银行网络安全预案范文
时间:2024-03-26 16:46:36
导语:如何才能写好一篇银行网络安全预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
一、主动式网络安全联动机制
传统的网络防护技术及产品在保障网络安全时发挥着各自的作用,但网络安全不是孤立问题,依靠任何一款单一的产品无法实现,只有将不同厂商、不同功能的产品统一管理,使它们联动运转、协同工作,才能充分发挥整体最佳性能,全方位保障网络安全。
1.联动概念联动指在一个系统的各个成员之间建立一种关联和互动机制,通过这种机制,各个成员自由交换各种信息,相互作用和影响。在主动式网络安全防御体系中,联动是一种新型的网络防护策略。通过联动策略,防火墙、入侵检测系统、反病毒系统、日志处理系统等安全技术和产品在“强强组合,互补互益”的基础上,充分发挥单一产品的优势,构建最强的防御系统。
2.传统联动模型网络安全联动机制中较为完善的安全联动模型有TopSEC模型、入侵检测产品、防火墙联动模型和基于策略的智能联动模型,下面主要介绍基于策略的智能联动模型(如图1所示)。该模型中防火墙、VPN、IDS等安全部件,通过智能进行整合,经过部件关联、智能推理传送给联动策略引擎,再根据事先设定好的策略进行联动,并将最终的策略应用到防火墙、VPN、IDS等安全部件中。
3.主动式网络安全联动模型通过部署诱骗系统,吸引攻击者,记录攻击行为,进而分析新型攻击的特点。同时,通过联动机制,使模型中的各安全部件协同工作,最终发挥主动性联动优点,构建一个自适应、动态的主动式防御系统。其中,蜜罐技术是防御体系内各安全部件实现主动式联动的核心技术。(1)蜜罐技术蜜罐是一种安全概念,美国Project Honeypot研究组的Lance Spitaner将其定义一种安全资源,它的价值就在于被扫描、攻击和摧毁。蜜罐可以是仿效的操作系统或应用程序,也可以是真实的系统或程序。通过蜜罐技术建立一个诱骗环境,吸引攻击者或入侵者,观察和记录攻击行为并形成日志,分析日志后追踪、识别入侵者的身份,进而学习新的入侵规则,主动分析新型攻击特点,不断加固自身防御能力。(2)蜜罐技术实现方式如图2所示,简单的实现方式是将蜜罐置于防火墙内部,通过防火墙与外部网络进行连接。蜜罐内部主要由网络服务、数据收集和日志记录模块组成。网络服务模块将蜜罐伪装成正常服务,吸引入侵者对其进行攻击;数据收集模块主要捕获入侵者行为信息,用于分析攻击者所使用的工具、策略以及攻击目的等;日志记录模块将捕获到的信息按照一定的格式生成日志文件,并记录到日志服务器。(3)基于蜜罐技术的主动式安全联动模型将蜜罐技术融合到传统安全联动模型,改进后形成的新模型,让蜜罐技术处于整个系统的核心地位,使整个安全联动模型由被动状态转变为主动状态,利用蜜罐技术在整个系统中的自学习、自进化的特点,克服传统安全联动模型无法主动捕获网络攻击行为、对未知攻击防御能力不足的问题。基于蜜罐技术的主动式安全联动模型(如图3所示)由防火墙、蜜罐系统、防病毒系统、IDS、策略库和联动系统控制中心组成。该模型通过蜜罐诱骗系统不断学习新的攻击手段,将处理后形成的新规则及策略上传至模型策略库,通过联动系统控制中心实现防火墙、IDS、反病毒等安全部件协同联动,及时更新防火墙、防病毒策略和IDS的检查规则。该模型较好地整合了各种安全防御产品的优点,借助于蜜罐技术“主动诱捕”的特点,提高了安全防御系统对于未知攻击的捕捉能力。
二、网络安全防御技术在数据中心的应用与展望
目前,国内大型银行数据中心普遍使用的网络安全防御技术是基于网络监控参数基线的阈值预警方法和入侵检测系统(Intrusion Detection Systems ,IDS)。阈值预警方法是在基线数值基础上给予一定的冗余,计算出该监控参数的阈值数值,形成阈值线。当实际运行的数值超出阈值线,说明该监控参数运行异常,可以在事件发生之前提前干预,阻止事件发生,保障网络服务连续性。这种防御技术支持动态改进,但出现误报的几率比较高。IDS主要通过监控网络系统的状态、行为以及使用情况,检测系统用户越权使用、系统外部入侵等情况。IDS具有一定的智能识别和攻击功能,在检测到入侵后能够及时采取相应措施,是一项相对成熟的防御技术。但IDS主要通过特征库判断,面对新型攻击无法识别,且攻击识别只能在事中或事后阶段进行,本质上仍然是被动防护。在入侵技术越来越成熟的形势下,采用单一的网络安全部件如IDS、防火墙、扫描器、病毒查杀、认证等已经满足不了网络安全防护的要求,将各种安全部件的功能和优点进行融合、实现联动互补,进而发挥最大效力将成为必然趋势。
篇2
关键词:金融网络 风险管理 措施
一、我国金融网络安全面临的问题
(一)金融机构信息安全风险管理欠缺
历史上,由于金融机构多数采用纸质化工作,大部分主要安全问题都发生在实物数据资产的损失上,如票据、账簿、机密文件的保管不当造成的信息缺失,或因意外造成的营业场所灭失。进入21世纪以来,世界范围内的金融创新活动空前活跃,新的金融工具、金融产品及新兴技术的广泛应用,自动化、便捷化、电子化成为了主流,逐渐代替了以往的传统操作。当前,犯罪份子以金融机构的电子数据和网络为目标,不断的发起攻击来获取客户的重要信息,网络安全威胁已经成为银行业面临的最关键问题之一。
近年来,金融机构在搭建金融网络的同时,存在重建设、轻管理,重开发运行、轻安全维护的现象,应急预案的时效性和可操作性有待改进,应急演练的真实性有待加强。
(二)金融网络内信用缺失现象严重
由于信用体系发育程度低,社会“失信”问题较为严重,金融产品在生产和交易过程中更容易出现信息不对称和道德风险问题。信用风险不断在金融体系中积累,会伤害交易者的合法权益,引起交易者信心丧失,使得交易方式的发展举步维艰乃至倒退。同时,缺乏信用基础,会使得网上银行、手机银行、电子支付等交易方式在国内的生存与发展后劲不足,影响现代经济的正常运行。信用缺失不仅会阻碍网络经济的发展,更会阻碍我国经济全球化发展的进程。
(三)金融监管方面存在的问题
网络金融是一把“双刃剑”,一方面起到改变金融机构运营模式的作用,提高经济运行效率;另一方面也给金融机构与客户带来较多风险。在金融自由化、信用证券化、金融市场全球化的过程中,各种信用形式得以充分运用,网络金融面临的风险日益增加,金融网络风险的特殊性使得监管机构对金融网络安全的监管比传统金融更为重要。目前,我国的金融网络安全监管方式尚处于初始阶段,从监管手段到法律法规并不完善。传统的监管方式已不合时宜,金融监管当局应当不断更新监管标准,优化监管结构,以适应瞬息万变的金融市场,保障市场经济的科学、稳定发展。
