在金融行業(yè)中，金融是政府實現(xiàn)目標(biāo)的重要手段，而金融安全管理構(gòu)成了政府的政治約束 。下面是學(xué)習(xí)啦小編帶來的關(guān)于金融安全管理論文的內(nèi)容，歡迎閱讀參考!!

　　金融安全管理論文篇一

　　試談加強反洗錢管理工作 確保金融安全運行

　　【摘 要】洗錢指的是犯罪分子將販毒、走私、貪污、受賄、盜竊以及偷漏稅等“黑錢”及其產(chǎn)生的收益，通過各種手段掩飾、隱瞞其來源與性質(zhì)，使其在形式上合法化的行為。洗錢是一種嚴重的犯罪行為，嚴重威脅著社會穩(wěn)定，國家安全和人民生命財產(chǎn)的安全。農(nóng)村信用社應(yīng)緊緊圍繞反洗錢工作要求和工作目標(biāo)，嚴格執(zhí)行人民銀行和上級行反洗錢制度規(guī)定，切實加強反洗錢工作領(lǐng)導(dǎo)，不斷完善反洗錢內(nèi)部管理制度，增強風(fēng)險防控能力，有效地預(yù)防和打擊洗錢及相關(guān)犯罪，為維護社會公平和穩(wěn)定市場經(jīng)濟秩序作出應(yīng)有的貢獻。

　　【關(guān)鍵詞】農(nóng)村信用社;反洗錢;存在問題;實施措施

　　洗錢具有很大的危害性，不僅影響金融業(yè)的健康發(fā)展，而且還會對經(jīng)濟建設(shè)和社會穩(wěn)定產(chǎn)生嚴重破壞。農(nóng)村信用社應(yīng)當(dāng)充分認識到開展反洗錢工作的重要性，嚴格按照有關(guān)法律法規(guī)規(guī)定，采取必要措施，積極開展反洗錢工作，維護金融秩序的穩(wěn)定? 從目前農(nóng)村信用社反洗錢工作的開展情況來看，由于認識層次、內(nèi)部控制、組織機構(gòu)及技術(shù)手段等多方面的原因，反洗錢工作還存在一些問題。

　　一、農(nóng)村信用社反洗錢工作存在的問題

　　(一)思想認識不到位，反洗錢意識淡薄

　　人民銀行總行先后發(fā)布了《反洗錢法》、《金融機構(gòu)反洗錢規(guī)定》、《人民幣大額和可疑支付報告管理辦法》、《金融機構(gòu)大額和可疑外匯資金交易報告管理辦法》，1997年我國新頒《刑法》191條明確了“反洗錢罪”。但是，這一系列條例、法規(guī)在農(nóng)村信用社網(wǎng)點中的學(xué)習(xí)、貫徹、執(zhí)行力度參差不齊，大部分僅停留在略知一二的層面上。一線員工反洗錢意識淡薄，普遍缺乏反洗錢工作經(jīng)驗。而多數(shù)基層網(wǎng)點負責(zé)人也未能充分認識反洗錢的重要性，對反洗錢工作人員的教育還不夠深入，還有部分基層網(wǎng)點負責(zé)人認為，追求效益最大化是企業(yè)的目標(biāo)，反洗錢工作不僅增加了工作流程、工作強度和經(jīng)營成本，而且還可能因為制度的執(zhí)行影響客戶關(guān)系，導(dǎo)致資源流失，影響自身經(jīng)營和效益，因而這項工作對基層網(wǎng)點來說，當(dāng)面臨監(jiān)管職責(zé)和自身利益的矛盾時，他們往往還會在不違背大原則的前提下，為滿足客戶的需要而進行一些違規(guī)操作。

　　(二)銀行內(nèi)控制度不健全或不能得到有效落實

　　部分農(nóng)村信用社反洗錢內(nèi)部控制制度不健全，反洗錢規(guī)章制度不詳細，內(nèi)部制度建設(shè)流于形式，嚴重制約了反洗錢工作的效率。再加上基層網(wǎng)點反洗錢意識淡薄，未能嚴格執(zhí)行“客戶身份識別”制度，對反洗錢客戶盡職調(diào)查工作敷衍了事，對客戶的認定僅限定于《公民聯(lián)網(wǎng)核查系統(tǒng)》，核查工作缺乏主動性;同時，由于對客戶的宣傳不夠，社會公眾仍然缺乏對反洗錢政策的了解，使金融機構(gòu)進行客戶盡職調(diào)查時遇到較多阻力。很多客戶對反洗錢的重要性認識不足，對客戶盡職調(diào)查不理解，不愿意透露職業(yè)、收入狀況、資金來源和去向等和反洗錢工作密切相關(guān)的信息，而《反洗錢法》中，對客戶的義務(wù)規(guī)定僅限于應(yīng)當(dāng)提供真實有效的身份證明文件，難以給予銀行更多的法律支持，使客戶盡職調(diào)查工作難以達到要求。

