论文关键词:信息系统;安全管理;体系
现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。
1安全管理体系构建
信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。
金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
2安全管理平台
安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。
2.1安全预警管理
安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。
2.2安全监控管理
通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。
1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。
2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。
4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
2.3安全防护与响应管理
在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。
2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。
2.4安全反击管理
安全反击管理包括安全事件的取证管理和安全事件的追踪反击。
1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。
2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。
3安全管理措施建议
在安全管理技术手段的基础 上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。
5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
【关键词】县域 金融 信息安全 管理
近年来,金融业面临的信息安全形势越来越复杂,工作越来越艰巨,并日益成为社会各界关注的焦点和维护金融稳定工作的一个重要组成部分。通过对华坪县工行、农行、建行、邮储银行、农村信用社5家银行业金融机构信息安全方面的调查,发现县域银行业金融机构在信息安全认识、科技资源配置以及网络资源备份等方面存在“短板现象”。
一、县级金融信息安全基本状况
由于金融信息系统全国或全省数据集中以及第三方外包服务的增多,县域金融机构科技维护任务逐步减少,科技岗位职能逐步弱化,信息安全管理存在着“短板现象”。从基础设施建设情况,几家金融机构机房建设选址合适,主机房都采取了防火、防水、防盗措施,具有防直击雷、感应雷措施,采取了接地措施,采用UPS电源对主机房不间断供电,机房管理制度较为全面,建设基本符合《金融机构计算机信息系统安全保护工作暂行规定》相关要求;网络建设方面,大多数金融机构的网络结构设计了冗余线路,有2家机构网络采用负载均衡方式运行,2家机构采取冷备方式,1家机构没有冗余线路和冗余设备。从信息系统建设情况来看,主要业务采取C/S或者B/S方式,服务器集中到对应的省级金融机构;银行卡及ATM机和POS机管理方面,以华坪县农村信用合作联社为例,目前安装了ATM机器11台,建立了巡检登记簿,通过抽查2011年维护和巡查登记簿,发现维护和巡查记录要素齐全,每日进行3次巡查,建立了维护审批登记簿及重要区域出入登记簿,共发生13次维修情况,维修时有相关人员全程陪同,发行的银行卡卡片符合《银行卡卡片规范》,采取了安全措施,POS机推广了45台,建立了相应的管理制度。
二、信息安全方面存在的主要问题
(一)县域金融机构信息安全协调机制有待建立完善
金融是现代经济的核心,也是高度依赖信息技术的重要行业,而金融信息安全不仅是人民银行各种重要业务开展的重要保障,还涉及其他商业金融机构,因此,建立金融信息安全协调机制,加强当地人民银行与金融机构之间金融信息安全沟通协调,促进金融业信息安全保障和应急工作十分必要,但就目前华坪县而言,还没有建立县域金融机构信息安全协调机制,还未开展过信息安全检查。
(二)金融机构科技人员和部门资源配置缺失
华坪县域有5家银行业金融机构,从人员配置情况来看,仅有1家金融机构,由于县域机构网点数多,专门设置了科技部门,配备有专职科技人员,有1家具有兼职科技人员,其余3家未配置专职或者兼职科技人员,总的来说,由于信息系统全国或全省集中,加之外包服务增多,县域存在着科技岗位弱化趋势。
(三)金融机构对信息安全重视程度不高
经过对县域金融机构的走访调查,发现主要存在以下几个问题。一是部分金融机构没有向当地人民银行报送计算机信息安全领导小组名单,且只具有形式,没有真正按要求运作;二是华坪县域金融机构均未设置专职信息安全员,或者系统管理员和信息安全员都为一个人;三是机房建设不规范,存在部分金融机构机房未独立设置,基础设施不全、不规范等情况。通过以上分析,存在基层金融机构对信息安全重视度不够的安全隐患。
(四)网络管理水平参差不齐
比如农行信息网络拓扑结构设计考虑了线路冗余和网络核心设备冗余,且采用了网络流量负载均衡技术,网络结构较为合理;而农村信用社网络拓扑结构设计有明显缺陷,尽管广域网设计考虑了冗余线路,但网络设备存在单点故障隐患,目前还采取网络设备发生故障后,再用其他设备去替换的方式,并且网络设备配置参数未进行备份,这种方式与现代金融的要求明显存在差距。
(五)金融业信息安全管理的法规依据建设滞后,部分领域存在缺失情况
在金融业信息化飞速发展的今天,部分法规依据还是沿用十几年前建立的制度,这些规定已难于适应现代金融信息安全规范管理要求,而自助银行信息系统基础设施建设还没有行业级的标准规范等。
三、相关建议
(一)尽快建立县级银行业金融机构信息安全协调机制
为增强金融机构对信息安全的重视程度,促进当地人民银行与金融机构之间金融信息安全沟通协调,加强信息共享、资源共享,进一步提高金融业信息安全保障和应急能力,建立协调机制十分必要,同时还要继续深化协调机制建设,保证协调机制持续运作。