在贯彻落实我国经济发展要求、提高金融网络安全可控能力的过程中,监管层面的技术创新能力及网络攻防能力应用有限,金融监管当局仍应该从需求导向出发,立足用户拉动的角度,推广使用安全可控的网络金融产品,降低对少数厂家、产品的依赖度,在促进信息产业发展、提高国家网络安全可控能力的基础上提高金融网络安全保障水平。
二、美国采取的应对网络安全威胁措施
2014年2月,美国白宫正式推出一项可自愿加入的“网络安全框架”项目,该项目吸纳了全球现有的安全标准以及做法,以帮助有关机构了解、交流以及处理网络安全风险。该文对我国加强金融网络安全管理极具借鉴意义。
(一)提升关键基础设施的网络安全
1、明确国家级别的网络安全标准
美国总统于2013年2月12日签署并了名为“改善关键基础设施网络安全”的行政命令,并授权国家标准与技术研究所(NIST)开发一套基于风险的网络安全框架,旨在作为一个国际级别的自愿标准和最佳业界实践参照,帮助各机构把控网络安全风险。NIST于一年后了《网络安全框架》,该框架包括了五个核心领域:识别、保护、检测、响应及恢复。
2、将网络安全纳入法律规范
上世纪末,美国《金融服务现代化法案》就已要求银行等各金融机构开发一个信息安全程序。如今,NIST开发的《网络安全框架》在银行现有的信息安全程序基础上,作出了进一步的修改和完善,以解决新兴网络风险,使得银行的信息安全程序更加适应当今网络化操作的趋势。
(二)建立新型的网络风险管理模式
要求银行管理层须将网络安全风险考虑纳入整体风险管理框架,设计和实施合适的缓冲控制,并更新各自的政策和程序,最终通过审计程序验证目标控制结构。一个有效的网络风险控制结构应重点考虑四个方面:公司治理、威胁预警、安全意识培训和补丁管理程序。
(三)发挥存款保险机构的监督管理作用
美国联邦存款保险公司通过对银行的现场检查、定期报告、预警报告等措施实时监控网络安全问题。同时,通过对监管政策的有效性、是否具有改进潜力、是否能够适应当下潮流进行评估,切实保护其监管银行免遭威胁。最后,实用工具,帮助银行提高网络风险应对能力。在2014年夏天,联邦存款保险公司举办了网络挑战测试,成员机构可以通过观看一系列视频,并结合模拟练习来评估其网络事件处置预案。
(四)加强网络安全警示培训
联邦存款保险公司于2015年创立了网络安全警示培训计划,通过电视电话培训和现场辅导的形式,对由其监管的成员机构及其联保存款保险公司监管人员和管理层进行培训。
三、维护我国金融网络安全的基本对策
随着金融服务网络化程度的提高及我国金融交流的国际化, 金融安全问题必然成为国家经济安全中的最重要的内容。而网络时代的信息金融安全对于像我国这样的发展中国家尤其重要。
(一)强化信息安全意识,制定完善行业标准
政府应将网络金融信息安全可能出现的威胁纳入重点防范框架,建立一个统一的分类,按用户类别制定金融信息安全国家级行业标准,指导各行各业学习行业标准,开展信息安全管理建设,规范网络金融参与者的行为。同时,要根据市场风向的更新,对相关监管制度进行不断地修改完善,使法律法规在时间层面和物理层面上能够充分衔接。
(二)加大信息安全投入,建立大数据解决方案
银行业要在控制风险的基础上,充分利用当下大数据云计算的优势,建立健全适合银行业信息安全系统的建设框架及信息安全管理规范,修正完善已有的安全规范措施,丰富整体信息安全保障体系,建立完善的云计算和数据防护设备及体系,提高国内网上银行的运营及发展能力。
(三)加强网络安全警示培训教育
一是根据不同的对象可能面临到的相关网络风险,进行分类化警示和引导;二是重点对新入职的员工开展职业培训,重点要完善业务的操作规程, 强化关键权限岗位管理培训以及内部制约机制;三是提升合作第三方及客户的风险意识,定期向客户和合作第三方宣传网络安全的重要性,结合案例、实操等方式帮助他们提高自我保护意识,抵御网络风险。
(四)将网络安全纳入银行整体风险管理框架
银行应该积极利用现有资源识别、减缓潜在相关网络风险,将网络安全作为董事会的关注重点,制定整体化的网络安全防范框架,明确各部门的网络安全防范职责,营造网络安全优先的企业文化,调动全体员工对网络安全维护的积极性。在建立这一网络安全防范框架时,必须将公司治理、威胁预警、安全意识培训和补丁管理程序四个方面考虑在内,同时也应将非正常情况下的应急计划和业务连续性计划纳入考虑,要求金融业务向综合化、 全能化转变。
篇3
1.1缺乏必要的应急机制保障尽管农村金融机构都会制定系统应急预案,但往往忽略配套的应急培训,缺乏有效的应急演练和压力测试,一旦紧急事故发生,对问题的及时完满处理就得不到保障。有些农村金融机构制定的系统应急预案存在着涵盖面过于笼统,在针对性和可操纵性方面存在着不足,这又直接关系着问题的处理效果。更多的农村金融机构在业务连续性方面缺乏有效的技术支持,只局限在网络及数据的备份层次,没有灾备,再者管理组织不够完善,一旦发生重大风险,就难以完成应急的有效性。这些情况都严重影响着应急执行效果,对风险的有效排除和危机的处理难以保障。
1.2缺乏健全的组织机构及岗位设置我国农村金融机构对科技部门重视不足,普遍存在科技部门人员配备不足的现象。一个科技人员往往身兼数职,在重要岗位经常发生AB岗位制度难以落实的情况。虽然有风险管理部门的设置,但该部门一般只发挥管控资产、负债类业务风险的作用,不涉及信息科技风险职能。农村金融机构应该高度重视科技风险管理工作,设置更健全的组织机构和岗位,不能让科技部门既是信息系统的建设者和维护者,又是信息科技风险的管理者,因为这样会在形成有效的制衡机制、有效识别并量化可能存在的信息科技风险方面存在着不足。
1.3科技从业人员素质相对偏低目前我国农村金融机构科技部门普遍存在着从业人员专业素质偏低的现象。现有的从业人员工作重点主要体现在日常基础性设备和网络工作的维护,更多掌握的是系统设备维护、机房管理等常规性工作,忽视了专业化的信息科技风险培训,因而对信息科技风险管理知识和相关专业知识相对缺乏,对信息科技管理、规避科技风险等管理性工作涉及较少,很难有效及时认识到各项系统存在的漏洞,更别提全面隐患的排查和消除。
1.4基础设施安全建设存在隐患基础设施安全的隐患主要体现在两方面:一是机房管理不善;二是网络运行安全性不高。我国农村金融机构的机房普遍存在着防火、防水、供电等不达标的现象,没有设置相应的防雷系统,门禁系统缺失、监控盲区的存在等等,这都是机房管理安全急需解决的问题。在网络运行方面,由于数据的大集中,对农村基层网络的稳定性和通畅性都提出了更高要求。现实情况是,农村金融机构存在未按监管要求配置主备通讯线路现象,这样导致基层网点出现不能正常办理业务的可能性增大,造成不良的影响。
