基本原则与策略模型 网上银行安全管理概述

　　中国科学院研究生院管理学院 吕本富 赵国栋

　　第一节 网上银行安全管理设计的基本原则

　　随着网上金融事业的发展, 无论是在储蓄、对公还是在管理领域，网上银行金融服务已得到进一步的推广，计算机已成为我们日常工作的重要工具。由于金融部门地位的重要性和金融工作的特殊性，使网上银行系统的安全问题越来越突显。本文试图从网上银行安全管理策略及方法上谈一下对网上银行安全管理的问题。

　　安全管理首先要确定管理的基本原则。网上银行安全管理设计的基本原则是：

　　第一、无论是对于网上银行的安全，还是对网上银行的风险控制来说，完善网上银行管理体系的重要性与日俱增。网上银行的安全管理体系包括技术管理体系、业务管理体系和内控管理体系。

　　第二、网上银行的管理体制必须从以账户为中心转向以客户为中心。网上银行应利用信息技术最大限度地挖掘客户信息的潜在价值，有效地利用客户信息来改善和发展金融服务，提高金融企业竞争能力和防范金融风险。

　　第三、加强业务风险管理的关键是建立和理的授信制度和开发经营业务管理系统，用以降低业务风险，提高银行的经济效益，提高客户的满意度。业务管理系统必须同电子支付系统、客户信息系统与服务系统、各类管理系统要有接口，并能同它们实现互动操作，同时又必须能实时、完整地反映整体的经济和金融活动。

　　第四、网上银行的网络都是大型网络，采用多种通信媒体，由多种协议网互联而成的复杂网络系统。为确保系统的安全，必须采用综合性的智能网络管理系统，提供一体化的网络管理服务，通过协调和调度网络资源，对网络进行配置管理、故障管理、性能管理、安全管理、灾难恢复管理等，以便网络能可靠、安全和高效地运行。

　　第五、网上银行的安全管理除了采取必要的技术防范措施外，还应制定合理、科学的安全管理策略；建立完善的内控管理制度，使系统的安全管理能得到有效的实施；此外还必须有严格的规章、法律、法规来约束。

　　第六、网上银行的安全管理是一个综合的管理体系，也是一个循环管理过程。该管理过程起始于风险识别；进而进行风险评估；然后制定相应的风险控制方法并实施风险管理；最后要监控安全策略的实施，评估风险管理结果，并对监控中发现的安全隐患和问题及时予以纠正，为下一轮的安全管理循环提供新的需求。

　　第七、在面临信息犯罪、信息战威胁的严重形式下，为防范和化解可能出现的金融风险，网上银行应该建立起一套集保护、监测、反应为一体的动态自适应的金融监控和预警体系，以提高对网上银行自身安全漏洞和内外部攻击行为的监测、控制、管理和实时处理能力。

　　第八、进行网上银行安全管理设计时，必须坚持综合性整体原则、效能投资相容原则、易用性原则、有限授权原则、全面确认制度、安全跟踪稽核原则、应急原则等。对于可能引起系统中断或故障的各种原因要进行评估，要事先制定出相应的灾难恢复计划。

　　第二节 网上银行安全管理策略模型

　　网上银行的安全管理是一个系统工程。其构成要素包括：管理策略、技术策略、业务策略。这三部分并不是孤立的，而是相互渗透、穿插，互为补充。在实际工作中，网上银行高层管理者需要有效地将各个部分统筹考虑，使各相关部门能互相沟通、协调、配合，授权并落实故障点责任人，共同完成网上银行安全管理的战略目标。

　　2－1网上银行安全管理要素模型

　　要进行网上银行安全管理，首先要清楚掌握网上银行安全管理的要素，这是进行网上银行安全管理的基础。通过总结管理策略、技术策略、业务策略等安全管理层面，可以得出下面的网上银行安全管理要素图。

　　2－2网上银行安全管理方法模型

　　有了网上银行安全管理要素，还要有一套科学的安全管理策略，因为网上银行的安全管理过程也是对安全管理各个要素进行风险管理的过程。该策略模型如下图：（其中各个模块会在后续部分做相应的说明补充）

　　一、网上银行安全管理程序子模块：

　　如下图所示，因为网上银行新技术和新业务的不断推出及应用，所以网上银行的安全管理过程是以安全要素为核心，按照风险识别、风险评估、风险控制、风险监视的顺序循环往复的过程。

　　二、网上银行风险识别子模块：

　　网上银行的风险识别包括以下步骤：

　　1、 确定网上银行风险领域。

　　2、 细化网上银行该领域的风险环节。

　　3、 归纳、总结、确定网上银行的风险。

　　下面的例子以网上银行的参与者该风险领域为例，说明了其风险的识别过程。

　　三、网上银行风险评估子模块：

　　网上银行的风险评估是对已经识别的风险应用各种风险评估指标及方法，定量或定性地得出风险评估结果，并考虑该风险的业务性质，为下一步的风险控制做准备。

　　四、网上银行风险控制子模块：

　　网上银行的控制过程就是将风险评估结果结合该业务性质制定出相应的控制效果，同时协调相关的风险控制部门制定并采用相应的风险控制措施，最后，还应评测该控制手段是否达到了控制效果。

　　五、网上银行风险监视子模块：

　　对网上银行实施风险监视目的主要有两个：

　　1、 监测已识别风险的有效控制情况。

　　2、 发现新的风险

　　针对以上两种情况，主要措施有：

　　1、 在网上银行项目实施完毕，或者在对新的风险采取相应的控制措施后，通过外部审计部门或内部审计部门作相应的稽核审计。

　　2、 在系统的运行过程中，通过定期的风险管理循环，从而发现潜在的新的风险。