秦沁
摘要:自改革開放以來,我國金融領(lǐng)域機構(gòu)蓬勃發(fā)展,業(yè)務欣欣向榮。隨著信息科技的進步及網(wǎng)絡通訊的發(fā)展,網(wǎng)上銀行、手機銀行、支付寶、微信等新興支付方式越來越受到大眾的青睞,傳統(tǒng)的支付領(lǐng)域面臨著巨大的挑戰(zhàn)。然而,技術(shù)與操作的結(jié)合也給犯罪分子和黑客們更多可趁之機,金融網(wǎng)絡安全已成為發(fā)達國家的關(guān)注重點。本文通過對目前我國金融網(wǎng)絡安全存在的問題進行分析,從白宮發(fā)表的金融“網(wǎng)絡安全框架”中受到的啟示,提出了我國金融機構(gòu)如何加強網(wǎng)絡信息安全管理的應對措施。
關(guān)鍵詞:金融網(wǎng)絡 風險管理 措施
一、我國金融網(wǎng)絡安全面臨的問題
(一)金融機構(gòu)信息安全風險管理欠缺
歷史上,由于金融機構(gòu)多數(shù)采用紙質(zhì)化工作,大部分主要安全問題都發(fā)生在實物數(shù)據(jù)資產(chǎn)的損失上,如票據(jù)、賬簿、機密文件的保管不當造成的信息缺失,或因意外造成的營業(yè)場所滅失。進入21世紀以來,世界范圍內(nèi)的金融創(chuàng)新活動空前活躍,新的金融工具、金融產(chǎn)品及新興技術(shù)的廣泛應用,自動化、便捷化、電子化成為了主流,逐漸代替了以往的傳統(tǒng)操作。當前,犯罪份子以金融機構(gòu)的電子數(shù)據(jù)和網(wǎng)絡為目標,不斷的發(fā)起攻擊來獲取客戶的重要信息,網(wǎng)絡安全威脅已經(jīng)成為銀行業(yè)面臨的最關(guān)鍵問題之一。
近年來,金融機構(gòu)在搭建金融網(wǎng)絡的同時,存在重建設、輕管理,重開發(fā)運行、輕安全維護的現(xiàn)象,應急預案的時效性和可操作性有待改進,應急演練的真實性有待加強。
(二)金融網(wǎng)絡內(nèi)信用缺失現(xiàn)象嚴重
由于信用體系發(fā)育程度低,社會“失信”問題較為嚴重,金融產(chǎn)品在生產(chǎn)和交易過程中更容易出現(xiàn)信息不對稱和道德風險問題。信用風險不斷在金融體系中積累,會傷害交易者的合法權(quán)益,引起交易者信心喪失,使得交易方式的發(fā)展舉步維艱乃至倒退。同時,缺乏信用基礎(chǔ),會使得網(wǎng)上銀行、手機銀行、電子支付等交易方式在國內(nèi)的生存與發(fā)展后勁不足,影響現(xiàn)代經(jīng)濟的正常運行。信用缺失不僅會阻礙網(wǎng)絡經(jīng)濟的發(fā)展,更會阻礙我國經(jīng)濟全球化發(fā)展的進程。
(三)金融監(jiān)管方面存在的問題
網(wǎng)絡金融是一把“雙刃劍”,一方面起到改變金融機構(gòu)運營模式的作用,提高經(jīng)濟運行效率;另一方面也給金融機構(gòu)與客戶帶來較多風險。在金融自由化、信用證券化、金融市場全球化的過程中,各種信用形式得以充分運用,網(wǎng)絡金融面臨的風險日益增加,金融網(wǎng)絡風險的特殊性使得監(jiān)管機構(gòu)對金融網(wǎng)絡安全的監(jiān)管比傳統(tǒng)金融更為重要。目前,我國的金融網(wǎng)絡安全監(jiān)管方式尚處于初始階段,從監(jiān)管手段到法律法規(guī)并不完善。傳統(tǒng)的監(jiān)管方式已不合時宜,金融監(jiān)管當局應當不斷更新監(jiān)管標準,優(yōu)化監(jiān)管結(jié)構(gòu),以適應瞬息萬變的金融市場,保障市場經(jīng)濟的科學、穩(wěn)定發(fā)展。
