金融行业网络安全应急预案范文

时间:2023-12-14 17:45:29

导语:如何才能写好一篇金融行业网络安全应急预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

金融行业网络安全应急预案

篇1

关键词:金融风险;防范;管理

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2201-02

随着我国金融业的蓬勃发展,各金融机构不断加大金融电子化建设投入,扩大其网络规模和应用范围。但是,应该看到,金融电子化在给我们提供便利的同时,也带来了新的安全问题,并且,这个问题现在显得越来越紧迫。

1金融网络现状与面临的主要风险

金融活动越来越多地在计算机网络上建立,网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来,各种不同规模的金融系统也在迅速的发展壮大,金融业务的网络化趋势,已经成为不可避免的发展方向。

在网络为我们提供巨大便利的同时,来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通,并与国际互联网直接或间接相连,如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时,机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的,由于外部出口是一个点,而内部体系是一个面,所以来自内部的威胁往往要远远大于外部,必须加以足够的重视。

2金融网络的风险评估与防范

最有效的金融网络风险防范措施就是对网络系统进行等级保护,按照重要程度进行级别划分,对不同等级的网络系统通过物理隔离或逻辑隔离划定边界,并针对不同等级的网络系统,特别是核心业务网络定期进行风险评估,系统地分析所面临的威胁及其存在的脆弱性,查找薄弱环节和安全隐患,有针对性的提出防范和化解风险的整改措施,并及时进行整改。

风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。

首先,现场检查阶段应明确目前网络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性,明确网络系统的技术脆弱性,主要包括:设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式,务必提前制定详细的检查方案与实施细则,并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据,才能为后面的综合分析提供必要的基础支持。

风险分析阶段是整个风险评估的核心部分,需要利用现场检查阶段得到的各类数据,综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求(机密性、完整性和可用性)确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。

安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点:网络安全策略及管理规章制度是否健全;安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理;网络系统的体系结构、各类安全保障措施的组合是否合理;网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位;网络设备、安全设备、主机和终端设备的安全性是否可靠,操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况;机房安全管控措施、防灾措施、供电和通信系统的保障措施等;关键资产采购时是否进行了安全性测试,对外部服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施;应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况等。

综合风险分析主要是综合分析网络与信息系统的整体安全现状,对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性;分析安全事件发生后可能造成的后果和影响;分析网络和信息系统的整体风险状况,最后根据风险的程度逐 条列出风险列表,通常可将风险划分为3个等级,即一般风险、中级风险和高级风险。

策略选择阶段根据前一阶段得到的风险列表,结合安全需求和业务目标,开展相应的整改工作,开发和选择符合成本效益的信息安全保护策略,包括安全管理策略和安全运行策略,并制定合适的风险缓解计划。特别是针对高级风险应立即采取相应措施进行化解,对于短时间内受各种客观条件限制而不能及时处理的高级风险,应制定专项风险防范方案,并提出后期整改计划。

经过较为全面的风险评估与相应的整改,可以极大的降低金融网络安全事件的发生概率。需要注意的是,风险评估保证必须定期组织进行,并将责任落实到人,确保整改到位。

3金融网络的应急体系

做好风险评估与防范,千万不能忽视应急体系的建立与管理,即使金融网络各方面风险已得到控制,仍避免不了各类突发事件的发生,如何在紧急情况下以最快的速度恢复系统运行或使用替代方式继续进行业务处理,是衡量一个网络体系是否健全完善的重要指标。

金融网络比起其他普通网络系统,有着更加重要的地位,一个社区的网络或是一所学校的网络系统出现故障所产生的社会不良影响远不及一家银行资金业务或支付清算系统网络所出现的事故。金融网络的应急处理必须得到高度的重视。

金融网络应急体系建立的首要环节就是要建立一套全方位的应急组织协调机制,应涉及应急处理的各个部门、单位及相关政府职能部门,能在突发事件发生后的第一时间进行组织协调,确定应急方案,调动各方力量,实现应急联动。

其次,金融机构应结合自身的实际情况,制定和不断完善IT层面的应急预案,完善网络、机房环境等应急操作手册,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少金融网络信息安全事件造成损失和影响,保障金融业务的连续运行。

应急预案的有效性取决于预案所涉及的人员对预案的理解。因此必须定期组织要对预案的宣传、培训和实战演练,确保参与应急处理的每个人均能充分理解应急预案的中心思路、应急处理的原则、应急处理的具体执行流程,以便在实际应急处理过程中迅速进入状态,确保应急处理的效果。

实战演练是为检验应急设施的有效性、锻炼应急队伍、改进应急预案等,针对真实运行的系统主动进行的演练,实战演练前应检查预防性措施的就绪情况,以防止可能发生的演练风险。演练必须注重真实性,不能走过场,要模拟出真实事件发生的效果,最好由第三方组织在不通知预案执行者的前提下进行,以达到更真实的现场效果。

4结束语

金融网络必须有足够强的安全防卫措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门、金融机构及IT技术公司通力合作,进行科学的、强有力的干预、导向和防护。随着金融信息化的迅猛发展,金融网络不再局限于专网,而必须使用如互联网那样的公网。通过风险评估机制来建立完善的安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的信息系统基础保障。

参考文献:

篇2

2011年是“十二五”规划开局之年,同时也是海淀区加快建设环境优美、和谐宜居的高科技核心区的重要一年。为了进一步优化统计服务,提升统计监测能力,为区域发展提供更加翔实、准确的“数据情报”,海淀局队围绕区域特色,对《2011年海淀区情手册》进行“三个深化”。

深化一:体现区域发展特色,调整版块内容设置。紧密结合区域经济社会发展的重点和热点,有效衔接“十二五”规划及高科技核心区建设的总体要求,重点增加反映区域特色的监测类数据。一是根据2011年政府工作报告确定的主要经济指标增长目标任务,增加宏观经济指标完成进度监测表,确保每月的宏观经济指标与年度目标紧密衔接。二是根据全区重点打造北部研发服务和高新技术产业集聚区,中部研发、技术服务和高端要素聚集区,南部高端商务服务和文化创意产业区,西北部高端休闲旅游区等四大功能区的空间战略部署,增加反映四大功能区重点行业发展情况的监测表,及时监测功能区建设进程。三是按照“十二五”规划产业布局及建设高科技核心区要求,增加新兴产业、区域竞争优势行业以及世界500强企业、重点创新型企业监测数据。

深化二:以需求为导向,丰富数据指标体系。坚持“以需求为导向”的基本原则,在认真梳理区领导、各委办以及社会公众数据需求的基础上,进行分类整理,把原先手册中未提供但需求较多的数据,纳入手册指标体系。尤其是就上市公司及金融机构发展情况数据需求的持续增多,2011年手册中重点增加了上市公司数量、筹集资金总额及金融机构数量和税收收入等数据指标。手册改版后,新增指标在700个左右,年度数据和季度数据均超过了1300个。

深化三:从细节入手,增强手册的针对性和适用性。注重从细微处着手,增强读者对手册使用的便利性。一是详细介绍了手册改版后,数据指标分布的变化情况,方便用户查阅数据指标;二是增加了对数据指标统计口径及调查方式的解读,方便用户准确理解数据指标;三是在手册中公布了数据服务专线电话,为用户及时获取手册中未涉及的其它数据开辟了服务通道。

在优化内容设置基础上,2011年区情手册更加注重版式及封面设计,力求突出美观、新颖、时尚的特色,增加了手册的可读性。目前,《2011年海淀区情手册》已正式出版。

(王玉霞张茜)

延庆局队多措并举构建网络信息安全保障系统

日前,延庆局队采取了一系列保障和管理措施,多措并举构建统计信息安全保障体系。

三道技术屏障保护网络与信息安全。第一道技术屏障是为每台个人计算机设备加装双硬盘隔离卡以实现内外网络安全隔离。第二道技术屏障是在服务器上部署网页防篡改系统,监控网页运行和被篡改情况的发生。第三道技术屏障是利用桌面管理系统实时监控网络计算机病毒。

制度化管理保障网络与信息安全。延庆局队制定信息上网审批制度,规范信息上网流程;加强用户管理和授权管理,保障OA系统、统计核心业务系统以及网站内容管理系统的应用安全;制定计算机维修制度,保证计算机系统进行维护检修时,信息不被泄露;制定《延庆统计信息系统网络与信息安全应急预案》,建立了一套适合本地统计工作特点的网络与信息系统安全应急机制。

篇3

    是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。

    一、网络金融概念特点

    (一)概念

    网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。

    网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。

    (二)特点

    世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。与传统金融相比,网络金融具有以下一些特点:

    1、虚拟化。网络金融市场是一个信息市场,同时也是一个虚拟化的市场。网络金融虚拟化主要表现在金融实务虚拟化、服务机构虚拟化、交易过程虚拟化和交易货币虚拟化。

    2、无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。

    3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。

    4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。

    5、信用性。电子货币和网络金融的发展,使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务,而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。

    二、网络金融安全现状

    网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。

    有关调查表明,目前国内80%的网站都存在安全隐患,其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:

    1、金融装备落后。我国金融电子设备的核心技术大部分都是从国外进口的,国产化率低、创新自主知识产权少,在金融电子化过程中,整个金融系统内的操作平台,以及电子支付系统等核心技术,都对国外技术的依赖性越来越大,由于平台软件源代码末公开,导致我国金融安全的基础相当薄弱。因计算机硬件故障造成系统停机、磁盘列阵破坏等事件,成为网络金融业务的安全隐患。

    2、网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑  客攻击事件,40%是针对金融系统的,我国则高达60%以上。 3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访

    问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。

    4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。

    5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。   6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。

    三、网络金融安全对策

    1、加快立法进程。我国网络金融立法滞后,网络金融安全立法更是一片空白。由于网络金融安全关乎我国的经济安全甚至国家安全,因此,网络金融安全立法进程刻不容缓,国家应高度重视,拟成立网络金融安全管理机构,研究制定金融安全政策和标准,规范、指导和约束网络金融的安全发展,应充分借鉴英美的成功经验,参照英美颁布实施的《电子通信法案》、《数字签名法》等法律,在制定出适合我国国情的电子签名法后,加快电子证书法、加密法等网络金融安全法律法规的出台,打造网络金融规范化、法制化环境,明确商家、消费者、第三方支付系统的权利、义务,规范市场参与者的资格、行为、责任,打击网络金融犯罪,保护金融机构及交易当事人的合法权益,保障网络金融业健康、规范、有序地发展。

    2、强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。

    3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。

    4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。

    5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。

    6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。

    参考文献

    [1]赵艳.网络金融监管的难点及对策探究[J].学理论,2011(1).

