本篇文章给大家谈谈银行业务与信息化系统分析,以及金融数据信息化分析对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
《银行管理与IT架构》百度网盘pdf最新全集下载:
链接:
?pwd=grma 提取码: grma
简介:《银行管理与IT架构》是《银行业务与信息化系统分析》(再版后改为《银行业务与IT系统应用研究》,长江出版社)的姊妹篇,是原书内容的延伸和深化。本书补充了若干金融IT从业人员工作中应该了解但原书中没有讲到的内容,如会计核算、零售业务、同业业务、客户关系管理、银行业务架构和技术架构等。两本书结合着看,可以帮助读者对整个银行的业务和技术框架有一个总体的认识,对银行业务和IT系统的认识更条理化。《银行管理与IT架构》的附录部分选编了几篇作者以前写的一些关于金融IT行业现状和未来、金融IT从业人员职业发展的文章,供各位读者参考、借鉴。
银行信息化和银行变革二者是互为因果、相辅相成的互动关系。银行经营和管理的变革是信息化的基础,它决定了一定时期的信息化水平和方向。但银行信息化作为一种工具,能推动银行的变革。近年来,在银行变革需求的促动下,我国银行信息化取得了巨大的进展,同时,对银行的变革也产生了巨大影响。信息化对经营方式的要求
我国商业银行当前的信息化主要是基于核心业务处理的信息化,因此,其对银行变革最大的作用在于推动了银行经营方式的变革,同时,也需要引进一些较为先进的经营理念来适应经营方式的变革。
首先,需要有客户化的经营理念。客户需求足推动信息化发展的根本动力。比如:由于客户通存通兑的需求,引发了支付系统的信息化,由于客户网上支付的需求,引发了网上银行的发展等等。因此,信息化实际上传导和宣传了银行“围绕以客户需求为中心”的经营理念变革,强调了在任何时间、任何地点、以任何方式为客户提供全功能、个性化的全天候金融服务,即为客户提供“3A(Anytime、Anywhere、Anyhow)”服务。
其次,需要给客户提供多样化的服务和产品。新一代综合应用系统平台的建立,使大规模的产品开发成为可能。银行产品由传统的柜台负债业务和贷款业务向综合性的、多样化产品转变,产生了代理国债、代理基金、代买股票、代发工资、代缴费、银行卡等多种中间业务产品,极大地改变了银行的经营方式。
最后,银行作为服务行业,所有的工作都是围绕服务来进行的,如何开拓多元化的服务渠道,使服务水平高效化是银行信息化的首要目标。银行信息化不仅使得银行的服务渠道由传统的柜面服务,拓展到网上银行、电话银行、手机银行、银行卡、POS、ATM
等多种服务渠道,改变了银行的经营方式,而且银行信息化还打破了区域、行际和时间限制,使得同城、异地、跨行存取款不再受到限制,而且资金能够实现适时到账,提高了服务效率。而在服务功能上,信息化又使得银行在提高了传统的存取款功能以外,还增加了多渠道的快捷的查询、转账、对账、透支、综合账户、综合理财、外币兑换等多种功能,极大地提高了服务质量。信息化推动管理模式的变革
新一轮信息化购建了统一的业务处理和会计核算平台,其对银行的内部管理变革也产生了巨大的推动作用。
对于业务管理模式来说,新一代综合应用系统按照“大会计”思想,构建的统一总账平台,打破了传统的业务核算各自为政的局面,统一了各项业务的操作流程和核算办法,实现了业务核算操作管理与产品营销等的分离。
在此基础上,就需要业务处理流程进行不断的优化。主要体现在实现由传统的面向科目到新型的面向业务、一记双讫、自动产生会计分录的记帐机制转变:实现由传统的“账账、账实、账据、账款、账证”“五相符”向“账据、账款、账证”“三相符”的核对机制转变,实现了由传统的按业务类别转为按柜员装订的凭
证装订模式转变,实现由营业机构日终综合平账向柜员平账为核心的四级平账机制转变;实现由手工清算向自动统一清算的转变等等。
而对于传统的劳动组织方式,新一代综合应用系统的应用,将使得综合柜员制成为可能,从而也将改变传统的按照业务品种设置柜台,每个柜台都要一个会计、-个操作的做法。因此,优化了劳动组合,提高了操作效率,减少前台操作人员的数量将成为可能。
最终,管理模式的变革将会极大地拓宽业务管理对象的范围。网上银行、电话银行、ATM的信息化,使得虚拟的网络、ATM等自助设备和网络终端与传统的柜面网点一样纳入管理对象。这一形势将影响传统的“物理网点优势论”向新型的“网络结点优势论”转变,从而不仅会影响银行减少物理网点的资金投入,还会直接影响WTO后中国银行业与外资银行的竞争态势。信息化面临的问题