　　(三)客戶身份識別存在難點

　　“了解你的客戶”是金融機構(gòu)反洗錢工作的基本要求。無論是對公客戶還是對私客戶，在開戶時大部分會采用居民身份證作為身份證件，公安聯(lián)網(wǎng)核查系統(tǒng)的出現(xiàn)，為銀行識別客戶身份證件的真實性提供了保障。但是，其他合法個人證件難以識別。按照規(guī)定，在開立賬戶時，客戶提供的軍官證、警官證、外籍護照等也屬于合法證件，但一方面大部分金融機構(gòu)營業(yè)網(wǎng)點沒有配置識別這些證件真實性的輔助設(shè)備，另一方面金融機構(gòu)大多數(shù)的柜員對這類型證件既不熟悉它的防偽標(biāo)志也沒掌握其識別要點，因此，大多數(shù)銀行柜員只能憑直觀感覺對這些證件的真?zhèn)芜M行判斷。目前已經(jīng)有不法分子利用銀行不熟悉非常規(guī)證件鑒別的漏洞，采用非居民身份證證件辦理金融業(yè)務(wù)進行不法活動。而銀行對客戶的了解，也僅限于掌握客戶開戶資料的合規(guī)性內(nèi)容，對客戶的經(jīng)營狀況、關(guān)聯(lián)企業(yè)狀況、主要資金往來對象、經(jīng)營范圍等信息缺乏真實的、詳細的了解。

　　二、農(nóng)村信用社反洗錢工作的對策和建議

　　(一)強化反洗錢意識，培養(yǎng)反洗錢骨干隊伍

　　反洗錢培訓(xùn)是銀行開展反洗錢工作必不可少的前提，是銀行內(nèi)部控制制度的重要組成部分，其目的是保證銀行各個層級的工作人員都樹立洗錢風(fēng)險意識、反洗錢法律意識及合規(guī)意識，明確自身應(yīng)當(dāng)承擔(dān)的責(zé)任，保證員工了解反洗錢法律法規(guī)的具體要求，掌握反洗錢工作必備的技能。以豐富多彩的形式，開展反洗錢宣傳活動，提高基層網(wǎng)點負責(zé)人對反洗錢工作的認識，促使他們對當(dāng)前洗錢的嚴峻形勢及反洗錢的重要意義有所了解，讓他們能夠正確對待反洗錢在工作中形成的短期利益與長遠利益的關(guān)系，從而在工作中，自覺地履行反洗錢的工作義務(wù)。與此同時，通過制定和實施由淺入深的系列培訓(xùn)計劃，從提高從業(yè)人員的反洗錢知識、技能出發(fā)，著重加強反洗錢專業(yè)知識培訓(xùn)，培養(yǎng)一批具有反洗錢專業(yè)技能的業(yè)務(wù)骨干。培訓(xùn)應(yīng)遵循“不同對象、不同方式、不同層次、不同內(nèi)容”的原則，可采取實地培訓(xùn)、網(wǎng)絡(luò)培訓(xùn)、舉辦培訓(xùn)班、組織反洗錢有獎知識競賽、在基層網(wǎng)點開展巡回指導(dǎo)、案例剖析、以會代訓(xùn)等豐富多樣的形式，以點帶面，豐富和提高金融從業(yè)人員的思想素質(zhì)、反洗錢意識和反洗錢操作技能，全面提升銀行業(yè)反洗錢工作水平。

　　(二)建立健全反洗錢內(nèi)控制度

　　反洗錢內(nèi)部控制制度是銀行反洗錢工作順利開展的基礎(chǔ)。如果一個銀行的內(nèi)部控制制度不健全，反洗錢工作將難以有效開展。在構(gòu)建反洗錢內(nèi)部控制的過程中，銀行應(yīng)目標(biāo)明確，有的放矢，使內(nèi)部控制的方法、程序及措施在反洗錢工作中切實發(fā)揮保障作用。農(nóng)村信用社應(yīng)根據(jù)自身的特點和經(jīng)營情況，制定適合本單位的反洗錢制度措施，將反洗錢法律、法規(guī)和部門規(guī)章要求，分解、細化落實到具體管理和業(yè)務(wù)流程當(dāng)中去，并以此作為內(nèi)部管理考核、獎勵和懲罰的依據(jù)，增強反洗錢制度的操作性和實效性，努力將各項制度、規(guī)定落到實處。并指導(dǎo)網(wǎng)點營銷人員正確認識和處理好反洗錢與業(yè)務(wù)發(fā)展的關(guān)系，依法經(jīng)營，依法履行反洗錢的有關(guān)職責(zé)。