篇4

关键词:新形势、金融业信息安全、挑战、对策

一、面临的挑战

目前,金融业的业务开展更加依赖于信息技术的应用,特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而,信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。

一是人民银行的业务指导、监督管理滞后于金融业信息化发展。

与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。

二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。

目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。

三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。

金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。

2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。

由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。

四是数据大集中的同时,也使技术风险相对集中。

伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。

近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。

信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。

五是我国金融业的灾难处理能力有待加强。

据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。返观国外同业.多数国外银行已经做到了分行一级的灾难备份与恢复。这表明,我国金融业灾备中心建设同国外相比存在较大差距。

此外,国内金融机构的现有灾难备份中心布局不合理,过度集中在北京、上海两地,一旦发生区域性重大灾难,将对我国金融业整体运行状况带来极大危害,并造成过高的重建成本。

二、应对措施

按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案)规定,人民银行的主要职责之一是组织制定金融业信息化发展规划,负责金融标准化的组织管理协调工作,指导金融业信息安全工作。

在新形势下如何指导和协调金融业信息化建设和信息安全,是人民银行尤其是人民银行分支机构需要认真思考的问题。

金融业信息系统的安全是防范和化解金融风险的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系。

一是加强金融服务指导和行业监管。

应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制,强化信息安全手段和队伍建设,加强信息安全检测和准人制度,实施信息安全等级保护,建立信息资产风险评估体系,提高信息安全水平,保证金融稳定和经济发展。

人民银行分支机构应加强对中小金融机构的服务指导,尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导,帮助中小金融机构借鉴成功经验,规避风险,实现跨越式发展。

各级人民银行,应牵头成立金融业信息安全领导小组,并建立和完善信息安全通报制度、报告制度和联席会议制度,建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制,随时处置和协调金融机构安全事件,以迅速应对突发事件的发生,降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。

二是研究建立跨部门的现代化金融业信息安全管理网络。真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。

在正确评估我国金融网络现状的基础上,借鉴国外的组网模式,尽快建立适应我国金融业信息化建设和发展实际的高速、安全和先进的网络框架,在建设时要充分考虑到网络的兼容性和拓展性,为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,必须充分认识到金融业信息安全对整体业务和金融体系,乃至经济体系的影响,牢固树立风险防范意识,把信息科技作为风险管理的重要手段。

三是人民银行要协调督促金融机构,加强自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。

对采购或使用的信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,也须保证其可知可控,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。

对须引进的,实行市场准人制度,并引进权威机构对其产品进行风险、安全、实用等综合性评估。

对各地区一些科技水平还比较低的中小金融机构,要加大支持力度,加强行业内部的交流合作。针对目前金融业,特别是中小金融机构的信息系统的开发、建设和运维采用IT外包的形式,应出台相应的政策、制度和措施,促进IT外包健康快速发展,约定监管机制,规范服务商的服务标准和流程,使IT外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。

四是建立健全信息安全管理制度,定期进行信息安全检查,加强网络安全攻击防范。

由于金融业的组织结构和业务运营方式,使网络必定要建成一个同Internet和外部线路有较密切关系的结构,各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的,也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等,特别是在网络上运行关键业务时,网络安全问题更是要优先解决的问题。因此,应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进银行做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。

五是增加业务持续动作能力,切实采取措施防范数据处理集中后的技术风险。

巴塞尔银行业监管委员会共同论坛2006年8月了《业务连续性高级原则》将业务连续性管理定义为,发生中断事件时,确保某些业务保持运行或在短时间内得到恢复的一整套办法,包括政策、标准和程序。

业务连续性管理的实施在组织上的保证至关重要。人民银行应指导金融业参照国外先进经验,专门成立业务连续性管理指导委员会,将业务部门、风险管理部门和IT部门有关业务连续性的管理职责融于一处统筹管理。

目前,国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在IT部门,远远不能适应业务连续性的需要,应当强调业务部门的参与,与IT部门共同构建适应现代金融业发展需要的应急保障体系,确保运营安全。

三、结束语

篇5

【 关键词 】 物联网系统;安全检测;风险评估;安全检查

【 中图分类号 】 TN918

Research on Security Test and Check Method of IoT System

Li Hai-tao Li Cheng-yuan Fan Hong

(The First Research Institute of the Ministry of Public Security Beijing 100048)

【 Abstract 】 With the wide application on the internet of things (IoTs) technology, the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper, we have researched on Security test and check method of IoT System from system security test, risk assessment and integration security management.

【 Keywords 】 internet of things system; security test; risk assessment; security check

1 引言

目前在全球市场的数据统计分析上看,物联网成为未来10年发展迅猛的行业。据美国市场研究公司Forester预测,到2020年,世界上“物物互连”的应用业务,跟人与人之间通信的业务相比,前者是后者的30倍,仅在智能电网和机场入侵检测系统方面的市场就有上千亿美元。因此“物联网”必将成为下一个万亿美元级的信息技术产业。

从经济发展角度看,各国齐头并进,相继推出物联网区域战略规划。当前,世界各国的物联网基本都处于技术研究与试验阶段,美、日、韩、欧盟等都正投入巨资深入研究探索物联网关键技术。

物联网是互联网在现实世界的延伸。随着应用的不断扩展,物联网一旦发生安全问题,极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件,甚至将危及国家安全。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发众物联网特有的安全问题。

物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。目前物联网安全技术和安全状况缺乏有效的检测和评价手段,已有的物联网应用急需对其安全性能的检测和技术支持。所以,对物联网安全检测与检查方法的研究是解决物联网安全问题必不可少的关键工作。

2 物联网系统面临的安全威胁

从安全测评的角度来看,物联网系统的结构可以分为三层,即智能感知层、接入传输层和业务应用层。物联网面临的安全威胁也来自这三个层次。

由于网络环境的不确定性,感知节点面临着多方面的威胁,感知节点本身就是用于监测和控制各种感知设备。节点对各种检测对象进行监测,从而提供感知设备传输的数据信息来监控网络系统的运行情况。这些智能传感器节点是暴露在攻击者面前的,最容易被攻击。因此,与传统的IP网络比较,所有的监控措施、安全防范策略不仅面临着更复杂的网络环境,而且还有更高的实时性要求。物联网系统面临的主要威胁有几个方面。

(1)安全隐私 射频识别技术被广泛用于物联网系统中,RFID标签可能被嵌入到任何物体中,例如人们的生活和生产用品。但是这些物品的拥有者不一定能够了解相关情况,会导致该对象的拥有者被随意地扫描、定位和追踪。

(2)伪造攻击 与传统IP网络相比,传感设备和电子标签都是在攻击者面前的。与此同时,接入传输网络中有一部分是无线网络,窜扰问题在传感网络和无线网络中是普遍存在的,而无线安全研究方面也显得非常棘手。因此,在网络中这些方面面临的伪造节点攻击很大程度上威胁着传感器节点的安全,从而影响整个物联网安全。

(3)恶意代码攻击 恶意代码在接入传输层和传感层中都可以找到很多可以攻击的突破口。对攻击者而言只要进入到网络,通过传输网络进行病毒传播就变得轻车熟路,而且具有较强的隐蔽性,这一点与有线网络相比就更加难以防御。例如类似蠕虫这样的恶意代码,本身又不需要寄生文件,在这种环境中检测发现和清除恶意代码的难度是非常大的。

(4)拒绝服务攻击 这种被熟悉的攻击方式,一般发生在感知层与接入传输层衔接位置的概率是非常大的。由于物联网中感知节点数量庞大,而且多数是以集群的方式存在,因此信息在网络中传输时,海量的感知节点信息传递转发请求会导致网络拥塞,产生拒绝服务攻击的效果。

(5)信息安全 感知节点一般都具有功能单一、信息处理能力低的特点。因此,感知节点不可能具有高强度的安全防范措施。同时因为感知层节点的多样化,采集的数据、传输的信息也就不会有统一的格式,所以提供统一的安全防范策略和安全体系架构是很难做到的。

(6)接入传输层和业务应用层的安全隐患 在物联网系统的接入传输层和业务应用层除了面临传统有线网络的所有安全威胁的同时,还因为物联网在感知层所采集数据格式的不统一,来自不同类型感知节点的数据信息是无法想象的、并且是多源异构数据,所以接入层和业务应用层的安全问题也就更加繁杂。