1.5电子银行风险管理不到位信息科技的出现为农村金融机构各项业务的丰富和高效提供了方便,促进了我国农村金融机构信息科技建设的飞速发展。随着信息科技在各个业务领域的不断深入,农村金融机构的业务呈现飞速增长趋势,尤其是信息科技的优势体现——电子银行的应用。在这样的环境下,多数农村金融机构的管理重心都放在了传统业务发展方面,疏于电子银行风险的管理。虽然制定了电子银行相关的各项管理制度,但在具体的执行上,仍然存在着严重的不到位情况,加上人员配置的不够,最终直接导致电子银行风险管理缺失。因此,目前我国农村金融机构中的电子银行风险处于多发、高发期。
2农村金融机构信息科技风险防控策略
2.1增强风险防范意识,加大风险管理投入信息科技工作对农村金融机构经营起着重要基础和保障作用,必须充分认识信息科技风险防范在金融机构监管中的重要性。农村金融机构高层管理者必须提高信息科技风险防范的思想认识,对信息科技风险的管理加深了解,加强信息科技风险监管工作的管理工作,最终将信息科技风险管理工作纳入日常经营中去。同时,要加强信息科技安全建设方面的投入,及时消除信息科技系统所面临的各种风险和隐患,保障农村金融机构的稳步和连续性运行。
2.2完善应急预案,加强应急演练农村金融机构要细化危机场景,完善应急预案,定期对信息科技人员开展应急管理培训,根据自身实际情况不断完善应急预案的内容,做到“责任明确、流程明确、预案明确、报告明确、联络明确”,并确保预案的具体性和可操作性,从业人员在不断进行应急预案演练的过程中,不断提高自身的应急能力、抗风险的能力和处理突发事件的能力。另外,为了确保信息系统业务的连续性,农村金融机构还要加强业务连续性管理,根据自身真实状况加强业务连续性体系建设,制定切实可行的业务连续性计划,并定期不定期开展业务连续性应急演练。
2.3增强从业人员专业素质,加强岗位管理针对高素质专业从业人员不足和岗位配置不足的问题,一是加大农村金融机构的人员投入,引入高素质的信息科技人员,同时加大从业人员的培训力度,培养一批专门从事信息科技风险管理工作的专业人才。其次是增加管理、运行、维护等岗位人员的配置,关键岗位设置有效的AB岗位,满足岗位需求。最后,根据《商业银行信息科技风险管理指引》要求,完善相关信息科技风险管理管理制度,加强信息科技风险审计,最终形成人员控制、制度保障、审计监督三位一体的信息科技风险管理模式。
2.4加强基础设施建设,提升基础设施安全水平重点加强机房电力、UPS、消防系统等关键机房环境设备安全的保障,针对基础设施不完善的情况,农村金融机构要采取有效措施改善,保障业务系统工作的连续性。同时完善机房管理制度,实时监控各种设备的运行状况,做到对设备故障的有效预测和报警。还要组织专业人员定期对基础设施进行风险排查,检验基础设施相关的安全、流程和管理措施漏洞,确保基础设施安全管理有效性
2.5加强电子银行风险防范农村金融机构要采取必要手段防范犯罪分子利用银行卡、网上银行、ATM、POS等金融机具实施的不法活动。一方面,可通过提高网络安全、网上银行身份认证等级、合理制定POS、ATM和网上银行的交易限额等技术手段加强防范,另一方面可借助通过公众金融服务教育和柜面宣传增强风险防范合力,加强审查力度,强化电子银行业务风险防范。
篇4
理论上,金融机构在服务器、网络、数据库、中间件、应用层这五个层面实现由IOE迁移到国产产品是可行的。但银行体系使用IOE近30年,短时期内实现迁移既有应用风险,也有技术风险。
目前来看,服务器层去IOE最难,网络层因华为具有一定市场占有率去IOE难度最小。而在数据层和中间件层,国产产品的应用效果还未得到验证,也存在一定难度。而银行业关注实时营业,确保安全稳定能力也是去IOE的一个难点。
银行业信息科技“十二五”规划中也强调了风险管理的重要性,因银行服务电子渠道的多样性对其信息安全防护也提出更高要求,要求银行业必须全方位地在应用系统生命周期、数据生命周期、基础设施环境运维等各个环节强化信息安全管理。
从农业银行具体实践来看,全面风险管理对其信息系统建设提出五大要求。一是系统需要从业务系统中抽取风险管理各类经营结果数据,并在此基础上清洗、转换、整合、汇总和加工;二是系统不仅需要支持各类风险管理模型实现自动计量,还需支持业务人员根据业务管理要求进行模型规则的配置和变更;三是系统功能要支持对计量结果进行报告、审核、和归档的风险管理日常流程;四是系统需要支持多维分析和灵活查询;五是系统要根据风险决策结果,按照一定业务规则实现对生产系统的控制。
为实现这一目标,农行搭建了“统一门户、统一入口、统一框架”的风险管理板块系统框架,并配合新核心系统等生产系统改造,不断完善与生产系统的接口。
篇5
1.1自然环境人力造成的危害可以进行有效的防范,但是大自然力量带给人们的伤害却难以防范。在计算机网络应用过程中,自然环境所引发的灾害也是主要隐患之一。例如在重大水灾、火灾、地震等自然灾害下,其对于我国各地的网络安全监控设备会造成重大的损伤,轻则导致系统暂时性瘫痪,重则会导致相关设备毁损,这也就使得部分地区的网络安全监控工作受到影响,给网络用户带来了较大的安全隐患。同时,由于目前所应用的各类计算机网络设备均数据高精度以期,其对于用电安全要求较高,在传统的建筑中,遇到雷雨天气,雷电所带来的巨大电能能够对计算机、服务器等设备造成较大的损伤;而在现代高层建筑中,一般都有避雷装置,但如果避雷装置没有达到标准,其可能会导致雷电被引入建筑物内,从而对计算机网络设备造成无法估计的损失,甚至造成人员伤亡。另外,自然界中的一些腐蚀性物质对于计算机网络线路会造成较大的伤害,其会侵蚀线路外的绝缘层,而当绝缘层遭到破坏之后,内部线路与外界潮湿空气接触就会引发短路,对相关设备造成损伤。
1.2病毒与木马计算机网络技术中的病毒与木马是网络不法分子主要的攻击手段之一,其主要有非法数据段或数据包组成,能够在用户的电脑系统中留下一个“后门”,这样不法分子就可以通过“后门”对用户电脑进行侵入。其主要是利用这些非法手段篡改、删除、盗窃用户的个人信息、公司机密等,给用户带来巨大的损失。当用户电脑感染了病毒或木马后,轻则导致电脑系统运行减慢,严重时则会导致文件丢失等。在2006年,我国经历了一次影响较大的木马病毒事件——熊猫烧香事件,其对我国电脑用户和网络系统的冲击较大,造成了巨大的经济损失。另外,近几年流传比较广的“手机僵尸病毒”也是计算机病毒之一,其主要是通过网络向用户发送带有恶意链接的短信,一旦用户点击,其手机就会被远程操控,造成用户个人信息丢失,另外还会控制手机内软件进行银行资金转账,对用户经济造成损失。
1.3网络诈骗网络诈骗行为是近几年兴起的经济诈骗行为之一,其主要通过网络,以qq聊天、邮件、手机短信以及其它形式对用户进行欺骗。大部分网络诈骗行为均是通过虚假邮件或聊天信息诈骗用户钱财,部分用户在使用网络过程中由于对网络知识不了解,很容易被不法分子所诱骗,造成经济损失。还有一部分人通过网络或网站散布虚假信息,通过虚假信息欺骗用户,以诱人的条件诱导用户上当,轻则造成经济损失,严重时可能威胁用户的人身安全。另外还有一部分不法分子,其利用网络黑客作为自己诈骗的工具,通过网络黑客入侵其它商家或用户计算机终端,窃取其个人信息或商业机密,并以此作为筹码,威胁用户或企业进行金钱交易,这种类型的不法分子正式看中了个人隐私或商业机密不能向外透露的特点来实施犯罪,对计算机网络用户的心理和经济造成双重伤害。