　　(三)全面推進客戶身份識別

　　客戶身份識別是我國反洗錢法律制度的強制性要求，是銀行及其工作人員必須履行的法律義務(wù)。是銀行做好客戶風(fēng)險分類、大額交易和可疑交易報告、客戶身份資料和交易記錄保存及其他反洗錢工作的基礎(chǔ)。農(nóng)村信用社應(yīng)嚴格按照人民銀行《客戶身份識別和客戶身份資料及交易記錄保存管理辦法》等相關(guān)制度要求，開展客戶身份識別工作。一是執(zhí)行銀行賬戶實名制，實行“了解你的客戶”的原則，充分利用居民身份聯(lián)網(wǎng)核查系統(tǒng)、身份證鑒別儀，做好客戶盡職調(diào)查，對居民的身份信息進行核實。二是了解客戶背景、交易目的、交易性質(zhì)、資金來源和用途。三是保存身份文件和交易記錄，為司法和執(zhí)法當(dāng)局日后的追查提供翔實的金融信息資料，達到利用有效的金融信息控制洗錢的目的。四是重點審查高風(fēng)險客戶，對于高風(fēng)險客戶，金融機構(gòu)內(nèi)部審查的頻率應(yīng)遠遠高于低風(fēng)險客戶，盡職調(diào)查程序要得到客戶個人財產(chǎn)、資金來源等問題的答案。

　　金融安全管理論文篇二

　　試論金融機構(gòu)信息資產(chǎn)安全與操作風(fēng)險管理

　　[摘要]面對日趨復(fù)雜的金融活動，金融操作風(fēng)險已經(jīng)成為金融機構(gòu)越來越顯著的風(fēng)險因素，操作風(fēng)險的監(jiān)管日趨重要。金融機構(gòu)作為“信息系統(tǒng)依賴型”企業(yè)和“信息資產(chǎn)密集型”企業(yè)，對信息系統(tǒng)的依賴程度不斷增強。金融信息系統(tǒng)的安全性、可靠性、有效性直接關(guān)系到整個金融業(yè)的安全和穩(wěn)健。本文借鑒MSF風(fēng)險管理框架，結(jié)合金融機構(gòu)操作風(fēng)險威脅和信息資產(chǎn)安全特點，提出金融機構(gòu)完善信息資產(chǎn)安全、進行操作風(fēng)險管理的初步框架。

　　[關(guān)鍵詞]金融機構(gòu);信息資產(chǎn);操作風(fēng)險;風(fēng)險管理

　　金融機構(gòu)操作風(fēng)險具有不同于信用風(fēng)險和市場風(fēng)險的顯著特征，是其基礎(chǔ)性風(fēng)險。巴塞爾委員會對操作風(fēng)險的定義是：“操作風(fēng)險是指由不完善或有問題的內(nèi)部程序、人員及系統(tǒng)或外部事件所造成損失的風(fēng)險。”它是指由于不當(dāng)或不足的方式操作業(yè)務(wù)或外部事件而對銀行業(yè)務(wù)帶來負面影響的可能性。操作風(fēng)險是與銀行業(yè)務(wù)操作緊密相聯(lián)系的風(fēng)險，它和信用風(fēng)險、市場風(fēng)險共同構(gòu)成商業(yè)銀行的三大風(fēng)險。對于操作風(fēng)險的監(jiān)管。直接涉及銀行信息資產(chǎn)風(fēng)險的監(jiān)管，銀行信息資產(chǎn)風(fēng)險監(jiān)管與操作風(fēng)險監(jiān)管有著密切關(guān)系，加強操作風(fēng)險的監(jiān)管，就必須高度重視信息資產(chǎn)風(fēng)險的監(jiān)管。

　　一、IT環(huán)境下操作風(fēng)險的挑戰(zhàn)

