时间:2024-01-10 10:31:32
关键词:计算机安全管理;防范;金融科技风险;作用;探究
一、金融科技风险分析
影响金融科技风险主要存在于以下三个方面:第一,部分科技工作者安全技术水平低,安全意识淡薄。虽然管理者制定了相应的安全管理规章制度,但是在执行的过程中,会出现执行力度小或者误操作等情况,导致一些重要的数据泄露和密码丢失等,让系统的安全受到很大的威胁。第二,计算机网络安全技术水平低。因为系统漏洞的存在,给一些不法分子如黑客可乘之机,他们通过侵入系统盗取数据,甚至给系统带来毁灭性的破坏。第三,监督管理机制不完善。很多第三方支付、P2P交易模式等新的交易平台出现的时候,没有经过严格的监管审核和缺乏相应的法律法规的约束,就出现了盗取客户资产而追讨无果的后果。安全是先行者,在安全得不到保障的情况下,客户的信息和资产就得不到保障,进而影响互联网技术的发展,长远来说就会阻碍经济的发展和社会的进步。所以在互联网发展的进程中,首先要解决安全问题。解决安全问题需要科技工作者、业务人员和监管者等多方面共同努力,也不是一蹴而就的,每一种新的技术和产品的出现,会伴随着新的攻击手段的出现,所以一定要重视安全问题,并不断寻找解决各种安全风险的方法。其次,相关管理部门需要制定相应的安全管理规范和规章制度,来提高操作人员的技术水平,规范其操作行为,进而规避人为因素带来的金融风险。
二、对金融科技风险进行防范的具体措施
金融与计算机相互依赖、相互促进。金融产品业务模式的创新促进了计算机技术的进步,同时计算机技术的进步带动了金融业务的发展。为了更好地为金融服务,为金融产品保驾护航,必须要加强计算机安全技术和安全管理,尽量避免人为操作和技术缺陷带来的风险。
(一)加强对计算机软件系统的管理
可靠的软件系统是用户交易安全的保障,安全的密码策略、短信验证码、指纹、人脸识别技术和成熟的实名认证技术等在软件中应用提高了交易的安全系数,可以进一步保障金融机构以及客户的资金安全以及相应的信息数据。所以,金融机构在对软件进行研发的过程中,需要尽可能使用全面的计算机软件安全管理手段来规避历史问题。在计算机软件安全管理时,可以采用以下方法来保障软件安全问题。首先,在软件产品研发的各个阶段,都要确保软件质量,使用更安全的登录技术、加密技术、角色权限管理策略和密码策略等手段来保障用户安全的使用软件;其次,在数据库方面,配置相应的安全管理策略,设置严格的分级查询修改权限,必要时建立同城和异地灾备系统;再次,在软件的运行维护方面,将开发权限、运行和维护权限分开管理,配备专业的维护人员对软件进行维护,防止因操作权限分配问题导致的操作系统被一些非法用户闯入,泄露一些重要的信息数据;最后,我们还要定时更新病毒库,并且积极升级更新杀毒软件,对计算机进行杀毒,完善病毒检测和杀毒措施,避免因计算机中存在病毒导致系统出现崩溃的现象。安装防火墙并定期检查系统漏洞,更新并安装系统补丁,关闭一些不安全的端口等,力保计算机软件系统在运行的过程中的安全性。
(二)加强对计算机硬件的管理
计算机的高速计算能力极大地加快了业务发展,同时也对运行环境提出了比较高的要求。不仅要避开高温高湿和强磁环境,还需要相关的专业维护人员对计算机的硬件进行定期的维护,对一些出现损坏或老化的零部件进行及时的更换和维修,以免出现一些较大的安全事故。
三、结束语
在对金融科技实际研究的过程中,我们通过分析信息安全问题,研究金融领域的风险现状和计算机技术在金融行业中的运用,来进一步探讨计算机技术防范金融风险的问题。
【关键词】央行 互联网 金融 科技 监管
互联网金融是以信息化为支撑,网络技术是基础,最核心的支付结算都需要通过网络来完成,互联网金融归根到底也是金融,因此应当受到监管,并且应适用统一的监管规则。按照职责分工,人民银行科技部门负责金融网络的监管,严格规范互联网金融的技术体制及强化技术监管既是人民银行科技部门的责任,也是互联网金融健康发展的必要保证。
一、深化互联网金融监管内涵的理解
互联网金融是创新的产物,既然是创新,就会有失误和风险,对这个新生事物既要包容失误,也要防范风险,处理好创新发展和风险之间的关系,有必要对互联网金融进行恰当的监管。如何对互联网金融进行恰当的技术监管呢?在世界范围内也是一个新的课题,从监管者的角度看,现在对互联网金融进行评估,还缺乏足够的时间和数据的支持。在这种状况下,首先,要鼓励互联网金融技术的创新和发展,包容其技术失误,为行业新应用的发展要预留一定空间。国务院颁布的《关于促进信息消费扩大内需的若干意见》中明确提出推动互联网金融创新,规范互联网金融服务;国务院办公厅在《关于金融支持小微企业发展的实施意见》中也提出,要充分利用互联网等新技术,新工具,不断创新网络金融服务模式;央行周小川行长在接受中央电视台采访时曾表示,对互联网金融要保持一个正常的心态和支持创新的理念。
其次,我国采取的是典型的分业监管模式,互联网金融作为新兴的金融模式,交易的业务范围不断扩大,业务种类日益多样化,现有的金融监管体系尚无法完全覆盖,存在一定的监管缺位,因此必须尽快明确相应的监管部门和监管职责,既能充分包容创新又能确保监管到位。对于互联网金融的监管,央行副行长刘士余在2013年8月的互联网金融中国峰会表示“怎么监管,谁来监管,还需要做大量的调查和认证。”由于互联网金融具有“混业经营”的特点,需要在保护金融创新、推进互联网金融发展的前提下,根据互联网金融发展的实际情况,尽快制定并实施相关政策和监管措施,这就要求在归口监管上要做出有效界定。根据2013年国务院办公厅颁布的107号文件,网络金融监管由央行牵头负责,互联网金融科技监管应在央行牵头、统一协调下,按照按照谁批设机构谁负责监管的原则,逐一落实监管主体及监督管理责任,进行适度的实时监管,防止技术风险的过度集聚,同时加大对互联网金融技术创新的扶持力度,提供更多的金融服务,央行科技部门对互防网金融的科技监管工作要尽早提上日程。
二、创新互联网金融技术监管机制
互联网的精神是“平等、开放、分享、协作”,目前互联网金融的产品和服务都显示出信息的透明性,这与金融机构科技部门对传统封闭式的金融网络监管方式之间存在着巨大的反差,同时技术进步与金融业务创新带来新风险和新机遇,需要互联网金融的科技监管部门转变思想,创新监管机制。
在互联网金融的技术监管机制上,应当立足于现有监管政策进行创新,改变分业监管模式,结合分业监管和监管两种模式的优点,建立全面覆盖的科技监管据体系:一是在2013年8月国务院关于同意建立金融监管协调、部级联席会议制度基础上,建立以央行牵头,银监会、证监会、保监会、工信部、公安部等部委联合组成的跨部门、跨行业的互联网金融技术监管机制,通过统一互联网金融技术顶层设计,规范互联网金融的技术标准,破除现有监管部门间及区域间的信息孤岛,推动监管部门跨部门信息共享;二是建立国内与国际间互联网金融技术监管合作机制,互联网金融打破了地域界线,交易双方不再局限于国内,数据信息的交换处理以及风险控制具有国际特性,单独依赖一国的技术监管机构无法对互联网金融服务进行有效监管,这就需要互联网金融技术监管的国际合作,央行科技部门应加强与世行及其他国家央行的技术合作,从互联网金融技术标准、数据交换、监管策略、协商机制等方面寻求统一的规范,实现国际间互联网金融技术监管的沟通与协调;三是建立互联网金融企业自律机制,尊重互联网金融的开放精神,充分发挥已成立的中国互联网协会互联网金融委员会等行业组织的作用,通过倡议互联网金融行业相关单位共同遵循相同的技术标准、信息安全和金融服务水平,增强自律意识,利用各成员单位自身资源和技术优势,以避免互联网金融技术监管滞后于技术发展的局面,减轻技术监管部门的监管范围和压力。通过以上措施,有效防范互联网金融风险,促进互联网金融创新发展。
考虑到互联网金融依托大数据、云计算和网络通信技术,因此在未来的技术监管上应更多地通过信息网络对数据进行分析、挖掘,非现场检查将成为互联网金融技术监管的主要形式。
三、规范互联网金融新业务技术管理
互联网金融业务都是建立在一定的信息平台之上,针对不同客户提供个性化服务,并通过网络进行匹配,从而更好地满足客户的金融需求。互联网金融业务的迅速发展,依托的是信息技术日新月异,靠的是服务创新。信息技术促进了通信网、互联网、广电网的三网融合,特别是移动化对碎片时间的利用,降低了时间成本、提高了效率,带来了思维和观念上变化,实现了信息流、物流和资金流的三流合一,为互联网金融数据的融合准备了条件,打下了互联网金融业务创新的基础。互联网金融业务的创新速度超出人们的预想,其对新信息技术的运用也领先于科技监管的发展,在这种情况下,为了防范业务创新带来的系统性技术风险,规范互联网金融业务的创新,也成为央行科技部门加强监管的重要环节。
强化对互联网金融新业务的技术监管,央行科技部门应当把握:一是加强对4G、云计算、数据挖掘等新信息技术的学习掌握,了解新信息技术可能提供的应用或服务,做好相关技术储备;二是推行互联网金融新业务的技术审查制度,对于纳入央行监管的业务,要求业务提供方向央行科技部门或委托机构上报新业务的技术方案,由央行科技部门对方案进行系统分析和技术风险评估,满足国家相关标准后才能正式上线运营;三是控制高风险互联网金融新业务的入网结算,对于其他部门监管或没有纳入监管的业务,要主动了解新业务的技术基础,对于类似比特币等影响金融安全的高风险互联网金融服务,要积极向主管部门提供技术咨询和决策支持,在必要时切断新业务的联网支付渠道;四是完善互联网金融新业务的动态技术监管,针对互联网金融涉及面广、扩展性强的特点,实时跟踪新业务上线后的运营状况,及时发现技术隐患,指导业务提供方堵塞业务上存在漏洞,规避系统性技术风险。
四、突出互联网金融信息安全防护
伴随互联网金融的迅速发展,交易中的信息安全互环境应得更加复杂,移动终端和云计算是当前互联网金融应用的主要方式,移动终端使用的免费WIFI安全性及路由器漏洞问题,以及云计算服务带来的非授权访问、信息泄漏等问题都成为互联网金融信息安全的隐患。目前,互联网金融遇到的信息安全问题主要包括恶意程序、假冒网站、诈骗信息、信息泄漏等方面,信息安全问题破坏了互联网金融的秩序,加重了人们在虚拟世界中的不信任度。央行科技部门对互联网的技术监管重点应放在信息安全管理,通过对互联网金融相关机构现场检查和网络监控,提升互联网金融服务的信息安全保障水平,促进互联网金融的健康、稳定发展。