1.4黑客攻击随着科技发展,计算机技术的普及,在社会中出现了“黑客”这一群体。他们通过高超的计算机技术在网络支持下,对他人计算机进行攻击,侵入电脑系统之中。黑客一旦侵入计算机系统内,使用者存储在计算机内的个人信息、数据、资料等都会被黑客窥视,甚至是窃取。一些能力高超的黑客还能通过计算机进入大型企业,甚至是政府机关的计算机网络系统当中。这样一来,黑客危害就不仅仅局限于个人,甚至是对社会造成经济损失。黑客进入公司账户可能会对公司的资金进行转移,对公司的财务安全造成严重威胁。黑客入侵政府机关网络,不仅仅会产生经济危害,一些政府的机密文件也将受到威胁,对国家安全和社会安宁和谐都会造成巨大的影响。
2计算机网络安全的管理措施
2.1采用网络防火墙网络防火墙是计算机网络的安全屏障,是计算机网络最为基础的一种安全设施。以往网络防火墙的功能有限,仅仅是能够对外界不安全信息进行防御和拦截。随着防火墙开发技术的发展,其功能开始人性化,当用户上网时,常常会误入一些病毒网站或是木马网站,在当今的防火墙技术下,防火墙能够预先对这些网站进行“侦测”,为用户发现这些网络陷阱。对用户进行适当的网络访问限制,可以为用户的网络安全提供可靠的保护。安装有防火墙的系统可以有效的降低黑客攻击,并制止电脑病毒传播。这要求计算机用户在日常使用计算机的过程中,要实时开启防火墙系统进行防护。另外,防火墙的防御功能与其不断更新升级有关,所以广大的计算机用户应该开启防火墙的自动升级功能,实时提升防火墙的能力,保护系统安全。
2.2健全法律法规国家应该重视计算机网络安全,建立相关的网络安全法律法规,从法律层面来建立网络安全意识。建立网络安全法规体现国家对网络安全的重视,并能够引起人们对网络安全的关心,广大人民群众树立网络安全意识对于计算机网络安全工作有着重要的推动作用。建立法规后,要对广大执法部门、审查部门工作人员进行定期的网络安全相关法规的教育培训,在培训中树立公职人员的网络安全意识,并深入学习相关法律规定,让公职人员认识到建立安全的网络环境与建立和谐稳定的社会环境同等重要。健全网络法律法规显现了国家对于打造计算机网络安全环境的决心,对通过网络技术进行犯罪的不法分子进行严厉的打击,绝不姑息其违法行为。
2.3完善管理制度网络环境不安全与管理制度的不完善有密切的关系。面对这一情况,相关部门要对当前的网络系统环境加强管理,对网络管理人员进行专业化培训,提升其专业的管理和操作能力。为鼓励管理人员积极学习认真工作,应设立合理的奖惩制度,进而来激励网络管理人员的工作积极性和学习热情。对于工作态度不端正,管理不力常出问题的工作人员进行处分甚至是停职。
2.4建立应急预案不论多么严密的防御和管理,工作中都难免会出现差错,网络安全也同样如此。因此,相关管理部门在平时的培训中,应该培养管理人员的应变能力和事故处理能力,在平时就应制订应急预案。当网络安全受到威胁时,管理人员要沉着冷静,相关部门应该兵分两路,一组对问题产生原因进行调查,并进行处理,而另一组则是对事故危害进行统计,并将系统中的重要数据备份和保护。这也要求相关部门对于重要的数据平时应该进行备份,防止系统受到威胁时重要信息丢失。
3总结
篇6
关键词:金融创新;商业银行;风险管理体系
中图分类号:F831.2;F224.32文献标识码:A文章编号:1008-9640(2016)02-0252-03
金融业是一个国家综合发展水平的参考维度之一,其顺畅、安全的运行对维系社会稳定和经济发展有举足轻重的作用。随着金融业深化改革的推进,金融创新已成为金融机构改革创新的重要方式。金融创新为金融机构带来了新的机遇与风险,银行作为金融业的四大支柱之一,进行金融创新势在必行,同时要承担愈来愈多的风险。
一、商业银行金融创新的背景
金融创新是指金融体系内部通过制度变革和技术进步等方式所产生的新的业务及新的交易形式,目的在于降低成本、获得盈利以及转移风险。从20世纪70年代开始,部分西方国家逐渐放松金融管制。在金融深化理论的指导下,许多金融机构突破传统金融业束缚,从市场、制度、技术和工具等方面进行改革创新,金融创新自此表现出自由化发展趋势。步入21世纪,西方商业银行的金融创新又表现出许多新特点。首先,商业银行开始强调以人为本的理念,更关注于客户需要什么、想要什么。例如,24小时全天服务,打破时间限制;居家理财,打破空间限制;全方位金融服务,打破行业限制;为客户建立个性化金融服务。其次,金融业表现出混业经营的趋势。自从20世纪经济“滞涨”时期开始,西方主要国家开始放松对金融业的管制,银行业与非银行金融机构直接的业务相互渗透,形成了优势互补、强强联合的新局面,有效提高了本国金融业的竞争力。其他国家也纷纷效仿,放松对分业经营的约束,从而推进了全世界金融业混业经营的进程。第三,金融业的外部环境发生变化。西方发达国家的金融创新通常是在法律、市场以及金融监管体系都相对健全的情况下才开始推进的,并且市场经济越发达,金融创新发展速度越快。我国金融业自改革开放以来特别是近十几年来,正快速融入到世界经济的大浪潮中,发展势头迅猛。外资银行不断进入中国,使国内自有的商业银行面临巨大竞争压力。因此,我国商业银行如何在发挥金融创新优势时有效抵御和防范创新风险,对其将来的发展意义重大。
二、商业银行金融创新的动力及风险
(一)商业银行金融创新的动力
商业银行金融创新是指商业银行为达到当前经济发展的要求、提高自身竞争力,采取引入新技术、运用新战略等方式,在自身范围内进行的一系列体制机制、金融产品等方面的革新,最终体现为银行自身业务水平的提高,以及为客户提供更优质的服务产品和服务方式。商业银行进行金融创新有以下动因。第一,科学技术进步的结果。随着科学技术的进步,互联网业不断发展,信息数字化、全球化,打破了地理因素障碍。高端电子设备在银行业的普及是促使商业银行进行金融创新的一个重要原因。高新技术的应用,使世界经济融为一体,消除时间空间限制,交易成本不断降低,有效扩大了银行业的市场空间,同时使客户进行各项业务操作时更为方便。第二,商业银行之间竞争的结果。商业银行间对客户源的竞争十分激烈。特别是高端净值客户,创造了半数以上的行业利润。因此,对优质客户源的竞争迫使商业银行不断推陈出新。例如,推出全天候理财、居家理财、网上银行等服务,扩大对私人的业务范围。同时,推出各种符合不同投资者需求的理财产品,用以吸引资金。针对高端净值客户,商业银行更是推出各种私人服务,在各方面最大程度地满足客户需求。第三,商业银行逐利的结果。商业银行运营的目的在于使其自身利益最大化。金融创新可以有效地为商业银行开辟新市场,扩大其业务规模,创造出强大的规模经济效应,从而扩充实力,吸引客户。第四,商业银行规避管制的结果。所谓规避管制,是指在不触犯法律的前提下,对行业限制以及法律规定进行合理回避,目的在于获得更多利润。由于监管部门对金融创新产品监管不够全面,银行会进行规避型创新对政策和制度加以规避。与此同时,监管部门对此也会不断建立健全相应制度,加强监督管理。这样周而复始,以推动商业银行的金融创新。
