【关键词】基层人民银行;应急管理;问题;建议 众所周知,基层人民银行在我们日常生活中承担着重要角色,发挥着不可忽视的作用,是维护金融稳定和资金安全的重要性保障机构。因此,确保基层人民银行健康、稳定运行十分关键。本文我们主要分析了基层人民银行在处理应急工作面临的困境和问题,进而提出了一系列发展建议和策略。
一、存在的问题
1.应急预案的制定不能联系实际,存在被动应急的行为
应急管理工作是一项涉及全局的创新性工作,需要紧密结合基层人民银行的工作实际,制定具有针对性、实效性和可操作性的应急处置预案。但是,由于基层人民银行对应急管理工作认识不到位,工作不深入,仅仅是依照上级行下发的应急预案为模式版本,被动制定本行的应急处置预案,联系基层行的实际情况比较少。
2.应急管理工作中只重视预案的制定,忽视应急预案的演练
应急预案的制定只是完成了应急管理工作的第一步,预案的指导作用和完善只有通过演练来检验和实现。但从基层人民银行的情况来看,却忽视了应急预案的演练工作,其主要原因在于应急预案的出台时间不长,基层行普遍对货币押运、安全保卫、防火抢险等预案的演练较多,而对于金融风险、支付清算、外汇管理等预案因其涉及的跨行业、跨部门较多,且复杂性高,演练工作就显得相对滞后,应急处置演练亟待加强。
3.应急管理培训工作有待进一步加强
为了进一步加强应急管理工作,提高应对突发事件的能力和处置效率,基层人民银行开展了形式多样的宣传、培训工作,收到了很好的效果,但也存在许多问题。一是对应急预案中突发事件的预警级别分类不是很到位,应急预案中出现的风险等级标准也没有进行评估,只是凭经验划定应急响应类别;二是制定的预案,没有定期或实时进行风险评估,缺乏评估部门有力的风险评估报告,致使预案制度和实际情况、总预案和分预案之间存在脱节现象;三是应急管理工作是一项创新性工作,但在培训中没有一套针对性较强的大纲教材,也缺少通俗易懂的应急处置操作于册,对应急预案的内容、职责、操作程序和应急处置缺乏系统的了解,导致应急管理工作滞后。
4.应急管理队伍建设有待提高
做好人民银行应急管理工作对于加强金融调控、维护金融稳定、提供安全高效金融服务具有重大的意义,建立一支反应快速、指挥高效、处置妥当的应急管理队伍就显得尤为重要。按照总、分行的指导意见和管理办法,基层人民银行要建立健全应急管理处置指挥体系,充实加强应急管理机构,增设应急管理专岗,落实专人负责应急管理工作。但是受人力资源的制约,基层人民银行的应急管理工作很难做到专人专岗负责此项工作,兼职应急管理队伍的人员素质,难以适应应急管理工作的需要。
二、加强应急管理工作的建议
1.加强宣传教育,提高广大十部职工对应急管理工作重要性的认识 在认真领会上级行的文件精神和工作要求的基础上,要通过举办专题讲座等多种形式的学习教育,增强全行员工特别是领导十部的忧患意识和责任意识,切实抓紧抓好,落到实处。
2.健全和完善应急预案管理体系建设 对制定的原有各类应急预案要进行全面的清理规范,从预案的完备性和可操作性人于,及时修订不规范、不完备的应急预案,并使预案的完善规范工作成为一种制度。同时,在制定预案中做好与相关部门的配合协作,从预案的针对性、实效性和可操作性出发,积极推进应急预案管理体系建设。
3.组织开展多层次的应急预案演练
预案是处置突发事件的预设方案,因此预案一经制定,就要根据不同情况适时分层次、分阶段组织开展各类应急预案演练,演练工作要精心组织,周密安排,注重实效。通过演练确保相关岗位特别是关键岗位的工作人员熟练掌握处置程序和操作技巧,提高应急处置反应能力。
4.强化培训,提高应急管理工作水平 基层人民银行要充分认识应急管理工作的重要性,要结合工作实际,确立重点风险关注点,设立应急管理岗位,加强对岗位人员培训,增强岗位人员对预案风险关注的意识观念,及时发现各种风险隐患,做到提前防范,努力把风险事故降到最低程度和消灭在萌芽状态。
5.加强应急管理队伍建设,明确部门职责