对互联网金融的信息安全监管,应该关注以下方面:一是要制定互联网金融的信息安全防护标准,采用自主可控的核心信息装备,对相关机构网络进行信息安全等级分类管理,实施等级保护;二是建立严格的互联网金融网络入网审查机制和准入制度,信息安全标准不达标的互联网金融机构不得接入金融系统网络,从核心环节上把好信息安全防护关;三是督促互联网金融机关落实信息安全防护规范,指导其建立一套由密码应用技术、信息安全技术、数据灾备与恢复技术、云计算技术、网络组网与运维技术等组成的“软硬一体”标准化互联网金融信息安全解决方案,做好交易双方敏感信息的保护,提升网上交易安全防护水平;四是提升用户端的信息安全防护水平,指导互联网金融服务提供商开发相关软件应用,通过绑定手机、账号实名认证、动态口令卡、数字证书和第三方认证等多引擎、多策略协同运作,提高网络支付的安全性。
五、推进互联网金融信用系统建设
金融需要国家建立信用机制支持,互联网金融由于交易双方的非接触特性,对信用支持的要求更加迫切,基于大数据的信用评价能力,是互联网金融生存的核心竞争力。目前,全国性、权威性的诚信体系仅有央行牵头建设的国家金融信用信息基础数据库(简称征信系统),主要通过各金融机构、工商、法院等单位上报违约用户的数据,建立可供查询的部级的企业和个人信用信息。互联网金融的快速发展,大大扩展了征信体系的数据范畴,现有的征信系统是一个被动的征信体系,实时性难以满足互联网金融随时、随地提供金融服务的要求,需要建立一个基于大数据分析和云计算、依托网络提供实时征信服务的网络征信系统,通过互联网大数据综合判断交易双方的信用状况,推动信用系统信用评价模式的转变,提升互联网金融服务的公信力。
网络信用系统应针对互联网金融的特点,为所有的互联网金融服务提供实时信用支持,其系统开发应注重:一是加强用户的身份认证,通过与公安部、工商总局等国家相关部门的协调,实现与人口数据库、法人数据库等基础数据系统的互联互通,将个人相关的就业、健康、教育、收入、社保等基础数据整合起来,确保用户信息的准确性,打牢网络信用系统的根基。二是强制互联网金融信息提交,要求所有的交易均需要将诸如资金、物流、交易双方等重要数据通过统一的标准和接口规范,提交到网络信用系统,加强对交易的事中、事后监测;创新从社交网络等公共渠道抓取数据的方法,以实现对信用信息的全面收集及处理,便于判断用户的信用状况。三是规范对网络信用系统的信息共享,严格按照国家对用户信息采集、查询和不良信息报告等规定,对互联网金融服务企业使用网络信用系统实行网络授权机制,规定其应用信用信息的范围和信息等级,防止信用信息的滥用和扩展;四是提供全程、实时互联网金融认证服务,通过推出权威的第三方电子认证产品,实现交易中的身份认证、电子签名、交易信息加密传输、交易不可抵赖,确保交易信息的可靠,以有效保障资金交易的安全性。
六、加强对银行数据中心的监管
大数据在解决金融核心的信用评级和风险控制上拥有传统方法所不具备的显著优势,是互联网金融迅速发展的重要推手。互联网金融涉及金融机构、互联网企业、医保、社保、运营商、电商及多种服务行业,各类交易均以数据形式存入服务商的数据中心并通过数据中心进行数据处理和交换,因而互联网金融的数据中心是互联网金融运行的中枢神经,存储着互联网金融重要的数据资产,承载着关系社会经济运行所需要的资金流和信息流,是互联网金融服务的核心,数据中心的信息安全对于保障互联网金融的稳定运行,具有关键的决定作用。从目前看,互联网金融无论是哪类交易,不论交易双方是谁,交易中涉及支付部分的数据都必须通过银行数据中心,因此,央行科技部门对互联网金融的技术监管中,互联网金融各类数据中心的监管是一个重要方面。在技术监管政策、方式不明,以及央行科技部门监管力量不足的情况下,央行科技部门不可能也没有能力对全部互联网金融企业的数据中心进行监管,应该把技术监管的重心放到银行业数据中心的安全上,通过抓好银行业数据中心的技术安全来提升整个互联网金融的安全。
央行已认识到加强银行数据中心安全监管的重要性,2014年1月16日,人民银行组织召开第二届银行业数据中心联席会议,专门就银行业数据中心安全进行了部署。在当前银行业数据中心面临技术与金融业务创新不断加速,业务量和个性化服务需求大幅增长,以及运维工作复杂度持续提升的情况下,央行科技部门对银行数据中心的监管重点在于:一是加大对银行数据安全重要性的宣传力度,提升数据中心工作人员安全防范意识,居安思危、防患于未然,推动各银行数据中心认真履行安全职责;二是制定银行数据中心安全标准规范,督促银行数据中心不断加大科技投入,采用新技术、新装备增强安全防范能力;三是通过现场或网络技术安全检查、督查,在应急处置、决策支持、管理管控和跨部门运维协作等监管方面进行改革创新,不断推进银行业数据中心联合运维机制改革和发展。
参考文献
[1]周小川.“存款利率市场化按计划推进”.《国际金融报》,2013年8月.
[2]《国务院办公厅关于加强影子银行监管有关问题的通知》.【2013】107号文,2013年.
[3]《中国人民银行信息安全管理规定》,2010.
目前,银行金融系统的信息数据比较集中,随着第三方的外包服务逐渐增多,县域区域金融机构承担的科技维护任务量逐渐减少,银行金融科技维护的岗位被逐渐忽视,导致银行金融信息安全管理出现了“短板现象”。结合华坪县的邮储银行、建设银行、工商银行、农业银行、农村信用社基础设施的建设情况,这五家银行金融机构机房建设的选址相对比较合适,并且主机房都已经具备了防火、防水、防雷、防盗等保护措施,机房的管理制度比较完善,建设情况基本符合《金融机构计算机信息系统安全保护工作暂行规定》的相关要求;银行金融网络建设方面,大部分金融机构具备完善的网络结构,具有冗余线路。其中2家银行金融机构进行负载均衡的网络运行方式,2家银行金融机构进行冷备方式,只有1家银行金融机构没有冗余线路以及设备。结合信息系统的建设情况角度分析,银行办理业务主要通过 C/S或者B/ S的方式,将服务器对应到省级的金融机构;对于银行卡、ATM机、POS机方面的管理,以华坪县的农村信用社为例,已经安装了ATM 机器12台,建立了完善的巡检登记簿,银行卡的发行符合《银行卡卡片规范》,并且采取了安全措施。
二、信息安全管理存在的“短板现象”
1.信息安全的协调机制不够完善
如今金融行业是社会经济发展的核心,需要给与高度的重视,金融机构的信息安全是重点。作为金融信息安全是银行各类业务顺利开展的保障,信息安全管理还涉及其他的商业金融机构。因此,需要建立完善的金融信息安全协调机制,强化银行金融机构之间能够进行安全的沟通与协调,使银行金融业的信息安全管理得到完善以及协调相应的应急工作。结合华坪县的银行金融业而言,还需要不断的完善信息安全协调机制,并且积极的开展信息安全管理的检查。
2.资源配置相对缺失
目前,华坪县5 家银行金融机构对于人员配置方面,有1家金融机构因为网点众多,而设置了科技部门,并且配备了专职的科技人员,有1家仅仅配备了科技兼职人员,其余的3家并没有配置专职或兼职科的技人员。从总体情况来说,县域的信息系统比较集中,随着外包服务的不断增多,县域的科技岗位逐渐趋于弱化。
3.信息安全管理的重视程度不够
通过对县域金融机构的调查,存在三方面的问题:一是部分金融机构对于上交给当地人民银行的信息安全领导小组名单,仅仅局限于形式,而没有按照要求进行运作;二是华坪县域的金融机构都没有设置专职的信息安全管理人员,大部分金融机构的系统管理和信息安全管理者都由一个人担任;三是机房的建设不够规范,基础设施不够健全。综上三方面能够看出基层的金融机构对于信息安全的重视程度应该有所提高。
4.网络管理水平参差不齐
县域的农业银行对于信息网络拓扑结构的设计,考虑到了线路冗余以及设备冗余,并且运用了网络流量负载均衡技术,使得网络结构相对比较合理;而农村信用社的网络拓扑结构设计存在明显的漏洞,仅仅考虑了广域网线路冗余的情况,对于网络设备安全隐患有所忽视。目前,仍然采取网络设备出现故障后,利用新设备替换的方式,而不是事先进行网络设备配置参数的备份,严重阻碍了金融业的发展,
三、银行业金融信息安全管理的策略
1.建立完善的信息安全协调机制
为了能够增强金融机构对于信息安全管理的重视程度,当地的人民银行应该积极的与金融机构进行良好的金融信息安全沟通与协调,使得金融信息能够实现资源共享。不断的提高银行金融信息安全管理的应急能力,建立协调机制的同时,确保协调机制能够持续的正常运作。
2.完善信息安全管理的制度建设
为了能够提高银行金融机构信息安全的标准化,应该结合信息安全检查相关法律法规,制定完善的银行金融信息安全管理制度,明确各部门的法律责任以及义务。一是制定完善的信息安全检查制度,确保检查内容以及流程的一致性。二是进行责任制度细化,对于违反规定的相关事项,根据法规进行处罚,确保制度的约束力。
3.强化金融信息安全指导工作
针对银行金融业务的犯罪活动增长,信息安全面临的形势越来越严峻,金融信息安全管理逐渐成为了维护金融业稳定发展的重要组成。为了能够提高辖区内金融机构的稳定性,确保金融信息安全得到维护,应该积极的做好提高金融业信息安全保障以及应急能力,不断重视各县域金融机构对于信息安全的检查工作以及指导工作。
据艾瑞咨询的报告预测,2025年国内的互联网经济规模将超过10万亿元人民币。以保险行业为例,预计到2019年,通过互联网成交的传统保险产品和纯互联网保险产品的规模将达到7 500亿元。随着金融科技公司的跨越式发展,伴随很多新情况新问题的产生。在2017年7月全国金融工作会议上,对于互联网金融问题,主席提出“加??互联网金融监管,强化金融机构防范风险主体责任”,这预示着防范互联网金融风险的重要性。对于互联网金融中的主体――金融科技企业,如何正确对其进行价值评估,以体现其价值而又避免出现泡沫,在防范互联网金融风险方面具有重要意义。
