友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
入世带来的-第5部分
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!
的管理员。(6)为了防止犯罪分子盗用他人的合法密码进入内部网络,应该随时将上次使用密码的时间等情况通知合法的使用者,便于发现自己的密码是否已经被人盗用。
4配置(configuration)管理。由于银行内部网络的运作很大程度上依赖于主服务器的合理配置,因此,应该将支持内部网络的服务器集中放置,比如像前面的设备一样放在中央〃玻璃室〃里,在此基础上合理配置服务器,同时,定期进行测试,以保证其良好的配置和运行。
5安全策略。在这里所讲的安全策略实际上包括三个方面,管理层对于安全控制的责任、对软硬件设备及外部厂商的技术要求和危机(紧急事件)处理程序。
(1)强调银行的管理层应该有明确的安全策略。关于这个问题,我们在后面的内部风险管理和外部监管两部分都会进一步加以详述。在这里,主要从宏观上要求银行的最高管理层应该有一个全面的信息安全政策,这种政策应该勾画出银行信息管理的总政策,某一项具体服务(比如互联网服务)的具体安全政策,明确的划分各类人员的责任,违反责任的处罚措施等,强调管理层在信息技术安全中的领导作用。
(2)对软硬件设备及外部厂商的技术要求。银行的许多技术设备(软件硬件)是从外部厂商购买的,应该要求对方提供保证书,保证没有任何病毒,没有留有任何后门(back doors)使厂商可以随后进入内部网络;在购买和调试软件时,保证其符合厂商的安全和品质说明;在同外部厂商缔结的协议中,明确规定与安全问题有关的权利义务,同时采用独立的第三方专家来负责进行安全检查。其次,对所有当前使用的应用程序、『操』作系统和其他设备都要建立准确的档案,一旦发现系统的故障,就能够迅速识别是什么软件引起的,及时更新和纠正。此外,如果银行网络同其他机构的网格相连,必须要求其他网络也采用同样的安全措施。还应该采用有效的程序监控系统内任何修改和改变,以防止内部人士可能任意篡改有关信息。
(3)建立危机管理程序,识别和发现危机,应该有专门的危机处理小组,有明确的责任和分工,同时,建立关于证据收集和保护的规则。
6网络安全监控
网络安全和监控强调动态的持续监督,它要求必须对系统活动进行严格的监控。尽管不可能完全控制黑客的入侵,但可以采取措施为入侵制造障碍,进行监控,及时发现入侵迹象,采取相应的对策。其具体的措施包括:
(1)为了发现入侵活动,应该建立详细的用户、网络等活动的档案(log),由于档案的数据非常庞杂,同时还需采用软件(audit reduction software)对这些数据进行整理和追踪,如果出现异常情况,自动通知系统管理员;同时,除了机器辅助识别以外,也要配置经验丰富的系统管理员定期进行查看和监控。
(2)对关键入口,每一个计算机都要尽可能的安装病毒扫描和清除程序。同时,及时对病毒软件进行升级换代,对职员加强防病毒的意识,比如严格要求每一个外来的软盘和光碟都要杀毒之后才能在计算机上使用。
(3)使用可以信赖的第三方对安全进行评估。目前已经有一些公司专门提供服务,为其他公司进行网络安全的评估,发现其网络的缺陷,不定期的对网络进行攻击,来检验公司内部人员能否及时发现这种攻击;同时,内部人员或聘请外部人员帮助监控公告牌,聊天室等网站,及时了解一些人通过这些设备来散发机构安全缺陷的信息。一些公司甚至主动同一些〃黑客〃达成协议,邀衣〃黑客〃进入其计算机系统,通过这样的方式来不断改进系统的安全『性』。
7人员管理
