时间:2023-03-21 17:00:12
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网络金融安全论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
网络金融一般而言包括网络银行、证券、期货以及支付结算等业务,总体而言因为借助互联网作为平台进行金融业务,因而被称为网络金融。网络金融的进行都是依靠互联网上的电子数据进行传输,因此具有结构简单和快捷方便的优点,而依靠电子信息传输这个特点,也成为了风险高发的原因之一。金融业本身就是高风险的行业,由于本身的变幻不定以及需要足够的信用作为保证,再加上一般各个方面之间的资金网络互相连通,一个方面出现问题往往牵扯到整个资金链,从而导致风险爆发的严重后果。而网络金融除了上述的一般特点之外,还有自身的弱点,那就是其通道和联系都是建立在电子数据方面的,这方面相对于一般的资金融通,更容易出现信用危机(因为不容易追责),而更加快速的资金流动和不稳定的网络状况,也进一步给了破坏者可乘之机。高技术条件下的网络金融一方面提高了技术门槛,另一方面也给了更有技术的人进行投机行为的空间。而金融活动本身就是有一定的债务风险,一旦连续出现断裂和坏账的情况(网络金融环境下更容易出现,由于违法成本更低),也必然的会给操作者难以承受的后果[1]。
2.网络金融风险的主要类别
2.1计算机硬件方面的风险。硬件方面是指一般性的计算机硬件性能,现阶段由于网络信息化技术的高速发展,计算机硬件的更新换代也非常的频繁,往往为了能够运转新开发的软件导致不过几年前的硬件淘汰过时。而现在进行网络金融操作的计算机理论上基本合理运转的比较多,但是比较陈旧的也不少,硬件的不过关可能导致金融软件的运行不畅,从而增加危险。而且当计算机一旦发生故障,就可以导致正在进行的网络金融活动瞬间中断,乃至于出现可能被他人利用的可乘之机,而且突然地中断对于业务而言可以说是非常大的损失了,因此也是不可能不谨慎对待的问题。
2.2计算机软件方面的风险。网络金融也是需要依靠一定的金融软件进行操作的,而软件本身就是存在可能被利用的漏洞的(这个是天然缺陷,不可能完全避免,只不过或多或少而已)。对于金融软件而言,一方面对于操作者的技术要求有了一定的限定,另一方面,对于信息技术的高手来说,对其进行攻击和破坏也总能找到相应的方法。而其所依托的计算机系统,本身也具有一定的不稳定性,系统一旦受到攻击,那么就非常容易导致所有的软件的损坏[2]。更何况运行过程之中本身就处于一个不断的克服软件风险的过程中,一旦运行中发生数据错误,那么也会带来不可估量的伤害。对于网络金融而言,软件方面可能的风险,还要更大。
2.3网络情况方面的风险。网络金融需要依靠互联网,而互联网本身是全球联通的,也就是说这样的数据即使经过加密,也完全可能被有心人搞得到,更何况全球性也注定了危险可能来自四面八方,是注定的防不胜防。在交易和结算方面,因为完全依靠电子数据传输,其覆盖面和风险比较大,而正因为网络环境的不稳定性和安全脆弱性,也容易由于范围过于广泛而受到损害,而这样的结果必然是牵一发而动全身,造成大片区域的问题。对于网络风险而言,传染性的网络病毒和特定的网络攻击都是很难完全抵挡得住的,对于这些东西而言,网络安全措施往往只是道高一尺魔高一丈,被动得难以完全抗衡。因此,在网络金融风险方面,网络风险为其中最容易出现状况的一环。
2.4交易操作的风险。由于网络金融的交易和操作都在网上进行,因而其本身的存在具有一定程度的虚拟性。虚拟下的操作不容易进行更好的追责,从而降低了信用违法的成本。在网络金融中的许多风险案例中,信用危机都是其中非常重要的一环,对于金融业而言,信用环节一旦有问题就是全面的崩盘。网络虚拟环境下双方身份不够透明,信息交换程度更不对称,因此优势方一旦出现信用问题,对方往往根本没有反应和追究的机会,即使能够做到,也一般只能承受更大的损失(敢于信用违约,自然是看到了违约的损失小于其收益而已)。
3.针对网络金融安全进行风险控制
3.1完善立法,加强政策调控。网络金融风险之所以屡屡出现人为因素,主要还是钻法律的空子,针对在这方面没有明确的规定,而地方有部分规定又不能统一的状况。所以必须要完善法律对于网络金融安全的规定,制定健全和统一的法律规范,来完善网络金融参与者们明确的权力和义务,保证对于责任的判定能够切实的执行。同时应当适当的引入政策的调控,固然政策多变,而且政治调控多了也影响正常运行。但是在规范化没有完全建立起来的阶段下,适当的进行政策调控,对于网络金融秩序的保障,也未必没有好处。
3.2改进技术,防控信息技术漏洞。同样针对网络和软件方面的风险,则是需要进行比较完善的技术改造,来避免过于频繁的遭受侵害。而硬件方面,则是需要尽快的进行更新换代,保证技术的及时更新,虽然不一定能够完全避免网络风险的发生,但是对于风险的控制和抵御还是有很大的作用的。对于技术漏洞的填补一般而言都是亡羊补牢,但是补上总比不补强,完善已经出现问题防御,自然就是为了避免在已有的风险上再次出错,能够有这样的弥补,也在一定程度上可以远离大部分问题了[3]。
3.3建立完善的内部监控体系,增强自身责任意识。很多企业出现网络金融风险问题都是由于自身的内部风险管理方式不稳定,也没有很好的防控措施。因此在进行针对建议的时候,必须要考虑操作者自身的问题,只有自己用心去避免,才能够最大程度的规避风险。而在企业内部显然需要有针对网络金融风险的管理和监控,需要自身专门的针对,然后配合外部的监控防治体系,才能够在其中取得比较明显的效果。对于操作人员需要进行有效的监督管理来避免问题,也需要培养和强化他们的专业水平,落实责任问题,进而建立起完善的监管体系,才是从自身做起的最好方式。
