银行业务的风险管理措施相融合。
2.防范电子支付风险的技术措施
电子支付风险的防范也有赖于很多技术措施。
(1)建立网络安全防护体系,防范系统风险和运营风险。不断采用新的安全技术,确保电子支付的信息流和运行安全,如防火墙、过滤和加密技术等。,加快开发更安全的信息安全技术,包括更强的加密技术、网络使用记录检查和评估技术、人体特征识别技术等。使正确的信息在客户和银行之间及时准确地传递,同时防止未经授权的用户,如黑客,非法访问和干扰电子支付中存储的信息。其主要目的是在充分分析网络脆弱性的基础上,提前保护网络系统。主要通过采用物理安全策略、访问控制策略、构建防火墙、安全接口、数字签名等高科技网络技术来实现。为了保证电子支付业务的安全性,通常有三种防护设施。首先是安装在用户上网使用的浏览器上的加密处理技术,从而保证数据传输的保密性,保证用户输入密码、账号和数据后不会被窃取和滥用;二是被称为“防火墙”的安全过滤路由器,防止外人不当入侵;第三种保护措施是“可信操作系统”,可以充分保护电子支付的交易枢纽服务器不被外人尤其是“黑客”破坏和篡改。
(2)发展数据库和数据仓库技术,建立大型电子支付数据仓库或决策支持系统,防范信用风险、市场风险等金融风险。通过数据库技术或数据仓库技术存储和处理信息以支持银行决策,以科学正确的决策防范各种可能的金融风险。防范电子支付的信用风险,必须从解决信息的对称、充分、透明和正确入手,依靠数据库技术存储、管理和分析数据,这是现代管理必须完成的基础工作。电子支付数据库的设计可以从社会化的角度考虑信息资源的收集、处理和分析,以客户为中心科学管理资产、负债和中间业务。不同银行可以实行借款人信用信息共享制度,建立不良借款人预警名单和“黑名单”制度。通过数据库对具有一定比例的资产控制关系、业务控制关系和人员关联关系的企业或企业集团进行分类、分析和统计,统一监控授信。
(3)加快金融工程的研究、开发和利用。金融工程是在金融创新和金融高科技的基础上产生的,是指运用各种相关理论和知识,为在一定风险范围内获取最佳收益而设计和开发的金融创新工具或技术。当前,迫切需要加强电子技术创新对新型电子支付模式和技术的影响,以及由此引发的法律制度和监管的调整。
(4)通过管理和培训防范财务风险。电子支付是技术发展的产物,很多风险管理措施都离不开技术的应用。但是这些技术措施其实并不是纯粹的技术措施,技术措施还是需要人来的。实施,所以通过管理和培训提高员工素质是防范财务风险的重要途径。《中华人民共和国计算机系统安全保护条例》和《中华人民共和国计算机信息网络国际联网管理暂行规定》对计算机信息系统的安全和计算机信息网络的管理和使用作出了规定,严格要求电子支付等金融从业人员依照国家法律经营和完善管理,提高安全意识和责任意识,保障电子支付业务的安全运行和良好运行。
因此,有必要提高各类人员的管理和技术培训。要通过多种方式加强对各级工作人员的培训教育,使其从根本上认识到金融网络系统安全的重要性,并加强对所有相关人员的法纪、安全、保密教育,提高电子支付安全防护意识。就是培训银行内部员工。因为电子支付是技术的产物,让内部员工具备相应的技术水平也是风险管理的一个重要方面。这些培训包括各种方式,如专业技术课程,要求员工参加行业内的研讨会和工作组。同时保证相应的技术人员能够有时间学习,跟踪市场和技术的发展。二是对客户进行教育和培训,教他们如何使用银行的设备,出现问题怎么办,并通过培训向客户披露相关信息,如银行主页上建立的链接的性质、消费者保护措施、数据保密要求等等,以降低相应的法律风险。
防火墙是一系列硬件和软件的总称。防火墙可以把银行的内网和外网隔离开来,外人无法随意进入内网。有时,可以使用相同的技术来划分内部网络。这样不同级别和职位的人就不能随意进入其他部门,不同保密级别的信息可以放在不同的位置。有时不仅网络需要分割,实际设备也需要单独放置,进行集中保护。例如,支持内部网络的所有关键设备、辅助设备(键盘、控制服务器的计算机)、防火墙等。都集中在玻璃房里,限制外人进入这些地方,同时设置24小时警卫。如果由于地理和业务需要,必须将一些设备分开,可以设置几个玻璃房间,并采取相同的安全措施。
此外,还有很多其他的技术防范措施。比如反病毒的技术措施,主服务器的管理等等。这些措施是技术性的,需要银行管理部门特别关注。同时,仅靠技术措施是不够的,还需要辅之以相应的管理和内控措施。比如银行内部人员要严格审查,尤其是系统管理员、程序员、后勤人员等能获取机密信息的人员。考察的内容包括聘请专家考察其专业技能、家庭背景、犯罪记录、债务历史等。一些重要的人,比如系统管理员,因为可以无障碍地访问任何计算机和数据库,所以可能存在潜在的风险。对于这类人,必须采取责任分离、相互监督等措施加以控制。