(二)建议加强金融机构信息安全管理的制度建设
为提高金融信息安全标准化程度,开展信息安全检查提供强有力的依据,一是以相关法规和制度为依据,制定详细的金融机构信息安全管理的制度,进一步明确各主体间的法律责任和义务,如制定详细的信息安全检查实施细则,统一检查内容和检查流程。二是对责任追究制度的细化,就违反的相应事项,明确违反了法规哪一条哪一款,进行量化的处罚,增强约束力和可操作性。
(三)强化对各县域金融机构信息安全的检查和指导工作
【关键词】金融安全 虚假按揭 房地产调控对策
自从改革开放政策实施后,我国的城市住房市场“商品化”改革非常显著,房价也呈现急速攀升的趋势,越来越多人投身到商品房投资中,对我国金融安全影响很大。现阶段,我国房地产开发资金主要通过银行贷款通道来筹集,能够直接将房地产市场存在的危险转移给银行,加上房价快速提高的趋势,房地产泡沫造成的危险因素很多,所以采取有效的对策在最大限度上减少房地产泡沫破灭对我国金融安全带来的影响,已经引起社会各界的高度重视。[1]
一、关于房地产向银行转嫁风险方式的研究
(一)销售过程中风险转嫁方式的研究
住房销售时,房地产市场危险转嫁给银行的方式有三种,主要为:
1.“虚假购房人”型虚假按揭。部分开发商会廉价地收集虚假购房人身份证,还有一些开放商甚至在签订购房合同伪造身份证,旨在能在最大限度上获取银行的个人按揭贷款,找到真正的客户后,其再前往房管局进行注销抵押登记后将房子转让给客户。在房价不断提高的状态,此虚假按揭通常不容易被察觉,但是如果房价产生大滑坡现象,其在浮出水面的过程中还可以将所有金融风险转嫁给银行。
2.“虚报价格”型虚假按揭。这种风险转嫁方式和“虚假购房人”型虚假按揭差别不是很大,其主要指开发商通过虚报价格的方式来获取大量的银行贷款,然后将所有风险转嫁给银行。
3.“左手倒右手”型虚假按揭。与上述两种虚假按揭造危害想对比,“左手倒右手”型虚假按揭对银行造成的危害更严峻。该种虚假按揭在内容上主要指炒房人组织炒房联盟并且通过将住房屡次在炒房联盟中倒手的方式来增加房价,进而套取大于房价的银行贷款,紧接着使用银行贷款提高房价。如果房地产市场发展良好,将住房以更高的价格转让下家;若市场跌落谷底,便将房产和银行欠款一并抛出,令银行来承担坏账风险。
(二)开发建设过程中风险转嫁方式的研究
在我国政府对房地产进行改革后的几年时间内,因为国家对房地产的扶持以及有关政策存在缺陷,大部分开发商仅仅使用少量资金或者不用资金也可以维持房地产开发项目的正常运转。此后的几年中,国家根据房地产市场的发展情况不断制定且颁布了相关的规定,虽然取得了一定的成效,但是因为决策层对开发商的妥协,最终直接导致国家颁布的政策无疾而终。根据这些现象,面对不断提高的房价,国家所制定的文件难以抵挡银行系统被房地产市场存在危险因素的影响,因此,在房产开发建设过程中,开发商主要以向银行贷款来筹集资金并且将危险转嫁给银行。
二、金融安全维护对策
(一)对投机性购房行为进行精准地打击
前两年我国制定且执行了住房限购,明确提出面对房价不断上涨的形势,各直辖市要严格拟定且开展住房限购对策。今年国家又制定新措施严格打击投机性购房行为,体现了国家维护金融安全的智慧以及决心。住房属于人们的基本生活资料之一,如果将其当作商品开展经营,非常容易对社会稳定造成影响。另外,国家还可以建立健全个人住房信息联网系统,从而充分发挥住房限购政策的影响,并且尽最大的努力将该政策拓展到我国二三线城市中,避免二三线城市当中的住房也被炒房人拿来开展投机性资金炒作。
(二)建立且执行惩罚对策
因为受到来自多个方面因素的影响,虚假按揭现象在我国房地产市场中长期得不到合理的控制,尽管在后市持续良好的状态中,虚假按揭现象依旧难以消失。因此,为了维护房地产市场的正常经济秩序,金融部门应该承担社会责任,提高资质审查力度,并且对违规信息进行收集,然后交给国家有关部门开展严格惩罚对策。[2]现阶段由于政府提高信贷管理力度,同时对制度漏洞进行了有效的处理,使得“虚报价格”型虚假按揭现象得到合理的控制。
(三)增加保障性住房构建力度
自从国家贯彻执行限购令后,房产市场受到了严格的调控,我国大多数城市房屋交易量也受到影响,呈现有所减少的趋势。但是该政策另一方面又对国民经济造成不利的影响,使其呈现降低的趋势,因此致使限购令也受到不少人的反对。对此,国家需要保持正确的态度,房地产市场持续发展到当前,政府应该对其进行合理的调控,另外,我国目前的房地产市场非常混乱,如果不对其进行严厉的改革难以使其得到恢复。由此,国家根据挤压房地产泡沫的意识来提高保障性住房构建力度优势较多。我国政府加大构建保障性住房不仅能够正确地对房地产市场炒房行为进行控制,同时还可以处理好中低收入者住房情况,从而维持社会的稳定发展。另外,政府构建保障性住房还能够确保经济得以增长,带动与房地产行业相关产业的发展,从而给社会经济拥有更多新鲜活力提供保证。可是采取何种措施确保资金得到合理的使用和分配,激发地方政府的活力,还需要有关专家们的进一步深入探讨。
(四)对房贷首付比例进行合理的调整
银行可以制定有关的措施来禁止“一户多房”按揭现象的出现,比如说首套住房首付款应该大于房款的三成,或者以此为基础的前提下,各地银行按照实际情况调整首付款比例。我国相关法律规定,贷款购买第二套住房时,贷款首付款比例需要在房款一半以上,并且贷款利率也应该大于基准利率;贷款购买第三套或者更多时,均需要对高首付款比例以及利率水平进行最大限度上的调整。但是这些规定的产生以及颁布实施对拥有大量资金的炒房联盟影响并不大。[3]由此,国家需要以行政规定作为出发点来禁止“一户多房”按揭情况,并且在税收手段的帮助下,对房资源开展合理的调整。
综上所述,在房地产市场泡沫经济越来越严重的今天,为了降低其转嫁给银行的风险,维护金融安全,银行与政府均需要制定并贯彻执行相关措施,在不阻碍国民经济发展的同时对房地产市场进行调控,进而给社会稳定发展提供保障。
参考文献
[1]曾前锋.我国房地产金融风险的产生原因及应对措施[J].中国商界,2010,10(02):78-79.
[2]王婧.房地产泡沫造成金融威胁的探讨[J].对外经贸实务,2010,13(12):112-113.