(二)商业银行金融创新风险的分类
设计风险,金融创新设计与推行中的各种未知性使金融创新产品未能达到预期效果带来的风险。设计风险来源于主、客观两方面。从主观上讲,风险来源于金融产品的设计者由于专业知识的缺乏和对市场的不了解,导致设计产品收效不佳。从客观上讲,风险来源于市场上需求偏好的变化,使供求不相吻合。市场风险,是指由于资本市场上资产价格变动所引起的金融创新产品价格变动而带来的风险,属于系统性风险。金融创新的特殊性在于创新产品多为金融衍生品,受资产价格波动、社会经济周期、政治体制变革和自然条件变化等因素影响较大。信用风险,是指交易时由于双方中任意一方未能按时履约所带来的风险。传统的交易所交易是以标准化合约进行交易,有严密的交易制度,对投资者而言交易风险较小。而金融创新产品则不同,其交易方式多为场外交易,双方均承担信用责任,和场内交易相比有较大的信用风险。电子风险,是指由于计算机网络系统受到损害而引发的风险。
银行业电子化操作已得到大范围推广,网络金融的进步有效推动金融创新产品发展的同时也带来了风险。一方面是信息系统自身在运行中出现故障的风险;另一方面是计算机网络安全的风险。电子风险涉及范围广、额度大,一旦出现问题损失不可估量。操作风险,是指工作人员在业务操作过程中所发生的风险。金融创新带来的是全新的产品或制度,在我国没有先例,操作人员难免对业务流程、操作方法等不够熟悉。工作人员在推销新产品或办理新业务时,由于其对工作的不熟悉导致银行遭受损失。政策风险,是指由于我国政治环境的制约和法律法规的不健全带来的风险。政策上,我国依然实行分业管理模式,对市场的开放力度不够。缺乏对金融创新的支持与法律保障,影响了银行业金融创新的发展。主要表现在市场准入方面,即能否得到批准,何时得到批准。创新产品一旦不能得到批准,将失去市场先机,并且无法收回研发成本。
三、构建风险管理体系
(一)风险预防与评估
事前风险管理即风险预防与评估,主要关注对风险发生可能性进行估计,对考虑到的风险情形给予预防措施,并建立相应有效的风险预警体系。
1.提高银行内部人员自身业务水平
对从事新产品研发操作的人员定期进行业务培训与考核,使其熟练掌握产品内容与业务流程,并建立激励相容机制,增强工作人员的积极性与专注度,最大限度规避操作风险。提高对网络安全的认识,在风险控制部门培养、组建一批具有现代风险管理理念、掌握现代化网络安全技术的专业人才,保证银行计算机网络安全。
2.建立风险管理数据库
信息不对称问题是商业银行风险控制当中面临的最重要问题之一。面对信息不对称问题,商业银行应建立起有效的信息采集渠道,加强对市场、行业、企业基本情况的调查和研究工作。在保证数据有效性与真实性的同时,整合原始数据,并将信息进行加工,使其量化为有效的数据指标,建立风险管理数据库。根据风险管理数据库中提供的信息,设立风险预警系统。建立相应的数学模型,设置合适的风险预警区间,并根据及时的市场信息不断对风险预警体系中的模型与信息进行修正,使其与市场情况保持一致。
3.对客户进行资信评级
针对客户的信用问题,商业银行应设立专门的工作组对不同信用状况的客户合理分类,对其信用等级、资信状况、是否具备完全行为能力提前做有效的调查并评级,尤其对资金关联程度高的客户与资信程度评级较低的客户要进行定期追踪复查,并把结果反馈到风险管理数据库。
4.创新产品风险分析
在金融创新过程中可能产生的风险,可以采用情景分析法,即对商业银行未来发展的隐患做出种种预计。例如:新的金融产品不被认可、新的理财工具无法推行、客户的信用度下降给银行造成严重的财务风险甚至瘫痪等。针对新产品的问题,商业银行可以组织专家组对将要发行的金融产品和理财工具进行可行性分析,其中包括市场的发展趋势和影响力、顾客的可接受程度和对价格的敏感程度。风险控制部门要参与到金融创新过程中,使风险管理与产品创新同步推进,不能简单把追求利润最大化作为唯一目标。
(二)风险监控与处理
事中风险管理即风险监控与处理,主要关注对正在发生或者已经发生的风险有效的识别监控并进行定性或定量分析,以便于寻求应对措施。
1.风险的监控与识别
商业银行应设立风险预警系统,在重要数据节点以及危险地带设置监控点,整理出风险管理过程中的重要监控环节。当系统预警触发时,根据所触发的风险等级对风险的影响进行初步区分。
2.避免唯模型化的处理问题方式
商业银行应该对市场的不开放性、金融创新所受限制、相关资产价格波动,社会经济周期影响,政治体制变革,市场监管、自然条件变化等因素做出重要性判断,运用风险评估系图法(识别某一风险是否会产生重大影响,为确定风险的优先次序提供框架),先行处理对其影响大且持续的风险。
3.建立风险紧急预案
由于风险的不可控性,当发生比较棘手突然的风险和不可抗力时,商业银行应启动风险紧急预案。根据风险紧急预案的类型及处理措施,快速高效地处理,以便控制风险的影响程度和危害性,并设置风险损失准备金,当风险发生时,使商业银行有一部分资金可以灵活支配,用于风险所造成损失的补救,以免扩大风险所带来的危害,使其蔓延成更大范围的财务危机。
(三)风险管理系统反馈与优化
事后风险管理即风险管理系统反馈与优化,主要关注对发生过的风险的严重性和危害度进行全面评估,并找到薄弱环节,有针对性地提出补救和改进措施。
1.综合反馈信息
将各风险监控节点以及风险管理数据库中的数据进行综合整理,建立反馈机制,打造银行各部门之间与外部市场情况之间的信息平台,便于银行各等级各部门之间的沟通交流,从不同角度发现问题并商议解决办法。
2.评估当前风险管理体系的运行效率
系统维护部门结合风险预警体系的运行情况,根据综合反馈的信息,运用评估模型对系统进行评估。通过有效性分析,找到信息系统的故障点,形成反馈报告,与相关部门一同对系统进行完善。
3.优化风险控制方法技术
随着金融创新的发展,不断有新的金融风险出现。商业银行应打开风险管理思路,引进高端风险管理人才,做好部门内部技术培训,推进对新课题的研究。同时,要借鉴国外先进经验,使风险管理能力跟得上金融创新的步伐,提高自身的风险控制能力。一定程度上来说,预防风险成本和补救风险成本相互之间呈反方向变动,将两者之和最小化就是将商业银行综合利益最优化。因此,针对金融创新风险的管理和控制对于商业银行而言重要程度不言而喻。
参考文献
[1]王彦红.我国商业银行金融创新存在的问题及对策[J].农村·农业·农民,2008,(10):22-23.