估值上市既能为优质的金融科技企业正名,又能让一些估值虚高的平台挤出泡沫。2015年宜信旗下的网络P2P平台宜人贷在美国纽交所上市,成为纽交所中国互联网金融第一股。2017年4月,互金平台信而富也在美国纽交所挂牌上市交易。与此同时,作为中国最大P2P银行及网上理财公司,由平安保险控股的陆金所推迟了备受期待的首次公开招股,同时金融科技巨头蚂蚁金服也推迟上市,预计最早在2018年四季度启动。作为互联网金融企业领军者的陆金所和蚂蚁金服,不约而同的推迟了上市时间,唯独众安保险当年6月在港交所提交了上市申请材料,JP摩根、瑞信、瑞银集团、招银国际为其联席保荐人,无论从商业模式、用户数量,还是业务体量、估值规模等维度来看,众安保险的此次IPO对于金融科技行业的影响深远。一方面,从标的稀缺性看,众安已成为中国乃至全球互联网保险中的独角兽企业,并在不断尝试“重构”中引领互联网保险的发展趋势;另一方面,众安已经拥有自己的可行发展模式和稳定员工队伍,使得众安在互联网保险领域的每一步探索与发展,对于其他保险企业及整个保险行业都有巨大的启示作用。据此,本文以众安保险为例,从金融属性和科技属性两方面入手,探究金融科技企业估值时如何找到合理和公允的评估标准,从而实现金融科技企业的真正价值。
一、 金融科技公司估值的逻辑框架
目前对于金融科技公司的估值并没有一个权威的标准,除了常用的市盈率模型之外,刘冰和杨明国(2009)以永乐案例分析了并购企业的估值,高锡荣和杨建(2017)提出实物期权模型估算互联网资产价值,计算结果与有效市场理论算法一致;杨洁等(2017)提出基于现金流折现模型的互联网公司估值分析。而软银亚洲投资基金首席合伙人阎焱(2016)认为互联网企业估值是很大的难题,但可以通过同类公司比较,估值与增长性的关系和供求关系来确定大体的区间。而已经上市的金融科技企业,包括宜信旗下的网络P2P平台宜人贷和互金平台信而富,两家金融科技企业均在纽交所挂牌上市,无论从商业模式、用户数量、业务体量、融资额度和影响程度来看,二者尚无法成为金融科技企业的风向标。此外,虽然它们也一再强调自身的科技基因,但由于P2P平台在估值方面,更多的还是依据信贷的标准进行。
但就众安保险来说,其更倾向于科技企业的定位,是一家“披着保险外衣”的互联网公司,其本质是技术革新带动金融创新的科技公司。而从估值的角度,众安保险更倾向于是互联网性质的金融机构。2016年7月艾瑞咨询报告显示,众安保险估值为76.3亿美元,而蚂蚁金服为600亿美元,陆金所为185亿美元,京东金融为71.8亿美元。那么回到最初的问题,很难去衡量众安保险的估值是不是存在泡沫。按照业内人士的分析,对快速发展中的公司用每股收益和市盈率指标看,会有一定程度失真。同理,众安保险也很难用传统金融企业或者纯互联网企业的单一标准来衡量。由于各种机构估值差距,恰恰反映出业界对处于风口之上的金融科技概念股的定位和认知上的分歧(俞燕,2017),据此,本文从金融科技企业的金融属性何科技属性来分析公司的价值,具体框架如图1所示。
二、 金融科技企业众安保险的初步估值分析
2013年11月,众安保险由阿里旗下的蚂蚁金服、腾讯、中国平安等企业发起成立,并获得保险会审批的全球第一个网络保险牌照。2015年6月,众安保险完成A轮融资,摩根士丹利等5家投资机构共出资57.75亿元人民币,认购外资股2.4亿股,相当于每股人民币24元,按照当时12.4亿股的总股本计算,众安估值达到297.6亿元人民币,据此计算出众安2015年~2016年的市盈率,如表1所示。
在以A论融资24元的认购价为基础的情况下,众安保险2015年的市盈率达到672.27倍。2016年,由于净利润大幅减少,市盈率更是高达3 178.81倍。若以目前在香港上市的人保财险为例,港股总市值尚不足1 800亿元,市盈率则在10倍以下。相对而言,传统保险公司的盈利模式和增长区间都比较固定,而众安具有较大的发展空间,成长性高。
三、 基于金融科技企业的金融属性的估值分析
从收入角度来看,2014年~2015年众安保险净利润分别实现3 698.1万元和4 425.7万元,而2016年实现净利润937.2万元,与2015年同比下滑78.8%。表2显示,除了净利润之外,从总资产、总收入和原保费收入的角度看,2016年都出现了增速下滑的趋势。另外,在体现公司自有资本使用效率的ROE值上,众安保险一直在4%以下,并呈现一种降低的趋势。相较于中国平安的16%,腾讯的20%以上的数值,众安保险的ROE值未来是否可以得到增长,是对其进行估值的一个重要指标。
从成本角度来看,2014年~2016年,众安保险赔付率从73.4%下降至42.0%,但费用率从35.2%上升至62.7%。综合成本率一直在104%以上,其中2014年为108.6%,2015年为126.6%,2016年为104.7%,如表3所示。众安保险综合成本率一直处于高位,也就是承保亏损。而其费用率大幅上升,主要是由于众安保险增加销售,且主要生态系统合作伙伴提高其咨询及服务费率所导致。除了咨询与服务费,手续费及佣金也成为众安保险成本中的主要项目,这些其实也可以说是给各大互联网平台的推广费,或者说流量成本。
从风控角度来看,作为保险企业来说,风险控制是企业运作的核心要素。众安保险的保险属性,也决定其必须严格遵循保监会的要求,特别是在风险控制方面,必须符合保监会第二代偿付能力的要求。众安保险的现金流一直为正,与其它类型的互联网金融企业不同,并没有进入互联网企业“烧钱”扩张的惯用模式中。2014年底的现金流量为1.41亿元,2015年底的现金流量为13.74亿元,2016年底的现金流量为11.53亿元。
从产品角度而言,2016年众安保险保费收入最高的险种为退货运费险,2014年~2016三年产生的保费分别占同期整体总保费的77.2%,56.9%及35.0%。虽然比例呈下降趋势,仍依然是众安保险的支柱险种,但退运险的开发已较为成熟,遇到一定的增长瓶颈,单价低且投诉率相对较高。相比较前两年,2016年健康险、意外伤害险的保费收入增长较快,意外伤害险的销售比例达到28.8%,对于众安保险来说,其险种的销售比例已经发生了结构性变化。
四、 基于金融科技企业的科技属性的估值分析
从用户服务角度而言,金融科技公司估值的一大重要因素是用户数据,例如服务的客户数,每位客户能够带来的价值等。梅特卡夫定律(王青华,2016)认为互联网的价值在于将节点连接起来,节点越多潜在存在的连接数越多。根据招股书中的数据,截至2016年12月31日,众安保险已累计向超过4.92亿客户销售超过72亿份保单,两者相除,即平均每个用户与众安有约14张保单的交互。在这段时间内,众安保险的累计服务客户和售出保单数量在国内保险公司中排名第一,每位客户的年保费也由由2014年3.9元增长至2016年的9.3元,一直维持增长态势。
从技术创新角度而言,技术是科技公司的核心竞争力,对于金融科技公司来说也是如此,持续的技术积淀可以形成技术壁垒和行业优势。与传统企业不一样的地方是,金融科技公司完成每一笔业务都是一个数据积累、能力提升的过程。而数字化正在改变保险产品和服务的交付方式,并将不断地改变这些产品和服务的本质,甚至改变保险业务模式本身。行动果断迅速的公司将可能迎来蓬勃发展,而众安保险清晰看到了这一点,尽管其产品模式和业务模式并不复杂,容易被模仿复制,但众安保险通过积累的用户、技术的积淀,其先发优势形成了行业“壁垒”。2014年~2016年间,众安保险的研发投入分别为2 240万元、6 390万元及2.144亿元,分别占同期总保费的2.8%、2.8%及6.3%,无论是绝对数量,还是相对占比量,都呈现逐步加大的趋势。此外,众安保险的技术能力是动态的。在金融圈内,众安保险是第一家在云上搭建去IOE核心系统的公司,全球首家将核心系统建立在云计算平台上的金融机构。2016年7月,众安保险成立全资附属公司众安科技,众安科技着力于金融科技解决方案的研究与开发,并将众安保险积累并运用的相关技术输出到保险行业其他企业,并在区块链、人工智能在保险的应用方面处于领先地位。
从组织构架而言,与传统保险公司不同,众安保险组织的核心是产品经理制,内部是以产品经理为主导。除了中后台的支持部门,最高层领导下面直接就是产品经理。纵向来看,目前众安保险分为信用保证保险、直营产品、通用产品、传统财险等多个产品线,以及阿里和腾讯两个事业部;横向来看,则有包括运营、财务、营销、法务等中后台支持部门。每个产品都有自己的产品经理,以产品经理为核心,由其牵头组成项目组,从市场调研、产品开发再到后续迭代,全面负责并一跟到底,从产品设计到生产、销售,审批一条线全部下来,总部有运营、核保、理赔和信息技术部门;各事业部也有自己的运营、核保、理赔和信息技术部门。在这种内部架构下,业务方向而不是由公司领导层来决定,而是由一线的产品经理自己来寻找。产品经理提出方案后,各个部门可以通过简单连接迅速地整合在一起,围绕产品以灵活小团队的方式开展工作,以发挥更大的效能。
从运行流程的角度来看,传统保险公司的盈利模式和增?L都比较确定,而众安保险有较大的增长空间,成长性较高。传统的保险产品运行流程通常包括市场调查、可行性分析、产品设计和审核批准等多重程序,这期间手续繁琐,程序漫长。而金融科技企业的产品要求快速迭代,众安保险在产品设计的早期就安排审批、财务等职能部门员工充分介入,不仅可以强化了员工对于产品的熟悉程度,还可以在审批阶段较早发现问题、解决问题,大大提高了协同效率。虽然互联网经济已经如火如荼,但众安保险的竞争策略已经走在了其他保险企业甚至整个保险行业的前面。不同于传统保险公司,众安保险的产品设计流程是:了解用户需求――开发初次产品――投放运营――收集数据――开发迭代产品――投放运营。
五、 结论
一、金融机构计算机安全管理重要性
金融机构开展计算机安全管理工作有助于整体行业的科学稳定发展,可良好应对金融机构自动化、电子化、现代化发展管理中面临的各类安全风险问题,净化行业环境,提升行业综合发展能力。计算机网络系统在金融机构中的广泛应用,机构自身的信息化发展及开展股份制改革与发展上市之后令各类人性化业务丰富拓展,充分满足了人们个性化的需求,同时也令金融机构管理服务系统面临着各类安全风险因素的不良影响与侵害,因此金融机构在注重市场风险、信用风险、流动风险等传统管理的基础上更应将计算机安全管理摆在重要位置,令其成为机构全面管理体系之中核心组成部分。这是由于金融机构一旦发生不良风险事故,不仅会影响到各类金融服务业务的办理与正常运行,还会令机构自身的市值-声誉受到危害影响,因此金融机构唯有强化关注计算机安全管理,对实践管理工作提出高水平保障要求,才能积极应对风险、杜绝不良影响,并有效提升IT行业综合治理水平。金融机构应依据行业管理治理模式、计算机安全管理与综合发展战略的一致性,将绩效评估、管理资源等构建成为IT行业的总体治理框架。
