❶ 金融數據安全治理,要從基礎做起
2020年4月9日,中共中央、國務院印發《關於構建更加完善的要素市場化配置體制機制的意見》,要求「加快培養數據要素」,將數據作為新型生產要素,正式與土地、勞動力、資本、技術等傳統生產要素並列為國家基礎戰略性資源和 社會 生產創新要素之一。
中國人民銀行副行長范一飛表示,金融業作為數據密集型行業要深刻認識數據重要意義、深化研究數據管理機制、深度挖掘數據內在價值,為金融裝上數據引擎,實現多向賦能。
同時,范一飛強調,目前部分消費者和金融機構數據保護意識相對不足,對數據泄露環節和危害認識不到位,而不法分子竊取數據的手段卻不斷翻新,從面對面誘騙到遠程網路攻擊,從木馬病毒到簡訊嗅探,個人隱私泄露等安全事件頻頻發生,甚至危及人民群眾生命財產安全,數據安全保護刻不容緩。
此外,范一飛進一步指出數據及數據安全對於金融行業的重要意義,數據已經成為了金融行業發展的新引擎,在使用數據之前要做好數據安全保護。金融機構不僅僅要做好數據治理,更要做好數據安全治理。這對於金融機構來說不是簡單的事情。
以銀行為例,根據《中小銀行數據安全治理報告》顯示,雖然92.5%的銀行已經開展了數據安全治理工作,但是採用成熟的方法論幾乎是0%。
《報告》指出,目前中國中小銀行數據安全治理的總體態勢存在三大短板:數據安全體系建設成效參差不齊;未遵循科學的方法論;知識和能力不足。
採用科學的、正確的方法,才能少走彎路,更容易成功。那麼什麼是數據安全治理的方法論?數據安全治理該怎麼做呢?
分級指南:數據安全治理的基礎
2020年9月23日,中國人民銀行正式發布《金融數據安全數據安全分級指南》(JR/T 0197-2020)(以下簡稱《指南》)。
《指南》給出了金融數據安全分級的目標、原則和范圍,以及數據安全定級的要素、規則和定級過程。值得注意的是,《指南》雖為推薦性行業標准,但數據分類分級是金融機構所必須進行的重要工作。
《網路安全法》第二十一條規定網路運營者應當採取數據分類、重要數據備份和加密等措施,以防止網路數據泄露或者被竊取、篡改。
2020年4月9日,中共中央、國務院《關於構建更加完善的要素市場化配置體制機制的意見》明確提出「要推動完善適用於大數據環境下的數據分類分級安全保護制度」。
標准主要起草人、國家金融 科技 測評中心(銀行卡檢測中心)的陳聰博士表示,對數據資產進行梳理並開展數據安全分級是機構開展數據安全管理的起始點。對數據實施分級管理,能夠進一步明確數據保護對象,有助於金融機構合理分配數據保護資源和成本,是金融機構建立完善的數據生命周期保護框架的基礎,也是有的放矢地實施數據安全管理的前提條件。
有了分級的框架,後續才能夠對數據採集和使用等情形進行界定,例如何種金融服務能採集哪些數據、數據如何存儲及其留存期限、哪些數據必須加密或脫敏、機構內部和機構之間哪些數據在何種情況下能夠進行跨部門、跨機構、跨行業,甚至跨國境的數據共享和傳輸等等。
因此,《指南》是解決金融行業數據安全應用和數據價值發掘痛點的根本,主要作用是敲地基,是數據安全相關標准制定和實施的基礎和前提。換句話說,《指南》是數據安全治理方法論的基礎。
數據使用和數據安全的兩全之法
對數據的爭奪,就是對商機和客戶的爭奪,而是否能夠在這場爭奪戰中占據優勢地位,取決於金融機構自身的數據安全治理能力。
對金融數據的使用和安全,中國人民銀行 科技 司司長李偉曾表示,要制定數據分級標准,基於全局數據資產目錄將數據進行分級。針對不同等級數據採取差異化的控制措施,實現數據精細化管理。規范數據共享流程,確保數據使用方在依法合規、保障安全前提下,根據業務需要申請使用數據。
由此可以看出,金融數據不是不能共享,也不是不能使用,而是在依法合規、保障安全前提下有序進行。也就是數據使用和數據安全的兩全之法。
當前,數據安全能力已經成為金融機構核心競爭力的代表。金融機構自身數據資產安全梳理和數據安全分級作為數據安全管理的第一步,是切實保障金融數據安全應用、強化金融機構數據安全能力的有力保障。
相對體量龐大、業務復雜的機構,從釐清數據資產的難度角度,中小型金融機構落地指南的難度相對較低。
但是從數據安全管理工作一致性和完整性的角度,大型機構具備相對更為完善的組織、崗位和制度體系,以及更為豐富的資源和更加雄厚的資本,數據安全分級落地實施的過程中,能夠進行更為全面和有力的統籌和規劃,並能夠獲得更加專業、多樣的外部支援力量(如專業人才、外部專家、第三方機構等),能夠將數據安全分級與後續數據安全管理有機結合起來,在完成本階段金融數據安全分級的同時,更加規范、有效地部署和實現覆蓋數據生命周期全過程的金融數據安全管理體系。
因此,對於各類型金融機構,數據安全分級工作沒有例外、更沒有捷徑可走。
數據分級首先需要對數據資產進行安全梳理,包括數據資產全面梳理、數據合規資料整理、不同數據安全需求分析以及對數據安全影響情況的評估等工作,即便是對於中小型機構,特別是此前沒有將數據安全納入機構日常安全管理規劃中的機構來說,仍然是一項需要給予足夠重視和投入才能完成好的工作。
因此可以考慮藉助工具、第三方測評機構的技術能力和實施經驗等,結合自身數據資產、機構特點、業務情況等,開展數據安全分級,以確保數據安全分級工作合法合規的同時,節約成本,提高效率。
❷ 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9
❸ 金融行業的數據安全體系是怎麼樣的
金融行業的發展和正常運轉高度依賴信息系統,其系統中存儲的大量用戶信息和金融數據一直是黑客攻擊的重點,尤其是近年以人工智慧、大數據、區塊鏈等為代表的新型技術的加入,使得傳統金融行業與信息技術深度融合,在給行業發展提供巨大的動力的同時,也對其網路安全防護工作提出了更高的要求。
對此,金融行業已經普遍持續地加大了在網路安全方面的投入,在網路化、信息化和智能化的路上構建全方位的縱深網路防護體系,尤其是在威脅較高的邊界區域上,更需要實現「主動防禦」和「動態防禦」。
傳統被動防禦的安全防護模式,倚重規則特徵和人工分析等手段,存在安全可見性盲區,有嚴重的滯後性,且無力檢測未知攻擊。因此在科技迅速發展、網路攻擊數量急速增長和攻擊手段不斷升級的今天,傳統防護已經很難再滿足金融行業安全防護的需要。
而以內存安全為代表的新型防禦手段,通過對系統運行的程序進行實時監控,結合行為關聯分析技術,可以從海量的行為數據中准確識別出異常,一旦發現威脅可實時響應。不僅能夠提升對未知威脅的檢測能力,實現真正的運行時安全,而且填補了傳統防護手段的不足,以主動防護新理念,突破傳統被動防護手段的閾值,可以推動金融行業安全防護的底層架構向更加完整可靠的方向轉型升級。