(1)业务处理的分工。即一项经济业务的全过程不应由一个人或一个部门单独处理,应分割为若干环节,分别给不同的岗位或人员去管,具体要求是:授权进行某项经济业务和执行该项业务的职务要彻底分离;执行某项业务的计算机『操』作和审查该业务的职务要分离;
(2)各职能部门具有相对独立『性』。这种独立『性』表现在:一是各职能部门之阐是平级关系,而非上下级从属关系;二是各职能部门的工作有明确分工,不存在现任共同负担的关系。这样不仅可以预防诈骗的产生,而且诈骗一旦发生时还可以避免损失的进一步扩大。
(3)人员素质控制。良好的思想品德和职业道德是防范诈骗的前提。对人员的选择、使用和培训采取一定的措施和办法,以控制职员的素质。
(4)建立职员的职务定期轮换制度。这样可以增加某项职务的全面复核。实践证明,有关职务的定期轮换不仅能使某项业务的执行人员发生的错误在短时间内被发现,而且还能促使工作人员兢兢业业地工作,打消诈骗的念头。
(5)对『操』作员处理的业务建立定期或不定期得查核对控制。记录与实物以及记录与记录之间的复查核对,能进一步保证记录的真实、正确。特别是不定期复核,更能对犯罪分子产生威摄作用。
二、加强银行技术风险管理
从目前银行业的趋势来看,风险管理已经成为国际银行管理和监管的比较通行的做法。面临计算机和网络的迅速发展和应用,银行已经逐渐电子化、网络化,银行在这方面也发展出一套电子银行的风险识别和管理做法,在此基础上,各个监管机构也推行自己的风险监管的办法。这些措施总的来讲是一致的,只是侧重点不一样。下面的两部分我们主要介绍西方国家目前采用的银行技术风险管理和监管的一些做法。
1电子银行的风险识别。银行在防范计算机和网络犯罪时,最根本的措施是首先对所面临的风险进行识别。根据目前国际通用的风险管理分类标准,银行面临的风险包括『操』作风险、声誉风险、法律风险、信用风险、流动『性』风险利率风险和市场风险。就计算机和网络方面来讲,最重要的是前3种。不过,不是所有的风险都同犯罪有关,我们下面就结合计算机和网络犯罪的情况,对西方国家银行目前采取的针对计算机和网络犯罪所进行的风险识别。
(1)『操』作风险(operational risk)。就计算机和网络技术来讲,银行所面临的『操』作风险主要是系统缺陷所造成的损失。美国通货管制局(ocom)的报告提出的交易风险(transaction risk)同巴塞尔委员会提出的『操』作风险基本是类似的。巴塞尔委员会的报告将『操』作风险又进一步划分为安全风险、系统风险、实施和维护风险,和消费者错误使用金融产品带来的风险三种类别。安全风险是最为常见,也最为人们理解的风险,我们在上一部分中已经比较详细地阐述针对安全风险所采取的技术和管理控制措施。巴塞尔委员会把『操』作风险分成三种:第一,银行的计算机系统遭到非法入侵,比如黑客进入银行的内部系统,银行和客户在传递信息的过程中信息被第三方截获,银行的系统和有关资料遭到破坏等等,结果是资料遗失,被损害,银行内部系统可能遭到破坏,由此花费资金进行维修。第二,内部雇员对银行进行的欺诈,比如雇员篡改资料,从银行帐户中划拨资金到自己名下,银行职员盗窃电子货币(智能卡)。第三,电子货币被伪造,犯罪分子直接变造成伪造电子货币,作为电子货币发行人的银行遭受损失。系统设计实施和维护风险主要来源系统本身的缺陷,银行无论自己开发,还是使用外部技术厂商开发金融技术产品,都可能造成系统的缺陷,比如银行的内部网络和外部网络不兼容,两个银行合并以后,各自的系统相互存在不兼容的『毛』病,同时,银行对外部厂商没有进行有效的监督,更使风险加大;另一方面是银行内部人员不了解技术的迅速发展和变革,即便技术是先进的,但由于人员的素质使得先进技术不能发挥作用。消费者错误使用金融技术产品所带来的危害可能是,由于其使用程序没有遵守安全规定,犯罪分子可以进入消费者的帐户盗取有关的信息或者资金。