【关键词】房地产市场 管理与调控 金融安全 分析
现如今我国房地产开发企业的融资渠道主要有股票增发、发行债券、银行开发贷款、民间借贷及预售回款等。但多数房地产开发企业的筹集资金来自于银行贷款(其中一部分为开发贷款,另一部分为预售回款而百姓买房多数要靠银行按揭贷款),在这种情况下银行将会承担房地产市场波动带来的危险,并且随着房价的不断升高极易形成的房地产泡沫带来的危险因素也逐渐增多。房地产市场大幅波动对我国金融安全有着一定的影响,有关部门需要采取有效措施减少其带来的不利影响。
一、新时期下房地产市场现状分析
相关调查表明当前我国房地产行业将市场风险转向银行,下面对其进行研究。
第一,房地产开发建设过程中可能出现的市场风险转向银行的方式进行研究。以前在房地产相关政策上缺乏完整性,并且政府部门未对房地产进行相应的辅助,在这种情况下多数房地产开发商仅投入少量资金便可保证房地产开发项目进行正常运转。近几年政府部门将我国房地产发展的具体情况作为主要依据制定了一些全新的规定,并且在实行后取得了较好的效果,但是上级决策人员仍然存在妥协的情况,从而导致新规定失去了价值和意义。如我市某(商业房产占比较高)开发项目,开发商实力不足又高价拿地,通过银行大量融资,融资后银行未对资金用途进行有效监管,近年来赶上经济下行、国家开发贷款额度收紧及商业房产销售不景气的形势下,开发企业后续资金跟不上进行开成烂尾楼,如此将市场风险转向银行,给银行、购房户、社会造成了较大的影响。(注:目前该项目在政府、银行的合力下已顺利化解风险)
第二,在房地产销售时将市场风险转向银行。在销售过程中的转向方法主要包括如下三种:其一,虚假购买。房地产开发商在正式销售前让公司员工以自己及员工亲属、朋友的身份签约并向银行申请办理了按揭贷款,有的开发企业为了从银行中获取个人按揭贷款会出现伪造身份证的情况,在遇到真正购房者后才将该房产向行政主管部门申请办理的抵押预告登记和合同备案登记注销,之后再将房源转让给购买者。在房价不断升高的情况下此种行为不容易被发现;如果房价出现大幅度下降时银行则成为市场风险的主要承担者。其二,提高申报价格。此种移向方式同第一种基本相似,主要指房地产开发商为了从银行获取更多的贷款对房产品质进行了虚假申报,进而提高销售备案价格,虚假签约从而巧妙的将房地产市场风险转向银行。其三,多次倒手。此种转向方法相比上述两种方法带来的后果更为严重,此种转向方法主要指炒房者形成组织(人称炒房团),在开发企业配合下通过对房子进行倒卖倒买的方式抬高房价及获利,从而在银行中获取更多的贷款;在获得银行贷款后使用此项资金继续对房价进行提高,当房地产运行和发展情况较好时房子可以高价售出,但是如果出现经济下行、房地产行势下行时便会出现不同程度的金融风险。
二、维护房地产金融安全对策
通过对目前我国房地产发展情况进行详细研究,可知房地产市场仍存在较多的问题,并且这些问题将会对金融安全产生不利影响,为了减少不利影响可以从以下几点进行解决。
第一,对投机性购房行为进行管控。在高房价持续不降的情况下我国政府部门为确保金融安全、稳定房价已采取行政命令的形式出_了房屋限购政策,基于此各地可据“因城施策”的原则结合实际情况制定合理的限购措施,减少虚假购房出现的几率。目前我国政府部门对投机购房行为也制定了一些解决措施,对购买房子过程中出现投机行为进行严重打击,从而减少房价增长对我国金融安全带来的负面影响。房屋在人们生活中必不可少,如果任由开发商将其作为商品进行经营而不加管控,商人逐利是本性,长此以往将会对社会的稳定产生一定影响。除此之外我国住建部门应扩大个人住房信息联网系统的覆盖面,进而保证限购政策可以得到最大程度的发挥,并且在城镇中也可以实行此政策,减少城镇中一些炒房者哄抬房价的情况。
第二,制定科学、合理的惩罚制度。在房地产项目销售过程中虚假按揭的情况较为多见,为了对此种行为进行有效控制,金融管理部门需要制定合理的惩罚制度。在制定惩罚制度前需要对当前房地产市场情况进行充分调查,根据调查结果制定惩罚制度,加大日常管理力度建立信用档案,如果发现违规行为需要及时进行记录,并且对相关信息进行收集,在信息和数据整理完成后移交政府部门,由政府依法对其进行惩罚,从而减少虚假按揭发生的几率。此外金融管理部门需要对信贷管理工作产生足够的重视,贷款银行应对借款人资质和相关资料的真实性进行严格检查,如有不实则禁止发放贷款,减少谎报房价的情况出现。
第三,调整房贷首付比例。为了更好的实行房屋限购政策,银行可以根据当前经济发展情况对房贷首付比例进行调整,国家法律法规中明确说明在二次购买住房时房贷首付的比例必须超过全部房款五成,同时贷款的利率较基准利率大;在三次购买或多次购买住房时需要对房贷首付和贷款利率进行合理的调整,从而减少房地产市场风险。近几年上述规定逐渐得到强化,此种规定对收入偏低的人群有一定的影响,但是对联合炒房组织的影响较小,为此需要加强政府监管力度,禁止出现一户多房按揭现象。
第四,加大保障性住房的投资建设力度。随着我国住房限购政策实施,对房地产市场进行了有效的管理和调控,但是对房地产交易也产生了一定影响,通过相关调查发现在实行此项政策后我国房产交易数量逐渐减少,对我国经济的发展产生一定阻碍作用,受到人们的诟病与此同时人们对限购政策持不满意的态度。加大保障性住房的投资建设力度,有利于解决低收入者的住房问题,也在很大程度上减少了因限购等对房地产这一支柱产业的不利政策带给社会的影响,与此同时对我国经济的发展有一定的积极作用。
此外政府部门应通过加强销售监管及销售资金的监管等方式对当前房地产市场进行适当的调控,也可以使用税收方法对现有的房产资源进行合理调配,以保证房地产市场井然有序、维护金融体系安全、促进社会经济稳定发展。
三、结束语
上述文章对新时期下房地产市场管理与调控的金融安全进行了分析,并且对维护金融安全提出了对投机性购房行为进行管控、制定科学合理的惩罚制度、调整房贷首付比例及加大保障性住房的投资建设力度等对策,希望在当前经济复杂多变的环境下,政府监管部门及金融监管机构遵循正确分析,区别对待的原则,及时跟踪、分析各地的房地产业及房地产信贷的运行情况,提高对房地产调控及金融安全系统性认识,制定相关政策,从而保证房地产市场正常运转,保证金融安全,促进我国房地产经济健康、快速发展。
参考文献
在金融监管部门,当计算机出现安全故障时,法定代表人作为第一责任人要对该故障负责并及时安排排除故障等程序,另外,每个级别的代表任何责任人都要签订安全管理责任书,将责任明确到个人。金融机构安全管理工作的加强不仅可以保证金融业稳定的发展,还可以促进IT行业治理水平的提高。随着金融机构信息化程度的加深,人们对于计算机安全管理的认识也在不断的加深,而股份制的改变也让金融行业了解到计算机安全管理对金融行业的重要,当金融机构的计算机管理系统出现故障时,不仅影响了银行的运作和金融业务的办理,对金融业的稳定性也造成了一定的影响,因此,提高计算机的安全管理水平是保障金融行业稳定的因素之一。
2计算机安全管理的影响因素
2.1相关标准规范体系
在金融机构中有一种操作风险是不容易控制的,到目前为止都没有较好的办法可以将操作风险的概率计算出来。尽管近几年有部分金融机构将重心放在操作风险的研究上,并针对操作风险建立了相应的管理体系、管理流程和计算方法,但收效甚微。对于国内金融业操作风险的评估,首先需要建立一套科学的指标体系,对于金融业信息的衡量如果没有标准规范作为参考,始终会存在一些安全隐患,标准规范的设立对我国金融业计算机安全管理水平的提高会起到指导和促进的作用。