一是结合实际充实应急管理岗位,合理配置人力资源;二是各职能部门在应急管理工作中加强部门之间的协调配合,杜绝职责不明、相互推诿现象的发生,严格追究应急处置管理工作的失职、渎职行为。结合工作实际,建立和完善本单位、本部门应急管理工作责任制,在党委(组)领导下,明确第一责任人、第二责任人,分工负责,一级抓一级,把具体工作责任落实到部门、领导和具体责任人,并确定各自应急管理职责,避免职责不明、责任不分和相互推诿的现象。对于应急管理和风险处置工作失职,并造成重大损失或不良影响的部门和个人要坚决追究责任。坚持统一领导,增强指挥能力,建立健全行政领导负责制,使基层人民银行的应急管理工作逐步进入规范化、制度化、法制化轨道。
参考文献:
【关键词】金融机构;供电;网络;应急演练
一、引言
随着经济和社会的发展,全社会对金融服务质量、效率以及资金安全的要求不断提高,与此同时,针对金融业务的违法犯罪活动呈快速发展趋势,金融机构面临的信息安全形势越来越复杂,金融信息安全工作越来越艰巨,并日益成为社会各界关注的焦点。金融机构面临的信息安全风险主要有网络通信中断、电力供应中断、网络攻击、网络犯罪等,这些风险的处置将涉及到_门、通信管理部门、电力监管部门等多个不同领域的机构。因此,金融行业主管部门适时组织金融机构与_门、通信管理部门共同开展网络攻击事件协同处置应急演练,对增强各行业主管部门和金融机构共同处置网络攻击事件的能力,建立各行业主管部门和金融机构之间的长效沟通机制具有重要意义。
二、演练目的
通过组织开展金融机构网络攻击事件协同处置应急演练,达到以下目的:
?增强金融机构和通信行业、_门等行业主管部门共同处置金融业信息安全风险的能力;
?建立金融行业主管部门、各行业主管部门、各金融机构之间的长效沟通机制;
?掌握相关应急资源的实际操作数据,为今后应急预案的制定提供真实、可靠的依据。
三、演练组织
应急演练可由金融行业主管部门负责组织,选择一家金融机构为应急演练主体单位,_门、通信管理局为演练协同处置单位,负责配合金融行业主管部门和金融机构开展应急处置;基础通信公司(电信公司、联通公司等)负责配合上述机构开展网络攻击事件应急演练。具体职责分工如下:
单位 职责分工
金融行业主管部门 组织、指挥、协调各参加单位开展应急演练,制定网络攻击事件协同处置应急演练方案。
_门 配合金融机构共同开展网络攻击事件演练。
通信管理局 1、对网络攻击事件进行监控和预警,配合金融机构共同开展网络攻击事件演练;
2、协调基础通信公司配合金融机构共同开展网络攻击事件演练;
金融机构 应急演练主体单位,制定供电故障和网络攻击应急演练方案,负责演练具体实施。
基础通信公司(电信公司、
联通公司等) 配合行业主管部门及金融机构开展网络攻击应急演练。
四、演练场景
网络攻击应急演练场景
金融机构网上银行系统受到syn flood网络恶意攻击,对网上银行服务造成影响,监控人员监测发现网络攻击情况(于此同时,通信管理局监控人员发现网络攻击情况)后,立即启动应急预案,同时向金融行业主管部门(电话报告和传真事件报告单),请求协调通信管理局技术人员帮助查找攻击源;金融行业主管部门将情况告之通信管理局和_门,并派员赶赴事件现场协同处置网络攻击事件;通信管理局协调基础通信公司查找攻击源IP,定位攻击者物理位置;公安厅网警总队执法人员及时赶赴网络攻击现场,对网络攻击犯罪人员实施抓捕。
五、应急演练流程图(见图1)
六、演练风险评估及风险防范措施
为确保演练不影响业务系统的恢复运行,演练实施中采取以下风险防范措施:
?将演练时间安排在非关键性日期和非业务时段进行,并预留足够时间防止演练失败时有进行生产系统恢复;
?演练期间,要求相关基础通信公司提供现场技术保障,确保演练期间线路的正常;
?详细记录演练操作步骤及操作指令,以便追溯;
?密切监控演练每一步骤的执行结果,若某一步骤失败则停止演练,恢复生产系统,确保系统的正常运行。
七、总结
金融业信息安全事关经济金融的稳定大局,责任重大,切实做好应急准备工作,定期开展应急演练是保障金融业信息安全的重要手段,本文所设计的应急演练方案为实际工作中总结出来的经验,期望能对金融机构应急演练工作起到抛砖引玉之用,共同维护金融业信息安全。
对于网络机房而言,突发事件可以被广义地理解为突然发生、可能对机房造成不同程度的危害、必须采取非常规方法进行处理的事件。威胁机房安全的突发事件可能是自然原因造成的,比如冰雪、洪水、地震等;也可能是人为原因造成的,比如由于管理疏忽所引起的火灾,由于维护不及时导致设备老化所引起的突发性系统故障,由于操作不当致使负载过高所引起的系统崩溃等等。无论何种原因,突发事件都是威胁机房安全的不可控因素。因此它也成为机房管理中的“痛点”。
