目录 |
网络金融技术风险是指金融业的安全程度受制于信息技术和相应的安全技术的发展状况。
网络金融技术风险具有非行业性和外生性两大特点。非行业性是指风险超出了传统意义上的金融风险的概念,其产生不仅依赖于市场价格的波动、经济增长的质量,而且依赖于软、硬件配置和技术设备的可靠程度。风险的外生性是指金融部门对技术性风险的控制和管理能力,在很大程度上取决于其计算机安全技术的先进程度以及所选择的开发商、供应商、咨询或评估公司的水平,而不像传统金融业务风险那样,仅取决于金融部门自身的管理水平和内控能力。[1]
网络金融业务技术风险一般来源于三个渠道:
(1)数据传输。一旦数据传输系统被攻破,就有可能造成用户的银行资料泄密,并由此威胁到用户的资金安全。
(2)网络金融应用系统的设计。一旦其在安全设计上存在缺陷并被黑客利用,将直接危害到系统的安全性,造成严重损失。
(3)来自计算机病毒的攻击。即由于网络防范不严,导致计算机病毒通过网络金融系统入侵到金融部门主机系统,从而造成数据丢失等严重后果。
信息安全涉及信息的保密性、完整性、可用性、可控性,综合起来说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人;完整性就是对抗对手的主动攻击,防止信息未经授权而被篡改;可用性就是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。
开展网络金融业务,需要设计一套完整的安全机制。技术风险管理是由风险管理要素和技术环境构成的,风险管理要素包括安全政策、安全配置管理、事态安全监测和技术方案与结构,技术环境包括应用程序、数据管理、系统平台、网络通信和物理设施。
该技术风险管理模型是由风险管理要素(安全政策、安全配置管理、事态安全监测和技术方案与结构)和技术环境(应用程序、数据管理、系统平台、网络通信和物理设施)构成的4*5矩阵。该模型的具体内涵如下:底层是物理设备层,主要指支撑网络金融技术的建筑、能源设施、环境控制设施以及其他辅助设施;第二层是网络层,主要是指网络通信硬件及软件设施;第三层是系统平台层,主要指由大型机、小型机、服务器、台式计算机、便携式计算机、打印机等硬件和操作系统等通用软件构成的操作系统平台;第四层是数据管理层,主要指数据输入、处理、存储、输出流程和数据库管理软件等;第五层是应用软件层,主要指网络金融各种应用软件程序。该模型自上而下展示网络金融系统的形成和实现过程,自下而上描述系统的支撑和服务过程。该模型的每一层都隐藏着风险因素,技术风险管理的职能就是识别并持续监控这些风险因素。
安全策略就是要求金融高级管理层对网络金融业务的技术性风险管理给予高度重视,并针对网络金融业务的特点,制订出全面、综合、重点突出的系统及信息安全规章制度和操作程序,再根据重要性、复杂性和敏感性等方面对整个系统进行分类、分层次的保护,以保证能集中精力管理关键部分。
物理设施安全是指有形的安全措施,这主要指对计算机系统、网络设备、密钥等关键设备及信息的安全防卫措施。例如,计算机房要安装电子门户控制系统,关键场所要安装监视器,关键设备之间要保证相互隔离,进入密钥保管房间要有双人控制等。
数据管理和网络通信安全是网络金融业务技术风险管理的核心部分。金融部门应适当地设计和配置不同的服务器和防火墙,采用合适的加密技术,在保证网络金融业务平稳运行的基础上,确保数据传输的真实性和保密性。服务器包括网络服务器、应用服务器和数据库服务器。防火墙则包括外部防火墙和内部防火墙。为保证系统不受黑客侵入,金融部门应在网络服务器和因特网之间设置外部防火墙,在网络服务器和数据库服务器或银行内部计算机系统之问设置内部防火墙。加密技术主要包括密码算法和密钥长度两个方面的内容,通过采用合适长度的密钥和密码算法,可以有效地防止系统传输的信息和系统存储的信息被破译,从而保证网上银行业务信息的安全。
应用程序安全则主要涉及对交易客户的身份的认证(CA)和对交易的确认,这是网络金融业务运作的关键环节。网络金融业务突破了传统金融业务经营的概念,客户不用到柜台就可以操作,业务人员和客户之间也没有面对面的接触,这就要求金融部门必须有一套有效的系统确认客户的资格,保证客户和金融部门双方无法否认已发生的交易。
系统平台安全则主要指构成系统的软、硬件本身的安全系数,如软、硬件的配置是否达到先进水平,是否符合安全标准;业务人员和管理人员的专业能力和管理能力是否达到风险控制和业务发展的要求等。例如,网络金融的主机系统应采用可持续运行技术,一旦出现故障,能启动备份系统或不停机更换设备,以保证系统的不间断运行,从而维护整个网络金融的正常运行。
事态安全检查是网络金融业务风险控制的重要组成部分。这包括三个方面的内容:一是公认的社会评估机构对计算机系统的安全评估;二是金融管理层对计算机系统的安全测试;三是金融系统内部审计部门对网络金融业务及系统运作情况的检查。