他山之石
美国混业经营在金融监管方面正逐步实现以下转变:一是由单纯的业务合规性监管,向合规性监管和风险性监管并重,以风险性监管为主的方向发展;二是由单一的现场检查,向现场检查和非现场监督相结合,以非现场监督为主的方向发展;三是由传统的手工检查,向传统的手工检查和现代化的计算机检查互补,以计算机检查控制为主的方向发展;四是由对金融违法“创新”的事后管制,向事前防范、正确引导金融机构的创新活动,将金融监管和金融创新有机结合起来的方向发展。
避风高招
1. 加强集中管理,明确岗位机制;
2. 建立统一平台,加大审核力度;
3. 从人制到制度制,用信息化保证制度的执行。
外部风险
风力来源:银行交易系统被非法入侵,信息通过网络传输时被窃取或篡改,以及账户被他人盗用。
前段时间,美国爆发有史以来最严重的信用卡资料泄密事件,原因是一家为银行处理信用卡系统资料的公司发生资料外泄,导致包括VISA、万事达、美国运通等多家国际信用卡组织受到牵连,全球超过4000万张信用卡资料被黑客窃取,近2.5万名中国客户受到影响。这些资料包括持卡人的姓名、账户号码等。凭借这些偷来的资料,黑客就能制造伪卡,大肆刷卡。
2005年春节前,一位姓张姓女士准备在ATM上取款,发现ATM机上的键盘边缘裂开。原来键盘下面还有一个键盘,键盘上小液晶屏幕显示的数字竟然是自己的银行卡密码。张女士马上报警,银行工作人员确认这是窃贼安装的无线盗码装置。
类似以上的事件不胜枚举。银行,这一特殊的服务机构,无时无刻不受到黑客的攻击。特别着随着网上银行、ATM机等自助服务的使用及推广,其脆弱的一面更是成为窃贼下手的目标。美国一权威机构统计,全世界每100美元的信用卡消费,就有3美分被盗用。
从形式上说,夹卡、复制卡、窃取密码、出钞口窃取和现金伪造等是ATM犯罪的几种主要方式。具体来说,如采用直接盗窃或安装铁钩等装置窃取持卡人的磁卡;窃取持卡人密码、卡号等相关信息资料后制作伪卡;制造假升级通知或在ATM上张贴虚假公告,骗取客户把资金转至其账户等。针对这些问题,一方面需要ATM设备提供商对设备进行升级,另一方面,需要银行与ATM设备之间建立应急处理系统,实现信息互联,当ATM有故障或异常时,银行可以马上感知到,并关闭ATM系统。
日益兴旺发达的网上银行固然方便了用户,节约了银行的资源,但开展网上银行业务将承担更多的风险。因此,我国已开通网上银行业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证网上银行的安全运行。例如,设立防火墙,隔离相关网络,分隔互联网与交易服务器,防止互联网用户非法入侵;设立高安全级的Web应用服务器,使用可信的专用操作系统,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理;同时24小时进行系统漏洞扫描和实时入侵检测。另外,身份识别和CA认证也是不错的防范方法。
他山之石
目前,许多ATM厂商已经行动起来。最近,NCR为ATM安全防范度身定制了两款全新安全功能和部件—检测传感器和欺诈设备预防器,其中防欺诈智能检测方案能够检测犯罪分子安装在ATM上的各种欺诈设备。欺诈设备预防器能够在欺诈装置被加装在ATM上时马上感应到。当检测到欺诈装置时,向银行发出警告,使其能够马上关闭ATM系统。另外,在国外,已经使用“认人的ATM机”,即ATM见到储户才吐钱。犯罪分子有了某人的银行卡和密码,也无法把卡内的存款提走。
避风高招
1.银行内部建立ATM、自助银行监控系统;
2.客户加强自我保护意识,不乱丢弃交易凭条,输入密码时注意保密;
3.网上银行客户要定期维护个人电脑,及时更新杀毒软件和安装防火墙,不要轻易下载来历不明的软件;
4.绑定短信服务,账户的资金只要出现交易,客户就会收到银行交易的短信。
运营风险
风力来源:系统宕机,软件故障,网络拥堵。
今年五一长假刚过,银行纷纷开了门,然而颜先生却吃了闭门羹。在安定门附近的商业银行网点,他排了整整一个小时的队,也没有取到钱。
前段时间,张先生在民生银行自动提款机办理业务时发现不能完成任何操作。之后从民生银行了解到,由于一套数据库出现异常,民生银行在全国范围内的业务都已经停止……
支撑商业银行业务正常运转的是以综合业务系统为核心的一整套IT系统,而银行不允许出错的特性,对IT的7×24小时运行提出了高要求。
要求归要求,系统并不是每次都能满足要求。近年来,银行业务系统新问题不断发生。除去外来恶意攻击不说,银行内部运行的各种系统发生问题的可能性也不小。比较常见的问题有几种。
第一种是系统宕机。服务器、存储,没有永远不坏的可能性。最重要的是备份和应急措施,也就是常说的灾备。现在银行的系统最少都是实时双机备份,一旦一台机器出了问题,能迅速切换到另外一套备用机上,保证系统正常运行。
第二种是软件故障。在以前,有些商业银行的运营系统是以省为单位的,由于条件和经验不足,这些系统确实存在着运行风险。不过现在各商业银行逐渐将业务集中到总行,由总行负责全行的系统编写、安装和调试工作,这当然为软件运行上了一把安全锁。不过,这并不意味着软件运行完全没问题,很多商业银行还是建立了庞大的系统运行部,不断对系统进行优化,以增加系统的抗风险能力。
第三种是网络拥堵。由于网络同一时间并发进程太多,导致系统瘫痪其实就是网络拥堵。出现网络拥堵的情况,一般都是由于银行或相关业务的突然变更导致业务量成倍加大,压迫网络资源而致。其实这种情况已经发生过多次,但是银行都没有很好的办法彻底解决。一般情况下,银行上系统之前都会作压力测试,以验证相关系统的抗风险能力。压力测试一般选取最大并发数的情况下进行,但是如果实际并发数远远超出测试范畴,系统瘫痪也是正常。对于银行来说,当然构建冗余量足够的系统是必要的,但也有浪费的嫌疑。目前来说,银行还没有明确公布对待这一突发事件的方法,不过从源头上把住关,在客户端控制进程频率,恐怕是目前明智的选择。