(1)防火墙技术:防火墙是在网络之间的一个或者一组实施访问控制策略的设备,它把一个可信的网络同不可信的网络隔离开来,将不同安全要求的设备及服务划分到不同的安全域中,同时检测两个网络间的所有连接,并依据安全策略对网络流量进行控制和审核,在防火墙上制定恰当的控制策略,可行之有效地阻挡外部非法入侵。
(2)IDS技术:入侵检测系统(IDS)是入侵检测过程的软件和硬件的组合,能检测、识别和隔离入侵企图或计算机的未授权使用,它不仅能监视网上的访问活动,还能针对正在发生的攻击行为进行报警,还可以结合其它安全产品,对网络进行全方位的保护,具有主动性和实时性的特点。
(3)IPS技术:入侵防御系统(IPS)是一种主动的、智能的入侵检测、防范、阻止系统。其设计宗旨是预先对攻击性网络流量进行拦截,避免其造成损失。它一般部署在网络进出口处。和IDS的不同就在于IPS不仅能检测入侵的发生,而且能通过一定的相应方式,实时终止入侵行为的发生和发展,实时地保护系统不受实质性的攻击。
(4)SOC系统:安全管理平台(SOC)在狭义上是指对安全设备的集中管理,包括集中的运行状态监控、事件采集分析、安全策略下发;而广义的SOC系统则是对所有IT资源,甚至是业务系统进行集中管理,包括对IT资源的运行监控、事件采集分析,还包括分析管理与运维等内容。它是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险管理模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
2金融信息系统的特点
经过不断的发展,金融信息系统所提供的服务逐渐增多,不再只是提供简单的新闻资讯与行情报价。目前,大部分金融信息系统可以提供股票、基金、固定收益、外汇、大宗商品等金融品种的行情报价、资讯、数据和相关分析等服务,从数据的传输存储角度来讲,金融信息系统中各类数据呈现的特点是不尽相同的。股票、债券等品种的行情报价讲究实时性,每笔数据需要及时展现在客户端,对延时要求非常严格,例如从卫星接收下来的行情数据,经过几级跳转到最终的,各环节都是系统拼速度的重点;对于资讯模块,时效性没有行情那么严格,但是资讯系统一般的特点是大量的小包传输,这就要求其中的各类设备对小包传输快速、准确;基础数据类服务则对实时性没有那么高的要求,但是需要系统能够存储大批量结构化、非结构化等类型的数据。从系统的计算能力角度来讲,金融信息系统中各类服务的要求也是不同的。对于行情报价,在系统中非常注重传输环节,对于计算处理能力没有那么高的要求;新闻资讯的传统展示功能也是这样的,但是随着大数据技术的应用,丰富的资讯关联检索等功能则需要较高的计算能力;而对于数据分析服务来说,高性能的计算能力是必不可少的,以在短时间内提供给用户准确的计算结果。从而可以看出,每个系统模块的各项需求都有各自的特点。
3应用于金融信息系统的网络安全设计原则
作为金融行业中一个典型的系统,金融信息系统对网络安全的要求是非常严格的。而且,通过分析可以看出,系统中不同的业务模块各有特点,对安全方面的需求也各不相同。为满足这些需求,可供选择的网络安全技术是多种多样的,如何合理选择与使用,那就需要按照网络安全设计原则来进行实施规划。
(1)总体适度安全原则任何信息系统都不能做到绝对的安全,过多的安全要求必将造成安全成本的迅速增加和运行复杂性的增长,从而,要在安全需求、安全风险和安全成本之间进行折中,做到适度安全。还有,系统的安全性和时效性,也一直是博弈的话题,需要在二者之间寻找一个平衡点。因此,一方面要严格遵循基本要求,从网络、主机、应用等层面加强防护措施,保障金融信息系统的机密性、完整性和可用性;另一方面,也要综合成本、速度等因素,针对金融信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设。
(2)区域隔离和访问控制原则根据信息安全分区分域的建设原则,对金融信息系统进行安全保护的有效方法之一就是分区分域,由于系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性。按照此原则,资源处理平台以及各种资源引入的接口机放入外部资源引入域;对于数据库类的设备统一放入据存储区,用于生产数据、加工数据的设备放入生产加工区,二者都属于数据存储生产域;各种服务的设备放入服务域;根据安全级别的不同又把接入区设计成为用户接入域(主要针对外用户访问系统的接入需求)和本地接入域(主要针对维护人员、内部办公人员等的接入需求);还有,各种安全相关的诸如SOC系统、防病毒系统、授时系统等放入安全管理域。根据以上区域划分而设计出的系统安全架构具体来讲,金融信息系统的核心交换区,可部署入侵检测、网络审计设备和漏洞扫描系统,可以定期对全网的网络设备、服务器、主机等进行健康性检查,发现并修正系统中存在的弱点和漏洞;资源引入域、服务域可部署主机监控、主机加固、进程与服务监管和应用监控等防护手段,其中对于涉及实时数据的安全设备,需要设定较高的速度指标;用户接入区均与互联网连接,为保护所有服务器及设备不受到来自互联网的攻击与侵犯,必须在出口处部署负载均衡设备、防火墙、UTM设备等安全设备;安全管理域内可部署整个系统需要的安全服务类产品,漏洞扫描、授时系统、防病毒服务、补丁更新服务、堡垒主机和SOC系统等。对一些有保密要求的业务区域及网管区域,可以采用专用应用接入网关设备进行应用层的隔离,以保障信息的安全。还有,通过应用接入网关,可以将系统中同与外界网络联通的区域隔离开,形成不同的网络区域,如图4-1中的用户接入域和外部资源引入域。