2.2灾难备份体系
金融机构开展灾难备份建设工作需要以成本效益作为开展原则,并考虑系统的风险承受能力、系统的重要程度和灾难恢复时间。国际上比较先进的金融机构基本上都采用了这种方法,在使用这种方法前首先要确定金融机构计算机系统的灾难备份等级,对不同等级的灾难备份制定不同的措施,特别是比较关键的系统和设施的灾难备份等级要高于其他备份等级。因此,国加金融行业的主管部门应该引导其他金融机构,按照自身灾难备份的重要程度分级实施,借鉴国际先进金融机构的经验,以有序推进为原则,对关键性设施和重要业务系统进行重点备份,保证系统的正常运转,将灾难降至最小。
2.3相关业务部门
在金融机构中大部分的工作内容都和计算机的安全管理挂钩,特别是业务部门与计算机的关系更加密切,业务部门制定业务计划、建造灾难备份、中断或者恢复业务等应急工作都离不开计算机的安全管理,因此,计算机安全管理系统在科技和业务部门充当协助者的角色。产品质量在应用研发过程中起着关键性的作用,它的好坏对系统的正常运行、软件程序的开发应用和检测性能需求等方面都会造成影响。
3计算机安全管理的有效措施
3.1组建计算机安全管理体系
每个金融机构都需要建立一个完整的计算机安全管理体系,本文以银行计算机安全管理体系的建立为例说明,在银行安全管理体系中首先要选出一个组长即安全管理体系的负责人,一般是由银行行长或者副行长担任,其次在办公室、信息科技部、个人金融部和运行管理部分别选出一个代表人作为这个管理体系的成员,这个安全管理体系的人员需处理计算机系统故障带来的问题,负责制定应急措施、灾难备份和信息恢复等工作。科技部门负责安全管理情况工作的定期汇报,另外在每个分行的科技部门也要建立安全管理部门,让这种体制走向规范化,为金融机构培养出一批优秀的专业性强的计算机安全管理工作人员。
3.2项目开发管理
定期更新金融机构的计算机安全管理软件版本,保证项目的研发质量。项目开发管理质量的保证首先要从测试管理流程和研发过程两方面进行加强,特别是项目方案的审查和项目质量的控制两个方面要特别注意;在应用版本的、投产策略和测试上要及时调整和优化,对版本的投产进行集中处理,可以解决版本投产过于频繁的问题,除此之外还可以降低版本投产、生产和变更等过程中存在的风险;增加业务部门与项目开发部门之间的交流,部门之间相互配合相互协调,在促进工作进展的同时,降低了风险的概率。
一、面临的挑战
目前,金融业的业务开展更加依赖于信息技术的应用,特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而,信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。
一是人民银行的业务指导、监督管理滞后于金融业信息化发展。
与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。
二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的ic卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。
三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。
金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。
2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、visa和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。
由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。
四是数据大集中的同时,也使技术风险相对集中。
伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。
近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。
信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。
五是我国金融业的灾难处理能力有待加强。
据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。返观国外同业.多数国外银行已经做到了分行一级的灾难备份与恢复。这表明,我国金融业灾备中心建设同国外相比存在较大差距。
此外,国内金融机构的现有灾难备份中心布局不合理,过度集中在北京、上海两地,一旦发生区域性重大灾难,将对我国金融业整体运行状况带来极大危害,并造成过高的重建成本。
二、应对措施
按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案) 规定,人民银行的主要职责之一是组织制定金融业信息化发展规划,负责金融标准化的组织管理协调工作,指导金融业信息安全工作。
在新形势下如何指导和协调金融业信息化建设和信息安全,是人民银行尤其是人民银行分支机构需要认真思考的问题。
金融业信息系统的安全是防范和化解金融风险的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系。
一是加强金融服务指导和行业监管。
应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制,强化信息安全手段和队伍建设,加强信息安全检测和准人制度,实施信息安全等级保护,建立信息资产风险评估体系,提高信息安全水平,保证金融稳定和经济发展。
人民银行分支机构应加强对中小金融机构的服务指导,尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导,帮助中小金融机构借鉴成功经验,规避风险,实现跨越式发展。
各级人民银行,应牵头成立金融业信息安全领导小组,并建立和完善信息安全通报制度、报告制度和联席会议制度,建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制,随时处置和协调金融机构安全事件,以迅速应对突发事件的发生,降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。
二是研究建立跨部门的现代化金融业信息安全管理网络。真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。
在正确评估我国金融网络现状的基础上,借鉴国外的组网模式,尽快建立适应我国金融业信息化建设和发展实际的高速、安全和先进的网络框架,在建设时要充分考虑到网络的兼容性和拓展性,为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,必须充分认识到金融业信息安全对整体业务和金融体系,乃至经济体系的影响,牢固树立风险防范意识,把信息科技作为风险管理的重要手段。
三是人民银行要协调督促金融机构,加强自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。