❹ 信息安全管理實踐
信息安全管理平台的設計和實現離不開整體的信息安全規劃和建設思路,而信息安全的實踐根據不同行業、不同組織的自身特點也有著相應的建設思路。針對歸納提煉的信息安全三大屬性即機密性、可用性和完整性,不同實踐思路也有著不同側重點。
7.3.1金融行業安全管理實踐
改革開放30多年來,中國的金融信息化建設是從無到有、從單一業務向綜合業務發展,取得了一定的成績。如今已從根本上改變了傳統金融業務的處理模式,建立了以計算機和互聯網為基礎的電子清算系統和金融管理系統。
隨著金融行業信息化的發展,業務系統對信息系統的依賴程度也越來越高,信息安全的問題也越來越突出。為了有效防範和化解風險,保證金融組織信息系統平穩運行和業務持續開展,需要建立金融組織信息安全保障體系,以增強金融組織的信息安全風險防範能力。
7.3.1.1需求分析
隨著世界經濟全球化和網路化的發展,國外的金融變革對我國的影響越來越大。由於利益的驅使,針對金融業的安全威脅越來越多,金融業必須加強自身的信息安全保護工作,建立完善的安全機制來抵禦外來和內在的信息安全威脅。
隨著銀行業務的不斷發展,其網路系統也經歷了多年的不斷建設,多數商業銀行進行了數據的大集中。在業務水平、網路規模不斷提升的同時,銀行的網路也變得越來越復雜,而這種復雜也使其安全問題越來越嚴峻。目前各金融體系的建設標准很難統一,阻礙了金融信息化的進一步發展。在國有商業銀行全面實施國家金融信息化標准前,許多銀行都已經建立了自己的體系,由於機型、系統平台、計算機介面以及數據標準的不統一,使得各地的差距比較大,系統的整合比較困難,標准化改造需要一段時間。金融組織充分認識到安全保證對於業務系統的重要性,採取了相應的安全措施,部署了一些安全設備。公眾對信息安全的防範意識也有所提高,但信息犯罪的增加、安全防護能力差、信息基礎嚴重依賴國外、設備缺乏安全檢測等信息安全方面由來已久的問題並未得到解決。加強對計算機系統、網路技術的安全研究,完善內控管理機制,確保業務數據和客戶信息的安全,全面提高計算機的安全防範水平已是國內各大銀行面臨的共同問題。但是安全的動態性、系統性的屬性決定了安全是一個逐步完善、整體性的系統工程,需要管理、組織和技術各方面的合力。
7.3.1.2安全體系建設
安全體系建設的目標是通過建立完善的信息安全管理制度和智能、深度的安全防禦技術手段,構建一個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防範體系,來實現信息系統的可靠性、保密性、完整性、有效性、不可否認性,為金融業務的發展提供一個堅實的信息系統基礎保證。信息安全防範體系的覆蓋范圍是整個信息系統。
安全體系建設的主要工作內容有:
(1)建立和完善銀行信息安全管理組織架構,專門負責信息系統的安全管理和監督。
(2)設計並實施技術手段,技術手段要包括外網邊界防護、內網區域劃分與訪問控制、端點准入、內網監控與管理、移動辦公接入、撥號安全控制、病毒防範、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。通過劃分安全域的方法,將網路系統按照業務流程的不同層面劃分為不同的安全域,各個安全域內部又可以根據業務元素對象劃分為不同的安全子域;針對每個安全域或安全子域來標識其中的關鍵資產,分析所存在的安全隱患和面臨的安全風險,然後給出相應的保護措施;不同的安全子域之間和不同的安全域之間存在著數據流,這時候就需要考慮安全域邊界的訪問控制、身份驗證和審計等安全策略的實施。
(3)制訂金融安全策略和安全管理制度。安全管理部門結合銀行信息系統的實際情況,制訂合理的安全策略,對信息資源進行安全分級,劃分不同安全等級的安全域,進行不同等級的保護。如加強系統口令管理;進行許可權分離,明確責任人;加強內審機制;注意授權的最小化和時效性,除非真正需要,一般只授最小許可權,到一定時間後就收回授權,並且形成制度和流程;對所有伺服器進行漏洞掃描,形成資產脆弱性報告;建立數據的異地容災備份中心;物理和環境的安全。制訂並執行各種安全制度和應急恢復方案,保證信息系統的安全運行。這些包括密碼管理制度、數據加密規范、身份認證規范、區域劃分原則及訪問控制策略、病毒防範制度、安全監控制度、安全審計制度、應急反應機制、安全系統升級制度等。
(4)建立安全運維管理中心,集中監控安全系統的運行情況,集中處理各種安全事件。針對金融應用系統、資料庫的黑客攻擊越來越多,僅僅通過設立邊界防火牆,建立、改善、分析伺服器日記文件等被動的方式是不夠的,監測黑客入侵行為最好的方法是能夠當時就能監測出惡意的網路入侵行為,並且馬上採取防範反擊措施加以糾正,因此IDS的部署也就必不可少。
(5)統一制定安全系統升級策略,並及時對安全系統進行升級,以保證提高安全體系防護能力。
(6)容災、備份系統。金融組織關鍵數據丟失會中斷正常業務運行,損失不可估量。要保護數據,保證數據的高可用性和不間斷性,需要建立備份、容災系統。備份和容災兩個系統相輔相成,兩者都是金融組織數據安全的重要保障,而且兩者的目標是不同的。容災系統的目的在於保證系統數據和服務的「在線性」,即當系統發生故障時,仍然能夠正常地向網路系統提供數據和服務,以使系統不致停頓。備份是「將在線數據轉移成離線數據的過程」,其目的在於應付系統數據中的邏輯錯誤和歷史數據保存。
7.3.2電子政務安全管理實踐
政府組織作為國家的職能機關,其信息系統安全跟國家安全緊密結合在一起。信息的可用性尤為重要,在某些領域信息的機密性也是政府組織信息安全建設的重中之重。電子政務涉及對國家機密和敏感度高的核心政務信息的保護,涉及維護社會公共秩序和行政監管的准確實施,涉及為企業和公民提供公共服務的質量保證。
在電子政務系統中,政府機關的公文往來、資料存儲、服務提供都以電子化的形式來實現。然而,電子政務一方面的確可以提高辦公效率、精簡機構人員、擴大服務內容、提升政府形象,另一方面也為某些居心不良者提供了通過技術手段竊取重要信息的可能。而且考慮到網路本身所固有的開放性、國際性和無組織性,政府網路在增加應用自由度的同時,政府網路對安全提出了更高的要求。
7.3.2.1需求分析