　　(一)IT環(huán)境下操作風(fēng)險的隱患

　　當(dāng)前由于銀行系統(tǒng)漏洞或缺陷導(dǎo)致的操作風(fēng)險事件呈現(xiàn)出上升趨勢。據(jù)銀監(jiān)會通報，2007年以來銀行業(yè)發(fā)生的5起典型信息系統(tǒng)風(fēng)險事件，分別是：2007年3月21日，交通銀行因主機監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近4個小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務(wù);2007年8月15日，中國工商銀行對計算機系統(tǒng)進行升級，由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個人業(yè)務(wù)系統(tǒng)運行不暢，業(yè)務(wù)辦理速度緩慢，部分代理證券業(yè)務(wù)受阻，在持續(xù)5個半小時后，系統(tǒng)才逐步恢復(fù)正常;2007年10月18日，中國建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進行，事故持續(xù)了兩個小時，在證券交易收盤后才恢復(fù)正常;2007年12月21日，招商銀行因運行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進行，雖啟動了應(yīng)急預(yù)案，但仍然中斷營業(yè)近1個小時：2008年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京117家支行所屬網(wǎng)點柜臺交易緩慢，業(yè)務(wù)無法正常進行，故障在1個多小時后才得以解決。上述案例中，既有信息系統(tǒng)自身原因引發(fā)的故障，也有人員操作失誤引發(fā)的故障，信息系統(tǒng)風(fēng)險已成為商業(yè)銀行關(guān)注和防范的焦點。

　　金融業(yè)信息技術(shù)事故統(tǒng)計表明，如果銀行系統(tǒng)中斷1小時，將直接影響該行的基本支付業(yè)務(wù);中斷1天，將對其聲譽造成極大傷害;中斷2―3天以上不能恢復(fù)。將直接危及其他銀行乃至整個金融系統(tǒng)的穩(wěn)定。目前。我國銀行業(yè)的IT建設(shè)正處于高速發(fā)展期，在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時，信息科技風(fēng)險管理顯得相對薄弱。

　　技術(shù)型操作風(fēng)險的隱患源于：1.操作系統(tǒng)漏洞。銀行應(yīng)用的Unix，Win-dows等操作系統(tǒng)存在一定安全隱患;2.安全設(shè)施的漏洞。網(wǎng)絡(luò)層、應(yīng)用層的防火墻自身是否安全、設(shè)置是否錯誤，需要經(jīng)過檢驗。美國一項調(diào)查表明，32%的泄密是由內(nèi)部作案造成，所有的防火墻都不同程度地被黑客攻擊過;3.安全管理的漏洞?，F(xiàn)有的一些信息系統(tǒng)缺少定期的安全測試與檢查，更缺少安全監(jiān)控。在已破獲的采用計算機技術(shù)犯罪的案件中，內(nèi)部授權(quán)人員作案的占58%;4.安全協(xié)議的漏洞。由于銀行網(wǎng)絡(luò)系統(tǒng)內(nèi)部運行的各種協(xié)議(如TCP/IP，IPX/SPX等)是在資源及網(wǎng)絡(luò)技術(shù)均不成熟的情況下設(shè)計的，還存在著脆弱的認證機制、容易被竊聽和監(jiān)視、易受欺騙等安全隱患;5.內(nèi)控制度的漏洞。管理制度、運行規(guī)程不完善，不能有效地杜絕內(nèi)部作案，更缺乏良好的故障處理反應(yīng)機制。

　　(二)lT環(huán)境下操作風(fēng)險的表現(xiàn)形式

　　技術(shù)導(dǎo)向型操作風(fēng)險是指由于技術(shù)問題，特別是信息技術(shù)的應(yīng)用對銀行的系統(tǒng)、流程、產(chǎn)品、服務(wù)和交易等產(chǎn)生不良影響而導(dǎo)致的操作風(fēng)險，包括IT技術(shù)、網(wǎng)絡(luò)系統(tǒng)、產(chǎn)品的服務(wù)缺陷。以及外部法律、稅收和監(jiān)管方面的變化對銀行沖擊而造成的風(fēng)險。關(guān)于金融機構(gòu)技術(shù)導(dǎo)向型操作風(fēng)險涵蓋的范疇及其風(fēng)險的含義，在2006年出臺的銀行業(yè)監(jiān)督管理法中給出了明確定義：“主要包括總體風(fēng)險，研發(fā)風(fēng)險、運行維護風(fēng)險、外包風(fēng)險等信息系統(tǒng)生命周期幾個高風(fēng)險點……其中，總體風(fēng)險是指金融機構(gòu)信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險;研發(fā)風(fēng)險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險;運行維護風(fēng)險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險;外包風(fēng)險是指金融機構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)或外部技術(shù)供應(yīng)商時形成的風(fēng)險。”