通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性能的检测和技术支持需求十分迫切,例如移动系统与行业网的接入安全性评估和检测、社会公共安全的视频采集系统的接入安全检测、基于RFID和车牌识别的智能车辆管控系统安全性评估等检测业务都是亟待解决的问题。由此看出,物联网安全检测和检查方法研究需求迫切。

为了把物联网系统安全风险降到最低,应该做到系统建设与检测检查同步进行,且检测检查过程中要技术与管理并重。本文将从物联网系统安全检测、物联网系统风险评估和物联网集成化安全管理三个方面进行检测、检查的方法研究。

3 物联网系统安全检测

安全检测是以系统检测方式对物联网系统三层架构的各个层面进行安全符合性和有效性检测。

(1)智能感知层应该对访问控制策略配置、身份认证策略配置、数据完整性保护策略配置、数据保密性保护策略配置、感知节点抗攻击性、安全审计策略配置和物理安全进行符合性测试。

(2)接入传输层检测应该对AKA机制的一致性或兼容性、跨域认证和跨网络认证、视频传输协议转换前后的安全性;传统认证和数据交换安全、无线认证网关安全、无线传输协议、身份认证安全等进行符合性和有效性检测。

(3)业务应用层应该对数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性以及应用模拟等进行符合性和有效性检测。

下面从物联网系统检测规则和检测工具两个方面研究物联网系统安全检测方法。

物联网系统检测规则由三个部分组成分别是智能感知层规则、接入传输层规则和业务应用层规则。

(1)智能感知层规则主要包括访问控制、身份认证、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等安全规则。

(2)接入传输层规则包括数字接入系统中接入业务可管理性、可控性、信息保密性、完整性和可用性的规则要求,视频接入系统实现外部视频资源单向传输至内网,视频控制信令和数据的会话终止于应用服务区,包含对视频信令格式进行检查及内容过滤、合法的协议和数据通过、视频数据和视频控制信令安全传输等方面的规则,无线接入系统接入内网,需要与内网的各种信息系统交互信息,包含敏感信息、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等方面的规则。

(3)业务应用层规则一般包括访问控制、用户身份鉴别、资源控制、安全漏洞、安全审计以及数据备份等安全规则。

检测工具是包含物联网系统安全检测中所有测试工具、测试样本数据的集合。检测工具根据其应用范围可以划分为三类。

(1)智能感知层检测工具:主要包括对感知操作安全项目进行检测所用到的软硬件工具和测试样本数据;感知数据处理安全检测工具包括对感知数据处理安全项目进行检测所用到的工具;感知数据存储安全检测工具主要包括感知数据存储安全项目进行检测所用到的工具和测试样本数据;感知节点设备安全检测工具主要包括漏洞扫描工具、自动化攻击工具以及自身所建立的漏洞补丁知识库,根据被测设备的操作系统、功能组件,查询漏洞补丁知识库,可以发现漏洞扫描类工具无法直接探测的隐藏漏洞。

(2)接入传输层检测工具:主要包括脆弱性扫描与管理工具、网络协议分析工具、主机配置检测工具、网络边界检测工具等。

(3)业务应用层检测工具:主要包括Web应用系统及网站安全检测工具、数据库脆弱性检测工具和网络终端安全检测工具等。

4 物联网系统风险评估

物联网系统风险评估主要针对物联网智能感知层、接入传输层和业务应用层中所包含的各个组成部分。开展物联网系统风险评估工作,需要构建物联网系统风险评估平台,对物联网可能遭受到的威胁和脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。

下面从物联网系统风险评估知识库和风险评估工具两方面来研究物联网系统风险评估方法。

风险评估知识库应该包含威胁库、脆弱性库、风险分析方法和评估案例等。物联网系统风险评估服务威胁库包括智能感知层威胁库、接入传输层威胁库和业务应用层威胁库:智能感知层威胁有RFID安全隐私、RFID标签复制、传感网安全路由、感知节点逐跳加密安全等;接入传输层威胁有海量数据融合信息窃取、海量数据传输安全、三网融合面临的新威胁等;业务应用层威胁有位置信息泄露、数据融合后机密信息泄露、应用系统漏洞等。脆弱性库,脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。风险分析方法主要包括系统层次分析方法、基于概率论和数理统计的方法、模糊数学方法,这些方法或是在识别风险的基础上,进一步分析已识别风险,提高风险结果可信度,或是融入风险评估过程中,使评估过程更科学、更合理。

如果物联网系统风险评估案例库建立实际风险评估案例,能够给出风险分析方法、风险分析过程。系统整体风险评估结果就能一目了然,也为物联网系统风险评估工作提供参考案例。

根据在风险评估过程中的主要任务和作用原理的不同,风险评估工具可以分成风险评估与管理工具、系统基础平台风险评估工具和风险评估辅助工具三类。

(1)风险评估与管理工具应该是一套集成风险评估各类知识和判定依据的管理信息系统,以规范风险评估的过程和操作方法,或者用于收集评估所需要的数据和资料,基于专家总结的经验,对输人输出进行自动化的模型分析。

(2)系统基础平台风险评估工具主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。

(3)风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。

5 物联网集成化安全管理检查

目前监管体系对不同的物联网系统的防护管理要求存在没有差异和缺乏针对性等问题。因此,物联网集成化安全管理势在必行。根据物联网的技术特点,针对物联网面临的安全威胁,应该构建和完善物联网的监管体系,从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统感知层、接入传输层和业务应用层进行安全防护管理。

(1)防范阻止主要指物联网系统应该具有安全防护和阻止信息安全威胁影响的措施,从而有效防范本文中提到的安全威胁。从物联网的体系结构而言,物联网除了面对TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身的特殊安全问题。因此数据完整性和保密性保护、身份认证、访问控制、安全审计等方面的安全措施必不可少。

(2)检测发现主要是指物联网系统应该能够检测发现物联网系统存在安全隐患,其中包括感知层检测、接入传输层检测和业务应用层检测,在感知层应能检测发现感知设备伪造攻击。由于感知设备是“”在攻击者面前的,那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。接入传输层应包括边界接入系统、视频接入系统和无线接入系统三类接入传输系统的安全管理要求。业务应用层应能检测发现业务应用中的安全隐患,因为TCP/IP网络的所有安全隐患都同样适用于物联网。同时应能针对物联网感知层、接入传输层、业务应用层三个层次进行风险威胁分析,形成反映物联网系统安全态势的总体视图。因为安全系统从隐患到影响是一个态势变化的过程,因此对物联网系统态势的分析与威胁防范同样重要。

(3)应急处置主要是指应该能够具有高效指导系统维护人员开展应急处置工作的措施,应制定物联网信息安全应急预案,并结合实际工作情况,对物联网信息安全应急预案做出相应修订。应明确现场总指挥、副总指挥、应急指挥中心以及各应急行动小组在应急救援整个过程中所担负的职责。应明确完成应急救援任务应该包含的所有应急程序,以及对各应急程序能否安全可靠地完成对应的某项应急救援任务进行确认。应急预案应具备实用性、可操作性、完整性和可读性的特点。

(4)审计追查主要是指应该能够为安全管理人员提供物联网系统安全事件倒查的措施,包括日志采集、查询、分析和追查。其中采集应能对分布在感知层、接入传输层和业务应用层各个部分的用户和管理员操作日志进行采集。查询应能对物联网信息系统日志进行查询,包括常规查询、条件查询和权限控制查询。分析应能根据统计需求,对物联网信息系统日志进行统计分析。追查应能根据追查安全事件需求,为安全管理人员提供安全事(案)件的倒查手段。

(5)集中管控主要是指应该能够为物联网系统自身安全管理和控制提供技术手段。它们包括集中监控、策略管理、运行监控、异常和用户监控,其中集中监控应能通过监控中心对物联网系统进行集中管控,包括系统安全管理和监控。策略管理应能对感知层、接入传输层和业务应用层的安全策略进行集中管理,支持管理感知节点的备份与恢复。运行管控应能对感知层终端运行情况进行监控,对物联网系统运行情况进行监控。异常和用户监控应能对业务应用层异常进行监控,能对系统用户的操作进行监控。

6 结束语

随着物联网产业的迅猛发展,信息安全问题也面临着新的挑战,所以安全作为物联网领域的核心问题,没有完善的安全保护和测评措施,物联网就无法被广泛地应用,这就会对物联网优势的发挥产生严重的影响。

本文在分析了物联网系统面临安全威胁的基础上。根据物联网技术特点,针对面临的安全威胁,从物联网系统安全检测、物联网系统风险评估和物联网集成化安全管理三个方面进行检测和检查的研究。从而进一步明确在物联网的建设中,物联网应用不仅要投入巨资深入研究系统构建技术,还需要做到安全保障与物联网建设齐头并进,避免先应用后安全的被动局面,增强物联网主动保障能力,提高物联网安全检测能力,扩大安全检测和检查应用范围,为推进我国物联网安全检测标准化进程提供保障,使得物联网安全检测工作更加专业化、规范化和常态化。

参考文献

[1] 丁超, 杨立君, 吴蒙. IoT/CPS的安全体系结构及关键技术.中兴通讯技术,2011,01(17).

[2] 李向军.物联网安全及解决措施.农业网络信息,2010,12.

[3] 戴铁君.物联网安全问题与其解决措施.科技风, 2011,02.

[4] 汪金鹏,胡国华.物联网安全性能分析与应用.科技信息, 2010,33.

[5] 姚远.基于中间件的物联网安全模型.电脑知识与技术, 2011,01(07).