3.加强电子支付的立法建设。
电子支付业务的快速发展导致了许多新的问题和矛盾,这也使得立法相对滞后。另一方面,电子支付的范围相当广泛,也给立法工作带来了一定的困难。在电子支付的发展中,为了防范各种可能的风险,不仅要完善技术措施,完善管理制度,还要加强立法建设。
针对当前电子支付活动中存在的问题,应建立相关法律来规范电子支付参与者的行为。规范电子支付业务运营和电子资金划拨的风险责任,制定电子支付刑事案件管辖、仲裁等规则。对村务的安全保密也要有法律保障,对计算机犯罪、计算机泄密、窃取商业和金融机密也要有相应的法律制裁,逐步形成有法律许可、有法律保护、有法律约束的电子支付环境。
4.电子支付风险管理的其他方面。
技术安全措施在电子支付风险管理中占据非常重要的地位,这也是电子支付风险管理的一个明显特征。然而,电子支付的风险管理并不仅限于技术安全措施的采用,而是一系列风险管理控制措施的总和。
(1)管理外部资源。目前,电子支付的一个趋势是,越来越多的外部技术供应商参与到银行的电子业务中,这些供应商可能一次性提供机器设备,也可能长期提供技术支持。外部制造商的参与使银行能够降低成本,提高技术水平,但这增加了他们承担的风险。因此,银行应采取相关措施有效管理外部资源。比如要求有权检查和监督外部厂商的经营和财务状况,通过合同明确双方的权利和义务,包括技术故障或消费者不满时技术厂商应承担的责任。同时也要考虑和准备其他替代资源,以防某个技术厂商出现问题。作为监管机构,也有必要对与银行有关联的技术供应商保持监管。
(2)建立健全金融网络内部管理制度。要保证网络系统的安全保密,不仅要建立一系列工作环境的安全保密措施,还要建立健全金融网络的各项内部管理制度。
建立健全机房管理制度,并严格执行。是目前保障金融网络系统安全的有效手段。机房管理系统不仅包括机房工作人员的管理,还包括机房数据和信息的管理以及计算机系统的运行等。要求操作人员按照规定的程序进行操作,确保信息和资料的保密性和安全性符合要求。
(3)建立应急预案。电子支付给客户带来便利,但也可能瞬间失灵,让银行和客户无所适从。因此,建立相应的应急预案和容错系统非常重要。应急计划包括一系列措施和安排。比如数据恢复措施、替代业务处理设备、应急措施的人员安排、支持客户的措施等等。这些应急设施必须定期测试,以确保一旦发生事故,它们能够真正运行。
5.加强对电子支付的监管。
为了保证金融秩序的安全,维护银行业的公平有效竞争,保护存款人和社会公众的利益,保证中央银行货币政策的顺利实施,必须加强金融监管。为了实现金融监管的多重目标,中央银行应坚持三个基本原则:分类管理、公平对待和公开监管。分类管理的原则是对金融机构进行分类,突出重点,分别管理;公平待遇原则是指在金融监管过程中,无论监管对象是谁,都适用统一的监管标准,这与分类管理原则并不矛盾。分类管理是突出重点,加强监控,但并不降低监管标准;开放监管原则是指加强金融监管的透明度,中央银行在实施金融监管时应当明确金融机构适用的法律法规、政策和监管要求,也便于公众监督。目前,网络条件下的监管规避现象较为严重,改变了金融监管部门与金融机构之间的力量对比,增加了金融监管的难度。国际差异给电子支付监管带来不便,适用于电子商务的国际金融监管法律法规体系亟待建立和完善。金融监管的滞后性加大,电子商务的发展加快了金融创新的步伐。金融监管的法律法规和手段可能会越来越滞后于电子支付业务的创新和发展。金融业的不稳定性对电子支付监管提出了新的要求。国际金融环境的变化,从汇率风险防范到金融动荡,从全球金融体系的风险防范到金融证券市场的规范化和制度化,都反映出国际金融监管的协调是网络化和国际金融深化发展的必然要求。
电子支付监管的具体措施包括国内监管措施和国际金融监管协调。
(1)国内监管措施。包括金融监管手段要有前瞻性和可预见性,解决现有的滞后问题;建立以风险监管为主的监管体系;将行业自律与金融监管有效结合;建立健全电子支付监管的法律法规和制度;建立和完善金融信息披露制度,增强金融监管的透明度;加强对金融中介机构的监管,形成中央银行-中介机构-金融自律组织的有效监管体系;监管方式以现场检查和非现场检查为主。现场检查主要是指监管机关亲自进行的监管,非现场检查主要是指通过报表和收集的信息对监管对象进行的监管。
(2)国际监管的协调。包括建立电子支付条件下的汇率协调机制和国际统一的信息披露和市场约束制度;协调和控制国际短期资本在网络中的流动;监督和协调以防止国际金融犯罪;加强市场准入与金融风险监管的协调;协调对冲基金等高杠杆、高风险金融机构的监管机制;进行国际统一的金融监管立法。
总之,电子支付连接了全球金融体系,进一步深化了金融全球化,相应地也使得风险控制需要在更广阔的视野中进行。
另外站长群上有团购产品,便宜又有保障。