電子政務是一個由政務內網、政務外網和互聯網三級網路構成。政務內網為政府部門內部的關鍵業務管理系統和核心數據應用系統,政務外網為政府部門內部以及部門之間的各類非公開應用系統,所涉及的信息應在政務外網上傳輸,與互聯網相連的網路,面向社會提供的一般應用服務及信息發布,包括各類公開信息和非敏感的社會服務。由於我國大部分政府官員和公務員對信息技術、網路技術和計算機技術還未接觸或接觸不多,防範方法和技術欠缺,整體素質與電子政務安全防範的要求還有很大的距離。電子政務最常見的安全問題,包括網站被黑、數據被篡改和盜用、秘密泄露、越權瀏覽等。
因此,政府網路常見的信息安全需求如下:
(1)統一的安全管理平台。目前政府信息系統較常見的安全威脅主要來自很多無意的人為因素而造成的風險,如由於用戶安全意識不強導致的病毒泛濫、賬戶口令安全薄弱等。對集中統一的安全管理軟體,如病毒軟體管理系統、身份認證管理系統以及網路安全設備管理軟體等要求較高。因此,通過安全管理平台可有效地實現全網的安全管理,同時還可以針對人員進行安全管理和培訓,增強人員的安全防範意識。這就對安全管理平台和專業的網路安全服務提出了較高的要求。
(2)信息的保密性和完整性。由於政府網路上存有重要信息,對信息的保密性和完整性要求非常高。信息可能面臨多層次的安全威脅,如通過電磁輻射或線路干擾等物理威脅、泄漏或者存放機密信息的系統被攻擊等威脅。同時針對網上報稅等電子政務應用還要求嚴格保障信息的完整性,這都需要從網路安全形度整體考慮,配合統一的網路安全策略並選擇相應的安全產品,保障網路的信息安全。
7.3.2.2建設思路
(1)內外網物理隔離。一般來講,政府組織內部網路可以根據功能劃分為電子政務網與辦公網兩部分。安全域是以信息涉密程度劃分的網路空間。涉密域就是涉及國家秘密的網路空間。非涉密域就是不涉及國家的秘密,但是涉及本單位、本部門或者本系統的工作秘密的網路空間。公共服務域是指不涉及國家秘密也不涉及工作秘密,是一個向互聯網路完全開放的公共信息交換空間。國家相關文件嚴格規定,政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網路要實行邏輯隔離。按照安全域的劃分,政府的內網就是涉密域,政府的外網就是非涉密域,互聯網就是公共服務域。
(2)建立嚴格的防範機制。政府組織外部網路面臨最大的威脅是來自互聯網的惡意攻擊行為,重在「防範」,通過部署防垃圾郵件系統、防病毒系統、入侵檢測系統、防拒絕服務攻擊系統,保證政府門戶網站對外宣傳。建立政府上網信息保密審查制度,堅持「誰上網誰負責」的原則,信息上網必須經過信息提供單位的嚴格審查和批准。各級保密工作部門和機構負責本地區本部門網上信息的保密檢查,發現問題,及時處理。
(3)遵循信息安全管理國際標准。改變我國的信息安全管理依靠傳統的管理方法和手段的模式,實現現代的系統管理技術手段。國際標准BS7799和ISO/IEC17799是流行的信息安全管理體系標准。其中的管理目標為數據的保密性、完整性和可用性,具有自組織、自學習、自適應、自修復、自生長的能力和功能,保證持續有效性。通過計劃、實施、檢查、措施四個階段周而復始的循環,應用於其整體過程、其他過程及其子過程,例如信息安全風險評估或者商務持續性計劃的安排等,為信息安全管理體系與質量管理體系、環境管理體系等的整合運行提供了方便。在模式和方法上都兼容,成為統一的內部綜合管理體系,包括按照可信網路架構方法,編制信息安全解決方案、多層防範多級防護、等級保護、風險評估、重點保護;針對可能發生的事故或災害,制定信息安全應急預案,建立新機制、規避風險、減少損失;根據相應的政策法規在網路工程數據設計、建設和驗收等階段實行同步審查,建立完善的數據備份、災難恢復等應用,確保實時、安全、高效、可靠的運行效果。
(4)建立健全網路信息安全基礎設施。我國的網路安全基礎設施建設還處於初級階段,應該盡快建立網路監控中心、安全產品評測中心、計算機病毒防治中心、關鍵網路系統災難恢復中心、網路安全應急響應中心、電子交易安全證書授權中心、密鑰監管中心等國家網路安全基礎設施。目前,國際出入口監控中心和安全產品評測認證中心已經初步建成。安全產品評測認證中心由安全標准研究、產品安全測試、系統安全評估、認證注冊部門和網路安全專家委員會組成。積極推動電子政務公鑰基礎設施建設,建立政府網路安全防護與通報機制以及網路身份認證制度,加速政府部門之間的信息交流和共享,增強網路活動的安全保障,確保信息的有效性和安全性。建立中國的電子政務公鑰基礎設施/認證中心(PKI/CA)體系事關全局,各級地方和部門應在國家級CA的體系下,嚴格按照國家有關主管部門的統一部署,有序建設。
7.3.3軍隊軍工安全管理實踐
軍隊軍工行業網路經過多年信息化建設已經初具規模,隨著內網資源共享程度增加,網路安全保密的威脅和風險也同時增大,參照涉密網保密資質的要求,目前的網路現狀存在很大泄密的威脅和風險。而且軍隊軍工行業網路中有大量的涉密文件和信息,對保密性的要求特別嚴格。
軍隊軍工信息系統的計算機網路規模龐大,終端、網路設備眾多,應用環境復雜,信息系統中對數據安全和網路安全方面要求保證絕對機密,同時要求系統持續可靠運行。
7.3.3.1安全需求分析
目前,我軍應用的信息技術,大部分是引進西方發達國家,沒有形成具有自主知識產權的核心技術。網路系統使用的晶元、操作系統、協議、標准、先進密碼技術和安全產品幾乎被國外壟斷。由於受技術水平等限制,對從外國引進的關鍵信息設備可能預做手腳的情況無從檢測和排除,客觀上造成了軍隊關鍵信息基礎建設防護水平不高,存在安全隱患。英國Omega基金會在一次報告中明確指出,在歐洲,全部電子郵件、電話和傳真等通訊都處於美國國家安全局的日常監聽之下。當前我國的信息安全研究處於忙於封堵現有信息安全漏洞階段。要徹底解決這些問題,歸根結底取決於信息安全保障體系的建設。主要有以下需求:
進一步完善軍隊軍工行業的網路安全管理制度和執行力度,以確保整個網路系統的安全管理處於較高的水平;配備相應的物理安全防護設施,確保網中重要機房的安全,確保關鍵主機及涉密終端的物理安全;建立軍隊軍工CA證書服務中心,從而構建起基於證書的安全基礎支撐平台;建立統一的身份認證和訪問控制平台,為管理系統提供統一的身份認證和訪問控制服務,給予相應人員對應的許可權,阻斷越權操作等非法行為;通過防火牆技術在自己與互聯網之間建立一道信息安全屏障,一方面將軍網與互聯網物理隔離,防止黑客進入軍網,另一方面又能安全地進行網間數據交換。確保網路關鍵主機和涉密終端的安全,確保存儲在軍工網關鍵主機和涉密終端中機密信息的安全,在保證信息暢通的基礎上,有效阻止非法信息獲取或數據篡改,避免對系統的惡意破壞導致系統癱瘓;健全數據備份/恢復和應急處理機制,確保網路信息系統的各種數據實時備份,當數據資源在受到侵害破壞損失時,及時地啟動備份恢復機制,可以保證系統的快速恢復,而不影響整個網路信息系統的正常運轉。對於伺服器和工作站端來說,必須建立一個整體、全面的反病毒體系結構,解決網路中的病毒傳播和防病毒集中監控問題;使用安全評估和性能檢測工具,准確而全面地報告網路存在的脆弱性和漏洞,為用戶和管理者了解主機與網路設備的服務開啟情況、系統漏洞情況,為調整安全策略、確保網路安全提供決策依據。