[6] 肖毅.物联网安全管理技术研究.通信技术. 2011, 01(44).

[7] 蒲石,陈周国祝世雄.震网病毒分析与防范[J].信息网络安全,2012,(02):40-43.

[8] 武鸿浩.CUDA并行计算技术在情报信息研判中的应用[J].信息网络安全,2012,(02):58-59.

[9] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.

[10] 丁丽萍.Android 操作系统的安全性分析[J].信息网络安全,2012,(03):23-26.

篇6

关键词:银行业;服务;发展模式

客观地说,目前银行的服务与十几二十年前的状态相比已经有了大幅度的提高,银行也越来越意识到服务的重要性,已经通过规范服务行为、优化服务流程、完善服务设施等各种手段极大地提高了广大客户对银行服务的满意度,提升了银行业的整体形象。但是,随着社会经济快速发展,消费者和银行接触的机会日渐频繁, 在银行业务创新的同时,人们对银行的服务要求不断增强,银行提供的服务与社会公众需求标准还存在一定的差距。加拿大是全球银行业服务最周全的典范,也是在本次国际金融危机中银行体系没有受到根本冲击的唯一国家,其依靠服务的可持续发展模式为我国银行业发展转型提供了可资借鉴的途径。

一、服务对象:至上第一

加拿大银行业从服务态度上来说重视保护金融消费者权益。以零售银行业务为例,银行与客户联系密切,迅捷服务客户,建立和加强银行与客户的互动关系。用户无论大小,都会得到充分的照顾和细致入微的服务。为了吸引新客户和保留老客户,掌握客户的消费心理、需求结构、对银行服务的满意程度,各大银行均有客户反馈系统,对客户的反馈意见极为重视。客户可通过电子邮件,电话等形式进行信息反馈或通过调查问卷方式表达自身的意愿。银行专员将对客户的反馈负责解释、说明和追踪服务。加拿大麦克林杂志调查统计显示,在全球银行业遭受“严寒”之际,加拿大本土顾客满意度在2009年得到了提升,银行同时加强了业务扩张力度,包括在技术和客户服务上的投资。为保持其各自的竞争优势,这些银行也采用新的顾客服务标准和流程,实施于所有电话银行、银行网点、网上银行,使得2010年各银行的客户满意度又得到了全面的提升。其中TD 信托银行在加拿大本土商业银行中获得了最高的顾客满意度。

而中国银行业与客户的链接程度不够,银行业在服务方面依然存在相当多问题:包括银行对客户的信息和需求倾向掌握不多,银行服务理念有待深化,客服人员态度欠佳,并没有以帮客户解决问题为主旨,甚至个别业务人员存在误导客户的行为,在销售理财产品时夸大效益、风险提示不够、乱承诺、玩文字游戏,导致客户的经济利益受损等。

二、服务收费:透明公开

在加拿大,虽然银行的很多服务项目都要收取费用,收取的方式和额度又因不同银行以及账户的种类而不同,比如有些账户在每次提款或是支票交易的时候要收少量费用,电汇每一笔钱要收几十元;再比如有些账户是收取月费,几块到十几块都有,使用银行服务如果超出了一定的额度也需要收取费用。但对各种收费,加拿大银行业都比较明朗化,同时给顾客提供了选择的余地。如保持银行账户里的存款数目在银行的要求以上,就可以部分地或全免服务费,并且在开立新账户时不需要工本费用。在每月明细方面,加拿大银行通常有提供月结单(statement)这种方式来记录一个账户的交易。客户可以选择书面形式以及电子邮件这两种形式的账单。月结单会在每个月固定的日期寄出或者发送,客户也能自己用银行卡从柜员机上列印近期的账户记录。

中国银行业协会的《2011年度中国银行业服务改进情况报告》显示,2011年中国银行业协会共受理各类客户再投诉案件290件,其中在银行服务和服务类收费方面的问题比较集中,超过投诉总数的1/3,一些商业银行收费种类复杂、名目繁多,少则几十项,多者数百项。投诉案件的调查结果显示,商业银行乱收费主要表现为:

一是继续收取明令禁止的收费项目。2011年10月12日国务院第175次常务会议明确要求禁止商业银行对小微型企业收取承诺费、资金管理费,但部分商业银行有令不行、有禁不止,继续向小微型企业违规收取相关费用。此外,部分商业银行在2011年7月1日后继续收取明令取消的人民币个人账户密码挂失费、存折工本费、签约工资账户年费等。

二是借贷款之机强制收费。部分商业银行利用贷款优势地位,在贷款过程中借机附加收取不合理费用或强制客户接受与其真实需要不符的服务而收取费用。一方面在企业贷款过程中强制收取贷款承诺费、财务顾问费、融资顾问费等,将实际交纳或同意交纳这些费用作为发放贷款的前置条件;另一方面在个人贷款过程中,对贷款个人强制收取个人理财费、个人融资顾问费,并将实际交纳或同意交纳这些费用作为发放贷款的前提。如某支行在审核发放个人贷款过程中强制收费,2011年1月至2012年2月共计违规收取个人融资顾问费100多万元。

三是收费后少服务或不服务。其一,部分商业银行对贷款企业收取财务顾问费,收费标准从每年几万元到几百万元不等,只收费不服务或少服务问题突出。有的商业银行在收费之后并未提供实质,有的银行只是定期给客户发送电子杂志,有的银行出具的所谓“财务顾问报告”其实就是银行向企业贷款后应当出具的贷后检查报告。其二,部分商业银行对贷款企业收取融资顾问费。如某分行在签订的一份融资顾问协议中规定,如果融资成功,企业需向银行交纳300万元的融资顾问费;融资不成功,企业也需向银行交纳10万元的工作经费。其三,有的银行对贷款企业收取综合服务费、企业信息服务费、信息咨询业务服务费等,但不能提供相关服务记录,交费的企业也反映没有得到相关服务。

四是转嫁成本乱收费。部分商业银行利用其优势地位,将一些理应由其自身承担的经营成本转嫁给客户,混淆了银行本身职责和服务的界限,将其自身的职责作为服务内容向客户收费。如一些商业银行按照上级主管部门的规定,要求贷款企业签订资金监管协议,将贷款资金委托银行监管,此举本身是为了银行控制信贷风险,但银行却要求贷款客户按贷款金额的一定比例交纳资金监管费、资金托管费等。如某支行2011年对两家小企业发放3笔贷款共计820万元,以贷款金额1%左右的标准向企业收取资金监管服务费共计9.6万元。

三、服务设施:快捷方便

一是服务硬件设施齐全。由于加拿大商业银行的市场集中率高,加拿大商业银行的规模都较大,服务网点多,其分支机构及设施遍及加拿大的各个角落,使用极为方便。在一些中小城市的街边以及商业广场内很容易找到24小时自助银行,并能为客户提供服务。24小时自助银行设计得非常合理且人性化,譬如能提供多国语言供客户选择,有一个操作特点是如果客户办理取款业务,在所有操作完成之后自动取款机会先退还客户银行卡,然后自动取款机才开始吐钞,避免发生因客户大意取了钱忘了卡的事件,同时对机器故障处理得非常及时。而我国许多银行网点的窗口设置不合理,有些机构网点本身投入不足,没能有效疏导,致使排长队现象普遍存在,这也是我国商业银行“部门银行”模式弊病最明显表现。面对客户需求变化和业务量的增长,银行方面却没有采取相应的应对措施适应市场需求的变化,仍采取传统存取款业务的业务流程、人员配置、营业窗口设置,即使有的银行为了缓解柜台压力,临时抱佛脚增加人员,增开窗口,延长服务时间,可是由于业务流程不畅,系统支持能力不足,后台处理混乱,内部管理失控等问题也会得到显现,由此引发的业务差错、案件风险、客户不满将会进一步升级。对吞卡、卡钞等的应急处置也不及时,拨打应急电话后工作人员表示不能马上处理,在节假日等客流高峰时情况更多、更严重。

二是服务软件配备人性化。业务人能享受到服务,银行工作人员态度良好,除了英、法语官方语言外,不同的社区还提供不同语种的服务,为不同种族的客户提供便利。分工明确,业务效率高,新的业务员通常都配有专员在旁指导,因此不需要花费客户过长的等待时间享受到服务。

四、服务方式:网络银行

网络银行的发展已经成为一个必然的趋势,这对于节省银行运营成本和人力资源来说,有着非凡的意义,人们能够通过网上银行、电话银行以及自助银行这三种模式替代日常的柜台服务。网络银行业务作为为客户提供银行服务的新手段,以现有银行业务为基础,利用网络技术为客户提供综合、统一、安全、实时的金融服务。加拿大网络银行的用户人数和服务范围领先多国,绝大部分加拿大网银客户认同这种便捷、省时的网络服务。从操作上讲,网页设置精简了客户的操作程序。没有银行理财广告之类不必要的信息,通过简单的指令输入卡号以及密码,客户就能看到持有银行卡的状态。从网络安全性来说,加拿大商业银行投入了大量资金和技术完善网页的安全性,不强制客户下载银行客户端,并且输入效验码来确保安全性,节省了客户的网银操作时间。以加拿大帝国商业银行为例,当您访问CIBC网上银行时,银行会通过浏览器去反查登陆端的浏览器安全性,如果出现病毒或发现木马代码之类的危险漏洞,客户将无法登入。并且有安全条例规定如果因为网络银行的操作而造成账户信息被盗导致的任何财产损失,银行保证百分之百的赔偿。CIBC网上银行用户同样也可以享受有折扣的诺顿软件,这是一款专门针对网上银行账户安全而开发的软件,帮助客户侦测和应对针对偷窃网络信息的病毒和木马代码。