银行信息化水平决定于银行管理水平。当前我国银行业根本的问题在于管理水平跟不上,不少银行还停留在“办业务”而不是“办银行”上。中国银行业在风险管理、客户关系管理、财务管理、人力资源管理、决策分析水平方面与西方银行相比普遍还有很大的差距。随着中国银行和中国建设银行股份制改造的推进,我国银行业管理理念和管理方式的变革将逐步加剧,从而将极大地影响银行信息化的进程和质量。
长期以来,由于外部竞争加剧和外部客户需求的推动,中国银行业信息化的重点一直在于如何增加业务品种,如何提高业务处理效率上,而对于后台的管理,如成本管理、预算管理、风险管理、客户关系管理、人力资源管理等基本没有涉足,导致后台支持系统先天不足。
此外,随着管理变革压力的加大,各项管理需求旺盛,但均分散在各个专业部门,导致不少银行眉毛胡子一把抓,有一个需求就上个项目。最终会导致很多系统相互独立,前后台数据不共享、信息割裂,形成信息孤岛,不但会因为重复投资造成极大的资源浪费,还会极大影响信息化的质量。
然而,现实中还有不少银行没有深刻领会管理变革和信息化的辨证关系,并且有些还存在着两种错误的倾向。一种是为了信息化而信息化,即把信息化只当成科技部门和某一两个业务部门的事情,而不作相应的管理文化变革、管理流程变革准备。另一种是畏而不前,认为管理变革阻力大,难度大而产生畏难情绪。事实上,银行要真正成为商业银行,就要搞风险、财务、人力等管理,而要搞风险管理、财务管理,没有信息化支持事实证明是行不通的。信息化的推进势在必行。但是,管理变革和信息化要协调推进,只有二者的互动才能真正推动银行的革新。信息化的发展方向
进入2005年,随着中行和建行股份制改造的推进和WTO下金融管制的完全放开,中国银行业信息化的步伐将还将加快。
从2004年起,各银行都相继推进和深入了从客户关系管理、商业智能,到数据仓库、数据挖掘等应用软件、平台软件系统方面的建设。2004年,工行为配合行内的改革和管理需要,在成本管理、绩效考核、价值管理方面开发了一系列新系统,还建立了客户关系管理系统,并将这套系统和针对客户开展营销的工作结合起来。2005年工行还启动了全行的数据仓库建设,利用信息化手段为行领导提供经营决策支持。2004年农行已经启动了财务管理信息系统第一期的开发,计划2005午试点后推广。同时要启动第二期基于数据仓库的财务预算、分析和考评系统建设。建行根据科技总体规划提出一组具有战役性质的项目群,包括渠道整合、客户信息、客户关系管理、企业内部资源计划、信贷流程管理、内容管理、数据交换池、信息总线、安全、网络、灾难备份等。2004年项目群已经基本完成了立项、采购工作,并已经下发到软件开发中心。同时2005年还将启动了数据仓库建设和资产负债管理、客户关系管理、财务绩效管理和风险管理等四项应用主题的开发。
同时,各银行纷纷开展应用及管理系统的建构,表明银行信息化建设重点已由综合业务系统,逐步扩展到提高经营管理水平的管理信息系统,信息化建设的直接目标也由原来的提高业务处理效率,过渡到提高经营决策效率和综合管理水平。因此,建立起包括财务管理、人力资源、风险和资产负债管理、客户关系管理、决策分析等功能在内的强大的银行后台管理信息系统,将成为未来几年银行信息化的发展主旋律。
此外,务实的战略规划也是银行信息化成功的前提。管理信息系统的动态性和复杂性,决定了战略规划的重要地位。事实表明,如果不能在新的系统建设之初就做好全面的规划和设计,未来修修补补的工作将永无止息,信息系统也不会有长久的生命力。为避免此一困境,最有效的解决办法是尽快制定银行整体化的信息化发展战略规划。
面对改制、上市等种种严峻考验,中行和建行都启动了信息化战略规划设计。建行在2004年从整体规划的角度就全行的科技发展进行了全面深入的思考,并将这一年的信息化建设描述为“大规模战役”之前的准备。信息化整体规划力图对信息系统的应用体系架构、数据架构、技术体系等架构进行全面探索,并且在一些项目上有所推进。未来两年将是从规划到任务,从蓝图到实施的攻坚阶段,建行将集中解决怎么“打好仗”的问题。中行也启动了IT发展战略项目。以现代商业银行的经营理念为着眼点,借鉴世界领先银行的“最佳实践”,结合汀建设的现状和实施能力,从应用架构、基础设施、安全架构和治理机制四个方面对中行汀的发展进行整体设计,为未来信息科技体系建设提供了行动指南和决策依据。
而从操作层面来说,管理信息系统的关键在于全行数据的标准化和规范化,核心是要按照统一的、唯一的逻辑数据模型,建立全行统一的数据仓库,实现数据的共享和唯一。在各应用主题(财务管理、风险管理、人力管理等)的具体实施步骤上可以采取统一规划、分步实施的策略。