二、金融机构计算机安全管理实践中存在的问题
金融机构在开展计算机安全管理实践中由于对整体风险管理的流程、体系、工具与计量方式等层面的研究还不够深入,没有真正构建一套行之有效、可量化管理指标体系,因此无法有效衡量金融业各类信息的安全隐患并科学满足风险管理要求。其管理实践中排除人为失误工作影响外,还同计算机复杂系统软硬件的应用环境密切相关,因此要开展准确科学的评估及度量仍旧包含较大难度。同时金融机构开展计算机安全管理中还欠缺良好的灾难备份系统建设,一旦发生安全事故动辄会令众多机密信息、商业数据遭到破坏性影响,因此应科学构建灾难备份管理体系,实施数据信息的安全保护,进而确保重要业务、设施系统的持续健康运行,并控制降低系统维护建设成本。另外金融机构开展计算机安全管理离不开各业务部门的参与与关注,因此金融机构应科学制定应急计划,开展应急处理工作,各个科技部门与业务部门则应提供必要的协作支持,进而共担风险,降低项目后期的变更需求现象,合理控制资源消耗,并提升产品投产效益。
三、金融机构计算机安全管理的科学策略
1.创建金融机构计算机安全管理体系。为提升计算机安全管理水平,金融机构应科学组建安全管理体系,推举机构领导担任体系组长,各个业务部门、办公室负责人应成为体系成员,一同负责机构计算机安全管理实践工作中各类重大事件的灾难备份、应急处理、计算机系统恢复等各类安全防护工作。同时科技部门应向组长与组内成员定期汇报有关计算机安全管理的实践工作状况。同时金融机构总部与子公司科技部门应专项设立负责实施计算机安全管理的机构部门,科学打造一批专业化、系统化、规范化的保障金融机构计算机安全管理的大型工作队伍。
2.积极研发计算机安全管理应用软件。随着各类现代化信息技术的飞速发展,金融机构应与时俱进,大力研发新型计算机安全管理软件,积极更新版本,为研发应用提供优质保障。首先应持续更新测试与研发管理流程,强化需求管理、研发进程管理,研发项目方案质量控制与审查。同时对应用软件版本的测试、与投产策略应做到及时调整优化,应科学遵循集中软件版本投产原则,有效解决频繁投产问题,降低由于软件生产、投产与版本变更带来的不良风险隐患。同时金融机构应强化同各类业务部门的积极配合,通过良好的协调沟通令风险有效分散并实现分担共担风险目标。
3.科学实施操作管理与运行维护。金融机构开展计算机安全管理实践工作中应科学避免生产运行发生风险,依据相关数据统计,约百分之五十的生产运行安全风险由于计算机安全管理操作不当而引发。因此金融机构应将计算机安全管理实践工作作为科技信息工作的首要指导思想,强化各项工作安全管理,有效避免系统运行风险的大面积发生。应科学建立集中统一的监控管理体系平台,对开放系统、逐级展开实时监控,并实现自动化运行。同时应通过部署有效提升各类网络系统、管理性能容量系统、资源系统及工具的自动化运行程度,完善建立应急管理综合体系,科学明确应急管理流程及预案,确保在发生紧急安全事故时可实施妥善及时的处理进而将不良影响控制在最低水平。
4.开展信息安全及连续性业务管理。开展信息安全管理应首先创建完善健全的内部信息安全控制体系,借助管理技术手段确保金融机构数据与信息系统的完整性、机密性及可用性。金融机构应科学组建信息安全专业防护队伍,对各信息包含的安全隐患开展及时的分析并有效解决。同时,应科学落实相关信息安全系统规范、等级保护实践措施,部署扫描漏洞、检测入侵等安全信息防护工具,实现客户端综合安全管理。由于及时采取了各类行之有效的安全防御措施,因此即便受到网络安全攻击也能降低对稳定运行信息系统的不良影响,确保系统及各项金融业务的正常运行办理,进而对金融机构的良好声誉实现有效维护。另外金融机构应科学遵循主机系统灾难备份、集中数据处理、多点平台接入、跨区受理业务等原则建设信息系统相关技术体系,创建灾难备份运行系统,开展同城磁盘备份镜像,进而确保信息体系的健康持续运行。金融机构还应定期开展业务级灾难的应急恢复演练,进而确保灾难备份系统操作的熟练性及优质功能的全面发挥。
四、结语
总之,基于金融机构开展计算机安全管理的科学重要性及其面临的各类安全管理实践问题,我们只有制定切实可行的应对策略,全面开展计算机安全管理才能有效提升金融机构综合发展水平,为其创设安全、可靠的优质建设环境并实现信息化、科技化、安全化的科学发展。
一、科技金融基础理论
“科技金融”的概念在1993年由深圳市科技局首次提出,国外至今没有形成真正意义上的“科技金融”理论研究,但“科技金融”作为新兴概念在国内学术界掀起了研究的热潮,其中最为权威的解读是赵昌文等人(2009)的首次定义:“科技金融是促进科技开发、成果转化和高新技术产业发展的一系列金融工具、金融制度、金融政策与金融服务的系统性、创新型安排,是由向科学和技术创新活动提供金融资源的政府、企业、市场、社会中介机构等各种主体及其在科技创新融资过程中的行为活动共同组成的一个体系,是国家科技创新体系和金融体系的重要组成部分”。[1]而2011年科技部的《国家“十二五”科学和技术发展规划》,对于“科技金融”的解释是:“科技金融是指通过创新财政科技投入方式,引导和促进银行业、证券业、保险业金融机构及创业投资等各类资本,创新金融产品,改进服务模式,搭建服务平台,实现科技创新链条与金融资本链条的有机结合,为初创期到成熟期各发展阶段的科技企业提供融资支持和金融服务的一系列政策和制度的系统安排”。[2]
上述两种概念描述一个是理论与实践高度结合的成果,另外一个基于政府层面的实践操作指引,将两种权威观点结合方可领会科技金融的内涵所在:
一是科技金融以高新技术产业为对象,注重科技创新和成果的转化,从金融资本的角度使科技创新链条得到完善,并最终形成新的技术――经济范式,通过创新驱动,推动产业转型,实现实体经济有序、安全发展。
二是科技金融的关键在于金融资本的扶持和支撑,在与科技创新融合发展过程中,金融资本逐利性的本质,要求金融体系充分发挥资源配置与风险分散功能,并推动金融组织机构不断创新金融工具,改进服务模式,以匹配科技创新不同阶段的资金需求,因此,科技金融的投融资对接也是实现金融体系的不断完善和高级化的过程。
三是科技金融注重的是政策引导和制度的约束与激励,需要政府、企业、市场、社会中介机构共同参与,是政府宏观调节与市场化机制共同运作的结果,在发展初期有赖于政府部门的资金、政策引导并逐渐向市场化方向过渡的过程。
四是科技金融是实体经济与虚拟经济的结果,一方面金融资本促使科学技术资本化,创造新的财富,另一方面科学技术产业化,带来资本增值空间,双方的协调发展将推动新经济模式的形成。
二、广州区域金融中心建设的科技金融需求
2011年5月《广州区域金融中心建设规划(2011-2020)》及《加快建设广州区域金融中心的实施意见》的,标志着广州区域金融中心的建设正式进入实质性推进阶段,据广州市金融局数据,2015年广州金融业实现增加值1629.42亿元,同比增长14.2%,占GDP比重达到9%,金融业已成为广州战略性主导产业之一, 广州区域金融中心地位也得到初步确立,科技金融作为广州市区域金融中心的建设的重要成分,既是实体经济发展的基础,也是金融体系完善的关键,能有效满足广州区域金融中心的建设的需求。
(一)完善广州多层次资本市场体系建设的需求
多层次资本市场体系的本质表现为不同发展阶段的企业提供匹配的融资服务,从根本上讲,多层次资本市场体系的构建和完善是广州区域金融中心发展的根基。
纵观广州多层次资本市场的构建,证券交易所、金融资产交易所、金融期货交易所等重要的全国性金融市场交易平台缺失,“新三板”及股权交易中心仍处于起步阶段,发挥作用有限,而各类风险投资和股权投资机构较少,未能给市场释放更多的活力,可以说广州多层次资本市场仍未真正成型。科技金融之所以能满足广州多层次资本市场体系建设需求,在于科技金融资源配置机制的发挥,一方面以政府部门为主体,基于金融政策和制度对金融资源进行调控和分配的配置机制,重在突出政府公益性资金的引导作用,既引导其他社会资金对科技创新领域的投入,又建设各种融资平台发挥资金放大作用;另一方面以金融组织和金融市场为主体,基于供求关系和风险收益关系,以市场化运作为资源配置的机制,实现资本供应与不同规模、不同生命周期的科技创新企业资金需求的对接(见表1),因此,广州区域金融中心的建设亟需科技金融的不断创新发展,从而带动不同层次的资本市场体系的进一步完善。
(二)广州区域金融中心实体经济安全、有序发展的需求
区域金融中心的健康发展必须兼具实体经济与虚拟经济的协调共生,只有夯实实体经济的发展基础,金融体系的高级化所带来的发达虚拟经济才能有更好的安全保障。广州区域金融中心处于发展的初级阶段,该阶段仍需要通过良好的实体经济发展来催生大量的金融需求,从而带动金融组织、金融体系、金融产品的发展,现阶段对于广州实体经济来说,如何有效应对2008年全球经济危机后的经济下行压力,培育创新动力,促使产业结构升级已迫在眉睫。科技与金融是促进经济发展的两个重要保障,其目的是使科技创新与金融资本有效融合,推动新经济模式的形成,对产业升级和机构调整至关重要――科技与金融的融合创新发展,不仅能集成金融资源为科技创新提供服务,也能进一步促进高新技术企业的研究开发与技术成果转化,形成企业核心自主知识产权,使企业自主创新能力不断加强,从更高层次和更深程度推动广州产业结构的升级调整,加速广州区域经济科学发展。[3]
总结来说,广州区域金融中心的建设必须依托实体经济的健康良性发展,而实体经济的健康良性发展需要科技金融的不断催化和推动,形成新的成新的技术――经济范式,推动产业转型,实现实体经济有序、安全发展。
三、基于科技金融视角的广州区域金融中心建设内生动力探索