(2)声誉风险。声誉风险同其他风险是密切相连的,其他风险转变为现实可能时,通常也会造成银行声誉的下降,比如,系统本身存在重大缺陷,不能满足客户的要求,甚至造成对客户隐私权和资金的损害,黑客入侵,病毒感染,以及重大的诉讼事件都可能影响银行的声誉,严重的可能造成整个银行系统的连锁反应。
(3)法律风险。美国通货管制局(ocom)的报告提出的纪律风险(compliance risk)风法律风险的含义大致类似,都是指没有遵守法律、法规、行业习惯做法,或者由于法律的不完善造成当事人之间义务权利的不明确给银行带来的风险。就防止计算机和网络犯罪而言,主要的法律风险来自于犯罪分子利用银行的网络和产品进行洗钱活动,对于从事认证证书发放的银行来讲,可能有犯罪分子伪造证书以银行的名义发放等。
其他风险也是银行在利用计算机和网络技术开展业务过程中可能遇到的风险,但就防止犯罪来讲,这些风险关系不是太密切。值得提出的是,美国通货管制局(ocom)在报告中还提出一种风险,称为战略风险(strategic risk),主要指银行的管理层在从事金融技术业务时,没有很好的进行计划、管理和检测这些金融产品的运作,比如管理层不了解、不支持某一项对银行至痒重要的技术的使用,或者错误的依靠一项并不可靠的技术等等。这同巴塞尔委员会在阐述『操』作风险时,指出银行职员不了解技术引起所引起的风险有类似之处,但美国通货管制局(ocom)更强调管理层的作用。
2对电子银行风险的控制
对风险进行识别之后,应该对风险进行有效的评估。对风险的评估主要侧重于在可能的情况下,对风险进行量化,然后进行一定的成本和效益分析,将潜在的风险和本机构所能承受的风险进行比较,确定本机构的风险管理策略。
巴塞尔的报告将对风险的管理分为5个方面:
(1)安全策略和措施。这部分内容同美国联邦储备委员会的内容是一致的,主要侧重技术层面,以及同技术相关的管理措施。
(2)内部联络。内部联格强调银行的高级管理层应该把电子银行于银行总体目标的作用向下层职员传达、下层职员应该把涉及电子银行运作的所有技术、安全等问题及时向上层反映,作到上情下达,下情上达。同时,高级管理层应该重视对职员的持续培训。了解技术的发展和市场的最新动向。
(3)外部资源的管理。银行的许多技术设备和软件是由外部厂商提供的,应该采取措施减少外部资源引起的风险,其措施包括监测外部厂商的财务和经营情况,明确双方权利义务,建立紧急情况下,撤换外部厂商的应急措施。
(4)对客户的教育。教育客户如何使用新产品,出现问题如何解决,潜在的风险如何等等。
(5)建立应急计划。
对风险的监测包括监测、监视系统,以及追踪业务活动两个方面。
因该说,巴塞尔委员会的报告从宏观上对电子银行的风险管理提供了一个整体框架。美国联邦储备委员会的安全管理实际上是将这个框架进行了具体化,更加侧重技术层面。
3采取安全防范措施。德国联邦数据保护法规定,使用电子计算机必须休取10条队范措施,其中主要的有:
〃进口处检查〃一使无关人员不得接近电子计算机和数据处理设备。
〃出口处检查〃一防备数据存储器被窃。
〃对存储装置进行检查〃一目的是监视数据输入,防止改变和消除数据。
〃对使用者进行检查〃一阻止无关人员利用数据传输分接到的电子计算机上。
美国最大的计算机制造公司一国际商用机器公司,对计算机的安全制订了200条要则。其中包括:〃窗子要有栏杆〃,〃进入电子计算机中心的门要安装一种设备一可以马上发现随身携带磁带的探测器〃,〃对所有接触数据处理的职员进行审查〃,等等。
三、对开展电子业务银行的监管
因为在计算机网络上,资金的划拨方向靠用户的网址和账户来识别,而当网上其他人通过其它方式获取网址、账户号吗及命令等信息后,完全可以伪装成接收用户的网上账户,接收划拟过来的资金,然后再非法占有。