总之,管理信息化的实质是把管理中深层次的内容运用到信息化的过程。银行要上管理信息系统,必然涉及流程的变革,而流程的变动会涉及各管理主客体利益的调整,因而会遇到巨大的阻力,这是管理信息系统相对于业务系统的最痛苦的地方。银行业信息化要成功,关键在于银行管理变革是否协调同步。这也是中国银行业改革能否成功的关键所在。
在整合过程中,建设核心业务系统成为一个新热点。此时,国内银行建设核心业务系统面临两种选择:一是自主开发,二是整体引进。承载着打造“后发优势”及快速与国际接轨的梦想与希望,国内一些银行纷纷走上整体引进之路。 然而,在具体实施过程中,“引进一套国外系统,复制一家一流银行”似乎只是一种理想化的设想。实施国外核心业务系统项目后,国内银行往往投入大量资源,花费大量时间,项目实施计划一改再改,上线时间一推再推,系统却还是不能投入生产。有些银行经过一到两年的探索和尝试,最终还是放弃了国外产品,掉过头来转向国内IT厂商提供的软件。 将国外系统移植到我国银行现有的生产关系环境中,“空气、阳光、土壤、水份”等都大为不同,如果系统的灵活性和适应性不强,结出的果子自然亦非当初所设想的样子。是南橘北枳,中国的银行完全不适于采用国外的系统?或仅仅是水土不服,只要经过本地化、客户化的改造后,国外系统还是能发挥其应有的效应?业内外人士都在密切关注———国外银行核心业务系统在中国实施本地化和客户化的难点究竟在哪里? 引进国外银行核心业务系统产品,购买只是简单的第一步,如果不经过大量的本地化和客户化工作,系统根本无法发挥其功效。不同类型的国外软件在本地化和客户化过程中会遇到不同的问题。纯技术类软件主要面临技术问题,管理类软件除了技术问题外,更大的困难是文化、体制的差异。整体引进国外银行核心业务系统,虽然遇到很多技术问题,但根本原因还是在于国内外监管环境和体制流程方面的巨大差异。 国外核心业务系统本地化和客户化是一项复杂的系统工程 很多人存在这样一个认识误区,认为软件本地化就是软件翻译,软件客户化就是按照客户需求加以修改。实际上,软件本地化是将一个软件产品按特定国家、地区或语言市场的需要进行加工,使之满足特定市场上的用户对语言和文化的特殊要求的软件生产活动;软件客户化是指在分析用户需求与产品差异的基础上,在满足客户需求和保证系统结构稳定的前提下,对软件进行的一系列开发、测试活动。因此,国外软件本地化是一项复杂的系统工程,不是一个简单的从外语到中文的翻译过程;客户化也不单单是按照客户需求去修改系统,否则就失去了购买成型产品的意义。 国外银行核心业务系统在中国的本地化,主要包括本地化界面、国内环境接口、本地化报表、本地化文档及培训等方面。界面本地化包括:语言的汉化,将系统界面中的画面、菜单、操作符、提示信息等要素用中文进行表示;界面的易使用性,针对国外产品操作界面与国内风格的不同,通过适当修改、简化或进一步细化成一个容易使用的操作界面;用户操作习惯的满足,根据用户在旧系统上形成的较好的操作习惯,实现系统对应内容的差异最小化。 与国内外环境的接口:包括人民银行现化支付系统、中央国债登记结算公司接口、上海证券登记结算公司接口、外管局国际收支申报系统、人民币大额和可疑支付交易监测系统、人民币交易系统、结售汇系统、进口品报关单检查和进口单位名录系统、各种本地数据交换信息接口等。 本地化报表:国外核心业务系统报表功能高度参数化,因此报表本地化与报表的具体形式关联性并不十分紧密,工作量主要集中在内部数据的采集。 本地化文档及培训:本地化文档包括用户手册,操作手册、技术手册等;本地化培训,包括详细客户培训、详细设计培训、技术标准培训等。 国外银行核心业务系统在中国的客户化,主要包括需求差异分析、与内部系统的对接、第三方提供功能的集成等三个方面。需求差异分析是以国内银行现有业务或预期目标为基础,对照国外金融IT产品进行功能性分析,找出差异以及应对策略的过程;与银行内部系统对接要分析清楚现有系统与即将开发的新系统之间的详细关联关系,保证新旧系统平稳衔接;第三方提供功能的集成,是指在保证第三方提供的系统运行正常的基础之上,考虑与核心系统进行集成。这一般是由国外厂商在当地IT公司中选中的一家总集成商来完成。 国内外银行监管环境的巨大差异增加本地化难度 国外银行核心业务系统模块多、规模大,业务范围涵盖银行业务的方方面面,其本地化和客户化过程对任何国家的任何银行而言,都不亚于一场革命。把它放到我国银行的背景环境之中,矛盾就会更加突出。我国金融市场化程度不高,监管框架、相关法规制度与国际标准还存在较大差异,银行治理结构的缺损、内部经营管理体制的僵化,操作方式落后,这些都加大了核心业务系统本地化和客户化的工作量。 监管环境和相关法规是硬约束,为适应国内的财会准则以及人民银行、银监会等监管机构的监管要求,国外的核心业务系统必须做出适当修改。