(3)重点保护原则与关键技术应用根据金融信息系统的重要程度、业务特点,通过划分不同安全保护等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统,尤其针对网络环境新显现的特征,采用一些关键技术保障核心功能。根据采用“层层设防,集中控管”的设计思路,金融信息系统的防病毒系统可采用防病毒网关与防病毒服务器系统相互结合的方式,建立完整的防病毒体系。防病毒服务器系统主要实现对网络中的服务器和客户端工作区进行病毒防护,严防病毒感染服务器和客户端后造成业务系统中断。为了切断网络中蠕虫病毒爆发对关键网络的业务系统产生的影响,在网络出口部署具有防病毒功能的设备,防止蠕虫、病毒等的进入。入侵防护系统目的是为网络提供实时的入侵检测及采取相应的防护手段。针对金融信息系统的实际情况和设计思路,在网络边界部署网络入侵防护系统,根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应,从而防止针对网络的攻击与犯罪行为。数据的安全是系统的重中之重,认证系统与数据加密传输在网络安全中起到至关重要的作用。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。在通信过程中的报文或会话过程进行加密,并保证体系过程中数据的机密性和完整性。系统向用户提供服务是系统的基本功能,但是DoS和新型的DDoS攻击一直威胁着系统的可用性。由于DoS/DDoS的实现方式的特殊性,传统的防火墙及IDS设备都不能有效的阻止这种攻击方式。因此,需要在网络中部署专门的防拒绝服务攻击系统来保护系统和设备。在金融信息系统的接入区互联网出口和专线出口处部署防拒绝服务攻击系统,使得来自外界的DoS/DDoS攻击流量被防拒绝服务攻击系统所吸引并丢弃,保证网络对外提供正常的服务。
(4)技术与管理并重原则网络安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为网络安全问题的全部,那是片面的。仅仅通过部署安全产品很难完全覆盖金融信息系统所有的网络安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。为了保证金融信息系统的正常运行,需要在关键连接链路上进行流量监控和服务质量的保证,并且对网络系统中的网络设备运行状况进行日志记录。流量管理系统部署在金融信息系统的互联网出口链路上,通过端口镜像的方式,对网络流量进行分析,并按照安全策略进行过滤和控制。这些记录与分析都要送达系统管理员以提高防范效率。堡垒主机与SOC系统联动,使各种安全手段形成合力,对用户登录和操作行为日志进行实时采集、实时监控、实时分析、异常报警、集中存储,使所有关键设备的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定。安管平台对所有安全事件进行收集,对可疑事件进行报警,通知管理员及时处理,并加以分析,通过人为管理提高防护能力。对抗APT攻击,业内虽然没有特别有效的方案,但是提高人员安全意识与建立事件响应机制,建立多层次防御体系,能在一定程度上降低风险,减少攻击带来的损失。其中,具备行为检测、启发、异常检测、虚拟执行环境等功能的“进阶威胁检测系统”能够提供网络内的威胁可见性,在第一时间发现攻击迹象,并借由和其他系统的联动,能够增强和完善现有保护机制。对于系统安全防护,不仅要在运行维护时加强对系统软件的分析管理,而且要对硬件设备进行综合考量。近期发生的某外国政府利用本国品牌设备和软件进行非法监控事件,使人们对于国外品牌软硬件的安全性产生担忧。因此,对于金融信息系统中的核心设备、或者在建设新项目和备份系统时,需要优先考虑采用国产设备和软件,经过测试后部署应用,以确保设备以及整个系统的安全。
中图分类号:F252
文献标识码:A
文章编号:1004-4914(2017)01-166-02
物流金融是金融机构与物流企业的合作,在供应链运作过程中向客户提供的结算、融资和保险等相关服务的统称,其核心是物流融资(狭义上物流金融指的就是物流融资),即银行等金融机构通过与物流企业的合作创新,以企业所从事交易项下的担保品为依托,对企业资金投放、商品采购、销售回笼等经营过程的物流与资金进行锁定控制或封闭管理,依靠企业对处于银行监控下的商品和资金的贸易流转所产生的现金流实现对银行授信的偿还。随着物流金融近年来的高速发展,市场规模已达到了较高层次,同时也暴露出了一些问题,特别是物流金融产品的安全监管问题。物联网在互联网的基础上,将用户端延伸和扩展到任何物体,进行信息交换和通信,实现人和物体“对话”,物体和物体之间“交流”,具有全面的信息感知、无缝的互联协同、高度的智能化等特点,将其应用于物流金融安全监管,有助于物流金融产品信息获取更加实时、快捷、准确,产品动态信息的传递、共享更加精确,供应链指挥决策更加智能、科学,在一定程度上提升了物流金融产品的安全性。
一、物联网技术特征
物联网的定义是,通过射频识别(RFID)、传感器、全球定位系统、激光扫描系统等信息传感设备,按照约定的协议,把任何物体与互联网连接起来,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。其英文名称为The Internet of Things ,由该名称可见,物联网是“物与物相联的网络”,其基础和核心仍然是互联网,但相比于传统的互联网,物联网还有其自身的技术特征:
(一)全程性
物联网上部署了海量的多种类型传感器,每个传感器都是一个信息源,不同类别的传感器所捕获的信息内容和格式不同。传感器具有实时性,按一定的频率周期性地采集信息,不断更新数据,物联网可以说是各种感知技术的广泛应用。通过物体上的传感器,物联网对物与物、物与人之间传递的各个环节进行跟踪,对物体的流通进行精细的管理,实现物体之间、物体与人之间信息交换和通信的全程监控与管理。
(二)技术性
物联网技术的核心与基础仍然是互联网,通过各种有线和无线网络接入互联网,将物体的信息实时准确地传递出去。物联网上传感器定时采集的信息需要通过网络传输,由于其数量极其庞大,形成了海量信息,在传输过程,为了保障数据的正确性和及时性,必须适应各种异构网络和协议,并运用先进的信息技术与数据挖掘识别技术,以实现物联网络稳定高效运行,因此物联网具有高技术性特征。物联网络的构建不仅要以互联网技术为基础,还要综合各种传感器数据获得与处理技术,运用大数据处理理念,融合互联网与先进数据处理手段的优势,真正实现物与人、物与物之间的实时精准“沟通”和“对话”。
(三)智能化
物联网不仅仅提供了传感器的连接,还能够对物体实施智能控制。物联网将传感器和智能处理相结合,利用云计算、模式识别、大数据等各种智能技术,扩充其应用领域。从传感器获得的海量信息中分析、加工和处理出有意义的数据,以适应不同用户的不同需求,发现新的应用领域和应用模式国。所以物联网本身也具有强大的智能处理能力,不是一般意义上的信息网络,而是物与物、人与物的智能链接。
二、物流金融安全监管应用物联网技术的需求与条件分析
结合物联网技术特征,在物流金融安全监管全过程,通过传感器、射频识别技术、全球定位系统等技术和各类可能的网络,对物流金融业务过程实施智能化感知、识别和管理,物流金融安全监管应用物联网技术应当具备三大特点:一是全程性,要对物流金融业务全过程实施管控,而不是局部或部分;二是技术性,要全面应用物联网技术,实现物流金融业务的“可知、可视、可控”;三是智能化,不是一般意义上的信息网络,而是物与物、人与物的智能链接。
(一)物流金融安全监管应用物联网技术的需求分析
1.降低物流金融业务过程信息不对称的需要。随着物流金融行业的加速发展,物流金融模式越来越复杂化,物流金融业务过程涉及的利益主体更加多元,物流金融产品信息层级逐渐递增,准确及时的信息获取愈发困难。准确及时信息的获取来源于产品流通过程的精确管控,物联网是实现精确管控先进、有效的技术手段。物流金融安全监管应用物联网技术,可以从产品信息采集、信息联通、信息管理、信息决策等全过程,以信息流调控物流,大幅提升动态信息的抓取效率。因此,从降低物流金融业务过程信息不对称的角度出发,客观要求在物流金融安全监管业务领域应用物联网技术。
2.降低物流金融服务违约风险的需要。物流金融服务主要涉及三方即金融机构、供应链企业、第三方物流提供商。第三方物流提供商选择是物流金融服务能否成功的关键。但目前我国的物流企业鱼龙混杂,好坏参差不齐,一些物流企业的资产规模、信息化能力、内部管控等方面存在不少问题,特别是对供应链环节的管控,使得物流金融面临较大的失》缦铡N锪鹘鹑诎踩监管应用物联网技术能在很大程度上增加信息获取的准确性,减少物流金融违约情况的发生。
3.提高物流金融安全监控效率的需要。当前,物流金融安全监控技术已经较为落后,信息化程度已不能跟上物流金融发展的步伐,严重影响了物流金融安全监管的效率。物联网技术作为新兴的先进技术,对物与物、物与人之间传递的各个环节进行跟踪,对物体的流通进行精细的管理,将其应用于物流金融安全监管过程,能够较好地实现物流、信息流、资金流的有效整合,形成以信息互联互通为核心,数据集成交互为纽带,有线无线随机链接的安全监管体系。因此,物流金融安全监管应用物联网技术有利于从技术上突破物流监管瓶颈,促进物流金融安全监管的科学高效开展。
(二)物流金融安全监管应用物联网技术的条件分析
物联网技术虽然在我国提出的时间较短,但是经过几年的发展,已经形成了较为成熟的技术体系。物联网通过智能感知、识别技术与普适计算等通信感知技术,把传感器、控制器、机器、人员和产品等通过新的方式联系在一起,形成人与物、物与物相联,实现信息化、远程管理控制和智能化的网络。物联网技术具有全程性、技术性与智能化的特征,能够对质押品在供应链中动态信息进行全程监控,实施精确远程管理,及时发现异常情况,排除安全隐患。物联网技术网络以全程记录的供应链信息为依托建立风险数据库,其中不仅包含了质押品的物流与资金流信息,还包含通过实际调研所获得的大部分风险类型,以及相应的风险解决方案。通过风险数据库就能实现风险的基本应对,尽可能的降低风险,提高物流金融产品的安全性。物联网的整个技术体系与运作方式,为物流金融安全监管业务应用物联网技术提供了经验帮助和技术支持。物流金融安全监管按照物联网运作要求,进行设施设备建设,优化信息流程设计,完善技术接口和模块嵌入,具有良好的基础和依托,能够较快的实现技术的投入使用,尽快发挥物联网技术在安全监管方面的应有作用。
三、加强物联网技术在物流金融安全监管应用的对策