在金融和IT行业,随着信息技术应用的不断深入,网络的关键性越来越强,作为网络心脏的机房的重要性不断提升。而在突发事件面前,机房却显得更加脆弱。2005年11月,东京证交所发生大规模系统故障,导致停盘;2006年4月,全国银联系统发生故障,全国跨行交易瘫痪8个小时。IT行业由于突发事件导致系统故障甚至崩溃,从而造成巨大损失的例子更是不胜枚举。因此,如何通过采取积极的措施,有效地应对突发事件,将损失和影响降到最低,正成为包括金融和IT行业在内的各行业信息系统管理者关注的焦点。
应急预案:有备无患
古人云:居安思危,思则有备,有备无患。因此,提前做好防备、制定应急预案也是处理突发事件、保障机房安全的极佳途径。应急预案是针对具体机房环境和设备,在安全评价的基础上,为降低突发事件造成的损失,对事故发生后的应急救援人员,应急救援的设备、设施、条件和环境,行动的步骤和纲领,控制事故发展的方法和程序等,预先做出科学而有效的计划和安排。突发事件虽然不可控,但通过事先制定应对措施,则能在突发事件到来时沉着应对,减小损失。
应急预案必须做到科学性和可操作性相统一。科学性是指预案要科学有效。应急预案是一个科学的体系,应该包括具体详细的预案文本,完善的应急组织管理指挥系统,强有力的应急工程救援保障体系,综合协调、应对自如的相互支持系统,充分备灾的保障供应体系等。预案的科学性是可操作性的基础。可操作性是指应急预案应当切实可行,在遇到突发事件时能够迅速启动,按照流程高效地处理问题。为了保证预案的有效性,必须对其进行不断地检验、反复地论证,制定好预案之后通过战前演练确保能够充分使用一切资源,达到理想效果。
应急预案是一个不断完善的过程。正是由于应急预案对科学性与可操作性的要求很高,因此需要在实践中不断完善,逐步走向成熟。比如艾默生网络能源,作为业内领先的网络能源设备、解决方案和服务提供商,一开始只有面向设备的常规预案,局限于故障设备的处理,后来在多次救灾和应急保障过程中,建立了灾变事件应急机制,制定了相应的应急预案,同时在公司的内部形成了跨部门的协调机制,逐步完善了应急预案。正是由于有完善的应急预案作保障,在2008年抗击冰雪灾害、抗震救灾以及支持奥运当中,艾默生网络能源表现卓著,很好地践行了“关键业务全保障”的理念。
艾默生预案管理服务:
价值凸显
为快速稳妥处置因各种原因导致的金融机构重大突发事件,及时防范和化解系统性金融风险,维护辖区金融稳定,特制定本预案。
一、适用范围
本预案适用于重大金融突发事件的处置。所指金融机构包括银行业金融机构、保险业金融机构和证券业金融机构。所指“重大金融突发事件”,是针对金融机构并可能引发金融系统性风险、严重影响社会稳定的突发事件,主要包括以下情况:一是支付危机,指一个或多个金融机构出现资金硬性流动性缺口导致无法支付到期债务,使金融机构间债务链断裂引发信用危机;二是挤兑存款,主要指受内部或外部因素影响,市场对一个或多个金融机构丧失信心,出现大批银行客户在短时间内大量提现或转移存款的行为;三是针对金融机构的暴力盗抢事件;四是金融机构内部出现严重违法违规事件,使金融机构流动性受到严重影响;五是其他可能引发金融机构系统性风险、严重影响社会稳定的突发事件。
二、组织机构
成立xx市重大金融突发事件应急领导小组(以下简称领导小组),领导小组组成人员名单附后。
各金融机构应成立本系统或本单位突发金融风险处置领导小组,制定应急预案,并报市重大金融突发事件应急领导小组办公室备案。
三、重大金融突发事件处置原则
在重大金融突发事件处置工作中,要坚持统一领导、
多方协作的原则;坚持内紧外松、区别对待的原则;坚持将风险防范和处置关口前移的原则;坚持对防碍金融稳定、破坏金融秩序的人和事严肃处理、从重打击的原则;坚持快速、高效、稳妥和低成本处置的原则。
四、职责要求
(一)xx市重大金融突发事件应急领导小组及其办公室的主要职责:
应急领导小组的主要职责:负责对重大金融突发事件处置工作的统一指挥、协调。决定重大金融突发事件的处置原则和处置方案;领导、协调相关部门进行重大金融突发事件的处置;及时将突发事件引发的金融风险向市委、市政府和上级主管部门汇报。