7.3.3.2安全解決思路
(1)安全域訪問控制。在軍隊廣域網中將若干個區域網路實體利用隧道技術連接成虛擬的獨立網路,網路中的數據利用加(解)密演算法進行加密封裝後,通過虛擬的公網隧道在各網路實體間傳輸,從而防止未授權用戶竊取、篡改信息。軍隊軍工網路不同安全級別之間嚴格遵循高密級信息禁止流向低密級信息系統。不同密級之間數據傳輸只能是「高密級讀低密級,低密級寫高密級」;對不同密級的邊界進行細顆粒或基於證書的訪問控制、審計、檢測策略;相同密級的不同科研單位之間,原則上不開放相互訪問許可權。通過在路由器主板上增加安全加密模件來實現路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。使用安全路由器可以實現軍隊各單位內部網路與外部網路的互聯、隔離、流量控制、網路和信息安全維護,也可以阻塞廣播信息和小知名地址的傳輸,達到保護內部信息化與網路建設安全的目的。軍隊軍工項目管理系統建立基於證書的身份認證和許可權管理,不同密級的用戶或用戶組劃分不同的許可權。根據密級要求和用戶實際的安全需求,對終端的硬體、軟體資源使用建立訪問控制策略,並通過技術手段實施、監控和管理。
(2)保密措施綱要。設立專門的信息安全管理機構,人員應包括領導和專業人員。按照不同任務進行分類,以確立各自的職責。一類人員負責確定安全措施,包括方針、政策、策略的制定,並協調、監督、檢查安全措施的實施;另一類人員負責具體管理系統的安全工作,包括信息安全管理員、信息保密員和系統管理員等。在分類的基礎上,應有具體的負責人負責整個網路系統的安全。採取強制訪問控制策略,從安全域劃分、邊界訪問控制、入侵檢測、遠程網路加密、主機管理、系統安全性能檢測、數字簽名抗抵賴、審計等多方面,在物理層、網路層、系統層、應用層採取相應手段進行防護、檢測、稽核、管理、控制。針對物理層、網路層、系統層、應用層和管理層對涉密信息可用性、有效性帶來的威脅,從恢復與備份、病毒與惡意代碼防護、應急響應體系、系統配置管理幾個方面,以確保涉密系統的運行安全。
(3)互聯網管理與監控。在涉密網網路建設規劃中,嚴格按照「物理隔離」的要求進行網路建設,但根據以往的安全保密管理經驗,存在一些安全意識淡薄或故意有泄密行為的人員,通過本地可外連的網路,把涉密信息通過外網傳輸出去,造成嚴重泄密,故在軍隊軍工領域由於科研需要,存在一定范圍的互聯網的情況下,必須對互聯網上的網路行為進行實時的監控和審計,並針對互聯網網路進行嚴格的管理。主要的安全措施是在各個互聯網出口部署互聯網審計系統,通過專用的互聯網信息安全審計管理中心系統統一管理。為管理用戶提供一個統一的對互聯網上多種事件的安全處置管理平台,提供全方位的網路控制、遠程查詢和詳盡的報表統計功能,採用統一的資料庫和統一的管理界面進行管理,全方位協助管理部門對互聯網進行審計管理。可以集中完成分布在不同網路內的互聯網用戶的安全、審計管理,實現在一個平台下,有效地進行信息共享、綜合分析、統一管理的目的。
(4)採用安全性較高的系統和使用數據加密技術。美國國防部技術標准把操作系統安全等級分為D1、C1、C2、B1、B2、B3、A1級,安全等級由低到高。目前主要的操作系統等級為C2級,在使用C2級系統時,應盡量使用C2級的安全措施及功能,對操作系統進行安全配置。在極端重要的系統中,應採用B級操作系統。對軍事涉密信息在網路中的存儲和傳輸可以使用傳統的信息加密技術和新興的信息隱藏技術來提供安全保證。在傳發保存軍事涉密信息的過程中,不但要用加密技術隱藏信息內容,還要用信息隱藏技術來隱藏信息的發送者、接收者甚至信息本身。通過隱藏術、數字水印、數據隱藏和數據嵌入、指紋和標桿等技術手段可以將秘密資料先隱藏到一般的文件中,然後再通過網路來傳遞,提高信息保密的可靠性。
(5)備份與恢復。涉密網備份與恢復,主要考慮到涉密數據、應用數據的備份,電源安全與設備的備份,同時備份環境基於一定的環境安全上。對各個研究組織的應用數據和涉密數據,建立專門的備份伺服器,並建立數據備份號恢復策略和相關管理制度,以協助完善應急響應體系,關鍵數據和涉密數據在24小時內恢復和重建。
(6)應急響應體系。軍工網路應急響應體系建設,主要依託基於物理安全、運行安全、信息保密安全建立的相應檢測、監控、審計等技術手段,對系統運行事件和涉密事件實施不同的應急響應策略和管理制度。制訂相應的處理預案和安全演練培訓。涉密事件處理通過安全檢查工具和審計工具,有針對性地發現和檢測泄密事件;採取果斷措施切斷泄密源頭,控制泄密范圍;評估涉密事件風險,上報、記錄。安全事件處理通過入侵檢測、病毒防護、防火牆、主機審計、網路審計等技術手段,發現運行安全事件;制訂相應事件的處理預案和培訓;評估事件對系統的影響,並修補漏洞、記錄。
❺ 針對互聯網金融的國家政策有哪些
《關於促進互聯網金融健康發展的指導意見》x0dx0ax0dx0a為鼓勵金融創新,促進互聯網金融健康發展,明確監管責任,規范市場秩序,經黨中央、國務院同意,中國人民銀行、工業和信息化部、公安部、財政部、國家工商總局、國務院法制辦、中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會、國家互聯網信息辦公室日前聯合印發了《關於促進互聯網金融健康發展的指導意見》(銀發〔2015〕221號,以下簡稱《指導意見》)。x0dx0ax0dx0a《指導意見》按照「鼓勵創新、防範風險、趨利避害、健康發展」的總體要求,提出了一系列鼓勵創新、支持互聯網金融穩步發展的政策措施,積極鼓勵互聯網金融平台、產品和服務創新,鼓勵從業機構相互合作,拓寬從業機構融資渠道,堅持簡政放權和落實、完善財稅政策,推動信用基礎設施建設和配套服務體系建設。x0dx0ax0dx0a《指導意見》按照「依法監管、適度監管、分類監管、協同監管、創新監管」的原則,確立了互聯網支付、網路借貸、股權眾籌融資、互聯網基金銷售、互聯網保險、互聯網信託和互聯網消費金融等互聯網金融主要業態的監管職責分工,落實了監管責任,明確了業務邊界。