　　二、金融機構(gòu)信息資產(chǎn)安全的需求

　　金融機構(gòu)信息系統(tǒng)是指銀行業(yè)金融機構(gòu)運用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。金融機構(gòu)信息系統(tǒng)具有如下特點：1.金融信息化的建設(shè)以及網(wǎng)上銀行業(yè)務(wù)的迅猛發(fā)展，使得銀行等金融機構(gòu)的業(yè)務(wù)集中度非常高。2.數(shù)據(jù)大集中后，由于單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來越多，信息系統(tǒng)對網(wǎng)絡(luò)的依賴性越來越高。3.信息安全性要求高，信息系統(tǒng)的各種文檔資料和用戶資料均需保密。

　　(一)信息資產(chǎn)安全的邊界

　　有關(guān)信息資產(chǎn)的含義，目前眾說紛紜，本文借鑒屈延文(2006)給出的定義，即信息資產(chǎn)是由信息范疇資產(chǎn)、系統(tǒng)范疇資產(chǎn)和附加范疇資產(chǎn)組成。其中信息范疇資產(chǎn)是指信息存在形式、信息內(nèi)容、內(nèi)容價值;系統(tǒng)范疇資產(chǎn)是指系統(tǒng)存在形式、系統(tǒng)行為、行為價值;附加范疇資產(chǎn)則是不同的關(guān)注者(計劃者、擁有者、設(shè)計者、實施者和用戶等)對信息與系統(tǒng)兩個范疇關(guān)注的需求價值(附加價值)。例如包括開發(fā)、運營、管理、維護和服務(wù)等產(chǎn)生的關(guān)注性的資產(chǎn)。

　　隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵也在不斷的延伸。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實施技術(shù)。

　　(二)信息資產(chǎn)安全性原則

　　信息，在ISO17799中被看作是一種資產(chǎn)，這種資產(chǎn)可以增加組織的價值，因而它也需要得到恰當(dāng)?shù)谋Ｗo。信息資產(chǎn)安全需要保護信息資源，防止未經(jīng)授權(quán)或偶然因素對信息資源的破壞、修改、非法利用或惡意泄露，以實現(xiàn)信息保密性、完整性與可用性的要求。在國際標(biāo)準化組織的信息安全管理標(biāo)準規(guī)范(1SO，IEC 17799)和其他一些機構(gòu)的文獻中，都定義了信息安全的基本特性：如保密性，完整性。有效性;另外也可包括諸如真實性，可審計性，不可否認性和可控性等。

　　三、金融機構(gòu)信息資產(chǎn)操作風(fēng)險監(jiān)管的對策

　　風(fēng)險監(jiān)管是信息資產(chǎn)安全管理的核心。信息系統(tǒng)風(fēng)險管理的目標(biāo)是通過建立有效的機制。實現(xiàn)對信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制，推動銀行業(yè)金融機構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力。

　　(一)信息資產(chǎn)操作風(fēng)險管理的原則和目標(biāo)

　　實施信息資產(chǎn)風(fēng)險管理的原則為：1.針對性。對金融機構(gòu)信息資產(chǎn)所面臨的安全需求進行認真全面地分析，找出具有針對性的安全威脅。有的放矢地做好安全工作：2.均衡性。對信息安全的各個環(huán)節(jié)進行安全強度分析，找出信息安全的脆弱點，提出強度均衡的設(shè)計方案;3.時效性。在實施信息安全管理時，要量力而行，安全投入與所需要的功效相適應(yīng)。即對信息安全面臨的威脅及可能承擔(dān)的風(fēng)險進行定性和定量的分析，從而制定出合理的安全策略;4.獨立性。信息安全所采用的技術(shù)均應(yīng)立足國內(nèi)，不得直接引用未經(jīng)消化改造的境外安全保密技術(shù)和設(shè)備;5.綜合性。信息安全必須通過技術(shù)、管理和安全基礎(chǔ)設(shè)施的綜合實施才能奏效，即信息安全=風(fēng)險分析+執(zhí)行策略+基礎(chǔ)實施+漏洞監(jiān)測+實時響應(yīng)。

