金融业论文关于金融业信息系统风险金融稳定关联论文范文参考资料

金融业论文关于金融业信息系统风险金融稳定关联论文范文参考资料 （中国人民银行昆明中心支行科技处，云南昆明650021） 摘要本文通过探讨了金融业信息系统风险与金融稳定的密切联系二者之间形成蝴蝶效应的扩散性关系，并针对金融业信息系统风险，从制度、技术、人员三个层面将风险进行分类，依此探讨建立金融业信息系统风险防控体系。通过采用层次分析法对金融业信息系统安全事件进行层次化分解，并对处理优先级进行确认，综合考虑分析判断处置操作。 关键词金融稳定 信息系统风险 事件处置 金融是现代经济的核心，其安全稳健关系着经济的健康发展和社会稳定，而金融高度依赖信息技术，所以金融稳定是建立在金融业系统正常运行的基础之上的。聚焦金融稳定的同时，金融业信息系统风险却未受到同等的关注。因此探讨金融业信息系统风险与金融稳定关联、金融信息安全风险控制与事件处置是具有重要意义的，同时也是央行人员履行金融稳定职责与为全省金融业信息安全协调机制提供服务的需要。 随着金融业信息系统数据纵向集中、应用横向整合，增加了信息安全风险的影响范围和防范难度；金融 _络和服务呈开放状态，银行、证券、保险、企业，互相连接，信息安全风险的扩散效应显著增强。金融业信息系统风险与金融稳定形成了蝴蝶效应关系，即在初始条件下微小的变化能带动整个系统的长效的巨大的连锁反应。信息系统的一个微小风险如果不加以控制将会引起一连串的连锁反应，从而导致一个部门、多个部门、一个银行乃至整个金融体系出现巨大的波动，使得金融业稳定、有序、协调的发展面临巨大的挑战和威胁。 金融业信息系统风险可以通过主体、资源、动机、途径等多种属性来表述。造成风险的因素可分为：人为因素和环境因素。根据风险的动机，人为因素又可以分为恶意和非恶意两种。GB/T 20984xx提供了一种风险的分类方法，可针对风险，通过制度、技术、人员三个层面将风险进行细化分类。 由于金融行业信息系统安全风险具有突发性强、范围广、影响大等特点，故而需通过风险识别、风险估计、风险驾驭、风险监控等一系列措施和方法，来消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失。金融业信息系统风险防控需要从制度上、技术上、人员上全面实施。这是经验积累和假设情况基础上的事前风险控制。 本文通过技术、人员、制度三个层次设计金融业信息系统风险防控循环体系： 第一层为安全技术循环层，该层以技术为主，要求基于时间，快速响应，它是攻击事件和系统漏洞的监测、防护、反应。控制点包括应用技术控制、操作控制、使用设备的控制。 第二层为安全结构循环层，该层以人员为主，以确保安全技术循环层的快速反应为目标，以实施关键基础设施系统管理员、网络管理员、安全员和审计员日常安全管理工作为主要内容，包括金融业信息系统工作中非常重要的信息备份和恢复，并对关键基础设施的安全结构进行在建设、维护、升级、完善结构体系等工作，使系统保持安全运行的良好状态。它是通过不断完善结构来确保安全技术循环的快速反应。控制点包括文书与数据资料控制、管理控制。 第三层是安全策略循环层，该层以制度为主，是一种宏观意义上的循环体制，通过建立安全概念、安全策略、安全总体等内容，不断完善宏观安全的循环体系。控制点包括组织控制、检查与监督控制。 这三层循环体制构成层层覆盖的图形，表明这些循环可以在不同层次的循环中彼此进入和走出。同时，这个循环体系是接受外部输入条件的，以适应技术发展和威胁的变化。 信息安全基线由一组安全配置项组成，这组安全配置项描述了一个单位在某一时点上的整体信息安全状态，是该单位信息安全总体水平的量化表述。 在金融业信息系统风险防控体系基础上，应结合实际情况，建立信息安全基线管理机制、不达标安全要求项的跟踪机制、安全基线状态定期报告机制等。信息安全基线随信息技术环境的变更而进行相应的版本更新，保障信息系统安全管理工作成果长效、稳定。 有了风险防控不等于就不会发生风险，发生风险就要处置，就要把风险控制在影响最小、损失最小的范围内，而金融信息安全事件的发生往往是在复杂环境和假设情况之外的事后风险控制。金融业信息系统安全事件频繁出现，但我们处理事件需要的精力和资源却是有限的，所以我们必须要确定，哪些事件需要立即处理，又有哪些事件从考虑全局利益和成本的角度上判断，应该被暂时搁置或放弃，如何进行金融业信息系统安全事件处置也就成为一个值得研究的问题。 AHP层次分析法(Analytical Hierarchy Process)是一种系统分析方法，它的重要特征是能将定性分析与定量分析相结合。其主要思想是：首先将系统要素进行分解，将一个复杂的系统分解为一个有序的、阶梯层次的结构模型，即把问题层次化，经过判断、比较，得到各个属性相对于总目标的权重值和优先顺序。本文通过采用层次分析法对各系统安全事件进行层次化分解，并对处理优先级进行确认，综合考虑分析判断处置操作。 优先级1：人员的安全。 优先级2：重要、敏感信息的保护。 优先级3：丢失将导致经济损失的其他数据的保护。 优先级4:存储介质破坏、文件丢失等系统危险的防止。 优先级5:关机或断网可减少计算资源的破坏。 安全事件处理需各系统安全进行层次化分解后，并根据优先级对事件进行放飞或者圈养处置操作。事件从被圈养起，就与其他事件相隔离，也不可与任何事件相关联；我们把暂时对事件的搁置称为放飞，被放飞的事件，依然保持着与其他事件的关联。被圈养和放飞的事件，都可能需要与业界的所有事件进行协调处理。各事件处理都应进行分类入库保存备份，以便于审计、追踪、统计和记录。 事件处理案例：xx年7月12日，某银行先后接到4名客户反映其卡内资金被异常支取，涉及金额4900元。经进一步了解，4张*为某企业 工资卡，且具有在该行系统升级改造前开立、*均为预设为进行重置、发生异常交易局在异地三个特征。该行接到客户反应后立即采取一系列应对措施：一是及时组织开展相关的风险排查，排除内部人员作案或内部勾结作案的可能；二是通过风险排查总结*异常交易特征，及时开发临时预警系统，对前期发生交易的*、本行多张*短时间内连续在同一台ATM上发生交易、一张*短时间内连续在多台ATM上发生交易等特征进行监控，为破案提供有效支持；三是积极做好客户的疏导安抚与 _工作。临时冻结异常*帐户，安排专人对涉及客户进行安抚引导和解释说明，通过银行垫款先补偿客户损失，并协调其他政府宣传主管部门、*网监、新闻媒体等，加强 _及危机公关；四是及