应急领导小组办公室的主要职责:负责接收、整理、上报重大金融突发事件的有关情况、信息;制定重大金融突发事件的处置原则和处置方案;根据领导小组的决定负责筹备召开紧急会议;实施重大金融突发事件的处置方案;指导金融机构建立和完善突发风险应急、处置机制。
(二)相关部门职责
人民银行:按《_中国人民银行法》的有关要求,对辖区金融稳定状况实施监测和评估,与银监分局等金融监管部门建立金融监管协调机制;及时了解并掌握银监分局等金融监管部门对高风险金融机构的处置措施及其落实情况;积极参与重大金融突发事件的处置;对发生支付风险的金融机构提出动用存款准备金和金融稳定再贷款的申请进行审查,按有关规定及时上报审批。
银监部门:按照《_银行业监督管理法》有关规定,对高风险行(社)定期进行风险监管,及时将监管情况报告市政府、市重大金融突发事件应急领导小组并抄送当地人民银行;与人民银行及其他金融监管部门建立金融监管协调机制;监督银行业金融机构加强内控制度建设,完善风险控制措施;积极参与重大金融突发事件的处置。
_门:及时掌握重大金融突发事件引发的不稳定因素,制定维护社会稳定的相应措施;若发生暴力盗抢等重大金融突发事件,及时到现场维护秩序,控制事态发展;针对破坏金融秩序的违法犯罪行为实施从快、从严打击。
宣传部门:坚持正确的舆论导向,一旦发生重大金融突发事件要在领导小组的统一部署下,做好正面宣传和引导,防止恐慌情绪蔓延,维护社会稳定。
金融机构:加强内控制度建设和内部管理,从根本上防止重大金融突发事件的发生;一旦发生重大金融突发事件应及时向领导小组、人民银行、金融监管部门及上级业务领导机构报告,并及时启动本单位应急预案,在领导小组的统一指挥下妥善处置风险。
五、预案的启动
(一)实行严格的报告制度
1、基本要求:一旦发生前述重大金融突发事件,金融机构应迅速、准确将重大金融突发事件报告市领导小组办公室(如发生前述一、二、四、五类事件,应在24小时内报告;如发生三类事件,应立即报告),并由市领导小组办公室报告领导小组决定是否立即启动本预案。
2、报告程序:
(1)发生重大金融突发事件时,突发事件发生的金融机构应在规定时间内向市政府和上级业务领导机构、市领导小组办公室、人民银行、监管部门报告;
(2)市领导小组办公室应在接到报告后1小时内向领导小组报告并通报有关部门;
(3)人民银行xx市中心支行应在接到报告后24小时内向成都分行维护金融稳定部门汇报;
(4)xx银监分局应在接到报告后24小时内报告四川银监局。
3、报告的内容:突发事件发生的金融机构、时间、地点、性质、原因、危害程度、影响范围、可能造成的损失、发展态势、已经采取的或拟采取的紧急应对措施等。
(二)及时制定处置方案
市重大金融突发事件应急领导小组应在接到报告后,根据事件发生的性质、种类,迅速制定处置方案,并组织、协调市领导小组办公室等相关部门予以实施。
1、发生支付危机。应在接到报告后8小时内制定处置方案,并组织该金融机构进行自救,协调市领导小组办公室、人民银行xx市中心支行、xx银监分局等相关部门予以救助。
2、发生挤兑风波。应在接到报告后4小时内制定处置方案,并组织该金融机构进行自救,协调市领导小组办公室、人民银行xx市中心支行、xx银监分局等相关部门予以救助。同时协调宣传、公安、新闻等部门做好正面宣传和引导,维护正常的社会秩序。
3、针对金融机构的暴力盗抢事件。应在接到报告后,立即协调_门阻止犯罪行为,并在1小时内制定出处置方案,促进_门迅速展开侦破。
4、金融机构内部出现严重违法违规事件。应在接到报告后8小时内制定处置方案,并组织该金融机构进行自救,协调市领导小组办公室、人民银行xx市中心支行、xx银监分局等相关部门予以救助。同时协调公安、司法等部门对违法行为实施从快、从严打击。
5、其他可能引发金融机构系统性风险、严重影响社会稳定的突发事件。应在接到报告后8小时内制定处置方案,并组织该金融机构进行自救,同时协调市领导小组办公室、人民银行xx市中心支行、xx银监分局等相关部门予以救助,组织公安、司法、新闻、宣传等部门采取相应措施控制事态发展。
(三)处置方案的实施
在处置方案实施过程中,人民银行、银监分局、公安、新闻、宣传等部门和金融机构应履行好各自的职责,加强协调配合,防止因道德风险和职责不落实而发生相互推诿,导致处置不力等问题。