在貫徹落實我國經(jīng)濟發(fā)展要求、提高金融網(wǎng)絡安全可控能力的過程中,監(jiān)管層面的技術(shù)創(chuàng)新能力及網(wǎng)絡攻防能力應用有限,金融監(jiān)管當局仍應該從需求導向出發(fā),立足用戶拉動的角度,推廣使用安全可控的網(wǎng)絡金融產(chǎn)品,降低對少數(shù)廠家、產(chǎn)品的依賴度,在促進信息產(chǎn)業(yè)發(fā)展、提高國家網(wǎng)絡安全可控能力的基礎(chǔ)上提高金融網(wǎng)絡安全保障水平。
二、美國采取的應對網(wǎng)絡安全威脅措施
2014年2月,美國白宮正式推出一項可自愿加入的“網(wǎng)絡安全框架”項目,該項目吸納了全球現(xiàn)有的安全標準以及做法,以幫助有關(guān)機構(gòu)了解、交流以及處理網(wǎng)絡安全風險。該文對我國加強金融網(wǎng)絡安全管理極具借鑒意義。
(一)提升關(guān)鍵基礎(chǔ)設施的網(wǎng)絡安全
1、明確國家級別的網(wǎng)絡安全標準
美國總統(tǒng)于2013年2月12日簽署并發(fā)布了名為“改善關(guān)鍵基礎(chǔ)設施網(wǎng)絡安全”的行政命令,并授權(quán)國家標準與技術(shù)研究所(NIST)開發(fā)一套基于風險的網(wǎng)絡安全框架,旨在作為一個國際級別的自愿標準和最佳業(yè)界實踐參照,幫助各機構(gòu)把控網(wǎng)絡安全風險。NIST于一年后發(fā)布了《網(wǎng)絡安全框架》,該框架包括了五個核心領(lǐng)域:識別、保護、檢測、響應及恢復。
2、將網(wǎng)絡安全納入法律規(guī)范
上世紀末,美國《金融服務現(xiàn)代化法案》就已要求銀行等各金融機構(gòu)開發(fā)一個信息安全程序。如今,NIST開發(fā)的《網(wǎng)絡安全框架》在銀行現(xiàn)有的信息安全程序基礎(chǔ)上,作出了進一步的修改和完善,以解決新興網(wǎng)絡風險,使得銀行的信息安全程序更加適應當今網(wǎng)絡化操作的趨勢。
(二)建立新型的網(wǎng)絡風險管理模式
要求銀行管理層須將網(wǎng)絡安全風險考慮納入整體風險管理框架,設計和實施合適的緩沖控制,并更新各自的政策和程序,最終通過審計程序驗證目標控制結(jié)構(gòu)。一個有效的網(wǎng)絡風險控制結(jié)構(gòu)應重點考慮四個方面:公司治理、威脅預警、安全意識培訓和補丁管理程序。
(三)發(fā)揮存款保險機構(gòu)的監(jiān)督管理作用
美國聯(lián)邦存款保險公司通過對銀行的現(xiàn)場檢查、定期報告、預警報告等措施實時監(jiān)控網(wǎng)絡安全問題。同時,通過對監(jiān)管政策的有效性、是否具有改進潛力、是否能夠適應當下潮流進行評估,切實保護其監(jiān)管銀行免遭威脅。最后,發(fā)布實用工具,幫助銀行提高網(wǎng)絡風險應對能力。在2014年夏天,聯(lián)邦存款保險公司舉辦了網(wǎng)絡挑戰(zhàn)測試,成員機構(gòu)可以通過觀看一系列視頻,并結(jié)合模擬練習來評估其網(wǎng)絡事件處置預案。
(四)加強網(wǎng)絡安全警示培訓
聯(lián)邦存款保險公司于2015年創(chuàng)立了網(wǎng)絡安全警示培訓計劃,通過電視電話培訓和現(xiàn)場輔導的形式,對由其監(jiān)管的成員機構(gòu)及其聯(lián)保存款保險公司監(jiān)管人員和管理層進行培訓。