x0dx0ax0dx0a《指導意見》堅持以市場為導向發展互聯網金融,遵循服務好實體經濟、服從宏觀調控和維護金融穩定的總體目標,切實保障消費者合法權益,維護公平競爭的市場秩序,在互聯網行業管理,客戶資金第三方存管制度,信息披露、風險提示和合格投資者制度,消費者權益保護,網路與信息安全,反洗錢和防範金融犯罪,加強互聯網金融行業自律以及監管協調與數據統計監測等方面提出了具體要求。x0dx0ax0dx0a下一步,各相關部門將按照《指導意見》的職責分工,認真貫徹落實《指導意見》的各項要求;互聯網金融行業從業機構應按照《指導意見》的相關規定,依法合規開展各項經營活動。(完)x0dx0ax0dx0a中國人民銀行工業和信息化部公安部財政部工商總局法制辦銀監會證監會保監會國家互聯網信息辦公室關於促進互聯網金融健康發展的指導意見x0dx0ax0dx0a近年來,互聯網技術、信息通信技術不斷取得突破,推動互聯網與金融快速融合,促進了金融創新,提高了金融資源配置效率,但也存在一些問題和風險隱患。為全面貫徹落實黨的十八大和十八屆二中、三中、四中全會精神,按照黨中央、國務院決策部署,遵循「鼓勵創新、防範風險、趨利避害、健康發展」的總體要求,從金融業健康發展全局出發,進一步推進金融改革創新和對外開放,促進互聯網金融健康發展,經黨中央、國務院同意,現提出以下意見。x0dx0ax0dx0a一、鼓勵創新,支持互聯網金融穩步發展x0dx0ax0dx0a互聯網金融是傳統金融機構與互聯網企業(以下統稱從業機構)利用互聯網技術和信息通信技術實現資金融通、支付、投資和信息中介服務的新型金融業務模式。互聯網與金融深度融合是大勢所趨,將對投資模式、業務、組織和服務等方面產生更加深刻的影響。互聯網金融對促進小微企業發展和擴大就業發揮了現有金融機構難以替代的積極作用,為大眾創業、萬眾創新打開了大門。促進互聯網金融健康發展,有利於提升投資服務質量和效率,深化金融改革,促進金融創新發展,擴大金融業對內對外開放,構建多層次金融體系。作為新生事物,互聯網金融既需要市場驅動,鼓勵創新,也需要政策助力,促進發展。x0dx0ax0dx0a(一)積極鼓勵互聯網金融平台、產品和服務創新,激發市場活力。鼓勵銀行、證券、保險、基金、信託和消費金融等金融機構依託互聯網技術,實現傳統金融業務與服務轉型升級,積極開發基於互聯網技術的新產品和新服務。支持有條件的金融機構建設創新型互聯網平台開展網路銀行、網路證券、網路保險、網路基金銷售和網路消費金融等業務。支持互聯網企業依法合規設立互聯網支付機構、網路借貸平台、股權眾籌融資平台、網路投資產品銷售平台,建立服務實體經濟的多層次投資服務體系,更好地滿足中小微企業和個人投融資需求,進一步拓展普惠金融的廣度和深度。鼓勵電子商務企業在符合金融法律法規規定的條件下自建和完善線上投資服務體系,有效拓展電商供應鏈業務。鼓勵從業機構積極開展產品、服務、技術和管理創新,提升從業機構核心競爭力。x0dx0ax0dx0a(二)鼓勵從業機構相互合作,實現優勢互補。支持各類金融機構與互聯網企業開展合作,建立良好的互聯網金融生態環境和產業鏈。鼓勵銀行業金融機構開展業務創新,為第三方支付機構和網路借款平台等提供資金存管、支付清算等配套服務。支持小微投資服務機構與互聯網企業開展業務合作,實現商業模式創新。支持證券、基金、信託、消費金融、期貨機構與互聯網企業開展合作,拓寬投資產品銷售渠道,創新財富管理模式。鼓勵保險公司與互聯網企業合作,提升互聯網金融企業風險抵禦能力。x0dx0ax0dx0a(三)拓寬從業機構融資渠道,改善融資環境。支持社會資本發起設立互聯網金融產業投資基金,推動從業機構與創業投資機構、產業投資基金深度合作。鼓勵符合條件的優質從業機構在主板、創業板等境內資本市場上市融資。鼓勵銀行業金融機構按照支持小微企業發展的各項金融政策,對處於初創期的從業機構予以支持。針對互聯網企業特點,創新投資模式和服務。x0dx0ax0dx0a(四)堅持簡政放權,提供優質服務。各金融監管部門要積極支持金融機構開展互聯網金融業務。按照法律法規規定,對符合條件的互聯網企業開展相關金融業務實施高效管理。工商行政管理部門要支持互聯網企業依法辦理工商注冊登記。電信主管部門、國家互聯網信息管理部門要積極支持互聯網金融業務,電信主管部門對互聯網金融業務涉及的電信業務進行監管,國家互聯網信息管理部門負責對金融信息服務、互聯網信息內容等業務進行監管。積極開展互聯網金融領域立法研究,適時出台相關管理規章,營造有利於互聯網金融發展的良好制度環境。加大對從業機構專利、商標等知識產權的保護力度。鼓勵省級人民政府加大對互聯網金融的政策支持。支持設立專業化互聯網金融研究機構,鼓勵建設互聯網金融信息交流平台,積極開展互聯網金融研究。x0dx0ax0dx0a(五)落實和完善有關財稅政策。按照稅收公平原則,對於業務規模較小、處於初創期的從業機構,符合我國現行對中小企業特別是小微企業稅收政策條件的,可按規定享受稅收優惠政策。結合金融業營業稅改徵增值稅改革,統籌完善互聯網金融稅收政策。落實從業機構新技術、新產品研發費用稅前加計扣除政策。x0dx0ax0dx0a(六)推動信用基礎設施建設,培育互聯網金融配套服務體系。支持大數據存儲、網路與信息安全維護等技術領域基礎設施建設。鼓勵從業機構依法建立信用信息共享平台。推動符合條件的相關從業機構接入金融信用信息基礎資料庫。允許有條件的從業機構依法申請徵信業務許可。支持具備資質的信用中介組織開展互聯網企業信用評級,增強市場信息透明度。鼓勵會計、審計、法律、咨詢等中介服務機構為互聯網企業提供相關專業服務。x0dx0ax0dx0a二、分類指導,明確互聯網金融監管責任x0dx0ax0dx0a互聯網金融本質仍屬於金融,沒有改變金融風險隱蔽性、傳染性、廣泛性和突發性的特點。加強互聯網金融監管,是促進互聯網金融健康發展的內在要求。同時,互聯網金融是新生事物和新興業態,要制定適度寬松的監管政策,為互聯網金融創新留有餘地和空間。通過鼓勵創新和加強監管相互支撐,促進互聯網金融健康發展,更好地服務實體經濟。互聯網金融監管應遵循「依法監管、適度監管、分類監管、協同監管、創新監管」的原則,科學合理界定各業態的業務邊界及准入條件,落實監管責任,明確風險底線,保護合法經營,堅決打擊違法和違規行為。x0dx0ax0dx0a(七)互聯網支付。互聯網支付是指通過計算機、手機等設備,依託互聯網發起支付指令、轉移貨幣資金的服務。