而在国内,网络银行业务虽然在这几年有着显著的发展,但普及度远远不及加拿大,网银技术的不完善性、操作程序的复杂繁琐以及人民对传统办业务方式的依赖性制约了中国网银的普及程度与发展。以中国银行的网银为例,网银需要客户通过银行网点设立额外的网络账户名和密码,而不能仅仅通过银行卡号进行网银登录,同时还需要绑定手机用来发送效验码以及付费领取动态口令。客户操作网银首先需要在自己的电脑设备上先下载银行的客户端,安装成功才能进行登录,登录网银之后的任何交易行为都需要同时输入手机效验码和动态口令上的密码才能完成。从网络安全上来说,动态口令具有一定的安全保障力。但对于绝大多数客户来说,操作比较麻烦,因为在没有手机或者动态口令的情况下,不能进行任何交易行为,尤其是对于受教育程度较低、年龄层次偏大的客户来说很难应付如此复杂的操作。

五、政策建议:提升服务

一是完善服务制度。建立健全客户关系管理系统,整合客户信息,敏锐地体察客户现实和潜在的金融需求,快速界定目标客户,加强与客户交流与沟通,理解并影响客户行为,充分利用掌握的客户资源,拓展优质客户,挖掘潜在客户,留住老客户;培养高素质的专业创新人才,建立专门的实施机构;制定专门制度,对率先实施创新的部门给以奖励,并进行合理的成本分摊,鼓励服务创新。

二是健全服务基础。统一营业网点的服务设施及标识系统,进一步梳理、优化柜面操作流程,形成系列化、定型化的柜面操作流程和大堂经理、客服人员服务流程,并强化和落实网点负责人对现场管理的主要责任,提高单笔业务处理速度。进一步完善安全保障能力,修订完善各类应急预案,加强网点现场安保人员的配备、培训和管理,理顺安保应急处理流程,提高紧急事件的应对和处理能力。

三是树立服务理念。牢固树立“以客户为中心”的服务标准,打破传统的服务理念,将服务理念和服务意识融和全行每一个岗位、每一项业务流程,融入对客户的营销。

四是规范服务流程。做好金融产品和服务的宣传引导,规范合同签订和产品价格收费。在服务收费方面,要严格遵守《商业银行服务价格管理暂行办法》相关规定:对于政府指导价,严格执行国家规定价格;对于市场调节价,要求商品和服务价格清晰明确、定价合理有据,杜绝多收费、乱收费和搭车收费的行为;妥善解决好金融争议。设立专门机构或专(兼)职人员负责金融消费投诉,建立完备的投诉处理机制,及时解决争议。

五是强化网络银行。在战略上重视网络银行的影响,在风险上提升网络银行的安全,在业务上创新业务品种。

参考文献:

[1]中国银行业协会.2011年度中国银行业服务改进情况报告[R].人民网,2012-3-15.

篇7

贯彻省委省政府港航强省,加快宁波—**港口一体化的战略部署,在海洋经济强省建设中打头阵。要把**港域打造成全国重要的能源物资储运中转基地和长三角重要的对外贸易物流基地;要加快建设步伐,不断提高基础配套、综合管理和综合服务水平,尽快形成集疏运一体化、具有核心竞争力的现代港口物流服务体系;要引导航运企业向规模化、特色化、集约化发展,打造与现代化国际大港相适应的海运强市。

(二)发展目标

到2011年,力争**港域货物吞吐量达到2.5亿吨,集装箱吞吐量达到250万TEU;全市社会船舶拥有量达到500万载重吨,国内沿海运输船舶运力保有量达到350万载重吨。

(三)发展重点

围绕上述总体思路和发展目标,结合大桥经济时代到来后,**港域发展优势得到深层激发的良好机遇,今后一个时期的工作重点,将着力构建三大体系:

1.营筑S型物流框架,构建功能健全、布局合理的港口发展和经营体系。

以宁波-**港总体规划为龙头,进一步细化港口发展规划,以效益为中心,从适应未来发展的角度重新审视港口的发展布局。突出**港域的区位优势和港口条件优势,在港口功能定位、实现路径等方面进行全面谋划和调整,把港口建设和产业发展有机结合起来,构建和完善一个功能健全、布局合理、接轨长三角的港口发展和经营体系。

从产业布局的地理位置来看,S型分布框架效率高、带动性强,非常适合我市岛屿众多、港区分散的特点。**港域现有定海、老塘山、金塘、马岙、沈家门、六横、高亭、衢山、泗礁、洋山、绿华等十一个港区,恰好呈现S型地理分布特点。目前,各港区开发建设加快,从大小洋山、马迹山、衢山、定海本岛、金塘岛至六横,由北到南,基本呈现以两头集装箱、中间散货和化工品为主的S型港口物流框架。

大桥贯通以后,**港域发展港口物流的条件更加优越,依照《**市现代港口物流业发展规划》,要精心规划,推进港区协调发展,促进各港区发展过程中相互作用、相互依存、协调发展,增强对城市经济发展的拉动力。尤其对大桥直接辐射的本岛、金塘等岸线,重点规划集装箱、化工品及临港工业配套泊位,利用良好的集疏运条件,发展产业连带性强、附加值高的港口和临港工业项目,建立岛带型的临港产业格局,形成富有**港域特色的有效发展模式。在规划开发的港口物流重点区域内,重点建设好五大类港口物流中心,分别是:洋山、金塘、六横港区,建设为长三角及更广阔腹地服务的集装箱物流中心;岙山、册子、外钓港区,建设为长三角和长江流域等腹地服务的石油、天然气中转储运物流和国家石油战略储备中心;马迹山、衢山港区、六横凉潭作业区,建设为长三角和长江沿线服务的矿砂中转配送物流中心;六横双塘作业区,建设为华东沿海电厂服务的煤炭加工配送物流中心;以马岙港区为主,建设化工及大宗散货中转物流中心。发展物流业是带动地方经济的一个重要途径,要把目标定位在上海国际航运中心建设的重要组成部分和长三角国际物流枢纽,增强**港域发展的辐射力。

目前,包括**岙山国家石油储备、六横煤电一体化和世纪太平洋液体化工中转基地等19个项目,已列为我市今后五年重点建设港口项目与重点建设预备项目,预计项目投资总和达248亿元人民币。要大力推进这些港口项目建设,促进港口物流加快发展。

2.提升品质,构建一个依托港口、规模效益型的航运体系。

结合大桥经济带来的产业集聚、人文集聚、资本集聚和信息集聚等发展机遇,以港口发展为依托,构建一个大型化、集约化、专业化的规模效益型航运体系,努力打造航运集聚区。

大力培植航运“龙头”企业。坚持量质并举,重点扶持运力规模大、资产质量好、货源稳定的航运企业,形成行业“龙头”。力争在今后五年内,培植1-2家运力规模超过50万载重吨的航运“龙头”企业,培植2-3家运力规模超过20万载重吨的航运“骨干”企业,以此提高我市航运企业的市场竞争力,带动**航运业整体发展。同时,密切关注和支持有条件的航运企业上市,提升我市航运业的发展品质。

主动应对竞争,加快运力结构调整。从发展趋势分析,随着国民经济的快速增长,国家对能源的需求将进一步增加,大型散货船主要以煤炭、矿砂、粮食等大宗散货为主要货源,其市场生存空间更大。同时,随着大桥贯通以后,**港域有条件成为上海国际航运中心的重要组成部分,航运业要为完善航运中心的服务体系服务。因此,要引导发展2万载重吨以上的国内大吨位散货船舶。同时,根据今后我国化工产业的发展态势,以及我市发展化工品运输的市场基础,要着力发展5000载重吨以上的化工品运输船舶。另外,加快淘汰老旧船舶,提高运输船舶质量也是运力发展的方向。

港航联动,不断加大市场拓展力度。近年来,随着**港口的快速发展,给**航运企业更多地参与本港货运市场的竞争带来了契机。要研究探索依托**的港口优势,发展壮大我市航运业的有效机制。2006**港域货物吞吐量达1.14亿吨,由本市船舶完成的二程货物运输量不到1000万吨,占二程货物运输量的25%左右,本港货源拓展空间较大。因此,要积极探索港航联动模式。一是在涉港项目业主与航运企业之间搭建一个交流平台,引进与航运业相关项目的同时,及时将有关信息向航运企业,并且能与项目业主达成协议,保留一定的货源份额让**的航运企业承运,为我市的航运企业构筑一块相对稳定的市场;二是鼓励航运企业参与项目投资,与项目业主形成更牢固的利益关系;三是在争取更多的货源份额的同时,鼓励项目业主的船队落户**。

同时,继续加大对国内外航运市场的拓展力度,国内重点拓展煤炭、矿砂等大宗散货运输市场,国际重点拓展煤炭、矿砂、木材、集装箱等一程运输市场,建立点稳、线长、面广且具有较强市场渗透力的、拥有较高抗风险力的航运网络。要继续重视对工程船市场的拓展力度。

3.适度超前,构建一个畅通完善的基础配套保障体系。

按照我国经济的持续高速增长态势,“十一五”期间,国家将利用沿海深水航道、锚地天然优良资源,加快对大型深水泊位码头的建设速度,国际海运船舶也呈现超大型化、专业化趋势,为降低运输成本,提高港口品位,增加港口竞争能力,必须加大投入,消除港口基础配套的瓶颈制约。以适度超前为原则,构建一个配套完善、畅通、高效的基础保障体系。