　　金融機構(gòu)信息資產(chǎn)安全管理的目標(biāo)為：一是對信息資產(chǎn)安全現(xiàn)狀做出正確判斷;二是較為準確地估計特定系統(tǒng)風(fēng)險;三是建立相應(yīng)的控制風(fēng)險的機制，并把這些機制融為一體形成防護體系;四是最大限度地提高系統(tǒng)的可用性，并把系統(tǒng)帶來的風(fēng)險控制在可接受范圍內(nèi)。

　　(二)構(gòu)建信息資產(chǎn)操作風(fēng)險管理框架

　　金融信息化環(huán)境下，很多機構(gòu)的信息資產(chǎn)面臨諸多威脅(包括來自內(nèi)部的威脅和來自外部的威脅)。威脅利用信息系統(tǒng)存在的各種漏洞(如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等)，對信息系統(tǒng)進行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露。資產(chǎn)的暴露(如系統(tǒng)高級管理人員由于不小心而導(dǎo)致重要機密信息的泄露)，會對資產(chǎn)的價值產(chǎn)生影響(包括直接和間接的影響)。風(fēng)險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定。對企業(yè)信息系統(tǒng)安全風(fēng)險的分析。就得出了系統(tǒng)的防護需求。根據(jù)防護需求的不同，制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o措施，進而降低安全風(fēng)險，并抗擊威脅。

　　信息安全風(fēng)險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對金融機構(gòu)造成的影響。資產(chǎn)、威脅和脆弱性構(gòu)成了風(fēng)險的三個關(guān)鍵要素，而風(fēng)險評估則是圍繞這些要素及其相關(guān)屬性依據(jù)國家有關(guān)管理要求和技術(shù)標(biāo)準，對信息系統(tǒng)及其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評價的過程。本文借鑒MSF風(fēng)險管理框架，建立以操作風(fēng)險管理為核心的信息資產(chǎn)安全模型。即風(fēng)險識別、風(fēng)險分析和分級、風(fēng)險計劃和調(diào)度、風(fēng)險跟蹤和報告、風(fēng)險控制以及風(fēng)險學(xué)習(xí)六個步驟。

　　1　風(fēng)險識別。風(fēng)險識別的目的是發(fā)現(xiàn)潛在的威脅，預(yù)防某個特定威脅利用某個特定系統(tǒng)的脆弱性對系統(tǒng)造成損失，威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。風(fēng)險識別應(yīng)該在信息系統(tǒng)的生命周期中不斷地重復(fù)。

　　2　風(fēng)險分析與分級。風(fēng)險分析是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認安全風(fēng)險及其大小的過程，即利用定性或定量的方法，借助于風(fēng)險評估工具，確定信息資產(chǎn)的風(fēng)險等級和優(yōu)先風(fēng)險控制。

　　3　風(fēng)險計劃和調(diào)度。風(fēng)險計劃提取風(fēng)險分析中獲得的信息并用其明確表達策略、計劃和工作。風(fēng)險調(diào)度可以確保計劃被認可并融入標(biāo)準的日常信息資產(chǎn)安全管理進程和基礎(chǔ)設(shè)施中，從而確保風(fēng)險管理作為日常工作的一部分執(zhí)行。

　　4　風(fēng)險跟蹤。風(fēng)險跟蹤監(jiān)控特定風(fēng)險的狀況以及它們各自工作計劃中的進展情況。風(fēng)險跟蹤也包含監(jiān)控變化風(fēng)險的概率、影響、暴露程度以及其他因素，這些變化可能改變優(yōu)先級或風(fēng)險計劃、信息資產(chǎn)特性、資源或是進度表。風(fēng)險跟蹤從風(fēng)險等級的角度定義風(fēng)險管理過程在信息資產(chǎn)中的可見度。

　　5　風(fēng)險控制。風(fēng)險控制是執(zhí)行風(fēng)險工作計劃和相關(guān)現(xiàn)狀報告的過程。風(fēng)險控制也包含項目變化控制請求的初始化，而風(fēng)險狀況或風(fēng)險計劃的更改可能導(dǎo)致信息資產(chǎn)特性、資源或進度表的更改。

　　6　風(fēng)險學(xué)習(xí)。使知識和相應(yīng)項目案例及工具正式化，并在團隊和企業(yè)內(nèi)部以可再度使用的形式提取知識。

　　信息系統(tǒng)的安全性、可靠性、有效性直接關(guān)系到整個金融業(yè)的安全和穩(wěn)健運行。在當(dāng)前構(gòu)建和諧社會的重要階段，金融業(yè)的安全變得更為關(guān)鍵。操作風(fēng)險防范的重要內(nèi)容就是從技術(shù)防范為主的被動信息安全轉(zhuǎn)移到以預(yù)防為主的主動風(fēng)險管理框架中來，把風(fēng)險控制在可承受的范圍之內(nèi)，為社會提供安全、持續(xù)的金融服務(wù)。