此类差异主要体现在以下几方面: 国内外利率管制程度不同,系统在国内本地化和客户化时,某种程度上要牺牲系统的先进性。在国外核心业务系统中,利率就象一个魔方,其多维、立体的参数设置和组合,在打通银行及相关混业领域、联贯各产品方面发挥着灵活的作用。 在国外发达的金融市场环境中,利率作为最核心、最重要的交易要素主要体现在价格功能。国内现阶段金融市场尚未完全放开,利率很大程度上是金融监管当局的管理工具。按照人民银行的利率管理办法,对于各种类型的存款或贷款,利率要求都不尽一致,特别是针对部分种类的存款和贷款更有特殊的规定。国内监管部门利率规定繁多,利息计算方法复杂,因此产生很多差异。这些差异应该按监管规定进行修改,但考虑到修改量太大会影响其稳定性,需要采取折衷作法。 国内外对外汇管制程度的不同,造成核心业务系统本地化和客户化时,系统修改的难度和工作量加大。在外汇管制的背景下,结售汇是我国监管框架下的特殊业务。根据外汇局外汇管理的有关规定,每笔结售汇业务都涉及到:对客户是否在其“名录”中进行真实性的审核;需要对其贸易必备条件进行逐笔、逐级进行审批;还要进行询价、头寸申报、买卖外汇、结算、售汇报表等。国外由于外汇自由兑换,没有哪个模块有类似功能。如果走定制开发模式,可以考虑单独设置结售汇模块。但对国外核心业务系统而言,修改需求介于操作与报表之间,开发起来有一定难度。另外,根据外汇局要求,结售汇报表、大额可疑报表、经常账户报表要直接从业务系统中生成并报送,类似需求对国外系统的改动也很大。 国外系统要与国内支付系统直联,需要对整个模块做彻底的修改。为实现资金清算的STP(直通式处理),核心业务系统应与现代化支付系统相连接。由于国外系统没有通过国内大额支付系统汇划处理业务的界面,需要按照人行的《中国现代化支付系统与商业银行行内系统接口方案》中规定的报文格式要求,包括支付报文、非支付报文、对账报文等,对系统做大量的改动和测试工作。从稳妥角度考虑,国内银行在建设核心业务系统过程中,一期可以先实现交易驱动账务核算,待系统稳定后再推进清算的直联工作。 国内外会计管理理念和制度的差异,需要重新构架会计体制,实现会计管理的全面转型。国外核心业务系统的会计核算功能,靠交易驱动来实现系统自动化处理。这既是国外系统直通式处理和参数化灵活配置的优势体现,也是实施过程的难点所在。会计核算不仅要跨越管理理念的差距,而且要把大量的制度创新和方案设计的工作想在前头和做在前头。具体来说,就是对所有业务模块驱动会计核算的核算结果通过制度规范想在前面,对上万个会计参数通过严格的确认和配置做在前面,否则会直接影响系统自动化输出的会计核算的结果。这既要求业务归口部门及早改变传统的会计管理模式,又要组织起银行内部技术资源,扎扎实实地做好系统上线前后的各项准备工作。如果会计核算结果的准确性、效率性及安全性缺乏保障或受到置疑,就会动摇整个核心业务系统的根基。 考虑到国内金融改革与银行开放的速度和进程,对上述重大差异要有前瞻性的态度和解决方案。对于接近国际标准、具备中国特色、预计不会成为改革对象、当前必须遵守的法律、法规,要认真对待,研究解决方案。对于事过境迁、含义模糊、明显属于过渡安排、不涉及法律诉讼的制度和规定,可以不予考虑或暂时放一放。另外,在解决方案的方式方法上,要优先考虑适当变通,尽可能地少改产品。按照这样的大原则,才能把修改系统的工作量降到最低。 国内外银行管理体制流程的巨大差异增加客户化复杂度 此外,国内银行经过多年改革与发展也形成了自己独特的管理体制和操作流程。这些管理体制和操作习惯中,大部分来自于经验积累和成绩总结,也有一部分属于不规范的范畴,与国外同业相比存在着一定的差异。有些差异我们已经司空见惯,甚至变成了日常管理操作的一部分。引进国外核心业务系统,要从多个角度思考对这些差异的系统处理方案。 内部核算、清算体制的差异。与国内银行实行的总分行多级核算体制不同,国外银行一般实行一级核算体系,对总分行清算资金往来系统只设一个过渡账户--总分行往来,总分行共用该账户,相互占用资金不计息。因此,国外核心业务系统中没有系统内资金清算功能,总分行不能对开清算资金往来账户。按国内银行的资金管理体制,分行作为一级经营单位,与总行资金往来需要相互计算利息。因而需要开立清算资金账户,用于系统内资金往来。 虽然目前以“集中”和“集权”为主要特征的改革已经成为国内银行的趋势,但这种权利上收和层次减少还限于支行层权力及核算单位的取消,效果尚不十分明显。由于账务层次过多,一些分行内部账交易的数量甚至超过了往来账户,潜在风险加大。