加快港域内航道、锚地等公共基础设施建设。尽快完成虾峙门外航道和马岙、高亭港区公共航道的疏浚整治工程,并维护使用好。加快建设与各港区相配套的港外锚地和港内锚地,推进**港佛渡锚地、普陀山外锚地等工程的开发建设。

提升港航公共服务保障能力。随着**港口业的高速发展,作为港口主导产业和大型修造船生产运行最为重要的配套服务,包括港口引航、拖轮助泊、外轮、理货计量、装卸和海运等服务,由于其中某些服务技术要求高、资金投入大、能力提高慢,且在港口运行中不能以追求自身的经济效益为主要目标等因素,因此必须适度超前配置,避免港口资源浪费和滞后配置对港口业发展的制约。同时,要引导建立金融、保险、交易、运输等相关服务产业,扩展相关联各产业的参与度。

建立信息化管理运行机制。增加硬件设施,搭建信息平台,逐步提高港口管理现代化水平。信息化程度和水平是决定沿海港口服务效率和管理水平的重要因素,要利用GPS、EDI等现代信息技术,加快港航指挥中心建设,不断提高港口作业和管理的“智能化”程度,加强与管理、生产、贸易、金融、口岸等部门的联网。实现货物的实时跟踪查询,监控货物的运输安全,提高货物的通关和装卸、堆场作业效率,与航运、海关等部门的无缝配合,使港口真正成为货物流、信息流、资金流等网络安全、高效的的综合节点和中转枢纽。

完善港口多种运输方式,使各种运输方式有效衔接。大桥贯通后,**港域在传统水水中转模式上,增加了陆上运输新模式,成了名副其实的海陆运输的节点。要加强各港区岛际集疏运网络建设,把各种运输方式整体纳入半岛化城市建设,与长江三角洲区域集疏运系统接轨。既要适应海上运输的发展要求,提高我市在国际、国内航运市场的竞争力,又要适应日益完善的综合运输体系的要求,建成各种运输方式交汇的高效集散中心和功能强大的综合性枢纽,凭借大桥飞架,进一步提高港口的辐射能力。

目前,包括虾峙门航道、马岙港区航道、佛渡锚地、六大港作船基地、引航基地等共11项建设工程,列入我市“十一五”期间公共基础设施建设项目,项目投资近9亿元。这些项目的建成,将使港口基础设施薄弱的瓶颈得以有效破解,为今后近10年内**港域的发展提供强有力的配套支撑,要确保资金到位,按期建成投入使用。

(四)主要措施

1.统筹规划利用港口资源,增强港域发展的后续力。港口资源是发展的核心资源,也是**发展中最有竞争力、最有潜力的资源。**港域已建设使用和正在开发建设的深水岸线已将近过半,深水岸线作为不可再生的稀缺资源,如何保护利用、科学开发已迫在眉睫。

必须统筹规划,实行“统一规划、合理布局、协调发展、完善配套”,认真贯彻落实《**市港口岸线使用管理暂行办法》,由市港口资源管理领导小组统筹协调决定港口开发管理方面的重大事项和问题。对已经列入省及市港口规划、制定港口控制性详细规划的岸段和标明陆域控制坐标点的野鸭山岸线、岙山岸线和马岙岸线等11段岸线,列为全市重点调控管理岸线。

要让港口资源优势发挥最大的社会和经济效益。要按照先进港口物流基地的建设要求,充分考虑码头作业区、物流区、商贸区、生活区所需岸线和土地的匹配。特别是作为港口发展重要战略要地的金塘、六横、衢山等地,更要为未来发展留足岸线、土地等空间;切实加强对开发前景良好而近期又暂不具备开发条件的岸线等资源的规划与控制;要加大通过前期开发改造和整治,优化港口资源条件的力度;要引导和安排工业和仓储设施向陆域纵深发展,控制工业企业和货主单位占用岸线资源;注重公用码头建设布局,增强政府对港航经济发展的主导能力。

2.积极推行多元化投入体制,掌握发展竞争主动权。一是积极引进中外一流码头运营商投资建设港口;二是探索地主港融资模式,选取机动灵活的经营策略和方式,最大效益地发挥土地和岸线等稀缺资源在融资方面的开发利用价值;三是大力培育核心企业,加大政策扶持和投入,做大做强港务集团这一“龙头”企业,打造政府控制的港口开发运营的核心实体;四是引导金融机构加大对港航业发展在贷款上的支持,建立航运企业金融信用担保体系,鼓励有条件的港航企业争取上市。

篇8

一、树立声誉风险理念,将声誉风险融入地方商业银行理念文化中

端正理念文化就是正确认识地方商业银行差异化竞争战略,提升核心竞争力。在正确树立声誉风险理念基础上,地方商业银行应该认真分析市场环境,结合自身特点和优势,扬长避短,实施以培育声誉战略为核心,着力打造特色鲜明的品牌银行。差异化的定位能够增加竞争者模仿成本和难度,创造声誉的核心价值,是差异化战略的精髓。地方商业银行所处的区域、市场环境的差异性以及自身的特点与优势,是培育声誉的核心价值。

(一)创新型定位策略

地方商业银行与国有控股商业银行金融产品的高度同质化既对创新提出了要求,也隐含着新的巨大空间,将创新作为声誉培育的重要策略,是因为创新能给声誉带来在同类产品中领导者地位的机会,客户将更加倾向于购买领导品牌。

(二)求异型定位策略

相比国有控股商业银行,地方商业银行的实力和客户资源尚处于弱势。因此在声誉维护建设中,应遵循求异的定位策略。通过地域经济特点、银行形象、产品特性、自身经济实力、产品创新能力、优质服务等形式,努力创造品牌特色,以便将自己的声誉与竞争对手明显区别开来,做到产品开发错位差异化、区域特色化、小微草根化、普惠大众化,使客户建立起品牌偏好与忠诚。

(三)演进型定位策略

在我国金融业分业管理,银行监管严格,产品创新难度大的现实条件下,现有产品的微小变化都会使其向前演进一步,吸引客户的眼球,无疑具有重要的意义。如浦发银行独家推出了持该行“轻松理财卡”的客户在浦发银行各个营业网点的柜面办理异地取款,均免收手续费,受到了顾客的欢迎。哈尔滨银行推出的银行卡不仅可以乘坐公共汽车,还可以用来缴纳水、电、气等款项,方便了群众,大大提升了地方商业银行声誉。

二、健全声誉风险控制流程,将声誉风险管理融入地方商业银行的制度文化中

声誉已经成为地方商业银行的核心竞争力因素之一,是地方商业银行可以获得长期利益的无形资产。由于地方商业银行股份制改造时间较短,其公司治理结构、经营理念和自身定位等多方面暴露出诸多缺陷与不足,因此有效培育与维护地方商业银行声誉风险管理机制,提升核心竞争力水平显得尤为重要。银行声誉风险管理首先须建设良好的决策环境,其中包括有效的治理结构以及识别、检测、控制声誉风险的制衡机制,确保声誉风险能得到及时识别和高效处理

三、建立惩罚与激励机制,将声誉风险融入地方银行行为文化中

(一)建立可置信的惩罚机制

首先,建立健全责、权、利相对应的责任追究制。对因违法违规而造成资产损失的机构和责任人应严格依法予以追究责任,包括已离职的有关责任人。重视高级管理人员的监管,对任职资格的审核应关注从业经历和有无违规记录,形成违规则地方商业银行声誉必然受损的可置信的惩罚机制。其次,加大处罚力度,提高声誉成本。对机构的处罚不仅限于罚款,停业整顿、取消高管人员任职资格、市场退出等对地方商业银行影响较大的手段,处罚结果还可在金融系统内进行通报,使声誉受损对银行经营成本的影响加大。再次,建立事先承诺制度。目前发达国家一种新的配合性监管安排是所谓的“事先承诺”,即地方商业银行与监管者达成激励性契约,银行事先承诺一个在未来一定时间内的最大损失额,如超过则须接受来自监管机构的惩罚。这样,一方面监管部门只需注重结果而不是过程,节省了监管成本;另一方面减少了对金融机构的约束。地方商业银行出于自身利益会主动致力于改进内部模型,因为过多过少的承诺对地方商业银行都不利;承诺的最大损失数过少,易受处罚;承诺过多又需满足更高的资本要求。这也是一种通过声誉建立的可置信的惩罚机制,可在制度设计中进行借鉴。

(二)寻求道德风险防范路径

首先,以人为本,“法治”与“德治”并重。人一般具有有限理性和机会主义倾向的禀性,即人类天性有一种道德上的冒险精神,从而支配着投机、冒险和机会主义倾向。地方商业银行经营的特殊性,更容易产生道德风险。而道德风险具有非强制性,故“法治”和“德治”“两手都要硬”。“法治”以法律的权威性和强制性手段来约束、规范银行从业人员行为。“德治”以金融文化的感召力和道义习惯的劝导力来提高从业人员的思想觉悟和职业道德。“法治”是建立、维护、保持金融稳健运行的法律保障,“德治”是以职业道德来约束、规范从业人员。其次,强化银行从业人员自律和慎独的引导。面对当今社会某些方面出现的趋利口号的喧嚣、个人至上的张扬、贫富差距的扩大、金钱欲望的膨胀、社会风气的滑坡、道德评价的偏离等不良现象,切实增强银行从业人员自身、自律、自重意识,是培育、提高道德素质的重要环节。自身,就是每天都要反复检查、反身自己的言行,以便发现违背常理和道德要求之处并及时纠正;慎独,就是在无人监督的情况下,自己的行为也要谨慎不苟,防止违背道德的意识与行为的出现。银行从业人员要按照金融职业道德要求,逐步完成从自发到自觉、从外表到内心、从被动到主动、从他律到自律的行为转变。