而这时,如果划拨方只是发出指令,指示银行向另一方付款,而银行只作为命令的银行作用,则由于是直接划拨而未由银行介入,接收方未收到资金话,划拨方仍有义务再次支付款项,也就是说,这种直接划拨,划拨方要负责接收方接收到资金而不简单是划出资金。而我们也不能排除接收方欺诈划拨方,在收到的情况下,制造假象要求划拨方再划拨的可能。
所以,对电子银行的监管也是建立在风险监管的基础之上的。对电子银行的风险进行了有效识别和监管,实际上也就达到了监管机构的要求。目前,一些国家已经开始制定对电子银行业务的监管措施,其中,比较全面的是美国联邦存款保险公司(美国银行业的监管机构之一)1998年6月出台的《电子银行……安全和健全检查程序》。这个报告把银行参与的电子业务分成三个层次,然后在风险管理的基础上,具体对检查的范围和标准作出了要求。
1银行网络业务的三个层次
银行的网络可以分为内联网、外联网和互联网。不同的网络对象并不相同。互联网实际上是一个信息系统,通过这个系统可以公布、传送信息,也可以将所有业务在信息系统中开展。因此,不同的银行,利用互联网开展业务是不同的,有不同的层次的差别。《程序》将银行开展电子业务分成三个层次,对不同层次采取不同的检查标准和措施。
(1)第一层次:信息公开展示系统(information-only system)。在第一层次中,银行利用互联网只限于在互联网上刊登广告,介绍银行业务的有关信息,比如介召本银行的业务种类。有的时候,也可以通过电子邮件传递一些公开的信息。
(2)第二层次:电子信息传递系统(electronic information transfer system)。在第一层次中,银行同客户通过电子邮件的形式传递一些秘密的信息,或者,银行允许客户下载一些资料或文件。比如银行的网址上允许进行在线的货款和存款申请,下载一些需要客户填充的表格,以及通过电子邮件的形式传送这些数据和表格(里面可能含有一些需要保密的数据,比如客户的帐号等)。
(3)第三层次:全面的交易信息系统(fully transactional information system)这是最为高级的一个层次。银行可以完全通过网络开展自己的业务,比如帐户查询、转移资金,网上支付以及其他传统的银行业务。这一层次的银行需要全面的网上电子支付作为支持,也就是说金钱、资金可以完全变成数字化的形式通过网络传送和转移。
不同的银行,开展网络业务的层次不一样,有的只处于第一层次,有的可能不仅可以从事第一和第二层次的业务,还可以从事第三层次的业务;同时,一些银行可能是全面的参与和从事网上业务,比如自己设计开发整个系统,不需要外界技术力量的参与和其他银行的合作,而一些银行可能只是参与其部分的工作,比如只是作为交易的中介,从事授权、清算等工作等等。不同层次的银行风险不同。不同作用的银行风险也不同。
2检查的范围和标准
检查的范围包括六个方面:计划和实施方面;『操』作规程方面;稽核方面;法律和监管方面;管理方面;外部资源管理方面。每个方面由于银行开展网络业务的层次不同而采取不同的标准,但是,一般高级层次的银行同时也会开展低层次的业务,因此,检查时,也必须同时对低层次的业务进行检查。
(1)计划和实施
第一,对于第一层次的银行而言,主要看三个方面:首先,查看所有的网络是否得到有效的测试,要查看系统的容量、内容,评估其可行『性』;其次,查看银行是否对有关人员进行了培训。银行管理层对所有受到电子银行业务影响的人员都必须进行有效的培训,这些人员涉及各个业务部门和层级,包括负责产品开发、系统维护、稽核、纪律和法律部门的所有职员,同时,培训应该是长期的、不断更新的。再次,查看银行是否进行了充分的保险,或者是全面的保险,或者是责任保险、意外保险等等,总之,要使保险的范围涵盖各个可能出现事故的领域。