物联网技术应用于物流金融安全监管方面已经具备一定的技术与环境基础,2012年,中国物流金融服务平台在这个基础上应运而生,于2014年6月正式上线,并且以快速大踏步的节奏发展壮大。目前已整合了包括货权登记、物联网监管、仓储管理、仓单流转、现货交易、存货质检、价格预警、价格保险、征信融资、不良处置等全过程的物流金融产品链条,并形成了一个开放型的合作平台,吸引了成熟产品和成熟用户服务平台的资源聚集。但当前第三方物流企业在运用物联网技术方面,软硬件配套上还存在一定差距,需要进一步加强建设。
(一)加强物联网技术应用于物流金融安全监管的总体设计
物联网实现的是人与物、物与物的智慧“沟通与交流”,是多种力量的整合,将物联网技术应用于物流金融安全监管过程,需要将物与物、物与人信息交互的各个环节统一为有机的整体,并保持其内部的顺畅流通。应用物联网技术,实现物流金融安全监管信息化与智能化,提升物流金融产品供应链的安全性,必须加强总体设计,构建智慧物流金融安全监管“大脑”,从源头增强物流金融安全监管的分析判断能力、决策指挥能力和协调控制能力。着力建设物流金融安全监管物联网运行平台,借助“智能化”的物联网管控系统,实施辅助决策、管控指令,实现对物流金融安全监管各环节的协调控制和决策指挥。健全物流金融安全监管物流规划和决策指挥制度,实现供应链信息的综合分析、流通环节的集中控制、运行流程的决策优化。
(二)加大物联网技术应用设施设备建设力度
物联网技术应用于物流金融安全监管除了要研制贯穿全流程的信息系统之外,还应当分系统重点推进一些信息工程建设,以具体任务为牵引逐步建成物联网系统。为了积极配合物联网技术应用于物流金融安全监管,有必要按照物联网技术的要求,加大物联网技术应用设施建设力度,从智能感知技术应用、自动仓储系统建设、运输调度可视化建设、信息标准体系建设、数据中心建设等方面,集中人力、财力、物力进行突破,全面构建物联网系统,开发和购置相配套的设施设备。在物流金融安全监管全过程,借助先进的物联网设施设备,整合不同的技术解决方案,使产品信息(物资的运动轨迹、存放状态)和供应链信息(数据的采集、存储、组织、访问控制和分析)互联互通,实现物流金融全程可视可控,从而有效提高物流金融安全监管的安全性。
(三)加快物联网技术人才业务能力培训
为保障物流金融安全监管工作的顺利高效开展,第三方物流企业应加快物联网技术人才的培训和建设工作。(1)结合物联网技术在物流金融安全监管过程的实际运用,构建适应第三方物流企业的基于物联网技术的安全监管模式,明确物联网运用的技术标准,规范安全操作手册。(2)着力培养精通物联网技术的技术员,掌握物联网设施设备的操作流程,严格依照流程科学高效运用物联网设施设备进行物流金融管控,提高物流金融安全监管效率。(3)加强物联网技术研发工作,结合物流金融安全监管业务工作实际,对物流金融安全监管中的物联网设施设备以及相关技术进行相适应的研究、设计和开发,规范物流金融产品标准化编码,建立基于物联网技术的物流金融安全监管业务处理平台,促进物联网技术应用于物流金融安全监管工作的不断深化。
⒖嘉南祝
[1] 李严锋.物流金融[M].北京:科学出版社,2008
[2] 黄玉兰.物联网射频识别(RFID)核心技术详解(第二版)[M].北京:人民邮电出版社,2014
论文关键词:信息安全;保护
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
1我国信息安全的现状
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
2我国信息安全保护的策略
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
三、网络金融发展存在的问题务规模有限,收入水平不高,基本上处于亏损状况。第二,网上金融业务具有明显的初级特征。我国的网络金融产品和服务大多是将传统业务简单地“搬”上网,更多地把网络看成是一种销售方式或渠道,忽视了网络金融产品及服务的创新潜力。在主观方面,主要存在两点问题:第一,未能进行有效的统一规划。我国网络金融的发展因缺乏宏观统筹,各融机构在发展模式选择、电子设备投入、网络建设诸方面不仅各行其道,甚至还相互保密、相互设防,造成信息、技术、资金的浪费和内部结构的畸形,不仅不利于形成网络金融的发展,还有可能埋下金融业不稳定的因素。第二,立法滞后。一方面与市场经济发达国家相比,我国网络金融立法滞后。我国此类法律极为有限,只有《网上证券委托暂行管理办法》、《证券公司网上委托业务核准程序》等几部法规,并且涉及的仅是网上证券业务的一小部分。另一方面与传统金融业务健全的法律体系相比,网络金融立法同样滞后。面对网络金融的发展和电子货币时代的到来,需要进一步研究对现行金融立法框架进行修改和完善,适当调整金融业现有的监管和调控方式,以发挥其规范和保障作用,促进网络金融积极稳妥地发展。
四、建议应采取的对策针对上述风险和问题,提出以下几点对策。
(1)确立传统金融与网络金融并行发展的战略。
(2)建立专门的指导和管理机构。
(3)加快网络金融立法。
(4)造就复合型金融人才。
(5)改革分业管理体制。
(6)加快电子商务和网络银行的立法进程。
(7)银监会应提高对网络银行的监管水平。
(8)大力发展先进的、具有自主知识产权的信息技术,建立网络安全防护体系。
(9)建立大型共享型网络银行数据库。
(10)建立网络金融统一的技术标准。
【参考文献】
1、惠苏渊,许忠荣;电子支付系统的安全[J];经济师;2002年11期