[2]李健.我国商业银行金融创新风险防范研究[D].北京:对外经济贸易大学,2010.
[3]潘鹏飞,张建群.商业银行风险控制与管理分析[J].经济研究导刊,2010,(28):60-61.
[4]赵静琳.从案例分析看我国商业银行操作风险管理[J].职业圈,2007,(5):88-89.
篇7
人民银行在召开办公室工作会议。会议总结了年人民银行系统办公室工作,部署了年人民银行系统办公室工作。
年是国内外经济金融形势发生重大变化的一年,也是人民银行工作面临重大挑战、经受重大考验的一年,在人民银行党委的正确领导下,各级人民银行办公室深入学习实践科学发展观,忠实履行职责,紧密围绕人民银行的中心工作,坚持为人民银行履行各项职能服务,为营造高效、安全、稳定、和谐的履职环境提供保障,较好地履行了综合、协调、参谋、服务的职能,支持了人民银行工作的正常运转。
在分析形势时表示,随着国际金融危机影响的不断蔓延,年我国实现保增长、保民生、保稳定的宏观目标的任务十分艰巨,人民银行的工作将面临更严峻的挑战,各级人民银行办公室作为所在行党委的综合事务部门和办公运转的枢纽,必须坚持以科学发展观为指导,始终紧密围绕全行中心工作任务,立足服务大局去谋划和组织开展工作,为贯彻落实年人民银行工作会议部署的各项工作任务提供保障。
年人民银行系统办公室工作的重点:一是继续改进工作作风,规范办公秩序。完善全行办文、办会、办事工作程序,提高办事效率,保证央行工作高效、有序运转;二是紧密围绕全年中心工作,认真组织信息调研和报送。要完善信息调研工作制度,明确考核要求,落实岗位职责,不断提高信息调研报送的水平;三是正确开展新闻宣传,推动政务公开。要发挥新闻宣传和政务公开在引导社会舆论,提高工作透明度,增强社会公信力等方面的重要作用,为履行中央银行职责营造有利的外部环境;四是扎实做好内部基础管理工作。要切实采取措施,加强公文运转、、应急、保密、督查督办、会议管理等基础工作,完善应急管理预案,落实岗位职责,提高信息安全管理和应急处置等方面的能力。
最后,人民银行系统办公室工作的要求是:一是增强责任心,以高度负责的态度去对待每一项工作,忠实履行好办公室的各项职责;二是增强计划性,科学、合理地安排好各项工作和重大活动,做到统筹兼顾、突出重点、规范运行;三是增强敏锐性,严密关注辖内经济金融动态,准确捕捉重要情况并组织反映,协调相关部门正确、及时地处理各类突发事件;四是增强协调性,要积极、主动地与外单位及行内各部门沟通协调,做好服务工作,形成工作合力;五是狠抓督查落实,把督查督办放在重要位置,严格执行督查工作制度,及时把握工作进展情况。要通过全系统的共同努力,使人民银行的办公体系保持信息畅通、网络安全、应急有效、运转正常。
篇8
关键词 电子政务 信息安全体系 安全支撑体系
中图分类号:TP393 文献标识码:A
新时期的经济、文化、生态文明建设等都离不开电子政务的支撑。在对电子政务系统进行建设中,由于其自身发展的不完善,以及各种有意无意的电子政务违法犯罪行为,利益集团在电子政务上的利益博弈,进而使得电子政务安全问题频频发生。
1电子政务系统安全介绍
1.1电子政务系统的信息安全及其重要性
由于电子政务系统建立在互联网基础平台上,包含政务外网、内网和门户网。而互联网是有很多缺陷的全球网络,自身的安全风险隐患很多,使在互联网上开展的电子政务应用面临着严峻的挑战。
电子政务系统的信息安全是指一个国家的政府信息资源不受外来的侵害与威胁,信息资源不被故意的或偶然的非法授权泄漏、更改,防止信息被非法入侵者辨识、窃取、控制、利用等。信息安全成为如今政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。信息安全包括:存储传输、系统风险管理、审计跟踪、备份与恢复、应急响应等方面的安全内容。
电子政务直接涉及到各级政府的重要核心政务,必须要求电子政务实施的过程具有极高的可靠性和安全性。电子政务系统中的信息安全还涉及到了公众权益、个人信息保密,甚至国家利益、社会稳定和国家安全等重要的问题。
1.2电子政务系统的信息安全意义
信息安全主要是采取各种措施,保证信息的机密性、完整性、一致性和不可否认性等。信息安全技术广泛应用于电子政务,规范了政务处理的流程,加快了信息流动,提高了政务处理效率,给政务工作方式带来了全新的变化。
当今,我国电子政务中信息安全技术主要有:数据加密技术、认证技术与数字签名、信息安全分级等级保护方法、入侵检测安全技术、政务系统安全域划分技术、虚拟专网技术、防火墙技术。
2电子政务系统结构模型及其系统安全体系的分析
2.1电子政务系统结构模型
我国电子政务系统结构从“三网一库”到政务内外网结构,使得数据信息能够实时快速的进行交换处理,地方政府尤其是基层政府对群众的服务需求的反应更加迅速。内外网结构模型,如图1所示。
2.2电子政务系统安全体系的分析设计
保障电子政务系统安全各组成部分构成电子政务系统安全体系。它包括电子政务安全支撑部分与电子政务安全法律法规部分,而电子政务安全支撑部分又由安全基础设备与设施、信息安全技术、安全管理、安全应急响应系统组成。
要建立全方位、多层次的、完善的电子政务系统安全体系,需要从这电子政务安全支撑部分的四个部分与电子政务安全法律法规部分这些方面来设计构造电子政务系统安全体系的框架模型。
3电子政务安全支撑结构构建
3.1电子政务系统安全的隐患介绍
电子政务系统安全性被破坏,造成机密的信息暴露或丢失,或网络被攻击导致系统功能毁坏等安全事件,带来的后果必然极为严重,不堪设想,电子政务信息系统也必然成为信息间谍、黑客等各类违法犯罪分子攻击的目标。电子政务系统安全主要包括以下方面的隐患:物理安全、系统安全、网络安全、应用安全及管理安全。
3.2电子政务安全支撑构建分析
根据电子政务系统安全隐患,电子政务安全支撑部分主要由以下部分组成:安全基础设备与设施;信息安全技术;安全管理;安全应急响应系统。
(1)电子政务建设的安全基础设备与设施
电子政务系统安全基础设备与设施是指能够为电子政务系统提供安全保障的物理硬件环境、设施设备和软件环境。它的具体内容主要包括以下方面:
①保护电子政务物理硬件设备、设施以及其它硬件媒体免遭水灾、地震、火灾等环境事故,人为操作的失误或错误,及各种计算机犯罪行为导致的破坏物理硬件环境、设施设备。
②能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的公共第三方安全基础设施,它包括基于PKI技术的CA认证中心、可信的时间戳服务中心、密码秘钥管理中心、基于PMI的授权管理设施、信任策略库等安全基础设施。
(2)信息安全技术
电子政务安全技术是指保护电子政务系统正常安全工作的安全方法、原则、规则等。安全技术是由保障电子政务系统安全工作的技术组成的总和,电子政务安全技术主要由信息安全技术构成。信息安全技术广泛的应用在对电子政务系统起安全防护作用及起基础安全支撑作用等其他辅助作用的系统中,它负责电子政务系统的网络安全、局部计算的环境安全、区域边界安全等方面的保护以及能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的基础安全支撑,它包括应用在防火墙系统、漏洞扫描系统、入侵监测系统、路由器、Web防篡改系统、DNS服务器安全系统、网络防病毒系统、基于PKI技术的CA认证中心、密码秘钥管理中心、基于PMI的授权管理设施等设施或系统中的信息安全技术。