广州将金融中心建设定位为区域性的金融中心,该发展阶段强调的是金融资源的高度聚集优先,其中,区域金融中心的一个重要职能是通过金融聚集提升区域内金融功能的辐射能级,促进金融资源配置调整产业结构和区域格局。从全球经济发展历程来看,为人所熟知的国际金融中心的起步往往依托于实体经济的发展,伴随着产业结构的高端化,金融体系得到进一步深化和拓展,兼具资源配置、风险管理和经济调节等功能,虚拟化趋势明显,金融中心也随之发展成型。但金融系统脱离实体经济过度虚拟化发展,导致2008年的全球金融危机,为全球金融中心建设敲响了警钟――金融发展和实体经济发展紧密结合,互为支撑,是金融中心建设可持续发展的内生动力。
通过探索国外知名国际金融中心的形成规律,依托实体经济发展而成的区域金融中心往往更富活力和竞争力,其形成一般遵循“经济发展――金融聚集――金融中心”的发展规律[4],该规律表明金融中心的形成其实是金融资源聚集的过程,但为避免金融聚集过度虚拟化又必须依托实体经济的健康发展,即经济发展和金融聚集是金融中心形成的关键要素,其中,技术创新是经济发展第一生产力,金融体系的完善和健全是金融聚集的第一推动力,而科技金融作为科技与金融融合发展的产物,既能推动经济发展与变革,又能完善区域金融体系,促使金融要素进一步聚集,是区域金融中心发展的重要影响因子。基于此观点本文以科技金融和经济发展作为广州区域金融中心发展的子系统,通过子系统之间的互动作用吸引金融资源的进一步聚集,再通过金融聚集有序地完善区域金融中心的建设,其作用机制如图1所示:
■
图1 科技金融对广州区域金融中心建设的推动作用
科技金融兼顾实体经济与金融虚拟经济的发展,其服务对象是高新技术产业、战略性新兴产业等事关广州产业结构高级化的关键要素,所以,科技金融对广州区域金融中心建设的推动作用是以科技金融系统的发展为基础和引导的。科技金融系统基于金融资本的供需关系又可分为科技创新子系统和金融服务子系统,科技创新的资金需求是科技金融形成与发展的前提,不同的科技创新主体以及科技创新产出的不同阶段催生多样化的资本需求,这也要求科技金融服务子系统通过完善科技金融体系(包括金融市场、金融组织和金融服务体系)和创新科技金融产品来匹配科技创新的资本需求,当双方供求关系得到良好互动后,便会促进科技创新子系统和金融服务子系统内部得到充足的发展并相互促进――科技创新子系统引发的技术变革能极大推进科技金融的发展,反过来科技金融服务子系统在提供金融资本的同时,通过股权或债权的作用参与科技创新活动的管理或实施监督,确保科技创新的实现。
正是通过科技创新子系统和金融服务子系统的相互作用、相互渗透和相互制约使科技金融子系统产生整体的协同效应――科技创新引发新一轮的技术革命促使广州产业结构升级和创新经济的产生,科技金融体系的发展提供创新的金融服务和完善的资本退出机制,实现金融资本的增值和积累,最终推动广州区域经济的发展,并促进广州财政税收的增加、形成财富增长效应、基础环境的建设等,反过来,广州区域经济的进一步发展能为科技创新提供新的市场需求和物质的保障,为金融市场的发展提供新的资本来源和市场化的调节机制。
因此,基于科技金融视角,科技与金融的融合创新发展能实现广州产业结构的升级并能促进地方经济的快速增长,在此过程中金融体系也得到不断完善,金融机构和相关产业也会因此向区域金融中心不断聚集,产生产业聚集效应,从而形成广州区域金融中心良性发展的内生动力。
近年来,信息技术在金融业广泛应用并日渐深入,正在改变着支付与结算、资金融通与转移、风险管理、信息查询等金融基本功能的实现方式,金融业对信息技术的依赖程度日益提高,金融信息系统的开放性进一步增强,信息安全保障难度加大,给我国金融业信息安全管理带来新的挑战,同时也给人民银行在“十二五”时期履行好金融业信息安全管理职能带来新的考验。本文以维护金融稳定特别是维护金融业信息安全为视角,以西双版纳州辖内银行业金融机构为例,对全州金融业信息安全状况进行调查分析,力求为基层人民银行更好地履行金融业信息安全管理职能提供决策参考。
一、西双版纳州金融业信息化发展现状
近年来,随着国家继续实施西部大开发战略,实施把云南建设成为中国面向西南开放的“桥头堡”战略,随着中国-东盟自由贸易区建成和澜沧江-湄公河次区域合作不断深入,西双版纳以生物多样性为特点的自然资源优势和以毗邻东南亚为特征的区位条件优势逐渐显现。“十一五”期间,西双版纳州经济与金融良性互动,货币资本与实体经济比翼双飞,全州金融业实现历史性的新跨越,全州金融组织体系不断健全,全面消除了金融服务机构空白乡镇;金融机构存贷款余额实现翻番,金融机构以强劲地信贷资金投入支撑了全州经济快速发展。截止2010年末,全州有10家银行业,共有金融机构营业网点137个、从业人员1407人;全州金融机构各项人民币存款余额256.88亿元,比上年末增长27.22%,全年累计增加存款54.97亿元,年度存款增量创历史新高;全州金融机构各项贷款余额145.29亿元,比上年末增长20.92%,全年累计增加贷款25.14亿元,年度贷款增量创历史新高。金融业快速发展的同时,也给人民银行履行金融稳定职能特别是履行金融信息安全管理职能带来了新的挑战。
据调查显示,随着金融业的快速发展,辖内各金融机构信息化建设水平得到了持续改进和提高,初步建成了规范、方便、高效的信息化服务体系,从调查情况看,目前西双版纳州金融业信息安全状况总体良好,主要表现为:
――信息安全组织机构健全。近年来,全州各金融机构逐年加强对金融信息安全的重视,现场调查显示,目前除小额贷款公司主要依靠传统手工方式开展业务外,其他金融机构均设置有科技部门或科技岗位,机构及岗位职责明确,相关人员对金融信息安全形势及自身的信息安全管理情况把握比较准确,能够较好的履行信息安全管理职责,基本建立起一套较为完备的信息安全工作组织体系,为全州金融信息安全管理工作的开展提供了组织保障。
――信息安全管理水平稳步提高。一是各金融机构都建立相应信息安全管理制度,部分金融机构还高度重视对干部职工的信息安全教育,制定有相应的信息安全奖惩措施,提高了信息安全思想防线;二是信息化的快速发展助推信息安全工作的持续进步,特别是以综合业务系统整合、数据集中为主要特征的银行信息化发展到了一个新的阶段,总体看,各金融机构基本都建成了较为成熟的信息化支撑保障平台,金融业务数据全部实现省级以上的集中,地市分支机构基本无数据和相应的服务器设备,金融业务数据和办公数据全部实现网络物理隔离,金融业务数据安全传输可控水平进一步增强。
二、西双版纳州金融业信息化发展及信息安全管理存在的主要问题
调查显示,尽管西双版纳州金融业信息安全管理水平在近年得到了较大提高,建立起初步的信息安全管理体系,但也仍然存在一些亟待解决的问题,各金融机构信息化发展中对信息安全的整体解决方案考虑不够,存在不同程度的管理缺陷,制约了管理效率的提高。部分大银行和新兴中小金融机构,由于信息化建设起步较晚,信息化服务和信息安全保障水平仍较低,整个金融业呈现出“信息化建设及安全保障能力差异性大”的特点,金融业的信息安全保障还面临诸多问题。
(一)金融业信息化发展及安全管理水平差异明显,行业监管难度较大
调查发现,金融机构地市分支机构没有信息化建设的自主规划及建设权限,各金融机构的信息化建设主要依靠其总部或省级机构进行统一规划和组织实施,各金融机构的信息化战略自成体系、差异较大,主要体现在数据集中层次和系统整合程度差异明显,网络架构及网络保障水平、ATM设备及客户端安全监控管理水平参差不齐,其中以中国银行、建设银行等为代表的部分国有大型商业银行目前的信息化建设已取得较好成效,无论是在系统整合、数据集中乃至网络建设等方面都已达到了较高的水平,处于相对稳定的状态。而另一方面,人民银行及部分大型国有商业银行的信息化仍处于大规模建设之中,人民银行目前的数据集中及系统整合工作仍处于初级阶段,中国农业银行也正处于大规模的信息化建设进程之中,邮政储蓄银行目前还与中国邮政共用网络设备及线路,云南省农村信用联社目前还未建立灾难备份中心,其他中小金融机构由于其信息化建设起步晚,在人员教育培训、安全意识等方面相对薄弱,无论是在信息化建设还是在安全管理方面都还处于起步阶段,信息化支持金融业务发展的能力相对较弱。
(二)缺乏行业级信息化及安全管理标准,信息安全监管面临操作难题
与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需进一步加强。人民银行在金融信息化规划、信息标准、信息安全等诸多方面承担着重要职责,特别是在面对高科技企业及综合服务机构巨大冲击的情况下,金融业必然要依靠信息化以实现从传统金融机构向现代金融服务业的转变,金融信息化和信息安全管理将是一个动态发展变化的过程,而从当前情况看,人民银行对金融机构信息安全工作的指导和监管,还处于初级探索阶段,特别是人民银行各分支机构对各金融机构信息安全的指导和监管目标还缺乏完整全面的认识,缺乏监督管理的依据标准及相应的监管操作实施细则,加之相应的人才队伍储备不足,从而导致监管措施不到位,监管手段缺失,致使基层人民银行对金融业信息安全监管缺乏主动性,金融机构对人民银行履行金融信息安全管理职能的认同感不高,监管效果不明显。
(三)信息安全人员队伍素质与信息安全形势发展需要存在差距
从科技人员配备来看,目前辖内除农行由于机构网点较多而配备有一定数量科技人员以外,其他金融机构基本仅有一名兼职科技人员,整体看各金融机构的基层科技人员定位正处于不断弱化的趋势,绝大部分金融机构的信息安全管理职能已逐步上收,风险点逐步上移,对于信息化建设水平较高的金融机构而言,基层金融机构科技工作及信息安全工作的淡化是信息化建设进步的必然趋势,而对于那些还处于信息化建设快速发展的金融机构乃至中小金融机构而言,科技人员配备不足必然会造成一定的信息安全风险隐患。
从人民银行的信息安全队伍建设来看,当前人民银行自身的信息化建设还处于蓬勃发展中,系统整合、数据集中仍处于不断探索过程,信息化基础设施仍较为薄弱,随着人民银行自身信息安全管理要求的逐步提高,人民银行自身的信息安全管理也面临巨大挑战,而从履行金融业信息安全的角度来看,由于金融业信息化发展差异较大、涉及面广,对人民银行的信息安全管理队伍建设提出了更高的要求,而当前地市人民银行仅有一名兼职的信息安全管理人员,无论从数量还是素质上都难以适应当前金融业的信息安全管理要求。