对采购或使用的信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,也须保证其可知可控,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。
对须引进的,实行市场准人制度,并引进权威机构对其产品进行风险、安全、实用等综合性评估。
对各地区一些科技水平还比较低的中小金融机构,要加大支持力度,加强行业内部的交流合作。针对目前金融业,特别是中小金融机构的信息系统的开发、建设和运维采用it外包的形式,应出台相应的政策、制度和措施,促进it外包健康快速发展,约定监管机制,规范服务商的服务标准和流程,使it外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。
四是建立健全信息安全管理制度,定期进行信息安全检查,加强网络安全攻击防范。
由于金融业的组织结构和业务运营方式,使网络必定要建成一个同internet和外部线路有较密切关系的结构,各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的,也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等,特别是在网络上运行关键业务时,网络安全问题更是要优先解决的问题。因此,应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进银行做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
五是增加业务持续动作能力,切实采取措施防范数据处理集中后的技术风险。
巴塞尔银行业监管委员会共同论坛2006年8月了《业务连续性高级原则》将业务连续性管理定义为,发生中断事件时,确保某些业务保持运行或在短时间内得到恢复的一整套办法,包括政策、标准和程序。
业务连续性管理的实施在组织上的保证至关重要。人民银行应指导金融业参照国外先进经验,专门成立业务连续性管理指导委员会,将业务部门、风险管理部门和it部门有关业务连续性的管理职责融于一处统筹管理。
目前,国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在it部门,远远不能适应业务连续性的需要,应当强调业务部门的参与,与it部门共同构建适应现代金融业发展需要的应急保障体系,确保运营安全。
三、结束语
据统计,我国公安机关自2000年至2009年,共破获利用网络犯罪案件16700余起,缉捕犯罪嫌疑人19300余人,涉案总价值近95亿元。有统计报告称,将受侵权案件进行归类,发现属于管理方面的原因比重高达60%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证。在提高安全管理技术手段的同时,还要从制度和管理机制上提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。加强金融信息系统的内部安全管理措施,层层建立起组织管理系统,制定和完善内控的各项规章制度,不断改进和加强程序的操作与管理技术,是做好金融会计信息系统安全管理的根本。
一、金融会计网络信息系统面临的挑战
目前,网络信息和技术的广泛使用,给金融会计网络信息系统带来了多方面的风险和隐患,金融会计网络信息系统正面临十分严峻的形势和挑战。
(一)金融行业的管理落后于金融网络系统发展的需求
目前,我国金融业的网络信息安全管理工作还存有不少漏洞,从领导决策、内部安全制度管理到网络技术的安全管理,都还需要直一步加强。曾有金融界专家根据我国金融网络信息安全管理不佳的现状指出:“信息资产风险监管是金融监管体系的核心理念。”这里说的信息风险资产是指在网络信息化进程中,信息资产的设计、规划、服务、运用、监管以及操作等过程中产生的业务风险。从目前我国整体形势来看,金融会计系统的安全管理制度都已比较完善,但从上级机构对下级机构的监管和指导上还处于一个较低级的阶段。因为往往缺乏完整的认识,缺乏统一的监管目标,缺乏上下级之间监管的运作机制,从而造成上下级监管不到位,就不同程度地消弱了网络信息安全管理的实际效果。
(二)核心设备和技术依赖国外,造成安全隐患
目前,我国的网络信息系统所使用的操作系统、芯片、数据库等大多数还是由外国生产和提供,其中有些人为设置的软件陷井和系统漏洞,往往就会使我们防不胜防。有人在调查中发现,外国人生产设计的操作系统和数据库及一些重要网络系统中使用的信息技术产品等,都不可避免地存在着一些安全上的漏洞。这些漏洞其中有的是疏忽造成的,但也有的是有意设置的。在网络运行中,这些安全上的漏洞就有可能被人利用实施入侵,被人破坏设备程序或从中窃取机密信息和数据,实施经济犯罪。
(三)境内外网络违法犯罪活动呈快速发展趋势,金融会计网络信息系统安全将面临严峻的网络技术挑战
金融会计网络信息系统和其它重要信息系统正成为国内外不法分子进行攻击和破坏的重点目标,他们都是利用自己高尖端的网络信息系统技术进行犯罪活动,只要我们一时的疏忽和松懈,就会让坏人有机可乘,给国家和集体的财产造成很大的损失。目前,从全国的形势来看,不法份子正在利用其所拥有的高科技,在整个金融界无孔不入地从事破坏活动,已有不少金融会计信息系统受到他们的攻击,并给我们的金融业造成了巨大的危害,所以说,我国目前金融会计网络信息安全的形势十分严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心95%都遭到过境内外黑客的攻击和侵入,其中以银行、金融和证券机构为其攻击的重点。
二、应对措施
(一)加强金融网络信息系统安全管理的行业监管和制度建设
目前,随着我国社会经济的快速发展,网络信息安全工作也已受到国家有关部门的高度重视。尤其是近几年以来,党和政府开始把金融信息系统安全工作提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,同时,各级政府还专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系,为金融会计系统网络信息的安全管理打下了一个良好的基础。具体到一个行业和部门就更应自己对加强信息系统安全管理重大意义的认识,在国家高度重视并建立防护机构的基础上,建立起自己的信息安全管理组织,联系本行业、本部门的工作实际,科学认真地制定出确保金融信息系统的安全管理措施。管理措施主要应包括领导责任、安全管理人员的职责划定以及工作人员技术管理、操作程序上的具体要求和防护策略。同时应要求将各种安全策略规范化和实用化,加强其可操作性,以保证安全管理人员在工作中具有明确的依据或参照,并便其形成一种人人都严格实施的工作制度。
为了进一步从根本上强化金融网络信息系统的安全管理,还应建立起跨部门的金融行业安全协调机制以及关键时期的安保工作机制,加强信息安全的检测和准入制度,层层建立起信息资产 风险评估体系,切实提高信息系统安全管理水平,保证金融业的长期稳定和发展。上层金融机构要切实加强对下属中、小金融机构的监管,并加强具体指导和提供各项服务。加强对下属金融机构的业务、技术培训,提高其安全防范意识和防范技能,帮助中小金融机构规避各种风险,实现持续发展。各金融系统还应自上而下地成立行业网络信息安全领导小组,并随之建立起一系列的信息安全的报告制度、通报制度和联席会议制度,真正建立健全运转灵活的、反应灵敏的信息安全应急协调机制,及时消除隐患,快速有效地应对各类突发事件,从根本上降低和消除各类重大事故的发生,保障金融业健康有序的发展。