一)网络金融内涵所谓网络金融,又称电子金融(e-finance),从狭义上讲是指在国际互联网(Internet)上开展论文的金融业务,包括网络银行、网络证券、网络保险等金融服务及相关内容;从广义上讲,网络金融就是以网络技术为支撑,在全球范围内的所有金融活动的总称,它不仅包括狭义的内容,还包括网络金融安全、网络金融监管等诸多方面。它不同于传统的以物理形态存在的金融活动,是存在于电子空间中的金融活动,其存在形态是虚拟化的、运行方式是网络化的。它是信息技术特别是互联网技术飞速发展的产物,是适应电子商务(e-commerce)发展需要而产生的网络时代的金融运行模式。
二)网络金融的特征1、业务创新。网络金融以客户为中心的性质决定了它的创新性特征。为了满足客户的需求,扩大市场份额和增强竞争实力,网络金融必须进行业务创新。2、管理创新。管理创新包括两个方面:一方面,金融机构放弃过去那种以单个机构的实力去拓展业务的战略管理思想,充分重视与其他金融机构、信息技术服务商、资讯服务提供商、电子商务网站等的业务合作,达到在市场竞争中实现双赢的局面。另一方面,网络金融机构的内部管理也趋于网络化,传统商业模式下的垂直官僚式管理模式将被一种网络化的扁平的组织结构所取代。3、市场创新。由于网络技术的迅猛发展,金融市场本身也开始出现创新。一方面,为了满足客户全球交易的需求和网络世界的竞争新格局,金融市场开始走向国际联合。另一方面,迫于竞争压力一些证券交易所都在制定向上市公司转变的战略。4、监管创新。由于信息技术的发展,使网络金融监管呈现自由化和国际合作两方面的特点:一方面过去分业经营和防止垄断传统金融监管政策被市场开放、业务融合和机构集团化的新模式所取代。另一方面,随着在网络上进行的跨国界金融交易量越发巨大,一国的金融监管部门已经不能完全控制本国的金融市场活动了。
二、网络金融的风险从某种意义上来说,网络金融的兴起使得金融业变得更加脆弱,网络金融所带来的风险大致可分为两类:基于网络信息技术导致的技术风险和基于网络金融业务特征导致的经济风险。首先,从技术风险来看,网络金融的发展使得金融业的安全程度越来越受制于信息技术和相应的安全技术的发展状况。第一,信息技术的发展如果难以适应金融业网络化需求的迅速膨胀,网络金融的运行无法达到预想的高效率,发生运转困难、数据丢失甚至非法获取等,就会给金融业带来安全隐患。第二,技术解决方案的选择在客观上造成了技术选择失误风险,该风险表现在两个方面:一是所选择的技术系统与客户终端软件不兼容,这将会降低信息传输效率;二是所选择的技术方案很快被技术革新所淘汰,技术落后将带来巨大的经济损失。其次,从经济风险来说,网络金融在两个层面加剧了金融业的潜在风险:其一,网络金融的出现推动了混业经营、金融创新和全球金融一体化的发展,在金融运行效率提高,金融行业融合程度加强的同时,实际上也加大了金融体系的脆弱性;其二,由于网络金融具有高效性、一体化的特点,因而一旦出现危机,即使只是极小的问题都很容易通过网络迅速在整个金融体系中引发连锁反应,并迅速扩散。
三、网络金融发展存在的问题务规模有限,收入水平不高,基本上处于亏损状况。第二,网上金融业务具有明显的初级特征。我国的网络金融产品和服务大多是将传统业务简单地“搬”上网,更多地把网络看成是一种销售方式或渠道,忽视了网络金融产品及服务的创新潜力。在主观方面,主要存在两点问题:第一,未能进行有效的统一规划。我国网络金融的发展因缺乏宏观统筹,各融机构在发展模式选择、电子设备投入、网络建设诸方面不仅各行其道,甚至还相互保密、相互设防,造成信息、技术、资金的浪费和内部结构的畸形,不仅不利于形成网络金融的发展,还有可能埋下金融业不稳定的因素。第二,立法滞后。一方面与市场经济发达国家相比,我国网络金融立法滞后。我国此类法律极为有限,只有《网上证券委托暂行管理办法》、《证券公司网上委托业务核准程序》等几部法规,并且涉及的仅是网上证券业务的一小部分。另一方面与传统金融业务健全的法律体系相比,网络金融立法同样滞后。面对网络金融的发展和电子货币时代的到来,需要进一步研究对现行金融立法框架进行修改和完善,适当调整金融业现有的监管和调控方式,以发挥其规范和保障作用,促进网络金融积极稳妥地发展。
四、建议应采取的对策针对上述风险和问题,提出以下几点对策。(1)确立传统金融与网络金融并行发展的战略。(2)建立专门的指导和管理机构。(3)加快网络金融立法。(4)造就复合型金融人才。(5)改革分业管理体制。(6)加快电子商务和网络银行的立法进程。(7)银监会应提高对网络银行的监管水平。(8)大力发展先进的、具有自主知识产权的信息技术,建立网络安全防护体系。(9)建立大型共享型网络银行数据库。(10)建立网络金融统一的技术标准。
随着,国金融电子化建设的不断深人,电子化、网络化、集约化已经成为金融业信息化发展的大趋势,电子计算机及信息技术的应用已经渗透到金融业经营的各个层面,成为了金融业务开展的基础,现代金融就是“货币+信息”。金融信息化系统安全的重要性也与日俱增,成为金融业经营管理工作中的头等大事。本文就当前金融信息系统风险隐患的成因进行剖析并提出对策措施。
一、金融信息风险成因
1.系统运行环境的不安全。一是操作系统平台的漏洞。金融信息系统主要是基于UNIX.Windows,SUN等系统平台设计的,而这些操作系统,安全级别较差,存在着安全漏洞,如系统崩溃漏洞、拒绝服务攻击漏洞、缓冲区溢出漏洞等,都能导致系统的瘫痪。二数据库管理系统的缺陷。数据管理系统是信息系统的基础,必须与操作系统的安全配套,但这无疑是一个先天不足。三是网络协议安全的脆弱。计算机网络系统大都使用TCPIIP协议,传统的FTP,E-MAIL等服务都包含着影响金融信息安全的因素,存在着漏洞,容易被攻击,直接威胁到金融信息系统的安全。