六、责任追究
重大金融突发事件应急处置完毕后,应急领导小组应召开专门会议分析事件发生的原因,并对有关当事人的责任追究提出建议。对内控制度不完善、内部管理混乱导致重大金融突发事件发生,以及发生重大金融突发事件不及时报告的金融机构,应建议其上级管理机构对其主要负责人追究行政责任,同时建议金融监管部门对其主要负责人的任职资格进行重新审查;对重大金融突发事件处置工作中不认真履行职责、不协调配合的部门和人员,应建议有关部门追究其主要负责人和有关人员的行政责任;对引发重大金融突发事件的直接责任人,应建议其管理机构进行严肃的责任追究,涉及违法犯罪的应建议司法部门从严、从快追究其法律责任;对趁发生重大金融突发事件之机进行不正当竞争的其他金融机构,金融监管当局应及时制止,并严格追究该机构负责人的有关责任。
省近日来,连降大雨,有不少农村信用社遭遇水灾,对地方的金融服务造成极大的不便。虽然我所在分路口信用社还没遇到水灾,但是,事先做好防水灾的各项应急预案是十分必要的`。为最大限度地减少人员伤亡和财产损失,保障经济建设的顺利进行,现结合我所的具体情况,编制本预案。
一、编制防汛应急预案的目的和意义
1.为了有效防止和减轻水患灾害,做到有计划、有准备地防御水灾。在现有设施的条件下,针对可能发生的水患灾害预先制定防御方案、对策和措施是防汛指挥决策、防汛调度和抢险救灾的依据。
2.编制防汛预案的主要目的是最大限度的避免和减少人员伤亡,减轻财产损失。做到防汛工作早安排、早部署、早落实,为尽快恢复营业、保障灾区金融服务打下坚实的基础。
二、基本原则
实行社长负责制;以防为主,防抢结合;全面部署,保证重点;统一指挥,统一调度;服从大局,团结抗灾;尽可能调动全社员工的积极因素,根据天气预报情况,结合我社实际,因地制宜的进行编制。坚持生命至上和安全至上的原则,切实把防汛救灾作为压倒一切的中心任务来抓,全体信用社员工要众志成城、忠于职守、勇于奉献,全力投入到抗洪抢险之中。
三、实施方案
(一)高度重视,切实做好防水灾准备工作
高度重视,落实责任。面对汛情,要成立了防汛救灾领导小组,下设物品搬运、对外联系、灾后处理等工作小组,全力做好防大汛、抗大灾的准备。一旦发生水患,主要领导要带头,确保第一时间到达现场指导防汛救灾工作,全力以赴做好和支持防汛救灾工作。严格落实防汛工作责任制,通过分片包干保证了防汛抗洪工作紧张有序和顺利开展。要及时分析雨情和汛情,研究部署防汛抗洪工作。根据雨情和洪水的实际情况,采取措施,严密防范,及时将人员、资金和财物转移到安全地带,确保无人员伤亡,保证网点正常营业。
加强值班,及时反馈。要落实值班制度,明确值班人员和值班纪律,必要时要增加值班人员,实行24小时坐班制,密切关注气象部门的天气预报,积极参加灾情分析会,加强纵向和横向联系,建立汛情及时通报和反馈工作制度。全体人员坚守岗位,始终崩紧抗洪救灾之弦,切实做到防汛思想不松懈、干劲不减退、队伍不减少、纪律不放松。
加强防护,突出重点。要结合实际,加强科技系统维护,做好数据备份和设备保养,确保网络通讯线路的畅通,确保业务系统的安全运行,维护正常的营业秩序。要想方设法确保营业用电供应,及时对UPS进行充电,对配备小型发电设备的网点储备充足燃油。
加强排查,严密防范。要加强对通讯线路、电路、电子设备的检测,加强对营业、押运、守库等环节的安全自查和押运车辆的维护,及时排查风险隐患,按照“缺什么、补什么”的原则及时整改和抢修,确保资金和人身安全。
(二)快速转移物品,确保物品安全
一旦发生水患,要快速的将社内物品转移到安全的地方。对物品的转移要分清主次,鉴于信用社是金融部门,对货币重要凭证等重要物品的转移要首先考虑,其余次之。在信用社主任的组织带领下,所有员工要沉着冷静,奋力抢救,迅速转移资金,尽一切可能把损失减到最小。首先把金库内现金及重要空白凭证迅速转移到安全地带,并由专人看管;随后把档案室内所有信贷文本、帐表凭证、电子设备转移到安全地带。要重点保证资金押运安全,押运车辆通过危险地段前都要下车察看,必要时增加押运人员,并制定步行武装押运预案。对所有搬运出来的物品,信用社员工要轮流值班,关注灾情,做好一切应急措施并做好安全保卫工作。
(三)积极与外界联系,及时寻找救援