(二)强化网络信息的安全机制建设
在网络信息机构、制度建设的基础上,必须加强行业、部门内部的安全机制建设。这就是说,机构和制度的建立固然重要,但更为重要的是机构和制度的运作是否能够形成一个科学有效的内部管理机制,没有形成一个科学有效的管理机制,机构和制度都将形同虚设。安全机制建设的内容应包括:一是层层建立岗位安全责任制,在防患于未然的前提下,一旦发生问题,责任十分明确,谁也无法推诿,以此增强每一个领导者和每一个工作人员的责任意识;二是可进行安全区域划分,重点加强重要地区和部位的防御力量。从人力到有针对性的安全设备部署和设置,都要向重要部位实施强化,以改进和加强对重要区域的分割防护;三是增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,发现问题及时向主管领导报告或立即报警,力争将隐患和问题消灭在萌芽状态,以此来保证和提高自身的动态防御能力;四是完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。五是要强化“突发”与“应急”意识。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。六是要扩大应急预案本身的覆盖范围。应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进金融部门做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
(三)组建网络信息安全专业组织
因金融会计网络系统安全问题事关重大,在已解决上述有关问题的前提下,组建起一支精干而专业的网络信息安全的专业组织是大有必要的。专业安全保障人员应专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑等方面的工作。在此基础上,要根据可能发生的安全问题,制定出关键设施或部位的应急预案,让每一个人都牢记在心,防患于未然;同时还要对专业安全人员进行有目的的业务和技能培训,让其真正具备应急预案中所规定的专业安全保卫人员的思想素质和各项防范技能,随时准备应对可能发生的突出事件。如上所述,多管齐下,多渠道实施综合防范,真正建立起网络信息系统的安全保障体系,实现对金融机构信息安全风险的及时、动态、全面、连续的监管,同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,所以我们就必须充分认识到金融业信息安全对整体业务和金融体系,乃至体系的影响,牢固树立风险防范意识,把不断提高信息科技能力作为风险管理的重要手段。
[论文摘要]金融监管的法价值追求有两个,一是防范和化解金融风险,维护金融体系的稳定与安全。二是保护公平竞争和金融效率的提高,保证中国金融业的稳健运行和货币政策的有效实施。这两个方面的冲突阻碍了金融监管的目标即金融体系的社会福利最大化的实现。本文试通过论述使得金融监管的法价值追求在金融监管的实务中找到其现实依托,以使法的价值追求与法的本身价值统一。
由于我国金融监管的相关法律中把防范和化解金融风险作为其目标,因此,安全和效率成为了金融监管的法价值追求,这一法价值定位,具有法律价值的共性,也是为理论学界所通认。
一、 金融监管中的法价值追求
在金融体系结构和运行方面,我国选择了银行主导型,这为我国经济高速增长做出了巨大的贡献。但是也导致了多年全局性的资源浪费和系统性金融风险的积聚。银行大量不良贷款的积累就是金融风险的集中体现,金融监管的必要性越来越紧迫。
一般认为,金融监管是伴随着银行危机的局部和整体爆发而产生的一种以保证金融体系的稳定、安全及确保存款人利益的制度安排,它是在金融市场失灵(如脆弱性、外部性、不对称信息及垄断等)的情况下而由政府或社会提供的纠正市场失灵的金融管理制度。金融监管的一般目标有两个:一是防范和化解金融风险,维护金融体系的稳定与安全;二是保护公平竞争和金融效率的提高,保障中国金融业的稳健运行和货币政策的有效实施。这也决定了金融监管的两个法价值追求:安全与效率。
(一)金融监管的法价值追求之一:安全
一般认为,金融监管是伴随着银行危机的局部和整体爆发而产生的一种以保证金融体系的稳定、安全及确保存款人利益的制度安排。金融业与其他经济部门相比,有其自身的特殊性。在现代市场经济条件下,金融市场有着比其他市场更高的风险性。首先,金融市场的参与者成分复杂。为了维护公平、公正、公开、健康的市场秩序,使金融市场在规范的轨道上运行,要防止可能出现的欺诈、垄断和不合程序的内幕交易,保护投资者合法权益和公平竞争,排除、抵御市场波动风险。其次,金融业(尤其是银行)是高负债行业。金融机构在经营过程中面临着诸多风险,其中任何一项风险都会对金融机构的经营成败产生重大影响,但是金融机构为了追逐高额利润,往往盲目扩张资产导致资产状况恶化。再次,金融风险具有很强的传染性,是系统性风险非常高的行业。一家银行或几家银行出现危机会迅速波及其他银行形成整个金融业的危机,并危及社会经济的健康发展。正是由于金融市场的高风险性,金融监管就显得格外重要,同时也决定了金融监管所追求的价值之一是金融安全。
(二)金融监管的法价值追求之一:效率
金融市场作为市场机制,带有一定的自发性和盲目性,能否具有较高的效率,需要进行监督和管理及必要的引导、干预和调控。金融监管正是在金融市场失灵(如脆弱性、外部性、不对称信息及垄断等)的情况下而由政府或社会提供的试图以一种有效的方式纠正市场失灵的金融管理制度。金融市场失灵主要是指金融市场对资源配置的无效率,主要针对金融市场配置资源所导致的垄断或者寡头垄断,规模不经济及外部性等问题。关于完全信息和对称信息的假设,在现实经济社会中是不能成立的,正是这一原因形成了引发金融危机的重要因素——金融机构普遍的道德风险行为,造成金融监管的低效率和社会福利的损失。
道德风险是由于制度性或其他的变化所引发的金融部门行为变化,及由此产生的有害作用。在市场经济体制下,存款人(个人或集体)必然会评价商业性金融机构的安全性。但在受监管的金融体系中,个人和企业通常认为政府会确保金融机构安全,或至少在发生违约时偿还存款,因而在存款时并不考虑银行的道德风险。为了解决对道德风险的监督问题,只能由没有私利的政府来提供金融监管这种准公共产品,提高金融效率,克服信息非对称条件下的道德风险问题。研究表明,金融监管的目标是金融体系的社会福利最大化。由此,金融监管所追求的恰恰是金融稳定基础上的金融效率。
二、金融监管应坚持安全与效率并重
安全与效率是法价值内的一对矛盾。在金融监管中,如何处理金融效率与金融安全的关系,金融监管的价值目标究竟应当以效率为本位,还是立足于安全的保障,是当下中国金融监管制度变革必须解决的首要问题。
首先,金融监管应立足于金融效率。金融市场效率是资金在融通市场上所表现出来的有效性,注重金融资源配置的最优化,这种最优化在通常情况下表现为创造最大的经济价值。金融市场效率的高低对市场收益和风险的影响很大。在高效率的金融市场上,投资者通过自己的效率组合减少其“个别风险”,市场通过高效运作减少其“系统风险”,以使收益稳定在较高水平上。在低效率的金融市场上,市场剔除系统风险的能力很弱,易受外来因素的冲击,投资者也因找不到或不能及时找到效率组合而缺乏抵御个别风险的能力,致使收益与风险波动很大。金融市场剔除风险能力的高低就成为市场效率的主要衡量标准。