三、推动金融业信息安全管理的意见和建议
在新形势下如何指导和协调金融业信息化建设和信息安全管理,是人民银行需要认真思考的问题。金融业信息安全管理是防范和化解金融风险、维护金融稳定工作的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系,从根本上降低安全运行风险,形成金融业安全稳定的良好局面。
(一)加强调查研究,明确金融信息安全工作的目标和思路
人民银行科技部门要认清形势、顺应发展、深入思考各层级人民银行分支机构在金融信息化建设和信息安全管理中的作用地位,面对金融业信息化发展及信息安全管理的巨大差异,人民银行应进一步加强调查研究,一方面要加强对人民银行基层行的调查研究,切实处理好基层人民银行信息化建设与人民银行职责履行的关系,不断优化人民银行网络及系统架构,进一步加快基层行业务、办公、安全运维类系统的整合和集中,更加关注信息安全的整体解决方案,找准基层央行内部信息安全工作的重点。其次是要加强对地方法人金融机构及中小金融机构信息化和信息安全的研究,切实掌握金融业信息化发展及信息安全管理现状,充分借鉴国内外成功经验,不断探索传统金融行业向现代金融服务业转型的有效途径,深入分析研究金融业信息安全风险隐患,进一步明确金融信息化及信息安全管理工作的目标和思路,明确金融业信息化技术架构和管理框架,从而为有针对性地制定对金融业的信息化及信息安全发展规划指引及制度保障体系打下基础。
(二)加快构筑金融信息安全工作的制度保障体系
一是要在充分调查研究的基础上,加快金融业信息化及安全管理的制度体系建设,明确金融信息安全管理工作中人民银行及各金融机构的职责权利,特别是要明确人民银行各级分支机构的职责要求,其中总分行应侧重于制定标准和对全国性金融机构的监督管理,人民银行基层分支机构应加强对地方法人金融机构及中小金融机构的服务指导,逐步构建科学合理的组织分工体系,确实发挥央行在履行金融信息安全管理指导、标准化战略制定等方面的重要作用,借鉴国内外成功经验,尽快出台金融业信息化发展及信息安全建设规划指引,加强信息化规划指导和管理,稳步推进系统整合、数据集中、灾备中心建设、银行卡联网通用、网上银行及第三方支付平台安全控制规范、外包服务管理、客户端安全控制规范、系统等级保护等一系列基础工作的深入开展,明确金融业信息化的技术架构体系和软硬件选型要求,稳步减少对国外技术和产品的依赖,逐步构筑高效、安全的金融信息化服务保障体系。二是要结合金融业的不同实际,区别对待,尽快出台金融业信息安全检查管理办法、金融信息安全事件报告制度、金融信息安全事件通报制度、接入人民银行信息系统管理办法,明确标准要求和操作程序,确实增强信息安全管理工作的可操作性,进一步推动信息安全工作的长足发展。
(三)努力打造金融业信息安全管理工作平台
一是要努力营造金融业信息安全管理工作履职氛围。加大宣传培训,切实把金融信息安全工作放到维护金融稳定的高度来抓,加大对金融信息安全事件的查处和通报力度,不断增强金融机构对信息安全工作的重视程度,使其进一步认清人民银行在金融信息安全管理监督工作中的重要作用,营造良好的金融信息安全履职环境。二是要搭建金融信息安全工作沟通协调机制,通过建立定期联席会议制度、建设信息安全监督管理系统、畅通安全信息交互沟通渠道、明确信息安全事件应急管理处置流程等多种手段,不断增强金融信息安全管理效率,促进信息安全管理监督工作的顺利开展。
(四)重视信息安全人才队伍培养,增强信息安全保障能力
面对金融业信息化发展及安全管理现状的巨大差异,人民银行务必高度重视信息安全工作队伍的培养工作,确实打造一支业务素质高、工作能力强的信息安全工作队伍,为人民银行确实履行好金融业信息安全管理职责做好人才智力保障;各金融机构也应按照金融机构信息化发展及信息安全建设规划要求,配备一定数量的信息安全管理人员,减少在人员上对外部或对上级的过度依赖,增强自主运行维护管理能力、提高对大集中之后分散风险的处置能力,切实保障信息安全工作的连续性和稳定性。
央行近日成立金融科技委员会,该委员会将从政策机制层面深入研究金融科技发展对货币政策、金融市场、金融稳定、支付清算等领域的影响,切实做好我国金融科技发展的战略规划与政策指引。
这里所指的金融科技,是基于大数据、云计算、区块链、数字货币、人工智能等一系列新技术的集成创新,代表着金融业发展的全新方向。金融科技在为金融发展持续注入新活力的同时,也在不断地给金融安全带来新的挑战,亟须金融监管及时做出恰当回应。对金融科技恰当的回应涵括两个相互衔接的层面:
第一个层面,对金融科技做必要规范。因为金融科技与其他科技最大的不同,就在于其具有巨大的外部性,这一点,尤其是在金融科技发展过程中,有越来越多的新生事物不再囿于传统认知中金融与非金融界限的情况下,更需要给予足够重视。
对金融科技的规范工作目前已经在有效展开。以网贷为例,2011―2014年的四年间,我国网贷平台数量一度呈现井喷式增长,但是同期某些局部性风险也在一定程度上潜滋暗长,故此相关部门从2015年起,出台相关指导意见并实施整顿,牢牢守住了不发生系统性金融风险的底线。
第二个层面,是主动引领。目前全球信息化革命方兴未艾,大量颠覆式创新的不断涌现,为后发国家客观上提供了极为难得的“弯道超车”机会窗口。因此,志在实现伟大复兴的中国完全可能,也必须抓住这一历史性的大转折时期,抢占新一轮全球科技竞争的“先机”与“高地”。金融科技正是中国“弯道超车”的关键道口。中国在这个重要领域,甚至已经具备了一些“领跑”态势,例如移动支付应用,有数据显示,去年中国的移动支付规模达到5.5万亿美元,是美国的50倍。
这还只是基于过往数据的对比,如果从未来发展趋向来看,中国在金融科技领域的发展势能则更为强劲。因为基于庞大的用户数据、优良的基础设施,以及由前沿位置而更多衍生出的新技术突破、融合可能性(有些目前可能还不甚明了),共同推动中国站在了金融科技创新的“风口”。去年全球金融科技公司获得的全部投资中,中国公司获得的融资笔数占比达到56%,融资金额占比更是高达78%,这充分表明,最具敏感性的全球资本已经闻风而动,实实在在地为中国金融科技创新发展“用脚投票”。
所以说,以金融科技委员会成立为又一标志,中国金融发展的内在要求正在不断倒逼并持续催生监管创新。这些创新涉及理念创新、制度创新、组织创新等方方面面,有关部门在此过程中当始终把握好监管与发展何为手段、何为目的的主从关系,要在确保安全的前提下,以敢为天下先的远大志向,引领中国金融这艘航船在新的潮流中奋勇争先。
一、保定农村金融信息化建设现状
(一)农村金融信息化建设相对滞后。目前随着各中小型商业银行对农村金融市场的逐渐重视,保定市农村金融信息化建设取得了一定的成绩:一是实现了数据大集中,降低了基层金融机构信息系统建设的成本和风险,为农村金融信息化工作的开展奠定了扎实的基础;二是银行业金融机构内和机构间均实现了互联互通,快捷方便的金融信息化网络初步建成;三是信息化系统建设速度大幅提高,尤其是农村合作社新系统的使用,有力地推动了保定市农村金融信息化的发展;虽然县域以下金融机构是各金融机构的神经末梢,主要支持农村经济建设,但是由于种种原因,农村金融信息化建设相对滞后,农村金融营业网点密度远远低于市区,而真正意义上的农村金融信息化网点更加稀缺。(二)农村金融信息化程度参差不齐。虽然四大国有商业银行信息化程度较高,但是其营业网点逐渐收缩至县城。邮政储蓄银行成立较晚,运行机制尚未理顺,其支农作用短期内难以得到有效发挥。农村信用社实力不断壮大,营业网点较多,由于先天实力不足,农村信用社资金清算至今仍没有纳入全国结算渠道,电子银行没有上线,而且虽然县级金融机构全部接入大小额支付系统,但乡镇网点大小额支付系统覆盖率几乎为零。各村镇银行由于规模较小,以托管方式依附于其他银行开展业务,推动农村金融信息化发展的局限性较大。近几年发展起来的农村合作社也是信息化建设程度不高。
二、保定农村金融信息化建设面临的问题
(一)资源配置不合理。各大国有商业银行改革进程的推进,县域网点大量撤并,导致县域信息化主体和金融服务严重缺位,加剧了城乡信息化资源不平衡。(二)基础设施建设滞后。农村金融信息化进程缓慢虽然县域以下金融机构都非常重视信息化的发展,信息技术投入占整个银行投入的比重逐年增加,但总体发展速度依然相当迟缓,研发能力薄弱,远远跟不上金融服务需求,不能充分满足农村经济建设发展的要求。(三)科技人才储备不足。农村金融信息管理职能弱化部分金融机构对科技队伍建设缺少足够重视,科技人才的培养体制不够完善,科技人才储备不足。农村金融机构虽然通过近几年大量招收优秀大学生,缓解了用人紧张的情况,但是由于营业网点扩张速度较快,科技人才仍有较大缺口。(四)创新意识不强,农村金融信息化创新力度不够。县域金融机构真正贴近市场,他们最了解县域中小企业和“三农”的业务需求,但受审批权限的制约,业务渠道单一,难以依托信息技术进行自下而上的产品创新,延长了金融产品创新的周期。
三、保定农村金融信息化建设的对策
(一)完善农村金融信息化体系。构建一个以人民银行为中心,农业银行、邮政储蓄等为骨干,农村合作社等新型农村金融机构为补充的农村金融信息化体系,为新农村建设提供全方位、多层次的金融服务。一是农村金融基础设施建设。积极开展农村征信体系、支付结算体系等农村金融基础设施建设,大力改善农村金融生态环境;二是解决好农村金融信息传递“最后一公里”问题。改变传统以县城为信息化建设为中心的思路,逐步建立以乡镇为金融信息服务中心,覆盖所有自然村的金融信息化网络,彻底解决信息传递“最后一公里”的问题;三是加大人员培训和引进力度。农村金融机构相对于专业性金融机构来说,信息化的难度要大得多,对技术人员的要求也较高。加大对现有人员的技术培训显得尤为重要。