四、健全应急组织,完善地方商业银行声誉风险化解机制

地方商业银行是金融行业中的弱势群体,经不起风吹草动。其声誉风险从产生、积聚到爆发的过程是短暂的,但对社会的破坏力是巨大的,因此,及时识别、评估、应急、化解声誉风险是十分必要的。

(一)在地方商业银行各层面设立应急事件管理机构,各分支机构要设有声誉事件处理工作小组。

(二)制定应急和化解预案,在业务管理、对外宣传、网络安全等方面都要建立相应的应急预案。优化应急处置流程,强化预案的演练演习,提高应急处理技能,确保声誉风险事件第一时间发生,处理方案第一时间到位,化解正能量效果第一时间显现。

(三)对出现声誉风险事件快速反应,影响声誉风险事件一旦发生,各声誉风险预防岗位要快速反应、快速抓住重点、快速抓住公关渠道、快速抓住声誉风险发生源头、快速消除不良影响。

篇9

    1.1旅游环境安全信息类

    旅游环境安全信息类主要包括:政治风险、经济风险、社会风险、文化风险、技术风险、自然风险、疾病疫情风险等。黄山市旅游环境安全风险分为两类:宏观层面的旅游安全信息有战争风险信息、恐怖袭击信息、政权分裂信息、政府行为风险信息、国内外重大犯罪、全球经济金融危机信息、区域文化与种族冲突信息、全球气候变化信息、区域重大自然灾害信息、区域重大环境污染信息、区域重大生态安全信息、区域重大疫情(如H7N9)信息等。微观层面的旅游安全信息有社会冲突信息、居民与游客态度冲突信息、社会道德水准信息、社会治安信息、卫生防疫信息、物价与市场供应信息、自然灾害(地震、台风、滑坡泥石流、极端天气)信息、植物病虫害信息、生物伤害等。

    1.2旅游资源与基础设施安全信息类

    黄山市旅游资源安全信息包含旅游资源安全状态信息(如黄山迎客松、齐云山道教圣地、屯溪徽州老街、西递宏村等古村落古民居古牌坊等核心资源的安全状态信息)和旅游环境容量信息等。旅游基础设施安全信息包含景区景点内及之间的道路及其安全保护设施的安全信息、游览设施设备容量与安全信息、旅游资源保障设施与容量安全信息、旅游信息网络安全信息、旅游水电气供应设施容量与安全信息等。

    1.3旅游设施设备与服务安全信息类

    黄山市旅游设施设备安全信息包含旅游接待设施(如酒店)设备(如影剧院)容量及其服务设施设备安全信息、游览设施设备及其安全信息、景区景点容量及其安全信息等。旅游服务安全信息包含餐饮住宿购物娱乐等各项服务的安全信息、旅行社导游服务活动安全信息、旅游通信服务安全信息、旅游物流安全信息等。

    1.4旅游活动与交通运输保障安全信息类

    黄山市旅游活动安全信息包含各类游览活动(观光游览、水上运动等)安全信息、景点景区道路通行状况与即时客流安全信息、游客吃住行游购娱等旅游活动安全信息等。旅游交通运输保障安全信息包含道路航道航班设施及其容量安全信息、运输工具设施设备及其容量安全信息、运输工具及其即时客流安全信息等。

    1.5旅游者安全信息类

    黄山市旅游者安全信息包含游客个性化特征信息、客源地信息、游客年龄、性别、职业、宗教信仰等特征信息、游客健康安全信息等。

    1.6旅游市场管理与安全风险管理类

    黄山市旅游市场管理安全信息包含旅游市场秩序安全信息、市场竞争安全信息、市场规模与接待容量安全信息、市场政策的稳定性与应变性信息、客源地信息等。旅游安全风险防范管理类安全信息包含旅游安全监测信息、安全风险预警信息、安全事故救援信息、安全风险保障信息、安全风险应急预案信息等。

    2黄山市旅游安全信息管理体系构建

    旅游安全信息管理体系是保障黄山市旅游安全信息有效管理的基础和关键。黄山市虽已经实施“金旅工程”与建设“智慧黄山”,但关于旅游安全信息管理问题尚未引起足够的重视,旅游安全信息管理至今仍分散在不同的旅游信息化体系中,目前黄山市的旅游安全信息管理体系尚未建立。根据旅游活动特点及旅游安全信息管理的特殊性,结合蔡善柱等(2012)与赖伟臣(2007)的研究,黄山市旅游安全信息管理体系由采集子系统、需求子系统、供给子系统、存储子系统与管理子系统构成。

    2.1旅游安全信息采集系统

    从上述旅游安全信息构成看,黄山市旅游安全信息采集系统本身就是一个非常复杂的系统,包括政府部门、非政府机构、旅游企业、旅游者、目的地居民等。采集旅游安全信息的政府相关部门有消防、安监、地质、气象、林业、环保等部门;非政府部门有军事单位、非政府组织等;旅游企业包括景区、酒店、旅行社、旅游交通企业、其他旅游企业等;旅游者包括个体旅游者、团队旅游者、境内旅游者、境外旅游者等;目的地居民主要是黄山境内不同旅游目的地与旅游活动直接或间接接触与相互影响的居民;旅游行业协会等。

    2.2旅游安全信息管理系统

    旅游安全信息采集之后,需要专门及权威的机构进行分类分级传播等管理工作。对于旅游城市黄山市来说,旅游安全是社会安全的主导部分,因此从事旅游安全信息管理的主体是黄山市安全监督管理局及旅游安全管理部门。具体划分为旅游资源管理主体安全管理部门、景区景点安全监控部门、旅游活动安全管理部门、旅游基础设施设备安全监管部门等。

    2.3旅游安全信息服务系统

    旅游安全信息管理的目的一方面是为旅游者及其他旅游活动利益相关者提供旅游安全信息服务,另一方面为政府旅游安全管理部门进行旅游安全管理服务。因此,旅游安全信息服务系统,包含三个主要子系统和三个次要子系统。三个主要子系统是旅游者系统、旅游企业系统及旅游政府安全管理部门系统,其中旅游者子系统包括散客、团队、旅游者游览活动相关组织与个人(如旅行社、导游等);旅游企业子系统包括景区景点、酒店、旅行社、其他旅游企业等;旅游行政安全管理部门子系统包含黄山市安监局、旅游安全管理部门、各区县安监局、旅游安全管理部门、黄山市以外旅游上级及评级旅游行政安全管理部门及旅游行业协会等。三个次要子系统是目的地非旅游企业子系统、目的地居民子系统和周边临近区域居民子系统。从信息需求与供给的角度分,旅游安全信息服务系统包含备查系统、系统、管理系统、监测预警与救援系统等。

    2.4旅游安全信息维护与监管系统

    旅游安全信息是涉及到社会稳定的关键信息,需要当地政府最高权威部门直接管理。由于旅游安全信息管理体系系统庞大,错综复杂,涉及到社会各行各业的方方面面,给维护和监管工作带来较大的压力。黄山市旅游安全信息维护与监督部门主要有市政府安监局及旅游行政安全管理部门执行,在全市安全局的总体控制下开展工作。

篇10

论文摘要:在“市场导向、政府调控、学校推荐、学生与用人单位双向选择”的高校毕业生就业体制下,高校毕业生校园就业市场成为高校毕业生就业的主渠道。在当前国内就业大环境下,校园就业市场在运行中仍存在诸如运行经费不足、运行体制不成熟、市场信息交流不够畅通和管理机制不完善等问题。因此,要增加校园就业市场建设的资金投入,加快校园就业网络建设进程,强化对校园秩序的监督和管理,加强高校大学生就业诚信教育,努力推动高校毕业生顺利就业,促进社会和谐发展。

高校毕业生校园就业市场作为高校毕业生就业的主体平台,是向毕业生就业信息、提供双向选择机会、为用人单位推荐毕业生最直接、最集中、最具针对性的主渠道。尤其是在当前形势下,国际金融危机正加速由虚拟经济向实体经济、从发达国家向发展中国家蔓延,对我国经济发展和就业形势影响更加明显,高校毕业生就业面临着严峻的压力和挑战,作为高校毕业生就业市场体系建设的重要组成部分,高校毕业生校园就业市场更要发挥其不可替代的作用,努力推动高校毕业生就业,促进社会的和谐发展。

一、高校毕业生校园就业市场的主要功能和基本现状

(一)校园就业市场的主要功能

高校毕业生校园就业市场是毕业生与用人单位供需双方进行就业双向选择、实现求职和招聘的首选场所,其主要功能是举办综合性就业双选会和用人单位专场招聘会、就业信息、提供网络服务和就业指导。各高等院校针对本校办学特色和毕业生专业技能特点,通过独立操作或高校间协作等方式,利用校园就业市场举办各类针对性较强的就业双选活动,用人单位根据岗位需要和具体要求,通过校园就业市场直接到高校招聘符合条件的毕业生,既节约成本,又提高效率。对于高校毕业生来说,可以在校园内面对面地与用人单位直接沟通、交流。