遇到水患时,要及时向上级主管部门、银监部门和当地政府及防汛救灾指挥部汇报受灾情况及处置工作进展情况,确保信用社正常营业,把灾害影响降到最低。各部门负责人要24小时随时待命,确保通讯设备24小时运行通畅,及时互通防汛信息。同时要对外张贴公告,做好群众的宣传解释工作,防止出现客户误解现象。
(四)坚持以人为本,保证员工的财产及生命的安全
要坚持以人为本,充分发挥广大员工在抗御水患中的重要作用。要十分关心受灾广大员工的生命财产安全情况,指导开展救灾工作,帮助解决基层困难,确保广大员工的人身安全,最大限度降低灾害造成的财产损失;要与电信、电力等部门联系,了解受灾区电力、电信抢修情况,根据实际情况制定详实的抗灾措施,确保营业网点员工、资金、财产安全。
(五)做好灾后处理工作,确保尽快恢复正常工作
针对受灾情况,一方面要积极与当地政府联系,详细了解受灾情况,商讨救灾方案。另一方面要启用应急设备,确保在最短的时间内恢复营业,将水灾带来的不便降低到最小。在抓好抗洪救灾的同时,要加大对企业和农户损失情况的调查了解力度,积极筹备恢复生产和灾后重建的信贷资金,为农户和地方企业提供必要的信贷资金支持,以实际行动帮助受灾群众度过难关。
关键词:金融风险;防范;管理
随着我国金融业的蓬勃发展,各金融机构不断加大金融电子化建设投入,扩大其网络规模和应用范围。但是,应该看到,金融电子化在给我们提供便利的同时,也带来了新的安全问题,并且,这个问题现在显得越来越紧迫。
1金融网络现状与面临的主要风险
金融活动越来越多地在计算机网络上建立,网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来,各种不同规模的金融系统也在迅速的发展壮大,金融业务的网络化趋势,已经成为不可避免的发展方向。
在网络为我们提供巨大便利的同时,来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通,并与国际互联网直接或间接相连,如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时,机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的,由于外部出口是一个点,而内部体系是一个面,所以来自内部的威胁往往要远远大于外部,必须加以足够的重视。
2金融网络的风险评估与防范
最有效的金融网络风险防范措施就是对网络系统进行等级保护,按照重要程度进行级别划分,对不同等级的网络系统通过物理隔离或逻辑隔离划定边界,并针对不同等级的网络系统,特别是核心业务网络定期进行风险评估,系统地分析所面临的威胁及其存在的脆弱性,查找薄弱环节和安全隐患,有针对性的提出防范和化解风险的整改措施,并及时进行整改。
风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。
首先,现场检查阶段应明确目_络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性,明确网络系统的技术脆弱性,主要包括:设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式,务必提前制定详细的检查方案与实施细则,并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据,才能为后面的综合分析提供必要的基础支持。
风险分析阶段是整个风险评估的核心部分,需要利用现场检查阶段得到的各类数据,综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求(机密性、完整性和可用性)确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。