2.信息系统设计不完善。近几年,金融信息系统不断开发出来和投人运用,创新了金融工具和金融业务,但由于有的系统在开发中,片面注重科技创新追求快出成果,对安全的认知程度不高,缺少风险管理概念,忽视了系统的有效性和安全性,系统没有统一的安全标准,功能单一、容灾、容错能力弱,应用效果差,没有发挥应有的作用,造成信息资源的浪费。
3.安全系统建设缺乏整体性。根据木桶理论,金融信息系统的整体安全性,取决于安全系统的最薄弱环节,而当前安全系统只重视单一或几个安全产品的部署,网络安全产品仍然是在以“点”发展,停留在访问控制、病毒扫描、内容过滤等方面,而忽视整体安全系统建设。
4.安全队伍建设和员工安全意识教育不到位。高素质的安全管理人员的缺乏严重地影响了计算机信息系统安全措施的有效落实。就当前情况来看,金融机构安全管理人员大都是由计算机工程技术人员兼任,他们既是电子化工程项目的建设者、管理者,也是信息安全的管理者,集电子化建设和信息安全管理于一身,职责不明,责任不清,不能有效地对安全现状进行真实、客观的评估和审计。
5.安全防范措施不力,内部控制不产。落后的管理也使计算机安全工作大打折扣。据统计我国银行业的IT投人有59%花费在了硬件设施上,软件投人所占比例为23%,管理服务上的投人少,只有18%,这与国外银行业的IT投人比例形成了鲜明的对比。落后的管理也使计算机安全工作大打折扣。从已经发生过的金融计算机犯罪事例来看,大多数问题出在疏于检查、放松管理上。据有关部门统计,我国银行系统发生的计算机犯罪案件,85%来自内部人员或内外勾结作案。
二、构建安全的金触信息系统
1.树立正确的信息安全观。从金融管理机构到金融机构、从金融管理层到基层员工都要高度重视金融信息安全,清醒的认识到加强金融信息安全的根本是保障金融业务的连续性、是促进金融的可持续发展,有效的金融信息安全管理策应对企业的财务状况,现金流量等进行分析。一是资产负债结构。分析受评企业负债水平与债务结构有助于了解管理层理财策略(如债务到期安排,企业偿付能力等)。此外,企业的融资租赁、未决诉讼中的负债项目也会影响评级结果;二是盈利能力。通过对销售利润率、净值报酬率、总资产报酬率等指标衡量;三是现金流量充足性。现金流量是衡量受评企业偿债能力的核心指标。净现金流量、留存现金流量和自由现金流量与到期总债务的比率,基本可以反映受评企业营运现金对债务的保障程度;四是资产流动性。主要考察企业流动资产与长期资产的比例结构。同时,通过存货周转率、应收账款周转率等指标反映流动资产转化为现金的速度,以评估企业偿债能力的高低。
为了能准确地考察借款人的偿债能力,非财务因素对于借款人的影响也是不可忽视的。非财务因素主要指借款人所处的行业、经营特征、管理方式、还款意愿以及其他一些因素。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
自1985年中国银行珠海分行发行了我国第一张信用卡——中银卡以来,我国的信用卡业务得到了迅速发展,截至2011年末,全国累计持卡量29亿张,人均拥有量2.13张。伴随着信用卡业务量的大幅增加,信用卡犯罪数量也随之攀升,据公安部统计,对该类案件的立案数从2008年的大约两千多起发展到了2011年的两万多起,且犯罪手法、技术更是层出不穷,出现了一些新型的信用卡犯罪。它不仅直接侵害了信用卡当事人的合法权益,而且严重破坏了金融秩序、威胁了金融安全。因此为了切实维护广大持卡人及金融机构的切身利益,促进信用卡产业的健康有序发展,就有必要在分析当前新型信用卡犯罪的类型和特点,阐述其原因的基础上,提出切实可行的侦防对策。
一、当前新型信用卡犯罪的类型
所谓信用卡犯罪,是指以信用卡为侵害对象或工具诈骗、盗取、获取不法利益,严重破坏金融管理秩序、依法应受刑事处罚的一类行为的总称。此处的“信用卡”,是指由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转帐结算、存取现金等全部功能或者部分功能的电子支付卡。这一解释使得《刑法》中的“信用卡”的范围实质上与《银行卡业务管理办法》及实际工作中所称的“银行卡”的范围相一致。因此信用卡犯罪也就是银行卡犯罪行为。随着社会经济和信息技术的发展,信用卡犯罪的手段和技术发生了一些新的变化,出现了一些新型的信用卡犯罪行为,当前主要有妨害信用卡管理犯罪;窃取、收买或者非法提供他人信用卡信息资料犯罪;伪造信用卡犯罪;信用卡诈骗犯罪;非法信用卡中介及信用卡套现犯罪;利用互联网实施的信用卡洗钱、诈骗犯罪;以电话、短信等方式,利用信用卡进行的诈骗犯罪等。即在信用卡犯罪中,既有窃取、买卖信用卡信息犯罪,又有伪造信用卡、盗刷信用卡犯罪;既有非法套现、恶意透支犯罪,又有短信诈骗犯罪,其犯罪行为渗透到信用卡产业从申领、使用到发卡、管理的各个环节,涉及罪名也涵盖了伪造金融票证罪,信用卡诈骗罪,妨害信用卡管理罪,窃取、收买、非法提供信用卡信息罪和非法经营罪等罪名。
二、新型信用卡犯罪的特点
由于信用卡犯罪的发生和发展的速度往往与信用卡业务的发展成正比。因此随着信用卡业务的快速发展,社会上出现了一些新型的信用卡犯罪,表现出犯罪数量迅速增长、跨区域作案明显、犯罪手段狡猾多变、犯罪成员成分广泛等特点,具体表现如下:
(一)犯罪数量急剧增加且跨区域流窜作案明显