(二)校园就业市场基本现状

目前,国家和各地方政府都积极出台相关政策促进高校毕业生就业,各高等学校采取各种有效措施,大力培育和发展校园就业市场,并逐步完善市场服务功能。《国务院办公厅关于加强普通高等学校毕业生就业工作的通知》([2009]3号)明确指出,要“加强高校就业指导服务机构建设,落实人员、场地和经费”。《辽宁省人民政府办公厅关于做好2009年全省普通高校毕业生就业工作的通知》(辽政办发[2009]34号)提出要“继续加强高校毕业生就业市场建设,充分发挥校园市场在促进毕业生就业工作中的主渠道作用,加大场地设施、人员机构、运行经费等方面投入”,“建立健全校园市场的信息反馈机制和双选活动督导检查评价机制,逐步完善市场的管理和运行,建设更加完善的高校毕业生就业市场体系”。

以辽宁省为例,辽宁省高等学校毕业生就业指导中心对2005年至2008年每年10月到12月全省部分专、本科院校及研究生培养单位开展的毕业生就业双选活动基本情况进行了调查。调查显示,每年l0月至12月,是当年应届高校毕业生的第一个就业高峰期,仅在这3个月的时间里,高校毕业生在校园就业市场举办的双选活动中达成签约意向比例为28%左右。2005年至2o07年3年的签约意向比率基本持平,2008年受国际金融危机影响,用人单位需求数量急剧缩减,尤其对高职等专科毕业生就业影响较大,因而2008年较往年同期相比,签约意向比率下降约10%。以上数据充分说明,高校校园就业市场在高校毕业生就业、择业中所发挥的作用非常大,校园就业市场的主体地位也较为明显。据统计,70%的高校毕业生是通过校园就业市场举办的双选会和招聘会实现就业的。

另外,随着高校毕业生就业市场体系的不断完善,高校毕业生校园就业市场的范围也在不断外延。近年来,通过建立大学生就业实习基地和就业技能培训基地、开辟省外及区域性高校毕业生就业市场、建立高校间就业工作协作体等多种举措,高校毕业生通过校园实现就业、择业的渠道不断拓展,同时也为高校毕业生提供了内容丰富、互联共享的就业信息资源平台。

二、高校毕业生校园就业市场运行中存在的问题

(一)校园就业市场运行经费不足

高校毕业生校园就业市场是我国经济体制由计划经济转向市场经济后形成的高校毕业生就业平台。当前,各高校校园就业市场运行经费投入增长缓慢,远远满足不了校园就业市场在举办就业双选活动、接待用人单位和软硬件设施配备上的经费需要。同时,市场运行经费的短缺,也直接影响到学生的就业质量。据辽宁省高等学校毕业生就业指导中心2008年对全省55所高等院校就业经费及校园就业市场双选活动经费投入情况的调查显示,校园就业市场双选活动经费仅占就业经费总额的24%左右。

(二)校园就业市场运行体制不成熟,市场服务机制有待完善

目前,高校毕业生校园就业市场整体运行体制还未成熟,在市场服务、市场环境、信息平台等方面缺乏统筹规划和协调,就业市场运行规则和管理制度也没有完全统一和完善,信息收集和方式方法较为落后,而且大部分高校采取独立操作的运行方式开展就业双选活动,同类或同级别高校间的市场协作体制尚未建立。尤其是高校毕业生校园就业市场信息反馈制度滞后,对用人单位和毕业生的信息跟踪不到位,直接影响了高等院校在专业设置、人才培养和制定教学计划上的信息收集,也导致了高校毕业生就业竞争力的降低。

(三)校园就业市场信息交流不够畅通

由于各高校毕业生校园就业市场运行的独立性较强,各高等院校往往针对本校专业特色和用人单位行业特点开展就业双选活动,因而会受到本校毕业生需求方向和市场范围的限制,在一些行业性和专业性较强的高等院校,向毕业生的就业信息和开展的就业双选活动基本上围绕本行业进行,忽视了毕业生就业技能转换和就业方向的多样性与就业范围的拓展。另外,高校在开展就业双选活动时,高校间相互协调和资源共享程度不够,用人单位和就业信息相对固定,每年接收毕业生的用人单位群体变化不大,导致毕业生去向较为集中,也从某种程度上限制了毕业生的就业范围和就业质量。

(四)校园就业市场网络信息共享程度仍需提高高校毕业生校园就业市场的信息网络建设属于无形就业市场的主要模式,是有形就业市场的依托平台。大部分高等院校都有本校的就业信息网站,依靠信息网络平台,及时就业信息和双选活动信息,并通过网站开展就业咨询、指导等各类就业指导服务。但各高校的就业信息网大多数只为本校毕业生提供就业信息与就业服务,对其他院校的毕业生并未完全开放,信息范围狭隘,没有发挥出网络平台的强大优势。在信息网络的管理维护和就业信息的时效性上也有待提高,信息陈旧、更新较慢的现象普遍存在。 (五)校园就业市场管理机制不完善,对市场秩序的监督、管理力度需要强化

由于各高等院校在校园建设和管理水平上存在差异,因而对校园就业市场的监管水平和力度也参差不齐,部分高校毕业生校园就业市场尚未建立市场运行监督机制和严格的市场准人机制,对用人单位的资质审查较为宽松,导致虚假和违法招聘现象的存在。面对当前高校毕业生愈加紧张的就业形势,部分高校放松了对用人单位的就业环境、就业质量和规范用工等方面的审查力度,部分用人单位招聘行为不规范,不按政策使用毕业生,毕业生权益得不到保护。另有相当一部分用人单位不切实际地盲目攀比员工学历结构,出现了人才“高消费”现象,在一定程度上加剧了人才供求失衡。目前,就业市场还存在以性别为由拒绝录用女大学生等就业歧视和违规用工行为,就业垄断和就业歧视等妨碍公平就业的因素依然存在。

(六)高等院校毕业生就业诚信教育力度不够高校毕业生校园就业市场的规范有序运行不仅要靠对市场软硬件环境建设和加强对用人单位的监管来实现,加强对高校毕业生的就业诚信教育也是至关重要的。在校园就业市场开展就业双选活动中,存在部分高校毕业生欺骗用人单位的情况,一些高校毕业生盲目签约、迅速违约的现象时有发生。同时还存在毕业生签约后仍不断接受新单位的面试和笔试,甚至到最后一轮签约时才向用人单位说明自己已与其他用人单位签约的事实,给用人单位造成了极其不好的印象,并直接影响到用人单位对学生所在高校的信任。

三、完善高校毕业生校园就业市场的对策和建议

(一)加大对校园就业市场建设的资金投入

高校毕业生校园就业市场是高校毕业生实现就业的主要平台,应充分发挥校园就业市场在毕业生资源配置中的基础性和主导性作用,各级政府和各高等院校要进一步提高对校园就业市场重要性的认识,加大对校园就业市场的场地设施、经费等方面的资金投入。建议由政府财政设立专项资金,支持高校毕业生校园就业市场运行及开辟就业市场等相关工作。同时,各高等院校要加大对毕业生就业工作和校园就业市场建设的资金投入比例。各级政府和教育主管部门要按照国家和省相关政策,加大对校园就业市场的扶持力度,努力做好统筹协调工作,推动并完善校园就业市场建设,把校园就业市场建设工作列为对高校就业工作的评估指标之一,把高校对校园就业市场运行经费的投入及使用情况纳入就业工作评估体系。

(二)完善校园就业市场服务和运行机制,加强交流与合作,建立信息反馈制度

高等院校要根据本校实际情况和毕业生特点,完善市场软硬件设施建设,加强领导,明确分工,做好市场规划和统筹协调工作,以为毕业生服务和促进毕业生就业为宗旨,形成以有形就业市场为基础、以无形网络市场为平台的校园就业市场服务体系和运行机制。要进一步推动各高校间毕业生就业协作体运作模式,充分利用已成立的高校毕业生就业工作协作体,发挥资源优势,加强与用人单位的联系,拓展就业信息来源渠道,扩大本校毕业生的就业范围。要建立健全校园就业市场信息反馈制度,根据市场需求的反馈信息,做好市场跟踪和服务工作,并及时了解社会的人才需求方向,科学调整专业设置和教学计划。

(三)加快校园就业市场网络建设进程,实现资源信息共享

要充分发挥高校就业信息网络平台的优势,加强高校就业信息网和省、市及其他就业服务机构信息网络的合作,建立资源互补、信息共享的网络信息系统建设。一是要继续加强校园就业市场网络基础设施,拓展网络服务功能,提高信息服务水平,开展就业咨询、就业指导、远程面试、网络招聘会等丰富多样的网络就业指导和服务活动。二是要充分利用网络平台快捷、高效的特点,及时更新网络信息,向毕业生和用人单位提供最具时效性的供需信息。三是要进一步加大信息资源开放共享力度,强化就业信息网络的整体优势,实现互利互助的网络氛围。四是要建立健全网络安全管理模式,使供需双方的利益得到充分保障。

(四)强化对校园就业市场秩序的监督和管理,确保校园就业市场规范有序运行

要建立健全校园就业市场准入制度,对参加校园就业市场双选活动的用人单位,要严格审查其用人资质,杜绝虚假招聘和违法用工。要按照国家《就业促进法》等相关的法律法规,进一步规范校园就业市场活动,努力营造公开、公平、公正的就业市场环境。建立高校毕业生就业实名制管理制度,做好对已就业学生的跟踪和调查工作,并在此基础上,对用人单位的用工行为进行监督。要做好校园就业市场活动的安全管理工作,制定突发事件应急预案,提高应对各种突发事件与风险的能力和水平,确保校园就业市场运行规范有序。