(3)安全管理
保障电子政务系统安全的一个重要核心是安全管理,安全管理是确保安全技术得以有效实施的重要保障。依据电子政务系统的安全需求及系统所出现的问题,安全管理部分应该包括以下内容:安全管理的组织机构的设立、安全管理的规章制度的制定、对安全技术的管理、对系统工作人员的管理与培训、安全管理技术体系、对安全基础设备设施的管理、安全策略的制定与管理、对系统安全问题的管理、对从事电子政务系统安全工作的单位与个人的资质证书的认证等、对系统安全性能风险的评估与安全资产价值的评估、对安全管理的组织及其管理工作人员的工作职责的监督审查等。
(4)安全应急响应系统
安全应急预案又称为安全事件预警与应急响应方案,它是建立起应对安全突发事件的综合系统,电子政务安全应急响应系统是指通过整体部署入侵检测、安全性能风险评估、预警与响应等的应用,作为有效的技术支撑手段,建立起以安全工作人员队伍为基础、技术服务队伍为后备,构建组织管理,制定制度规范标准、预案流程等综合措施,以便尽早分析、发现和确认将要发生或己发生的有严重危害的网络安全和计算机突发事件,并对其进行应急响应,采取有效应对措施,以尽可能降低将要造成的危害和损失的综合安全系统。
安全应急响应服务指当安全事件发生后,安全运维服务团队根据安全突发事件及预案快速应急响应。应急响应预案应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定,保证网络安全无忧,预防危险发生。应急处理和灾难恢复。这是电子政务建设近期迫切需要的。
(5)电子政务安全法律法规
国家相关部门最新数据显示,中国遭受境外网络攻击的情况日趋严重,仅今年前两个月,就有境外5324台主机通过植入后门对中国境内11421个网站实施远程控制,此外,针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外,中国境内遭受网络攻击的情况十分严重。因此面对如此严峻形势,需要国家相关部门尽快出台国家信息安全战略,确保网络空间有法可依,并加大网络违法犯罪打击力度,整合部门、企业、社会组织等构建国家网络安全综合防御体系,切实维护网络安全,尤其是保障电子政务网络的安全。
4总结
如何保障电子政务安全,做好电子政务安全建设,成为各国政府亟待解决的问题。作为一个庞大的系统工程,电子政务系统安全体系的建设是其中的一个极为重要的复杂的系统工程,信息安全支撑部分是电子政务系统安全体系中的重要组成部分,也是保障电子政务系统安全的极为重要的手段。通过对电子政务系统信息安全支撑系统进行介绍,进而为构建安全电子政务系统提供一定借鉴意义。
参考文献
[1] 张剑锋.电子政务安全体系研究[J].数字技术与应用,2013(11).
篇9
电力信息的迅猛发展使得电力系统及数据信息网络迎来了前所未有的挑战。本文分析研究了网络系统信息安全存在的问题,全面规划了网络安全系统,提出了合理有效的安全措施、方法,大大提升了电力企业信息网络安全工作的效率。
一、网络系统信息安全存在问题分析
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
(六)建立完备信息网络系统监控中心
篇10
Abstract: With the power business continues to expand, increase in the number of customers as well as the higher power supply requirements of enterprise services,bank collection charges, as the main mode of marketing model has shown a series of shortcomings,Harbin Electric Power Bureau firstly established a sound POS machine bank card payment system in china and resolve tariff recovery difficultyto facilitate diversification and convenient self-help payment method for the majority of electricity customers. It has achieved an electric charge recovery of five hundred million Yuan since the system came into service, which shows that electricity payment POS machines have been recognized by the majority of users.
关键词:POS机;银行卡;交费系统;开发应用
Key words: POS machines;bank card; payment system;development and application
中图分类号:[TM-9] 文献标识码:A文章编号:1006-4311(2010)33-0289-02
0引言
哈尔滨电业局有直供客户150万户,其中145万户为居民用户。针对居民的收费方式有供电局营业厅购电储蓄(坐收)、充值卡缴费、银行代收费、电子商务()缴费、目前共有14个营业厅,工、农、中、交通、商、建、招、光大、浦发、邮政储蓄、兴业11个商业银行的1026营业网点进行居民现金交费服务,其中银行代收电费占整个收费的84.28%。
随着电力经营业务的不断扩展,用户数量的增加以及供电企业对优质服务提出了更高的要求,以银行柜台代收电费为主要收费方式的电费营销模式已经呈现出了一系列不足。例如:
第一,交费限制:银行代收交易的实施完全取决于银行方的办公时间以及网点的分布,诸多的时间地点限制给用户造成了极大的不便,同时也影响了电费回收工作的开展。
第二,应用压力:银行代收对交费时间有较大的限制,交费高峰时段过于集中,在交易高峰时段给代收系统以及营销系统造成了巨大的业务处理压力,影响系统性能,不利于优质服务以及电费回收。
第三,服务质量:银行代收业务的顺利开展要求作为委托方银行方面提供良好的硬件系统资源以及人员服务质量。由于各个委托代收银行服务质量的差异以及不可控性,与电力方极易出现差错推诿现象造成供电企业难以准确掌控向广大用电客户所提供的优质服务。
第四,资金安全:银行柜台代收电费必须要求用户携带现金前往银行柜台,不仅麻烦而且不利于用户资金安全。
面对目前的这种形势,我们迫切需要为用户提供一种更加便捷的交费方式,也为全局的营销工作提供一个更加高效、可靠、快捷的电费回收渠道。2007年10月份哈尔滨电业局自行开发电费充值卡缴费方式,目前累计充值1700万元,占代收比例1.36%。为进一步给客户提供人性化、个性化的优质服务,受目前在多个行业广泛采用的POS机交费技术的启发,与建设银行进行银联POS机(自动结款)刷卡售电业务,共同建设了POS机银行卡实时查询交费系统。
1POS机银行卡交费系统技术方案