不仅占用大量计算机资源,造成系统处理速度慢,批量处理时间长,月终、年终处理压力大,而且也增加了国外核心业务系统本地化和客户化的工作量。 资金管理体制的差异。国外银行由于实行总行一级核算,分行被看作总行的营销前台,客户是银行共同的资源,因此,贷款发放可以简化为银行与客户之间的借贷关系。银行向客户发放贷款属于财务会计核算范畴,由核心业务系统处理;总分行之间的资金占用和利益分配,属于银行内部利益再分配范畴,可以通过外挂的管理会计模块进行核算。而国内银行核算层次多,系统内各层次之间资金关系复杂。有些银行为了加强系统内资金管理,实行了系统内借款的作法。具体执行中要求贷款的发放、回收、计息等均与总、分行间的系统内借款处理绑定关联。此类需求若要在核心业务系统中实现,需要系统做出重大改动。 后督的作法问题。为加强事后监督,国内有些银行实行了后督制度。在手工方式下,后督一般于业务发生次日对原始凭证、会计凭证、审批单和交易流水进行逐笔检查,以此达到对本、外币结算清算和会计核算业务进行逐笔事后监督的目的。国外系统中没有类似我们理解所说的后督功能,如果要实现国内银行现行后督的作法和要求,系统修改的工作量非常大。 “双敲复核”问题。根据会计制度有关规定和风险控制要求,存款、支付、清算所有模块均需增加录入复核功能。即录入员输入交易要素后,由另外的复核员重新录入关键的交易要素,两次录入相符才提交该笔交易。出于降低风险的考虑,国内银行希望能够实现这一功能。但对于国外系统而言,增加双敲复核的功能需要对系统做较大改动,增加处理界面近一倍。国外产品供应商建议采取主管授权和降低录入人员操作权限的方法的方式替代复核功能。由于该项变通处理涉及面广,影响深远,需要分时、分步才能解决。 “倒起息”需求问题。倒起息有时被称作“利率晚到”,指由于某种原因,利率的实际生效日需要提前到系统当前日期之前。国外也有倒起息操作,只不过频率没有我们这么高。目前国外核心业务系统还不能处理好这个问题,完全按照国内银行的自动处理要求对系统进行改造也有一定难度。最后往往选择的是折中的方式:即倒起息在同一结息期内的情况下,系统可以自动计算利差并进行计息;倒起息跨一个结息期时,系统只能提供利息调整数的计算功能,但要手工调整;跨多个结息期时,系统完全要手工操作。还有一种方案建议将利差的计算放在系统之外,通过两个系统自动衔接,实现利息调整批量完成。 重要空白凭证管理问题。国外核心业务系统有支票、汇票、本票的管理功能,但管理层次少,管理内容简单。国内银行要求对银行汇票、银行承兑汇票、银行本票(定额、不定额)、定期存单、来账报单实行总分行多级集中管理,可随时增添票据种类,保留系统对客户的管理,同时需要记表外账(单式记账)。这是国外核心业务系统需要向国内靠拢的地方。 跨分行访问控制问题。国外银行机构设置扁平化,分行只是按业务纵向销售总行产品的前端,因此国外系统一般没有跨分行访问控制的概念,各分支机构间可以随意访问,很多模块无需对跨分行权限进行限制,一家分行可以改动另外一家分行的业务。由于国内银行管理模式与国外不同,因此很容易发生分行错记总行账的问题。即使产品供应商不愿意修改,从风险控制的角度看,类似差异需要按照国内银行现有模式进行修改。 综上所述,由于国内外市场发育程度不同,银行的外部监管环境和法规制度相差较大,银行内部的管理体制、业务流程和操作习惯也有很大的区别。差异是客观存在的,但却是可以靠银行、国外核心系统提供商及国内总集成商共同努力,找到一个彼此接受、合理可行的解决方案。由于差异的解决程度,直接影响到项目的成功与否和风险大小,因此需要各参与方正视差异,共同面对和分担项目风险。这些差异解决好了,就能够实现国外技术与中国实践的良好“嫁接”;解决不好,就会成为“夹生饭”,煮不熟也吃不下。(此文为作者博士论文节选
般来说,人们担心的网上银行安全问题主要是: 1. 银行交易系统被非法入侵。 2. 信息通过网络传输时被窃取或篡改。 3. 交易双方的身份识别;账户被他人盗用。 从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。 银行交易系统的安全性 “网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。 为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施: 1. 设立防火墙,隔离相关网络。 一般采用多重防火墙方案。其作用为: (1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。 (2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。 