三、維護我國金融網(wǎng)絡安全的基本對策
隨著金融服務網(wǎng)絡化程度的提高及我國金融交流的國際化, 金融安全問題必然成為國家經(jīng)濟安全中的最重要的內(nèi)容。而網(wǎng)絡時代的信息金融安全對于像我國這樣的發(fā)展中國家尤其重要。
(一)強化信息安全意識,制定完善行業(yè)標準
政府應將網(wǎng)絡金融信息安全可能出現(xiàn)的威脅納入重點防范框架,建立一個統(tǒng)一的分類,按用戶類別制定金融信息安全國家級行業(yè)標準,指導各行各業(yè)學習行業(yè)標準,開展信息安全管理建設,規(guī)范網(wǎng)絡金融參與者的行為。同時,要根據(jù)市場風向的更新,對相關(guān)監(jiān)管制度進行不斷地修改完善,使法律法規(guī)在時間層面和物理層面上能夠充分銜接。
(二)加大信息安全投入,建立大數(shù)據(jù)解決方案
銀行業(yè)要在控制風險的基礎(chǔ)上,充分利用當下大數(shù)據(jù)云計算的優(yōu)勢,建立健全適合銀行業(yè)信息安全系統(tǒng)的建設框架及信息安全管理規(guī)范,修正完善已有的安全規(guī)范措施,豐富整體信息安全保障體系,建立完善的云計算和數(shù)據(jù)防護設備及體系,提高國內(nèi)網(wǎng)上銀行的運營及發(fā)展能力。
(三)加強網(wǎng)絡安全警示培訓教育
一是根據(jù)不同的對象可能面臨到的相關(guān)網(wǎng)絡風險,進行分類化警示和引導;二是重點對新入職的員工開展職業(yè)培訓,重點要完善業(yè)務的操作規(guī)程, 強化關(guān)鍵權(quán)限崗位管理培訓以及內(nèi)部制約機制;三是提升合作第三方及客戶的風險意識,定期向客戶和合作第三方宣傳網(wǎng)絡安全的重要性,結(jié)合案例、實操等方式幫助他們提高自我保護意識,抵御網(wǎng)絡風險。
(四)將網(wǎng)絡安全納入銀行整體風險管理框架
銀行應該積極利用現(xiàn)有資源識別、減緩潛在相關(guān)網(wǎng)絡風險,將網(wǎng)絡安全作為董事會的關(guān)注重點,制定整體化的網(wǎng)絡安全防范框架,明確各部門的網(wǎng)絡安全防范職責,營造網(wǎng)絡安全優(yōu)先的企業(yè)文化,調(diào)動全體員工對網(wǎng)絡安全維護的積極性。在建立這一網(wǎng)絡安全防范框架時,必須將公司治理、威脅預警、安全意識培訓和補丁管理程序四個方面考慮在內(nèi),同時也應將非正常情況下的應急計劃和業(yè)務連續(xù)性計劃納入考慮,要求金融業(yè)務向綜合化、 全能化轉(zhuǎn)變。
四、結(jié)束語
在虛擬經(jīng)濟已大大脫離實體經(jīng)濟發(fā)展需求而存在的今天, 金融網(wǎng)絡安全問題已然成為國家經(jīng)濟安全中一項重要的內(nèi)容。隨著金融服務網(wǎng)絡化程度的不斷提高,我國各行各業(yè)金融交流的深入化及全球化,金融網(wǎng)絡安全管理成為網(wǎng)絡金融市場健康發(fā)展所要面對的核心問題。無論是盜領(lǐng)還是更改電子資金信息, 對于信用重于一切的金融機構(gòu)而言,都是極大的風險隱患,會使我國經(jīng)濟遭受巨大損失。本文希望通過分析和借鑒美國“網(wǎng)絡安全框架”的指導思想,并結(jié)合當下國內(nèi)金融網(wǎng)絡安全現(xiàn)狀,為我國金融機構(gòu)如何加強信息安全管理提供新的思路,從而保障網(wǎng)絡金融活動更加健康、有序的進行。
財經(jīng)界·學術(shù)版2016年19期