互聯網支付應始終堅持服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨。銀行業金融機構和第三方支付機構從事互聯網支付,應遵守現行法律法規和監管規定。第三方支付機構與其他機構開展合作的,應清晰界定各方的權利義務關系,建立有效的風險隔離機制和客戶權益保障機制。要向客戶充分披露服務信息,清晰地提示業務風險,不得誇大支付服務中介的性質和職能。互聯網支付業務由人民銀行負責監管。x0dx0ax0dx0a(八)網路借貸。網路借貸包括個體網路借貸(即P2P網路借貸)和網路小額借款。個體網路借貸是指個體和個體之間通過互聯網平台實現的直接借貸。在個體網路借貸平台上發生的直接借貸行為屬於民間借貸范疇,受合同法、民法通則等法律法規以及最高人民法院相關司法解釋規范。個體網路借貸要堅持平台功能,為投資方和融資方提供信息交互、撮合、資信評估等中介服務。個體網路借貸機構要明確信息中介性質,主要為借貸雙方的直接借貸提供信息服務,不得提供增信服務,不得非法集資。網路小額借款是指互聯網企業通過其控制的小額借款公司,利用互聯網向客戶提供的小額借款。網路小額借款應遵守現有小額借款公司監管規定,發揮網路借款優勢,努力降低客戶融資成本。網路借貸業務由銀監會負責監管。x0dx0ax0dx0a(九)股權眾籌融資。股權眾籌融資主要是指通過互聯網形式進行公開小額股權融資的活動。股權眾籌融資必須通過股權眾籌融資中介機構平台(互聯網網站或其他類似的電子媒介)進行。股權眾籌融資中介機構可以在符合法律法規規定前提下,對業務模式進行創新探索,發揮股權眾籌融資作為多層次資本市場有機組成部分的作用,更好服務創新創業企業。股權眾籌融資方應為小微企業,應通過股權眾籌融資中介機構向投資人如實披露企業的商業模式、經營管理、財務、資金使用等關鍵信息,不得誤導或欺詐投資者。投資者應當充分了解股權眾籌融資活動風險,具備相應風險承受能力,進行小額投資。股權眾籌融資業務由證監會負責監管。x0dx0ax0dx0a(十)互聯網基金銷售。基金銷售機構與其他機構通過互聯網合作銷售基金等投資產品的,要切實履行風險披露義務,不得通過違規承諾收益方式吸引客戶;基金管理人應當採取有效措施防範資產配置中的期限錯配和流動性風險;基金銷售機構及其合作機構通過其他活動為投資人提供收益的,應當對收益構成、先決條件、適用情形等進行全面、真實、准確表述和列示,不得與基金產品收益混同。第三方支付機構在開展基金互聯網銷售支付服務過程中,應當遵守人民銀行、證監會關於客戶備付金及基金銷售結算資金的相關監管要求。第三方支付機構的客戶備付金只能用於辦理客戶委託的支付業務,不得用於墊付基金和其他投資產品的資金贖回。互聯網基金銷售業務由證監會負責監管。x0dx0ax0dx0a(十一)互聯網保險。保險公司開展互聯網保險業務,應遵循安全性、保密性和穩定性原則,加強風險管理,完善內控系統,確保交易安全、信息安全和資金安全。專業互聯網保險公司應當堅持服務互聯網經濟活動的基本定位,提供有針對性的保險服務。保險公司應建立對所屬電子商務公司等非保險類子公司的管理制度,建立必要的防火牆。保險公司通過互聯網銷售保險產品,不得進行不實陳述、片面或誇大宣傳過往業績、違規承諾預期收益或者承擔損失等誤導性描述。互聯網保險業務由保監會負責監管。x0dx0ax0dx0a(十二)互聯網信託和互聯網消費金融。信託公司、消費金融公司通過互聯網開展業務的,要嚴格遵循監管規定,加強風險管理,確保交易合法合規,並保守客戶信息。信託公司通過互聯網進行產品銷售及開展其他信託業務的,要遵守合格投資者等監管規定,審慎甄別客戶身份和評估客戶風險承受能力,不能將產品銷售給與風險承受能力不相匹配的客戶。信託公司與消費金融公司要制定完善產品文件簽署制度,保證交易過程合法合規,安全規范。互聯網信託業務、互聯網消費金融業務由銀監會負責監管。x0dx0ax0dx0a三、健全制度,規范互聯網金融市場秩序x0dx0ax0dx0a發展互聯網金融要以市場為導向,遵循服務實體經濟、服從宏觀調控和維護金融穩定的總體目標,切實保障消費者合法權益,維護公平競爭的市場秩序。要細化管理制度,為互聯網金融健康發展營造良好環境。x0dx0ax0dx0a(十三)互聯網行業管理。任何組織和個人開設網站從事互聯網金融業務的,除應按規定履行相關金融監管程序外,還應依法向電信主管部門履行網站備案手續,否則不得開展互聯網金融業務。工業和信息化部負責對互聯網金融業務涉及的電信業務進行監管,國家互聯網信息辦公室負責對金融信息服務、互聯網信息內容等業務進行監管,兩部門按職責制定相關監管細則。x0dx0ax0dx0a(十四)客戶資金第三方存管制度。除另有規定外,從業機構應當選擇符合條件的銀行業金融機構作為資金存管機構,對客戶資金進行管理和監督,實現客戶資金與從業機構自身資金分賬管理。客戶資金存管賬戶應接受獨立審計並向客戶公開審計結果。人民銀行會同金融監管部門按照職責分工實施監管,並制定相關監管細則。x0dx0ax0dx0a(十五)信息披露、風險提示和合格投資者制度。從業機構應當對客戶進行充分的信息披露,及時向投資者公布其經營活動和財務狀況的相關信息,以便投資者充分了解從業機構運作狀況,促使從業機構穩健經營和控制風險。從業機構應當向各參與方詳細說明交易模式、參與方的權利和義務,並進行充分的風險提示。要研究建立互聯網金融的合格投資者制度,提升投資者保護水平。有關部門按照職責分工負責監管。x0dx0ax0dx0a(十六)消費者權益保護。研究制定互聯網金融消費者教育規劃,及時發布維權提示。加強互聯網投資模式合同內容、免責條款規定等與消費者利益相關的信息披露工作,依法監督處理經營者利用合同格式條款侵害消費者合法權益的違法、違規行為。構建在線爭議解決、現場接待受理、監管部門受理投訴、第三方調解以及仲裁、訴訟等多元化糾紛解決機制。細化完善互聯網金融個人信息保護的原則、標准和操作流程。嚴禁網路銷售投資產品過程中的不實宣傳、強制捆綁銷售。人民銀行、銀監會、證監會、保監會會同有關行政執法部門,根據職責分工依法開展互聯網金融領域消費者和投資者權益保護工作。x0dx0ax0dx0a(十七)網路與信息安全。從業機構應當切實提升技術安全水平,妥善保管客戶資料和交易信息,不得非法買賣、泄露客戶個人信息。人民銀行、銀監會、證監會、保監會、工業和信息化部、公安部、國家互聯網信息辦公室分別負責對相關從業機構的網路與信息安全保障進行監管,並制定相關監管細則和技術安全標准。