2. 高安全级的Web应用服务器 服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。 3. 24小时实时安全监控 例如采用ISS网络动态监控产品,进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。 身份识别和CA认证? 网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。 在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。 网络通讯的安全性 由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。 SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。目前,建设银行等已经采用有效密钥长度128位的高强度加密。 客户的安全意识? 银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。 另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。 安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。 总 结 据有关资料显示,现在美国有1500多万户家庭使用“网上银行”服务,“网上银行”业务量占银行总业务量的10%,到2005年,这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%,就此点讲我国网上银行业务的发展前景极为广阔,我们有理由相信,随着国民金融意识的增强,国家规范网上行为的法律法规的出台,将会有更好的网上银行使用环境,能为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得用户的青睐。 自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时,约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003 年,东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说,到2004年底,我国网络银行个人客户已达到1758万户,企业用户已达60万户,网络银行交易量达到了49万亿元。 但是,正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时,因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑,不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识?问题是出在银行,还是在消费者自身缺乏防范意识?安全问题确实已成为网络银行发展过程中的一个聚焦。 形形色色的网银安全问题 网络银行,又称网上银行或在线银行,是指银行以自己的计算机系统为主体,以单位和个人的计算机为入网操作终端,借助互联网技术,通过网络向客户提供银行服务的虚拟银行柜台。简单地说,网络银行就是互联网上的虚拟银行柜台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务操作。 在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。 网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网,进入网络银行处理交易。与传统银行业务相比,网络银行的优势体现在,不仅能够大大降低银行的经营成本,还有利于扩大客户群,交叉销售产品,吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源,节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点,打破了传统业务受地域和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务。 网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银行业务交易服务。因此,事实上,我国还没有出现真正意义上的网络银行,也就是“虚拟银行”,国内现在的网络银行基本都属于第二种模式。 