　　金融安全管理論文篇三

　　淺談金融信息系統(tǒng)安全管理體系

　　現(xiàn)代 金融業(yè)是基于信息、高度 計算 化、分散、相互依存的產(chǎn)業(yè)，有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在 網(wǎng)絡(luò) 結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化。而越是復(fù)雜的系統(tǒng)，其安全風(fēng)險就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風(fēng)險。據(jù)2003年一項對全球前500家金融機構(gòu)的安全調(diào)查(2003GlobaleS curity Survey，Deloitte Touche Tohmat—su)，39%受調(diào)查的機構(gòu)承認2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中，有多件涉及金融機構(gòu)。這些統(tǒng)計數(shù)字和報道出的事件，只是我們面臨信息系統(tǒng)安全威脅的冰山一角，因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。

　　長期以來，人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上，僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計，在所有的計算機安全事件中，約有52%是人為因素造成的，25%由火災(zāi)、水災(zāi)等 自然 災(zāi)害引起，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。簡單歸類，屬于管理方面的原因比重高達6O%以上，而這些安全問題中的95%是可以通過 科學(xué) 的信息安全管理來避免。因此，加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證，是金融信息系統(tǒng)安全體系建設(shè)的重點。

　　1安全管理體系構(gòu)建

　　信息安全源于有效的管理，使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系，只有在建立防范的基礎(chǔ)上，加強預(yù)警、監(jiān)控和安全反擊，才能使信息系統(tǒng)的安全維持在一個較高的水平之上。因此，安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ)，是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機制，最可行的做法是技術(shù)與管理并重，安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合，并輔之以相應(yīng)的安全管理工具，構(gòu)建科學(xué)、合理的安全管理體系。

　　金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的，它包括信息安全法規(guī)、措施和制度，安全管理平臺及信息安全培訓(xùn)和安全隊伍建設(shè)，其示意圖如圖1所示。

　　2安全管理平臺

　　安全管理平臺是通過采用技術(shù)手段實施金融信息系統(tǒng)安全管理的平臺，它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護與響應(yīng)管理和安全反擊管理。

　　2.1安全預(yù)警管理

　　安全預(yù)警管理的功能由預(yù)警系統(tǒng)實現(xiàn)，通過該系統(tǒng)，可以在安全風(fēng)險動態(tài)威脅和影響金融信息系統(tǒng)前，事先傳送相關(guān)的警示，讓管理員采取主動式的步驟，在安全風(fēng)險影響運作前加以攔阻，從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u造成危害，達到提前保護自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù)，分析威脅信息以辨識出真正潛在的攻擊，迅速響應(yīng)并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務(wù)，幫助降低風(fēng)險，防患于未然。

　　2.2安全監(jiān)控管理

　　通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險日志等，因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。

　　1)基于實時性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件，及時關(guān)注IT資源和安全風(fēng)險的現(xiàn)狀和趨勢，通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。

　　2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進行智能處理，實現(xiàn)報警信息的精煉化，提高報警信息的可用信息量，降低安全設(shè)備的虛警和誤警，從而有效地提高安全保障系統(tǒng)中報警信息的可信度。

　　3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報告的可視化手段，如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等，提供詳細的入侵攻擊信息乃至重現(xiàn)攻擊場景，實現(xiàn)對入侵攻擊行為的追蹤，使得對安全事件的分析更為直觀，從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解，使安全系統(tǒng)的管理更為有效。

　　4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式，可以實現(xiàn)對金融信息系統(tǒng)內(nèi)各個子系統(tǒng)的監(jiān)控和綜合分析能力，同時對不同安全保護等級的用戶提供相應(yīng)的監(jiān)控界面和信息，從而嚴格滿足其安全等級劃分的用戶級要求。

　　2.3安全防護與響應(yīng) 管理

　　在 金融 信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性，因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實現(xiàn)安全防護的目的。通過安全防護與響應(yīng)管理可以及時響應(yīng)和優(yōu)化整個系統(tǒng)安全防護策略;最直接的響應(yīng)就是提供多種方式，如報警燈、窗日、郵件、手機短信等向安全管理員報警，然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。