其次,金融监管应兼顾金融安全。金融安全首要追求的是金融业的稳定发展。稳定的金融环境使微观主体的成本和收益可以准确分析和预测;各交易主体,可以准确评估交易风险和收益。安全与稳定并不是一个静态的概念,不排斥效率与竞争。事实上,有序竞争和不断提高的效率可以增强银行业抗击风险的能力。为此,监管者应致力于为银行业创造一个公平竞争的市场环境,制止各种不正当竞争行为,确保市场主体平等的法律地位和市场机会。金融安全正是为提高效率提供一个良好的环境。因而,追求效率与效益的同时必须要兼顾金融系统的安全与稳定。
三、金融监管法价值追求的现实归依
人对法的价值追求,即人通过法这种中介手段所要追求的理想和愿望。就法律的价值而言,是指作为客体的法律对于主体的人的有效性和积极性。法的价值的主体是人,是指具有社会性的社会人的总称。法的价值的客体就是法本身,这个法是指广义的法,即法律规范和法律事实的总称,它包括法的制度、法的运行事实和以观念形态存在的法。依此传统观点,金融监管法的价值,就是金融监管法作为一种社会规范对人类社会的满足和有用性。因此,我们应尽量从客观出发,以达到主观上美好的理想追求,给主观以现实的依托,使二者能在最大程度和范围内统一起来。要实现金融监管的法价值追求就应当在金融监管的实务中找到其现实依托,以使法的价值追求与法的本身价值统一。
长期以来,国内银行监管往往立足于运用法律、政策的力量,通过采取直接的行政性控制手段,从外部规定整齐划一的监管措施来实施严格的风险控制,应当说这对我国银行业的稳定起了重要的作用,但这种稳定是短期的和相对的,缺乏可持续性。因为它不仅束缚了银行的自主性。而且大大损害了银行的创造性和竞争力,其结果往往是“风险防范力度加大了,但金融效率降低了”。我国的金融监管正处于转型和开放时期,安全与效率协调并重理念已经得到广泛认同。为此,我国银行监管机构要切实转变监管理念,调整过去那种只注重风险防范而忽视效率的做法,使两者有机结合、相辅相成。具体讲应做好以下几方面的工作。
1.在监管目标上,要以效率的提高为着眼点,坚持防范风险与促进发展相兼顾。只有提高了效率,得到了发展,才能谈得上防范和化解风险,也才有金融稳定的基础。
2.建立和完善金融机构内部控制制度。目前我国关于内部控制制度方面的相关法律规定过于原则,对于内部控制系统是否完善也未予重视,势必使该机制处于虚设的状态。此外,我国尽管组建了全国性的银行业协会,但是其地位和作用尚未予以充分关注。我国应根据巴塞尔银行监管委员会《有效监管的核心原则》的建议,内部控制应从组织结构、会计规则、对资产和投资等方面来构建。
3.要规范信息披露制度。金融安全与金融效率事实上是会受制于信息效率这一要素的。一方面,监管系统信息能力的不足,造成金融秩序的混乱,难以保障金融安全;另一方面,在金融监管信息不足的情况下即使加强了金融监管当局的控制能力,有利于维持金融秩序,金融效率仍然是低下的。因此,信息披露是金融监管的基础。我国金融监管当局尚未制定一套适应当前发展形势的信息披露规定。应尽快建立一套既能体现巴塞尔要求精神又符合我国实际的披露指引。披露指引应特别注意加强对资本充足率、资本结构、贷款质量、盈利能力和市场风险管理技术等方面的披露。并以法律的形式进一步明确规定有关金融活动信息披露的义务人、信息披露的内容和形式、信息披露的原则和标准。此外,还应特别注意操作风险、信用风险等的披露,提高风险管理技术水平。
4.建立存款保险制度。存款保险制度的运行机理是 由参与保险的各金融机构向监管当局交纳一定数量的资金,当银行失败或挤兑现象发生时,这批资金即被用于偿付存款。根据传统理论,传染性不是特例,它在任何没有存款保险或独立央行的银行体系中都可能发生。为了避免发生银行危机,当局必须对每一银行倒闭提供保护,或通过向存款人提供广泛的保险来避免危机在银行体系中扩散,否则个别银行的倒闭将最终导致整个货币和信用体系的崩溃。
因此,应加快建立存款保险制度,设立功能完善、权责统一、运作有效的存款保险机构,增强金融企业、存款人的风险意识,防范道德风险,保护存款人合法权益。存款保险制度要覆盖所有存款类金融企业。
5.完善金融市场的退出监管制度。金融稳定是各国监管的目标之一,但它不应该成为监管当局的最终目标,金融监管的最终目标应该是在金融稳定的基础上,追求金融效率的提高,金融稳定是一个全局性的概念,金融稳定并不意味着没有金融机构倒闭,个体金融机构的退出可能是金融效率和竞争共同作用的结果,反过来金融个体的市场退出,从本质上也提高了金融市场的资金配置效率。
市场退出是金融机构经营失败的最后一种处理方式,市场退出对整个金融体系乃至国民经济都可能产生巨大影响,因此,一个健全、合理的市场退出机制,会最大限度减少金融企业市场退出对国民经济的破坏作用。不良资产的大量存在,是我国金融企业市场退出问题的最主要的金融背景。目前中国缺乏市场的退出机制,对于出现严重问题的金融机构,要该清算的清算,该破产的破产,不能政府一味买单,应使金融风险处于有效的处置体系之下,从而为有效控制风险,实现金融安全与效率奠定基础。加快建立金融机构市场退出机制,有利于及时清理金融体系中的不健康肌体,确保金融体系的健康运行。
是1项系统工程,触及硬件、软件、防火墙、网络监控、身份认证、通讯加密、灾害恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全乃至国家安全。因而,必需站在更高的层面审视网络金融安全问题。
1、网络金融概念特色
(1)概念
网络金融,又称电子金融(e-finance),是1种通过个人电脑、通讯终端或者其他智能装备,借助国际互联网以及通讯技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、展开网上金融交易的金融流动。网络金融包含在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据遭到维护,不受偶然的或者者歹意的缘由而受到损坏、更改、泄漏,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包含系统安全以及信息安全两个部份,系统安全主要指网络装备的硬件、操作系统和利用软件的安全,信息安全主要指各种信息的存储、传输以及走访的安全。
(2)特色
世界第1家网络银行——美国安全第1网络银行(SFNB)自一九九五年一0月一八日开业以来,国际金融界掀起了1股网络银行浪潮。这1金融立异正彻底了金融业以及金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界线再也不显明。与传统金融相比,网络金融拥有下列1些特色:
一、虚拟化。网络金融市场是1个信息市场,同时也是1个虚拟化的市场。网络金融虚拟化主要表现在金融实务虚拟化、服务机构虚拟化、交易进程虚拟化以及交易货泉虚拟化。
二、无界性。网络金融的无界性主要是指金融流动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任1时间、任1地点、以任1方式成为其客户,并以商家愿意接受的任1电子货泉支付,交易地域隐约性给计量造成难题。