安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点:网络安全策略及管理规章制度是否健全;安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理;网络系统的体系结构、各类安全保障措施的组合是否合理;网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位;网络设备、安全设备、主机和终端设备的安全性是否可靠,操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况;机房安全管控措施、防灾措施、供电和通信系统的保障措施等;关键资产采购时是否进行了安全性测试,对外部服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施;应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况等。
综合风险分析主要是综合分析网络与信息系统的整体安全现状,对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性;分析安全事件发生后可能造成的后果和影响;分析网络和信息系统的整体风险状况,最后根据风险的程度逐 条列出风险列表,通常可将风险划分为3个等级,即一般风险、中级风险和高级风险。
策略选择阶段根据前一阶段得到的风险列表,结合安全需求和业务目标,开展相应的整改工作,开发和选择符合成本效益的信息安全保护策略,包括安全管理策略和安全运行策略,并制定合适的风险缓解计划。特别是针对高级风险应立即采取相应措施进行化解,对于短时间内受各种客观条件限制而不能及时处理的高级风险,应制定专项风险防范方案,并提出后期整改计划。
经过较为全面的风险评估与相应的整改,可以极大的降低金融网络安全事件的发生概率。需要注意的是,风险评估保证必须定期组织进行,并将责任落实到人,确保整改到位。
3金融网络的应急体系
做好风险评估与防范,千万不能忽视应急体系的建立与管理,即使金融网络各方面风险已得到控制,仍避免不了各类突发事件的发生,如何在紧急情况下以最快的速度恢复系统运行或使用替代方式继续进行业务处理,是衡量一个网络体系是否健全完善的重要指标。
金融网络比起其他普通网络系统,有着更加重要的地位,一个社区的网络或是一所学校的网络系统出现故障所产生的社会不良影响远不及一家银行资金业务或支付清算系统网络所出现的事故。金融网络的应急处理必须得到高度的重视。
金融网络应急体系建立的首要环节就是要建立一套全方位的应急组织协调机制,应涉及应急处理的各个部门、单位及相关政府职能部门,能在突发事件发生后的第一时间进行组织协调,确定应急方案,调动各方力量,实现应急联动。
其次,金融机构应结合自身的实际情况,制定和不断完善IT层面的应急预案,完善网络、机房环境等应急操作手册,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少金融网络信息安全事件造成损失和影响,保障金融业务的连续运行。
应急预案的有效性取决于预案所涉及的人员对预案的理解。因此必须定期组织要对预案的宣传、培训和实战演练,确保参与应急处理的每个人均能充分理解应急预案的中心思路、应急处理的原则、应急处理的具体执行流程,以便在实际应急处理过程中迅速进入状态,确保应急处理的效果。
实战演练是为检验应急设施的有效性、锻炼应急队伍、改进应急预案等,针对真实运行的系统主动进行的演练,实战演练前应检查预防性措施的就绪情况,以防止可能发生的演练风险。演练必须注重真实性,不能走过场,要模拟出真实事件发生的效果,最好由第三方组织在不通知预案执行者的前提下进行,以达到更真实的现场效果。
4结束语
金融网络必须有足够强的安全防卫措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门、金融机构及IT技术公司通力合作,进行科学的、强有力的干预、导向和防护。随着金融信息化的迅猛发展,金融网络不再局限于专网,而必须使用如互联网那样的公网。通过风险评估机制来建立完善的安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的信息系统基础保障。
参考文献:
版权声明:此文自动收集于网络,若有来源错误或者侵犯您的合法权益,您可通过邮箱与我们取得联系,我们将及时进行处理。
本文地址:https://www.miekuo.com/fanwendaquan/qitafanwen/981316.html