(二)优化农村金融信息化生态环境1、加大宣传引导力度,提高社会认知度。农村农民对金融新产品认知度低,是制约新型支付结算工具和金融中间服务发展的重要原因。各银行业金融机构应采取多种形式加大对新的金融服务方式、服务领域、服务渠道、创新服务产品的宣传力度,特别是在农村加大网上银行、手机银行、电话银行等新型金融服务、非现金支付工具、中间业务品种的宣传,使农民逐渐感受到非现金支付工具、中间业务带来的便利和收益,并为客户提供实实在在的服务便利。同时,要利用自身基础设施优势增强银行的社会服务功能,不断拓宽服务领域,壮大自身实力。加强信息技术的窗口功能,利用信息技术面向农村农民宣传金融知识和金融服务,提高农民财富管理能力和信息化技术应用能力。2、加强科技创新力度,推进基于信息技术的金融创新。各银行业金融机构应大力加强基于信息技术的金融创新,提高产品创新能力,实现由“以产品为中心”向“以客户为中心”的转变。应利用信息化手段继续丰富金融服务方式,拓宽服务领域、拓展服务渠道、创新服务产品、延伸服务对象,提高服务效率和服务水平。重视弱势群体的金融可获得性,支持功能齐全、分工合理、竞争有序的金融服务体系建设,加大面向中小企业和“三农”金融服务产品的信息科技投入。3、深化金融业信息安全。在现代银行的各类风险中,信息安全风险是唯一能够导致银行全部业务瞬间瘫痪的风险。各银行业金融机构在加大科技创新、提高金融服务的同时,一定要做好信息安全风险管理,做好信息安全发展规划,完善信息安全保障体系。
四、保定农村金融信息化建设趋势
通过不断对农村金融信息化的科技攻关,将使保定农村金融业在今后较长一段时间内获得持续发展的可靠根基。实现保定农村金融业的网络化经营,实现多渠道电子银行业务,开展客户中心、网上银行、ATM、POS、电话银行、网上证券和网上保险等多渠道电子服务方式来服务“三农”。从人才、技术流程等方面建立主动防御的纵深信息安全体系,建立了设备层、网络层、系统层和应用层的信息安全机制。壮大科技人员队伍,加强人员信息化培训。最终把保定市农村金融信息化的技术水平、金融服务与创新能力推进到发达水平,为国民经济的稳定发展和新经济的成长提供强有力的保障。
本文作者:李峰韩祝华工作单位:河北金融学院
据统计,我国公安机关自2000年至2009年,共破获利用网络犯罪案件16700余起,缉捕犯罪嫌疑人19300余人,涉案总价值近95亿元。有统计报告称,将受侵权案件进行归类,发现属于管理方面的原因比重高达60%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证。在提高安全管理技术手段的同时,还要从制度和管理机制上提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。加强金融信息系统的内部安全管理措施,层层建立起组织管理系统,制定和完善内控的各项规章制度,不断改进和加强程序的操作与管理技术,是做好金融会计信息系统安全管理的根本。
一、金融会计网络信息系统面临的挑战
目前,网络信息和技术的广泛使用,给金融会计网络信息系统带来了多方面的风险和隐患,金融会计网络信息系统正面临十分严峻的形势和挑战。
(一)金融行业的管理落后于金融网络系统发展的需求
目前,我国金融业的网络信息安全管理工作还存有不少漏洞,从领导决策、内部安全制度管理到网络技术的安全管理,都还需要直一步加强。曾有金融界专家根据我国金融网络信息安全管理不佳的现状指出:“信息资产风险监管是金融监管体系的核心理念。”这里说的信息风险资产是指在网络信息化进程中,信息资产的设计、规划、服务、运用、监管以及操作等过程中产生的业务风险。从目前我国整体形势来看,金融会计系统的安全管理制度都已比较完善,但从上级机构对下级机构的监管和指导上还处于一个较低级的阶段。因为往往缺乏完整的认识,缺乏统一的监管目标,缺乏上下级之间监管的运作机制,从而造成上下级监管不到位,就不同程度地消弱了网络信息安全管理的实际效果。
(二)核心设备和技术依赖国外,造成安全隐患
目前,我国的网络信息系统所使用的操作系统、芯片、数据库等大多数还是由外国生产和提供,其中有些人为设置的软件陷井和系统漏洞,往往就会使我们防不胜防。有人在调查中发现,外国人生产设计的操作系统和数据库及一些重要网络系统中使用的信息技术产品等,都不可避免地存在着一些安全上的漏洞。这些漏洞其中有的是疏忽造成的,但也有的是有意设置的。在网络运行中,这些安全上的漏洞就有可能被人利用实施入侵,被人破坏设备程序或从中窃取机密信息和数据,实施经济犯罪。
(三)境内外网络违法犯罪活动呈快速发展趋势,金融会计网络信息系统安全将面临严峻的网络技术挑战
金融会计网络信息系统和其它重要信息系统正成为国内外不法分子进行攻击和破坏的重点目标,他们都是利用自己高尖端的网络信息系统技术进行犯罪活动,只要我们一时的疏忽和松懈,就会让坏人有机可乘,给国家和集体的财产造成很大的损失。目前,从全国的形势来看,不法份子正在利用其所拥有的高科技,在整个金融界无孔不入地从事破坏活动,已有不少金融会计信息系统受到他们的攻击,并给我们的金融业造成了巨大的危害,所以说,我国目前金融会计网络信息安全的形势十分严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心95%都遭到过境内外黑客的攻击和侵入,其中以银行、金融和证券机构为其攻击的重点。
二、应对措施
(一)加强金融网络信息系统安全管理的行业监管和制度建设
目前,随着我国社会经济的快速发展,网络信息安全工作也已受到国家有关部门的高度重视。尤其是近几年以来,党和政府开始把金融信息系统安全工作提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,同时,各级政府还专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系,为金融会计系统网络信息的安全管理打下了一个良好的基础。具体到一个行业和部门就更应自己对加强信息系统安全管理重大意义的认识,在国家高度重视并建立防护机构的基础上,建立起自己的信息安全管理组织,联系本行业、本部门的工作实际,科学认真地制定出确保金融信息系统的安全管理措施。管理措施主要应包括领导责任、安全管理人员的职责划定以及工作人员技术管理、操作程序上的具体要求和防护策略。同时应要求将各种安全策略规范化和实用化,加强其可操作性,以保证安全管理人员在工作中具有明确的依据或参照,并便其形成一种人人都严格实施的工作制度。
为了进一步从根本上强化金融网络信息系统的安全管理,还应建立起跨部门的金融行业安全协调机制以及关键时期的安保工作机制,加强信息安全的检测和准入制度,层层建立起信息资产 风险评估体系,切实提高信息系统安全管理水平,保证金融业的长期稳定和发展。上层金融机构要切实加强对下属中、小金融机构的监管,并加强具体指导和提供各项服务。加强对下属金融机构的业务、技术培训,提高其安全防范意识和防范技能,帮助中小金融机构规避各种风险,实现持续发展。各金融系统还应自上而下地成立行业网络信息安全领导小组,并随之建立起一系列的信息安全的报告制度、通报制度和联席会议制度,真正建立健全运转灵活的、反应灵敏的信息安全应急协调机制,及时消除隐患,快速有效地应对各类突发事件,从根本上降低和消除各类重大事故的发生,保障金融业健康有序的发展。
(二)强化网络信息的安全机制建设
在网络信息机构、制度建设的基础上,必须加强行业、部门内部的安全机制建设。这就是说,机构和制度的建立固然重要,但更为重要的是机构和制度的运作是否能够形成一个科学有效的内部管理机制,没有形成一个科学有效的管理机制,机构和制度都将形同虚设。安全机制建设的内容应包括:一是层层建立岗位安全责任制,在防患于未然的前提下,一旦发生问题,责任十分明确,谁也无法推诿,以此增强每一个领导者和每一个工作人员的责任意识;二是可进行安全区域划分,重点加强重要地区和部位的防御力量。从人力到有针对性的安全设备部署和设置,都要向重要部位实施强化,以改进和加强对重要区域的分割防护;三是增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,发现问题及时向主管领导报告或立即报警,力争将隐患和问题消灭在萌芽状态,以此来保证和提高自身的动态防御能力;四是完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。五是要强化“突发”与“应急”意识。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。六是要扩大应急预案本身的覆盖范围。应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进金融部门做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
(三)组建网络信息安全专业组织
因金融会计网络系统安全问题事关重大,在已解决上述有关问题的前提下,组建起一支精干而专业的网络信息安全的专业组织是大有必要的。专业安全保障人员应专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑等方面的工作。在此基础上,要根据可能发生的安全问题,制定出关键设施或部位的应急预案,让每一个人都牢记在心,防患于未然;同时还要对专业安全人员进行有目的的业务和技能培训,让其真正具备应急预案中所规定的专业安全保卫人员的思想素质和各项防范技能,随时准备应对可能发生的突出事件。如上所述,多管齐下,多渠道实施综合防范,真正建立起网络信息系统的安全保障体系,实现对金融机构信息安全风险的及时、动态、全面、连续的监管,同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,所以我们就必须充分认识到金融业信息安全对整体业务和金融体系,乃至体系的影响,牢固树立风险防范意识,把不断提高信息科技能力作为风险管理的重要手段。
关键词 计算机安全管理;金融机构
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)15-0146-01
1 计算机安全管理的重要性