伴随着信用卡业务的迅猛发展,信用卡犯罪数量也急剧增长。据统计,2010年1月到10月,全国公安机关共破获1.9万起信用卡犯罪案件,挽回经济损失近6亿元。其中仅破获信用卡诈骗犯罪案件就达1.4万起,同比上升达1.7倍。且就在2011年1月到4月底,全国公安机关已破获信用卡案件5600余起,缴获涉案信用卡2.58万张,挽回经济损失1.3亿元,并抓获行动前在逃的信用卡犯罪嫌疑人450余名。另外信用卡犯罪行为人为了逃避打击,往往利用现代化的交通工具、通讯手段和资金支付结算方式等,跨区域流窜作案明显。如不少犯罪分子在甲地盗取银行卡信息、在乙地制作伪卡、在丙地等数地盗提资金,或利用POS机异地移机套现如:犯罪分子或是在甲地骗领POS机后带到乙地套现,或是通过互联网等方式联系卖家,从甲地租用POS机后带到乙地套现,或是采取在POS机加装拨号器或使用“大联通”方式将固定POS机虚拟成移动POS机等科技手段,绕过监管,跨地区移动套现等。
(二)犯罪手法狡猾多变且不断翻新
随着信用卡的普及、互联网的发展和社会信息化程度的不断提高,信用卡犯罪手段不断升级,且常常紧跟打击防范措施的变化和新业务的发展而不断翻新,从公安机关已破的信用卡犯罪案件看,既有通过传统的刷卡类交易实施犯罪的,也有通过网络购物、电子机票订购等新兴的无卡类交易进行犯罪的;既有通过偷窥、在ATM机上加装盗码器、在商场的POS机上安装侧录装置等手法盗取信用卡信息的,也有在网上设置木马程序等手段窃取信用卡信息的;还有当持卡人在ATM机上操作时,骗取他人信用卡并使用;利用电话、短信方式,谎称“中奖”、“特惠低价”等理由,诱使持卡人向不法分子账户转账。还有的利用四通八达的网络,采取黑客入侵、网络诈骗、利用计算机网络技术窃取或破获信用卡密码等形式完成信用卡犯罪行为的实施。这些都充分体现了当前新型信用卡犯罪手法的狡猾多变和不断变化的特点。
(三)犯罪成员成分广泛,团伙作案居多且具有犯罪产业化现象
在信用卡犯罪成员中,既有惯犯,也有偶犯,既有农民、工人,也有学生、无业人员等,甚至还有金融内部人员,具有职业的广泛性。他们为了窃取他人或银行的资产,通常结伙作案,如在伪卡诈骗犯罪中的一批地缘性职业犯罪团伙,他们常常以宗族、同乡为纽带,长期流窜于各地,通过在ATM机加装盗码器、针孔摄像头等窃取银行卡信息后盗提卡内资金。另外当前制作伪卡及盗码器等信用卡诈骗工具的行为以及非法套现行为已呈现集中化、产业化的趋势,伪造信用卡从零星制造向作坊式甚至产业化发展,导致信用卡犯罪出现犯罪产业化现象。
三、新型信用卡犯罪的原因
当前信用卡犯罪越来越猖獗,对社会和人民群众造成的危害也越来越大。究其原因主要有以下几个方面:
(一)管理体系不完备、监管制度不完善
目前信用卡的发展在我国处于快速增长阶段,但发卡行的管理机制还不完善,个人信用体系不健全,技术设施和手段还跟不上信用卡市场发展的需求。在市场经济不断发展的新形势下,有关金融活动管理的法律和制度跟不上新形势发展的需要,内外部的监督制约机制和监督设施不同程度地存在不健全、不完善的地方,在监管方面客观上也存在一些“真空”地带。
(二)金融机构自身的缺陷
金融机构自身对于信用卡业务的开展存在诸多缺陷,为犯罪行为人提供了可乘之机。表现在有的金融机构负责人对市场经济形势下的信用卡犯罪缺乏应有的警惕性和防范意识,对保障金融资金安全的措施不得力或者措施落实不到位,有的仅仅是为了应付检查;各大商业银行之间的无序竞争和审查把关不严,导致银行卡业务风险上升。各商业银行为了抢占市场份额,一再放宽银行卡的准入条件,审查制度形同虚设,致使犯罪分子有机可乘;金融机构从业人员素质参差不齐,有的业务知识不熟悉,工作责任性不强,致使虚名办卡、恶意透支极易得逞;另外,信用卡加密技术落后,犯罪嫌疑人或犯罪组织很容易便能获得卡上信息,从而仿照发卡银行发行的信用卡非法制造伪卡或者非法修改作废信用卡的磁条信息,将伪造的假卡供自己或转卖他人使用。
(三)信用卡持有者防范意识薄弱
信用卡持有者警惕性不高,或将信用卡转借他人,或将信用卡遗忘在取款机上,或随意丢弃自动取款机打印出来的凭证;不注意自己信用卡账号、密码和身份资料的保密;随意将自己的身份证借给别人,而不知其借用身份证的用处等等,都给了犯罪分子可乘之机。
四、新型信用卡犯罪的侦防对策
鉴于上述新型信用卡犯罪的类型、特点和多发的原因,为了维护信用卡各相关当事人的合法权益并促进信用卡业务的健康发展、维护安全稳定的金融秩序,就必须坚持打防结合的侦防对策,大力打击和预防这类犯罪。
(一)拓展案件线索来源并建立信用卡犯罪信息库
当前信用卡犯罪已经成为金融诈骗犯罪的重要表现形式,且犯罪数量与日剧增,因此为了充分打击这类犯罪,应改变过去被动受案的方式,积极主动拓展案件线索来源。可通过公开举报电话和举报信件邮寄地址、接受来电来信来访、开通网上举报专栏等多种形式受理群众举报,利用银行网点、银行自助机具、特约商户营业场所、派出所等张贴、显示或发放宣传材料,广泛发动群众,广辟线索来源。另外应广泛收集、存贮信用卡犯罪的各种情报信息并建立信用卡违法犯罪黑名单库和犯罪信息数据库,以充分发挥“情报导侦”的作用,为全面、准确、及时地打击信用卡犯罪打下坚实可靠的基础。
(二)加强警务协作提高打击和防范力度
鉴于信用卡犯罪跨区域作案的特点,因此要有力打击该类犯罪就必须加强公安机关内部以及公安机关与相关职能部门的紧密协作,即加强公安机关和金融机构之间、公安机关内部各部门、警种之间的协作配合,充分整合资源,形成工作合力。在公安机关与人民银行、各银行业金融机构及中国银联间建立信用卡违法犯罪联络员制度,创建应急联络、信息通报、交流合作的长效机制。并将办案中发现的信用卡管理漏洞和犯罪分子的作案手段和方法以联席会议的形式及时对各金融机构管理部门进行通报,要求各银行部门修正相关的管理制度,并在本单位内部对犯罪分子的手段和方法进行通报学习,以提高银行工作人员的安全防范意识,杜绝和减少此类案件的发生。