第二,对于第二层次银行,主要检查四个方面:首先,检查银行对于系统的开发和运作是否进行了充分的可行『性』研究,是否考虑了各种不同的情况,包括最坏的情况,董事会和高级管理层是否审查过该研究报告;其次,检查银行是否对系统内各种软件的内容及其准确『性』进行过核实和检查;再次,检查银行在系统出现故障时,是否存在备份,或其他方式以便于客户能够继续从事有关的交易,有没有有关的指示,使客户明白出现故障时可以采取的其他方式,有没有一定的程序,在出现故障时可以通知有关的客户;最后,检查银行有没有相关措施,限制有关人员进入计算机硬件、软件、通讯设备等。
第三,对于第三层次银行,目前还没有确定的检查标准。
(2)『操』作规程
第一,对于第一层次银行,主要检查两个方面:首先,通过审查有关的『操』作规程,确定银行是否有断修改和更新其『操』作规程,以适应各种不同传播渠道(包括电子广告)的特点和风险;其次,检查银行是否采用了足够的安全措施,包括获得、披『露』和保护客户秘密信息的安全措施,确认每一个要求银行提供有关信息和数据的客户的合法『性』的方式,可以和第三方共享的信息,以及提供有关服务的第三方参与和监测银行与客户之间电子交易的能力。
第二,第二层次银行主要检查两个方面:首先,检查有关获得、披『露』和保护客户秘密信息的规程随着电子设施的采用而更新,确认这些规程是否适用于银行同第三方共享的信息,比如银行同不属于联邦保险范围的机构之间共享人信息(有的银行依赖技术厂商提供网上技术支持,同这些厂商共享客户信息,但这些厂商不属于联邦保险的范围,可能给银行带来额外的损失)等等;其次,检查银行是否采取了有关的规程,当向银行提供服务的第三方可以参与或监测银行与客户之间的交易时,对这些第三方进行控制,这些第三方包括开发和向银行提供整个系统的技术商,或替银行处理信息和数据的厂商等,要确保这些规程同时也是银行同第三方之间合同或协议的一部分。
第三,第三层次银行主要检查同处方面:首先,当银行代理支付有关费用,资金转移或从事类似的业务时,检查银行是否要求客户提供一个签名的授权,银行如何证实收款人的合法『性』,是否采取了相应的合理程序和指南来增加和取消收款人;其次,检查银行是否采用了有关程序来控制客户转移未经托收的资金,识别和防止重复的交易;再次,检查银行是否采用了有关的措施向客户披『露』系统的安全『性』、银行对系统的控制程度和责任;第四,检查银行采取了什么样的机制来监测系统内交易的『性』质、数量和趋势;第五,检查银行是否采取和不断更新有关的规程来控制资金转移,定期的交易次数或交易数额的限制(比如每天限额多少),客户的最低信用标准,清算指南,透支情况等;第六,如果有电子外汇业务,有没有适用于外汇业务的规程。
四、立法和执法措施
以往的金融欺欺诈都要与金融机构进行接触,伪造多种金融票据也会留下一些比较明显的痕迹。而采用了计算机网络之后,储存在计算机网络中的电子资金面临着巨大的风险。以往只有银行人员才能接触的资金调拨,现在在理论上任何人均有可能调拨。比如一个电脑黑客可以通过手提电脑无线电话或卫星通讯系统进入一个银行的系统,增加自己的账户存款或将别人账户上的资金划拨到自己的账户上来,然后在atm(自动柜员机)上提取现款。据称欧洲此损失已达数百亿美元。这种犯罪的特点是高智能化,一般是计算机业内人士,熟悉银行计算机网络系统,作案地点隐蔽不易发现,并且可以随时变化。有人曾说,〃计算机网络在金融业内的实现使获取巨额的财富从来没有变得这么容易过。〃
上面已经提到,金融交易在网络系统的支持下,其发展潜力是无限的。但同时,在整个融活动完全依赖于网络
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!