x0dx0ax0dx0a(十八)反洗錢和防範金融犯罪。從業機構應當採取有效措施識別客戶身份,主動監測並報告可疑交易,妥善保存客戶資料和交易記錄。從業機構有義務按照有關規定,建立健全有關協助查詢、凍結的規章制度,協助公安機關和司法機關依法、及時查詢、凍結涉案財產,配合公安機關和司法機關做好取證和執行工作。堅決打擊涉及非法集資等互聯網金融犯罪,防範金融風險,維護金融秩序。金融機構在和互聯網企業開展合作、代理時應根據有關法律和規定簽訂包括反洗錢和防範金融犯罪要求的合作、代理協議,並確保不因合作、代理關系而降低反洗錢和金融犯罪執行標准。人民銀行牽頭負責對從業機構履行反洗錢義務進行監管,並制定相關監管細則。打擊互聯網金融犯罪工作由公安部牽頭負責。x0dx0ax0dx0a(十九)加強互聯網金融行業自律。充分發揮行業自律機制在規范從業機構市場行為和保護行業合法權益等方面的積極作用。人民銀行會同有關部門,組建中國互聯網金融協會。協會要按業務類型,制訂經營管理規則和行業標准,推動機構之間的業務交流和信息共享。協會要明確自律懲戒機制,提高行業規則和標準的約束力。強化守法、誠信、自律意識,樹立從業機構服務經濟社會發展的正面形象,營造誠信規范發展的良好氛圍。x0dx0ax0dx0a(二十)監管協調與數據統計監測。各監管部門要相互協作、形成合力,充分發揮金融監管協調部際聯席會議制度的作用。人民銀行、銀監會、證監會、保監會應當密切關注互聯網金融業務發展及相關風險,對監管政策進行跟蹤評估,適時提出調整建議,不斷總結監管經驗。財政部負責互聯網金融從業機構財務監管政策。人民銀行會同有關部門,負責建立和完善互聯網金融數據統計監測體系,相關部門按照監管職責分工負責相關互聯網金融數據統計和監測工作,並實現統計數據和信息共享。
❻ 互聯網保險金融規定
《關於促進互聯網金融健康發展的指導意見》
為鼓勵金融創新,促進互聯網金融健康發展,明確監管責任,規范市場秩序,經黨中央、國務院同意,中國人民銀行、工業和信息化部、公安部、財政部、國家工商總局、國務院法制辦、中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會、國家互聯網信息辦公室日前聯合印發了《關於促進互聯網金融健康發展的指導意見》(銀發〔2015〕221號,以下簡稱《指導意見》)。
《指導意見》按照「鼓勵創新、防範風險、趨利避害、健康發展」的總體要求,提出了一系列鼓勵創新、支持互聯網金融穩步發展的政策措施,積極鼓勵互聯網金融平台、產品和服務創新,鼓勵從業機構相互合作,拓寬從業機構融資渠道,堅持簡政放權和落實、完善財稅政策,推動信用基礎設施建設和配套服務體系建設。
《指導意見》按照「依法監管、適度監管、分類監管、協同監管、創新監管」的原則,確立了互聯網支付、網路借貸、股權眾籌融資、互聯網基金銷售、互聯網保險、互聯網信託和互聯網消費金融等互聯網金融主要業態的監管職責分工,落實了監管責任,明確了業務邊界。
《指導意見》堅持以市場為導向發展互聯網金融,遵循服務好實體經濟、服從宏觀調控和維護金融穩定的總體目標,切實保障消費者合法權益,維護公平競爭的市場秩序,在互聯網行業管理,客戶資金第三方存管制度,信息披露、風險提示和合格投資者制度,消費者權益保護,網路與信息安全,反洗錢和防範金融犯罪,加強互聯網金融行業自律以及監管協調與數據統計監測等方面提出了具體要求。
下一步,各相關部門將按照《指導意見》的職責分工,認真貫徹落實《指導意見》的各項要求;互聯網金融行業從業機構應按照《指導意見》的相關規定,依法合規開展各項經營活動。(完)
中國人民銀行工業和信息化部公安部財政部工商總局法制辦銀監會證監會保監會國家互聯網信息辦公室關於促進互聯網金融健康發展的指導意見
近年來,互聯網技術、信息通信技術不斷取得突破,推動互聯網與金融快速融合,促進了金融創新,提高了金融資源配置效率,但也存在一些問題和風險隱患。為全面貫徹落實黨的十八大和十八屆二中、三中、四中全會精神,按照黨中央、國務院決策部署,遵循「鼓勵創新、防範風險、趨利避害、健康發展」的總體要求,從金融業健康發展全局出發,進一步推進金融改革創新和對外開放,促進互聯網金融健康發展,經黨中央、國務院同意,現提出以下意見。
一、鼓勵創新,支持互聯網金融穩步發展
互聯網金融是傳統金融機構與互聯網企業(以下統稱從業機構)利用互聯網技術和信息通信技術實現資金融通、支付、投資和信息中介服務的新型金融業務模式。互聯網與金融深度融合是大勢所趨,將對投資模式、業務、組織和服務等方面產生更加深刻的影響。互聯網金融對促進小微企業發展和擴大就業發揮了現有金融機構難以替代的積極作用,為大眾創業、萬眾創新打開了大門。促進互聯網金融健康發展,有利於提升投資服務質量和效率,深化金融改革,促進金融創新發展,擴大金融業對內對外開放,構建多層次金融體系。作為新生事物,互聯網金融既需要市場驅動,鼓勵創新,也需要政策助力,促進發展。
(一)積極鼓勵互聯網金融平台、產品和服務創新,激發市場活力。鼓勵銀行、證券、保險、基金、信託和消費金融等金融機構依託互聯網技術,實現傳統金融業務與服務轉型升級,積極開發基於互聯網技術的新產品和新服務。支持有條件的金融機構建設創新型互聯網平台開展網路銀行、網路證券、網路保險、網路基金銷售和網路消費金融等業務。支持互聯網企業依法合規設立互聯網支付機構、網路借貸平台、股權眾籌融資平台、網路投資產品銷售平台,建立服務實體經濟的多層次投資服務體系,更好地滿足中小微企業和個人投融資需求,進一步拓展普惠金融的廣度和深度。鼓勵電子商務企業在符合金融法律法規規定的條件下自建和完善線上投資服務體系,有效拓展電商供應鏈業務。鼓勵從業機構積極開展產品、服務、技術和管理創新,提升從業機構核心競爭力。
(二)鼓勵從業機構相互合作,實現優勢互補。支持各類金融機構與互聯網企業開展合作,建立良好的互聯網金融生態環境和產業鏈。鼓勵銀行業金融機構開展業務創新,為第三方支付機構和網路借款平台等提供資金存管、支付清算等配套服務。支持小微投資服務機構與互聯網企業開展業務合作,實現商業模式創新。支持證券、基金、信託、消費金融、期貨機構與互聯網企業開展合作,拓寬投資產品銷售渠道,創新財富管理模式。鼓勵保險公司與互聯網企業合作,提升互聯網金融企業風險抵禦能力。
(三)拓寬從業機構融資渠道,改善融資環境。支持社會資本發起設立互聯網金融產業投資基金,推動從業機構與創業投資機構、產業投資基金深度合作。鼓勵符合條件的優質從業機構在主板、創業板等境內資本市場上市融資。鼓勵銀行業金融機構按照支持小微企業發展的各項金融政策,對處於初創期的從業機構予以支持。針對互聯網企業特點,創新投資模式和服務。