三、低本钱。虚拟形态的网络银行交易本钱远小于物理形态的金融机构经营本钱,而且服务效力患上到提高、服务质量没有降低。这是网络金融患上以呈现并迅速发展的最主要缘由。
四、加密性。传统金融下交易进程依赖于物理设置以及现场办公,而网络金融下交易进程采用技术上加密算法或者认证系统的变更或者认证来实现。
五、信誉性。电子货泉以及网络金融的发展,使患上1些电子商务公司等非金融机构涉足短时间电子商业信贷、中介支付、投资理财参谋等金融或者准金融业务,而金融交易信息传输保留的安全性、客户个人信息、交易信息以及财务信息的维护日趋遭到公家的关注。无疑,人的信誉价值和游戏规则的固化是网络金融快速发展基石。
2、网络金融安全现状
网络金融安全伴同着网上交易的整个进程。主要有两个方面:1是来自金融机构内部,网络系统本身的安全和本身的管理水祥和内控能力。如因为软硬件配置不匹配、系统设计不公道、运行不不乱等构成的安全隐患;2是来自于金融机构外部,取决于选择的开发商、供应商、咨询或者评估公司的水平,和其他各种外来因素如黑客袭击、自然灾难侵袭等所酿成的安全问题。
有关调查表明,目前国内八0%的网站都存在安全隐患,其中有二0%网站的安全问题还10分严重。安全问题已经日趋成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融流动中的安全隐患,主要表现在:
一、金融设备后进。我国金融电子装备的核心技术大部份都是从国外进口的,国产化率低、立异自主知识产权少,在金融电子化进程中,整个金融系统内的操作平台,和电子支付系统等核心技术,都对于国外技术的依赖性愈来愈大,因为平台软件源代码末公然,致使我国金融安全的基础至关薄弱。因计算机硬件故障造成系统停机、磁盘列阵损坏等事件,成为网络金融业务的安全隐患。
二、网络系统漏洞。互联网自身固有的技术体制存在缺点。基于远程通讯的便利,互联网并未斟酌安全性问题,因此基于信任主机之间的通讯而设计的TCP/IP协定缺少安全机制,树立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不不乱,被病毒入侵、被黑客袭击,轻者数据毁坏丢失,重者销毁硬件。目前全世界的黑 客袭击事件,四0%是针对于金融系统的,我国则高达六0%以上。 三、交易系统缺点。依照我国有关规定,金融机构的网上业务要到达3级安全标准,但目前大多数金融机构的安全状态都未到达这1请求,其自行开发、利用的网上交易系统大多未经由权威部门的检测认证,存在安全节制技术后进、安全防范措施不到位、抗袭击能力不强、响应滞后、访
问授权凌乱、客户地址及邮箱等资源维护不力等情况。呈现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被窃取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完全性、不可否认性缺少保障等等现象。
四、交易监管滞后。因为网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信誉评价方面的信息不对于称,抉择了网上支付以及结算系统全世界化,提高了信誉风险程度。目前,我国网络金融运作监管经验不足、手腕不全、技术后进、分业网上监管职责界定不清、内节制度不健全、网上业务按期内部审计流于情势,呈现了网上业务运作中密码节制不严、软件节制功能薄弱、授权机制执行不力等问题。
五、协同机制缺少。各银行网络系统各自为政,各行间信息隔绝,缺少沟通协作。有的商业银即将其银行网络系统拓扑结构、建设施行方案等作为绝密材料被保留,行业间数据资源同享是1道屏障,造成资源资金挥霍,延误了整个金融业的发展。 六、应急预案缺失。除了上述种种因素外,金融机构未对于停电、暴力犯法等人为因素和地震等自然灾难等突发性不肯定事件的产生制订切实可行的应急预案,在必定程度上影响着网络金融的运行安全。
3、网络金融安全对于策
一、加快立法过程。我国网络金融立法滞后,网络金融安全立法更是1片空白。因 为网络金融安全关乎我国的经济安全乃至国家安全,因而,网络金融安全立法过程刻不容缓,国家应高度注重,拟成立网络金融安全管理机构,钻研制订金融安全政策以及标准,规范、指点以及束缚网络金融的安全发展,应充沛鉴戒英美的胜利经验,参照英美颁布施行的《电子通讯法案》、《数字签名法》等法律,在制订出合适我国国情的电子签名法后,加快电子证书法、加密法等网络金融安全法律法规的出台,打造网络金融规范化、法制化环境,明确商家、消费者、第3方支付系统的权力、义务,规范市场介入者的资历、行动、责任,打击网络金融犯法,维护金融机构及交易当事人的合法权益,保障网络金融业健康、规范、有序地发展。
二、强化技术防范。网络金融安全防范中,技术防范是症结。金融企业应制订全面周到的软硬件设备进级换代方案,即时引进以及利用相符国家安全标准拥有较高安全系数的金融电子化软件平台以及金融电子装备核心技术,保证计算机利用软件的不断进级,保护网络系统健康运行。要配备机能优良的内外网络防火墙、病毒防御与杀毒软件,按期进级,严格网络登录口(下转第二三五页)(上接第二三三页)令管理等。要采取数字证书等较高档别的网络加密技术,设置交易中的客户身份认证以及交易密码。另外,要进1步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡辨认系统、管理信息系统等,提高金融设备国产化水平,夯实金融安全基础。
三、抓紧人材培育。网络金融机构要培育1批既掌握计算机枝术、网络技术、通讯技术,又掌握金融实务以及管理知识的复合型高档技术人材以及管理人材。从国家层面讲,要踊跃培育政治过硬、技术全面、业务精湛、风格扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯法以及背法、背规流动。从企业层面讲,要通过不间断的全员培训培育教育,让全部从业人员全面了解网络技术安全缺点,充沛认识潜伏的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施以及办公前提,提高从业人员素质,提高员工业务水平,尽量减少操作失误带来的麻烦,保证网络金融企业的经济不乱运行以及延续发展。
四、加强内部节制。网络金融机构要参照像关的法规条例,制订各项安全管理轨制,包含业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理轨制。要加能人员变动管理,及时注销、移交以及变更原本的密钥等信息资料。要树立数据备份中心,实现数据可追溯性。
五、加强预警监控。把握网络金融风险重在预警评估与防范。网络金融机构,要树立网络金融风险预警机制,专人监控业务运行,加工处理数据,钻研数据指标,制订网络金融风险应急处理预案,发现指标迫临预警线,武断采用风险防范措施以应答。
六、加强监管合作。面对于网络金融市场高度国际化,大部份金融交易依赖于电子网络,网络银行资金日益庞大以及资金活动速度加快,但因为网络技术发展存在先秉性缺点——技术漏洞,使患上网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局展开广泛的国际合作,沟通讯息,打击犯法,规范业务合作的程序,交流网络监管措施,创造网络金融流动的准则。
参考文献
[一]赵艳.网络金融监管的难点及对于策探究[J].学理论,二0一一(一).
购物车(0)