　　1)優(yōu)化安全策略分析。通過實時掌握自身的安全態(tài)勢，及各種安全設(shè)備、 網(wǎng)絡(luò) 設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況，輸出正常和非法個性化的安全策略報表，然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進行優(yōu)化調(diào)整。

　　2)動態(tài)響應(yīng)策略調(diào)整。通過對各種安全響應(yīng)協(xié)議的支持，如SNMP、TOPSEC、聯(lián)動協(xié)議等，實現(xiàn)相關(guān)的安全防護技術(shù)策略的自動交互，同時通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報問題。

　　3)安全服務(wù)自動協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認出安全事件或安全故障時，及時調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進行相應(yīng)的安全加固防護。

　　2.4安全反擊管理

　　安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。

　　1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具，通過對系統(tǒng)安全事件的存儲和分析，實現(xiàn)對安全事件的取證管理，給相關(guān)調(diào)查人員提供安全事件的直接取證。

　　2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段，檢測到攻擊類型，并定位攻擊源。隨后，系統(tǒng)自動對目標(biāo)進行掃描，并將掃描結(jié)果告知安全管理員，并提示安全管理員查詢知識庫，從中提取有效手段對攻擊源進行反擊控制。

　　3安全管理措施建議

　　在安全管理技術(shù)手段的基礎(chǔ)上，還要提高安全管理水平。俗話說“三分技術(shù)，七分管理”，由于金融信息系統(tǒng)相對比較封閉，對于金融信息系統(tǒng)安全來說，業(yè)務(wù)邏輯和操作規(guī)范的嚴密程度是關(guān)鍵。因此，加強金融信息系統(tǒng)的內(nèi)部安全管理措施，建立領(lǐng)導(dǎo)組織體系，完善落實內(nèi)控制度，強化日常操作管理，是提升安全管理水平的根本。

　　1)完善安全管理機構(gòu)的建設(shè)。目前，我國已經(jīng)把信息安全提到了促進 經(jīng)濟 發(fā)展 、維護社會穩(wěn)定、保障國家安全、加強精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針，專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國家 計算 機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、 中國 信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)等，初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全，在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會)，安全管理小組制定出符合 企業(yè) 需要的信息安全管理策略，具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計與入侵安全策略、標(biāo)簽策略、病毒防護策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化，以保證安全管理工作具有明確的依據(jù)或參照。

　　2)在保證信息系統(tǒng)設(shè)備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下，增加安全機制，如進行安全域劃分，進行有針對性的安全設(shè)備部署和安全策略設(shè)置，以改進對重要區(qū)域的分割防護;增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具，進行定時監(jiān)控、事件管理和鑒定分析，以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計平臺，以便形成對內(nèi)部安全狀況的長期跟蹤和防護能力。

　　3)制定一系列必須的信息系統(tǒng)安全管理的 法律 法規(guī)及安全管理標(biāo)準，狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲管理;進一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施，對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案，并定期更新和測試，全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊”，專門負責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。

　　4)堅持“防內(nèi)為主，內(nèi)外兼防”的方針，加強登錄身份認證，嚴格限制登錄者的操作權(quán)限，充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息進行跟蹤記錄，為系統(tǒng)審計提供依據(jù)。

　　5)重視和加強信息安全等級保護工作，對金融信息系統(tǒng)中的信息實施一般保護、指導(dǎo)保護、監(jiān)督保護和強制保護策略，尤其對重要信息實施強制保護和強制性認證，以確保金融業(yè)務(wù)信息的安全。

　　6)加強信息安全管理人才與安全隊伍建設(shè)，特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。通過各種會議、網(wǎng)站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度，提高全民信息安全意識，尤其是加強企業(yè)內(nèi)部人員的信息安全知識培訓(xùn)與 教育 ，提高員工的信息安全自律水平。

　　4結(jié)束語

　　隨著信息化與網(wǎng)絡(luò)化趨勢的增強和社會信息化步伐的加快，網(wǎng)絡(luò)與信息系統(tǒng)的安全越來越受到人們的關(guān)注。網(wǎng)絡(luò)與信息安全已經(jīng)直接威脅到系統(tǒng)的正常運轉(zhuǎn)和效能的發(fā)揮，因此進行安全管理體系研究，對金融信息系統(tǒng)進行主動有效的安全管理，必將提高金融信息系統(tǒng)的整體安全保障能力。

猜你喜歡：

1.工程安全管理論文

2.金融安全論文

3.金融安全論文范文

4.企業(yè)安全管理論文精選

5.有關(guān)安全管理論文參考文獻

6.企業(yè)安全管理論文