对于银行来讲,历来是“信用第一”。网络银行既然是互联网的产物,互联网所带来的一切安全隐患,自然会波及网络银行,影响其信用。因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。 假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中。而网上交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题,各家银行的反映如何?它们都采取了哪些相应的措施? 银行篇:该出手时就出手 8月份,国内14家商业银行与中国金融认证中心(CFCA)联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动,为广大消费者提供了一次了解网上银行和信息安全知识的机会。 在这14家银行中,中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段,工行建立了一整套严密的网上银行技术与制度体系,确保了网上银行安全的运行。 中国工商银行电子银行部副处长尚阳向记者介绍说,利用网上银行进行欺诈行为,骗取客户资金,目前主要有四种类型:一是不法分子通过电子邮件冒充知名公司,特别是冒充银行,以系统升级等名义诱骗不知情的用户点击进入假网站,并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯,有可能通过这些程序、邮件等将木马病毒置入客户的计算机内,一旦客户利用这种“中毒”的计算机登录网上银行,客户的账号和密码就有可能被不法分子窃取。 例如,人们在网吧等公共电脑上网时,网吧电脑内有可能预先埋伏木马程序,账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理,通过试探等方式可能猜测出密码。所以,为了保证信息和资金的安全,我们不仅需要具备辨识网络诈骗的能力,更需要养成良好的网上银行使用习惯。当然,如果用户申请了客户证书,就可以有效防范目前常见的各种网络犯罪,确保用户资金安全无忧。 工商银行网上银行系统的安全保障是多层的,包括网上银行技术安全和业务安全,二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上,网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠,交易安全确保客户通过网上银行进行交易的资金安全。其中,网络安全涉及系统安全、网络运行安全等。 系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析;网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性,采取了一系列措施,包括:在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络(应用服务器)之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品,设置不同的安全策略,使黑客即使攻破第一道防火墙,也无法轻易攻破第二道防火墙而进入内部网络,等等。 在确保网络安全的同时,工行网上银行还采取了一系列确保网上交易安全的措施,包括采用中国金融认证中心(CFCA)提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同,工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行,首先要验证客户的账号(或自己设立的登录ID)和登录密码,对外支付还必须验证支付密码。 此外,通过增加密码难度(必须是6—30位数字与字母的组合)、设置虚拟“e”卡(专门用于网上购物)和每日支付最高限额等一系列方式,最大限度地保证客户安全使用网上银行。对于申请了证书的客户,工行USBKey客户证书是一个外形类似U盘的智能芯片,是网上银行的“身份证”和“安全钥匙”,也是目前安全级别最高的一种安全措施。客户申请了这个证书后,网上所有涉及资金对外转移的操作,都必须通过这个客户证书才能完成,而此证书,仅客户自己保管和使用。换句话说,账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施,只要其中一样没有丢失或泄露,或即使丢失,只要密码和证书没有被同一个人获得,就不存在资金安全问题。 