在金融监管部门,一旦计算机系统出现问题,作为第一责任人的企业法人要对问题负责,并要在最短时间内给出故障解决方案。再者,各个级别的责任人也要签订安全管理责任书,将职责细化到个人。金融机构计算安全管理工作的完善不仅可以促进金融业健康发展,还能推动整个IT行业治理水平的提升。如今,计算技术和信息技术日新月异,金融机构的信息化程度不断迈进,人们越来越认识到计算机安全管理的重要地位。如今的金融企业大多采用股份制,一旦计算机系统发生故障,不仅影响单一企业个体的运作和金融业务开展,这对关联的其他机构的稳定性也会造成一定影响。因此,提高计算安全管理水平,降低故障率,是保证金融业稳定发展的重要因素。
2 计算机安全管理中的问题及其分析
2.1 安全管理标准规范体系模糊
对金融机构而言,操作风险是难以预估的,也缺少成熟的定量尺度。《新巴塞尔资本协议》指出金融机构应按照相关标准实行一种较为准确的资本计算方法,旨在最大限度减小操作风险。然而,大多数金融机构对这项工作的着手都较晚,也从一个侧面反映出,金融业对操作风险的流程、量化方法、体系组成、工具还处于摸索阶段,无法达到信用风险评估、市场风险管理的要求。金融业计算机安全管理既与人为失误有关,也牵扯到复杂的计算机软硬件知识,这导致科学准确的度量评估存在着不小难度。国内金融业急需建立一套定量指标体系,准确衡量金融信息系统的隐患。相关部门在安全管理范围内建立配套法规标准,以期促进我国金融业的计算机安全管理水平。
2.2 重视灾难备份体系建设
金融机构要对灾难备份建设工作予以足够重视,立足于自身的经营实际,合理预估灾难恢复时效性以及自身风险承受能力,并坚持成本效益最大化原则。国际上先进的金融机构都有一套成熟的方法,首先确定备份等级,进而找到对应的备份策略,对核心设施和数据进行高等级灾难备份。我国的金融业主管部门应做好引导工作,督促其依据实际情况,分级实施、循序渐进,积极采纳国外同行先进经验,保证核心设施的运行可靠性,完成灾难备份建设的同时,尽量控制维护成本。
2.3 业务部门应积极参与到安全管理工作中来
金融机构计算机安全管理不仅仅是一项信息技术工作,它还处处渗透着金融业务的内容。例如业务持续性管理,信息部门建造完成灾难备份只是第一个环节,业务部门还要制定完备的应急预案,指导业务人员遭遇突发状况时最短时间内展开有效应急处理工作。在产品研发过程中,质量问题会埋下潜在的系统风险,程序设计漏洞、测试不完整、接口不稳定等因素都会引发产品质量问题,所以业务部门和科技部门需要通力合作,共同抵制风险。业务部门尤其要重视项目计划,及时制定详细的业务需求明细表,尽可能避免项目研发后期的需求改动;另外,要尽量压缩安全系统资源占有率,并积极关注产品的后期使用效益。
3 计算机安全管理的有效措施
3.1 组建计算机安全管理体系
以银行为例,可以推举行长或副行长担任安全管理负责人,金融部、信息管理部、运行维护部的主管为成员,共同负责计算安全管理重大事件的决策,以及应急预案制定、灾难备份等工作。科技部部长应定期向组长汇报安全管理工作的进展和成效。同时,银行分部的科技部门也要建立专门负责计算机安全管理工作的小组,协调划一,形成一批保障计算机安全管理的专业队伍。
3.2 项目开发管理
金融机构要注意安全管理软件的升级维护,确保软件可靠运行。1)不断完善研发测试管理流程,加强对方案审定、过程控制、项目质量实时跟踪、需求管理等工作的管控。2)及时优化软件版本,并做好相应的测试投产工作,遵循版本集中投产,不要短期内频繁更换软件版本,尽量降低软件版本更迭带来的风险隐患。3)与业务部门做好沟通协调工作,这样有利于分散风险,实现共同担当。
3.3 硬件运行环境
计算机是现代化高精度的电子设备,对周围运行环境有着严格要求,硬件维护人员要定期检查硬件设备,防止重大事故的发生。此外,还要侧重以下两个方面:1)对硬件环境的屏蔽处理。屏蔽包括静电屏蔽、磁屏蔽和电磁屏蔽。2)主要业务系统的设备要双机备份。通讯控制设备最好能通过电子开关实现自动切换,提供良好的接地和供电环境,确保给系统提供纯净的电流和不问断供电。
3.4 运行维护与安全管理
计算机安全管理的一项重要任务就是控制生产运行风险。据不完全统计,大约50%的生产风险源于安全管理方法不当。金融机构要将计算机安全管理工作置于首位,督导各部门尽职尽责,避免系统运行风险的发生。首先应建立集中控制的监管平台,对主机、业务平台进行状态实时监测,实现监控无人化、智能化。再者,通过布置帮助系统、网管系统、容量优化系统、资源管理系统,提高生产运行效率。最后,应明确应急预案的实施流程,尽可能把风险灾难的影响降至最低。
3.5 信息安全控制
首先建立严格的信息安全内部管控体系,综合技术和管理手段,保障金融数据的保密性、可用性、完备性。金融机构要有专门的信息安全防护团队,及时排查接触各类安全隐患。另外,落实安全体系规范、部署防火墙、漏洞侦测、入侵报警等防护工具,实现客户端的可靠运行。如果有了强大的防御措施,即使受到恶意攻击,也不会对信息系统的内核产生影响,仍然可以维持正常的金融业务开展。
3.6 业务连续性管理
数据集中处理、主机灾难备份、平台接口多样化、业务跨区受理是金融机构要遵循的原则,也是开展信息系统技术体系建设的必然要求。建立业务灾难备份、同城磁盘镜像,都能大大提升机构的风险抵抗力。再有,金融机构也要定期进行灾难防护演习,保障灾难系统运行的有效性和适应性。
4 结束语
计算机安全管理工作是金融业需要认真对待的问题,不仅需要金融机构各方面共同关注,也需要各级主管部门与业务部门级科技部门通力合作,为打造一个安全稳定的发展平台而共同努力!
参考文献
[1]潘宇乐.浅谈金融机构计算机安全管理存在的问题及对策[J].计算机光盘软件与应用,2010(11).
金融协同发展作为京津冀协同发展战略的组成部分,是撬动京津冀协同发展的重要力量。如何利用互联网前沿技术,进一步提高金融业信息化水平,显得尤为重要。本文就金融机构如何以技术创新驱动金融业持续发展提出了建议。
关键词:
信息技术;金融机构;信息化
一、技术创新发展时代背景
推动京津冀协同发展,是党中央、国务院在新的历史条件下做出的重要决策部署,是一个重大国家战略。金融协同发展作为京津冀协同发展战略的组成部分,是撬动京津冀协同发展的重要力量。如何利用互联网前沿技术,进一步提高金融业信息化水平,持续推动“京津冀”金融业健康发展是非常有意义的。一年多来,京津冀金融机构在金融支持京津冀一体化建设方面取得了积极成果。例如,有的银行利用“互联网+金融”的方式,与有关部门围绕三地大宗商品线上交易融资进行对接,为客户提供资金结算和融资便利。有的银行为京津冀地区大型央企外迁搭建跨市场的综合金融服务平台。有的银行创新产业金融产品,为不同类型的企业打造一站式服务平台。这些金融产品和金融服务方式的不断创新,都离不开信息科技的支持。
二、技术创新发展面临的挑战
纵观银行信息化发展历程,各商业银行IT系统大多经历了从分散数据中心到集中式数据中心的阶段,这一阶段建立了全行大集中的核心业务处理系统。在享受数据集中带来的管理便利的同时,各行也意识到数据集中带来的业务连续性问题。因此,多家商业银行学习和吸收互联网和开源技术思路,开始建设同城双活、异地多活的灾备系统。实现了从传统灾备恢复模式向多活灾备的业务连续性模式的转型、升级。全面提升了IT系统连续性和可用性。近两年,在移动互联、云计算、大数据等新技术的支撑和引领下,各行开始在全新IT系统架构基础上建设新一代核心系统。同时结合互联网和金融深度融合以及移动支付高速发展的趋势,陆续推出了“直销银行”、“云缴费”、“云支付”等互联网金融服务产品,通过科技创新驱动,在互联网金融服务方面取得了累累硕果,践行了普惠金融便民服务的理念。目前,金融机构信息化建设已逐步从“信息技术支撑业务开展”转为“科技创新引领业务发展”。金融机构经营模式、服务方式、产业格局等发生了重大变化,金融服务的提供、获取和创新都强烈依赖信息科技。商业银行要想保障业务快速发展,还应当从金融服务的本质出发,充分发挥自身技术雄厚、风控完善、信誉度高等优势,积极运用互联网思维,从流程、数据、平台和产品等层面系统推进信息化建设,落实国家网络安全和信息技术安全有关政策,从根本上构建起面向未来的、持续、安全的发展模式。
三、做好技术创新驱动金融业持续健康发展的建议
(一)深入研究新技术发展趋势,充分利用新型技术手段
信息技术蓬勃发展。物联网技术和各类传感技术为服务的移动化和即时性提供了条件,分布式技术为商业银行提供了低成本硬件资源选择,云计算技术使得资源调配更加快捷,大数据技术使海量数据的分析和应用成为可能。商业银行信息科技建设应牢牢抓住发展机遇,充分利用新型技术手段,全面整合金融基础设施。
(二)开展平台化建设,增强系统架构灵活性和安全性
随着银行IT规模的不断扩大,各产品技术路线分散,系统架构与功能耦合度高,公共模块开发复用性问题逐步显现。同时,互联网金融服务的不断创新,银行不断面对各种新型业务场景。实践表明,当前信息系统架构在应对业务的多样性和多变性上已显现不足,这制约了业务创新转型进程。因此,金融机构要加强顶层设计,进一步增强核心系统架构的灵活性和安全性。积极探索平台化产品线体系,实施平台化的系统建设模式。IT架构从“IOE”向x86架构转型,并逐步向云计算服务模式迁移。同时坚持开源软件、国产软件与自主研发相结合的技术发展路线,推进深度自主研发,打造基于自主可控研发平台,规避技术依赖风险,提升对关键技术的掌控力。
(三)增强IT风险管控能力,确保安全生产运行
随着信息系统规模越来越庞大,系统结构越来越复杂,新技术应用层出不穷,系统边界更加模糊。同时,业务数据量爆发式增长,系统的实时性要求更加严苛。这给传统的安全防范模式带来了严重的挑战和冲击,IT风险管控工作任务艰巨。金融机构应加强安全生产基础管理和建设,大力推进灾备中心建设。严格数据中心和灾备中心生产运行管理,完善应急管理机制,提升安全生产水平。为持续推进数据中心安全、可靠、稳定运行,监管机构也先后下发了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》、《银行业信息系统灾难恢复管理规范》等规范和指引,对于数据中心风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理等方面提出了明确要求。金融机构应落实好监管要求,保证IT风险管理“三道防线”,提升IT风险防控水平。
(四)加快探索与布局移动金融服务体系,打造更加舒适、便利和安全的移动金融服务