1.1 业务技术需求。供电公司设置独立POS柜台,设立专人负责POS机购电,由银行方进行POS机使用培训。
POS机设置独立专线或电话线,与银行网络联接,通过银行前置机与电力方前置机联接实现客户电量、电费信息实时交费、打印回单的功能。
1.2 打印凭条、打印发票。第一步,按照目前ATM自动交款机的模式,打印确认凭条,客户需要时,通过POS机打印确认单,用户手持确认单到供电局或银行窗口换取电力收据。第二步,与国家税务局申请新式发票,按照收付实现制开据,供电公司与税务部门进行沟通,增加收据格式,用热敏纸进行收据打印,发票打印格式参照供电局购电窗口或银行代收打印发票格式。
1.3 交费流程。客户进行交费,首先登录POS机自助交费系统,系统具备银联卡划帐、交费功能,流程如下:
客户通过银行POS机利用银行卡交费,实行转帐交易。如交费成功向用户返回交费已确认,否则返回失败信息。按交费成功用户的微机查询号、电子银行编号、购电金额等信息向哈尔滨电业局的电力前置机发起交费请求,在所属供电局数据库完成交费操作,并将操作结果返回银行方。其前置机发送交费请求包,电力方前置机分解包体,通过交易码判断交易类别,向相应的供电局数据库发送交费请求,更新数据库,将数据库返回的最新用户信息按照约定格式打包,将应答包返回银行前置机。完成一笔交费业务,给客户打印确认单。
2POS机银行卡交费系统的特点
建设银行根据哈尔滨电业局经营特点和业务需求,立足现有POS机系统的应用模式,再度开发,实现电业局营销信息端口与银行系统进行连接,通过POS机刷银联卡即可达到缴纳电费并打印缴费凭据等功能,POS打印凭证内容为:售电单位、客户名称、客户微机查询号、客户用电地址、购电结余、原售电表示数、现售电表示数等。如图1所示。
2.1 合理的交易服务构建实现系统功能完整性和一体化集成。系统中间件定义了七个不同的交易服务:明细查询、收费确认、摘要查询、明细收费、业务冲正、日终对账、发票补打。在POS终端上开发接口程序与各个交易服务对应。从而实现了利用POS终端同时完成用户电费查询、依据查询返回自动交纳、票据打印以及帐务核对。整个电费交易业务完整地集中到了一个平台,为用户提供一体化自助终端服务。
2.2 专用收费库实现系统通用性。系统通过专用收费数据库的建立将电费POS查询交费系统从银行代收核心生产业务系统中独立出来,利用收费数据库与营销数据库的同步器接口屏蔽了后台营销系统的差异,实现对不同生产业务系统的兼容,大大增强了电费POS查询交费系统的通用性。
2.3 系统易于部署,方便客户服务范围的扩展延伸。系统采用面向银联公司前置系统和POS终端,众多POS终端只需要一根电话线、电力局域网线或者无线通信网络即能够连接本系统服务端实现查询交费。
2.4 完备的日志及监控平台使系统具备可审计性与高可靠性。系统将交易处理与交易控制与维护融于一体,提供完备的操作日志供管理人员审计。
2.5 系统兼顾了高性能与安全性。系统可满足代收费高峰期间的性能要求,单笔电费查询请求、电费交费请求、电费冲正请求响应时间 ≤10ms;明细对帐请求:每千笔对帐响应≤1s,每万笔对帐响应≤15s;总帐对帐请求:100ms。
3银电对帐业务
POS机银行卡缴费系统对电力方等同于银电居民代收费系统,利用现有的银电合作方式,即银行为电力设FTP服务器,双方约定用户名与密码。每天交易结束,银行方首先结账并形成对帐文件。电力通过自己的前置机利用FTP登录银行FTP服务器下载当天对帐文件到本机。电力方对对帐文件按双方约定标准内容进行检查,如符合要求,按照局号存入数据库;如不符合要求,需管理员与银行沟通,银行重新生成对帐文件,电力方再重复下载操作。
4系统功能及技术创新点
经过详细调研和缜密细致的设计建设,目前POS机银行卡实时查询交费系统已经正式投入运行,系统完全达到了预期的建设目标。该系统是一个高性能、高可用、高安全性的系统,高安全性决定了平台两端连接的主要应用彼此是封闭的,只能通过“平台”实现数据交换;“高可用”实现了一个平台同时完成查询、自动交费、票据打印和账目核对的完整交易流程;“高性能”决定了平台具有瞬间响应与处理大量并发请求的能力,同时具备稳定性与持续不宕机的性能表现。系统在设计建设方面许多创造性的方案思路以及系统本身所具有的广泛适应性和可扩展性,使本系统具有极大的推广应用价值。
5系统安全
5.1 网络安全。哈尔滨电业局和银行方代收电费网络系统从方案的设计到系统的实施都定位在一个较高的水准上,网络的接入采用了高效、先进的三层交换技术,并在保证实施的可行性基础上,网络通道采用了网通公司DDN专线连接,从而为代收电费业务提供了一个高速、稳定的网络平台。
联网双方都采取了相应的安全措施对内部网络进行保护,哈尔滨电业局根据自己的网络配置和管理需求,通过在防火墙上设置合理的访问策略,达到了即能保证业务的正常进行,又能保护内部网络资源,同时可以对设备进行集中管理的目的。
5.2 平台安全。利用银行系统POS机进行交费,实现方式符合各银行对电子银行的定位、管理、运作模式。
稳定性好,独立于现有银行代收费网络,便于管理、维护。充分利用现有软硬件资源。采用前置机技术解决一对多并发访问、网络传输安全问题;利用现有银行代收系统交费过程,保证营销业务层不需改动、业务稳定性高。
适用性好,自助交费等同于银行柜台代办管理,不需改变现有业务流程。
完整性好,利用银行POS机自助交费,在整个购电交易中,POS机只起桥梁作用,不涉及任何一方业务功能。各方可最大限度保证自己业务独立性、数据完整性。
5.3 数据库安全。对所有服务器操作系统设置强口令,严格权限控制;对营销信息系统数据库管理员设置强口令,制定专人维护;针对系统存在的故障点制定完备的应急预案,保证系统在故障后的快速安全恢复;对数据库操作进行严格的审计日志记录,确保各项操作有据可查。
6技术应用前景
6.1 供电公司、电费代收点和用电客户三方受益。供电公司可以利用社会资源解决收费问题,在高档社区设立收费点,并且切实做到为客户着想,客户不用出社区就能完成缴费,及时方便的实现电费回收。POS机使用方便,不须计算机知识,经过简单培训,老人孩子都可以熟练掌握。代收费网点只要有固定场所就可以参与代收电费,不需要占用额外的人手、场地资源,通过代收费就可以获得额外的收益,并且通过代收费还可以聚拢客户。
对于用电客户来讲,无需排队等候、跑很远的地方,不出社区就可以交纳电费。
6.2 资金无风险。减少现金流量,利用银行卡缴费,资金会提前到位,没有任何资金的风险存在。
6.3 移动POS系统应用。在现有的POS机银行卡缴费系统应用基础上,使用移动POS机收费,通过信息查询、银行卡的安全认证,实现转账缴费,解决偏远地区的客户“路费比电费贵”的大难题。
7结束语
任何一个新系统的投入使用都需要提前做好宣传工作,使客户对使用方法耳熟能详,那样就可以真正的把方便于民、真诚服务落实到实际工作中来。
利用POS机的多样性,充分利用供电公司现有的资源(网络、营销业务应用营销系统、银电业务系统资源)实现新的电费回收手段,同时积极响应了国家电网公司“百问百查”要求,提高服务质量和效率,充分展示公司良好的品牌形象。
参考文献:
[1]江克宜.电力客户服务案例百篇[M].北京:中国电力出版社,2006.
[2]尹颖,卢妤.电费POS机实时查询交费系统的开发与应用[J].南方电网技术,2009(z1).