除了技术安全外,工行在业务安全层面上,制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统,都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度,逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时,还需要上一级柜员的实时审核,防止单人作案。 那么,用户应该如何安全使用网上银行?尚阳副处长说,对于有了客户证书的客户来说,只要密码和证书没有被同一个人获得,就能确保客户资金的安全。而没有申请客户证书的客户,只要保管好自己的账号和密码以及支付密码,就是非常安全的。总而言之,有几点需要提醒人们:1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所(如网吧、公共图书馆等)使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书,就可以有效防范诸如假网站、“木马”病毒等网络诈骗;换句话说,即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息,但有了证书,照样可以安心使用网上银行。
“十一五”期间,城商行主要关注于特色化业务创新和体制改革,逐步建立经营机制、内部管理体制和信息科技治理机制。然而,城商行因发展历史短、可借鉴模式少、发展初期未重视IT建设等原因,在IT建设方面尚存在IT治理体系不完善、全面支持业务能力较弱、电子流程化建设水平较低、基础设施和系统灵活度不够等问题。从整体信息化建设水平来看,目前城商行的IT建设还处于技术提供和应用导向阶段,离实现IT与业务的和谐融合尚有一定差距。
缺乏清晰明确、与业务紧密结合的IT战略规划。IT战略规划需从全行角度评估银行信息化现状和未来,是全行整体发展战略在IT层面的贯彻落实,对近、中、长期的IT建设具有战略指导意义。城商行信息科技在发展初期,IT部门作为支持和支援部门,一切以业务为导向,着力于满足业务的各种需求,缺少统一规划和定位。在制定IT战略规划时,因业务部门和风险管理部门参与度低,导致无法及时有效识别当前和未来的需求和风险,使IT战略脱离实际,成为空中楼阁。
业务对IT认可不足。业务部门和IT部门的语言习惯和逻辑方式各有特色,差异较大,双方进行沟通时,往往存在无法理解或理解偏差的现象。此外,业务部门和IT部门期望不一致,对双方如何共同建设IT系统尚未达成共识。部分业务部门仍停留在IT只是后台支持部门的认知阶段,未充分识别IT价值所在,未完全认可IT是银行核心竞争力的目标定位。
IT治理体系不完善。IT治理体系是银行治理的重要组成部分,是对IT管理、运营和开发测试等进行监督、落实和控制的体系。目前,城商行IT治理体系与四大行尚存一定差距,普遍存在IT管理职能缺失、人员力量薄弱,岗位职能不清、关键岗位缺乏检查约束机制、存在操作风险漏洞,开发、测试和运维投入不均衡,运维管理未完全满足监管要求、未参照行业最佳实践等问题。
IT架构缺乏灵活性和敏捷性。随着城商行规模不断扩大,业务不断拓展创新,信息系统数量和复杂度明显增加,流程管理和整合再造难度明显加大。集成架构落后,可扩展性差、信息系统耦合度高、管控体系和规范缺失、数据口径不一致、缺乏统一平台规范、基础设施落伍等,均严重制约了IT和业务融合的进度。
为切实提高银行竞争力,有效解决IT与业务融合面临的瓶颈,建设适应新形势、新变化、与时俱进、统筹兼顾的信息化治理体系和IT架构,宁波银行在信息化建设的过程中始终遵循四项基本原则:一是全员参与原则。强调IT建设绝不只是IT部门的责任,全行每一个部门、每一位员工均应积极参与。二是全面覆盖原则。要求在解决IT和业务融合问题时,要多角度、多层次考虑,从各个环节入手,大方向上应涵盖IT技术和管理两方面,实现全面覆盖。三是标准化原则。要求严格遵循监管要求,充分借鉴国内外最佳实践和标准,通过明确的管理规范、制度和标准体系保证措施的有效性、高效性和合规性。四是风险可控原则。强调各项措施的推行,均应以确保业务连续性为前提,充分评估风险……(全文请阅读《中国金融》印刷版2012年第20期)
关于银行业务与信息化系统分析和金融数据信息化分析的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件至举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签: #银行业务与信息化系统分析
相关文章