(四)堅持簡政放權,提供優質服務。各金融監管部門要積極支持金融機構開展互聯網金融業務。按照法律法規規定,對符合條件的互聯網企業開展相關金融業務實施高效管理。工商行政管理部門要支持互聯網企業依法辦理工商注冊登記。電信主管部門、國家互聯網信息管理部門要積極支持互聯網金融業務,電信主管部門對互聯網金融業務涉及的電信業務進行監管,國家互聯網信息管理部門負責對金融信息服務、互聯網信息內容等業務進行監管。積極開展互聯網金融領域立法研究,適時出台相關管理規章,營造有利於互聯網金融發展的良好制度環境。加大對從業機構專利、商標等知識產權的保護力度。鼓勵省級人民政府加大對互聯網金融的政策支持。支持設立專業化互聯網金融研究機構,鼓勵建設互聯網金融信息交流平台,積極開展互聯網金融研究。
(五)落實和完善有關財稅政策。按照稅收公平原則,對於業務規模較小、處於初創期的從業機構,符合我國現行對中小企業特別是小微企業稅收政策條件的,可按規定享受稅收優惠政策。結合金融業營業稅改徵增值稅改革,統籌完善互聯網金融稅收政策。落實從業機構新技術、新產品研發費用稅前加計扣除政策。
(六)推動信用基礎設施建設,培育互聯網金融配套服務體系。支持大數據存儲、網路與信息安全維護等技術領域基礎設施建設。鼓勵從業機構依法建立信用信息共享平台。推動符合條件的相關從業機構接入金融信用信息基礎資料庫。允許有條件的從業機構依法申請徵信業務許可。支持具備資質的信用中介組織開展互聯網企業信用評級,增強市場信息透明度。鼓勵會計、審計、法律、咨詢等中介服務機構為互聯網企業提供相關專業服務。
二、分類指導,明確互聯網金融監管責任
互聯網金融本質仍屬於金融,沒有改變金融風險隱蔽性、傳染性、廣泛性和突發性的特點。加強互聯網金融監管,是促進互聯網金融健康發展的內在要求。同時,互聯網金融是新生事物和新興業態,要制定適度寬松的監管政策,為互聯網金融創新留有餘地和空間。通過鼓勵創新和加強監管相互支撐,促進互聯網金融健康發展,更好地服務實體經濟。互聯網金融監管應遵循「依法監管、適度監管、分類監管、協同監管、創新監管」的原則,科學合理界定各業態的業務邊界及准入條件,落實監管責任,明確風險底線,保護合法經營,堅決打擊違法和違規行為。
(七)互聯網支付。互聯網支付是指通過計算機、手機等設備,依託互聯網發起支付指令、轉移貨幣資金的服務。互聯網支付應始終堅持服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨。銀行業金融機構和第三方支付機構從事互聯網支付,應遵守現行法律法規和監管規定。第三方支付機構與其他機構開展合作的,應清晰界定各方的權利義務關系,建立有效的風險隔離機制和客戶權益保障機制。要向客戶充分披露服務信息,清晰地提示業務風險,不得誇大支付服務中介的性質和職能。互聯網支付業務由人民銀行負責監管。
(八)網路借貸。網路借貸包括個體網路借貸(即P2P網路借貸)和網路小額借款。個體網路借貸是指個體和個體之間通過互聯網平台實現的直接借貸。在個體網路借貸平台上發生的直接借貸行為屬於民間借貸范疇,受合同法、民法通則等法律法規以及最高人民法院相關司法解釋規范。個體網路借貸要堅持平台功能,為投資方和融資方提供信息交互、撮合、資信評估等中介服務。個體網路借貸機構要明確信息中介性質,主要為借貸雙方的直接借貸提供信息服務,不得提供增信服務,不得非法集資。網路小額借款是指互聯網企業通過其控制的小額借款公司,利用互聯網向客戶提供的小額借款。網路小額借款應遵守現有小額借款公司監管規定,發揮網路借款優勢,努力降低客戶融資成本。網路借貸業務由銀監會負責監管。
(九)股權眾籌融資。股權眾籌融資主要是指通過互聯網形式進行公開小額股權融資的活動。股權眾籌融資必須通過股權眾籌融資中介機構平台(互聯網網站或其他類似的電子媒介)進行。股權眾籌融資中介機構可以在符合法律法規規定前提下,對業務模式進行創新探索,發揮股權眾籌融資作為多層次資本市場有機組成部分的作用,更好服務創新創業企業。股權眾籌融資方應為小微企業,應通過股權眾籌融資中介機構向投資人如實披露企業的商業模式、經營管理、財務、資金使用等關鍵信息,不得誤導或欺詐投資者。投資者應當充分了解股權眾籌融資活動風險,具備相應風險承受能力,進行小額投資。股權眾籌融資業務由證監會負責監管。
(十)互聯網基金銷售。基金銷售機構與其他機構通過互聯網合作銷售基金等投資產品的,要切實履行風險披露義務,不得通過違規承諾收益方式吸引客戶;基金管理人應當採取有效措施防範資產配置中的期限錯配和流動性風險;基金銷售機構及其合作機構通過其他活動為投資人提供收益的,應當對收益構成、先決條件、適用情形等進行全面、真實、准確表述和列示,不得與基金產品收益混同。第三方支付機構在開展基金互聯網銷售支付服務過程中,應當遵守人民銀行、證監會關於客戶備付金及基金銷售結算資金的相關監管要求。第三方支付機構的客戶備付金只能用於辦理客戶委託的支付業務,不得用於墊付基金和其他投資產品的資金贖回。互聯網基金銷售業務由證監會負責監管。
(十一)互聯網保險。保險公司開展互聯網保險業務,應遵循安全性、保密性和穩定性原則,加強風險管理,完善內控系統,確保交易安全、信息安全和資金安全。專業互聯網保險公司應當堅持服務互聯網經濟活動的基本定位,提供有針對性的保險服務。保險公司應建立對所屬電子商務公司等非保險類子公司的管理制度,建立必要的防火牆。保險公司通過互聯網銷售保險產品,不得進行不實陳述、片面或誇大宣傳過往業績、違規承諾預期收益或者承擔損失等誤導性描述。互聯網保險業務由保監會負責監管。
(十二)互聯網信託和互聯網消費金融。信託公司、消費金融公司通過互聯網開展業務的,要嚴格遵循監管規定,加強風險管理,確保交易合法合規,並保守客戶信息。信託公司通過互聯網進行產品銷售及開展其他信託業務的,要遵守合格投資者等監管規定,審慎甄別客戶身份和評估客戶風險承受能力,不能將產品銷售給與風險承受能力不相匹配的客戶。信託公司與消費金融公司要制定完善產品文件簽署制度,保證交易過程合法合規,安全規范。互聯網信託業務、互聯網消費金融業務由銀監會負責監管。
三、健全制度,規范互聯網金融市場秩序
發展互聯網金融要以市場為導向,遵循服務實體經濟、服從宏觀調控和維護金融穩定的總體目標,切實保障消費者合法權益,維護公平競爭的市場秩序。要細化管理制度,為互聯網金融健康發展營造良好環境。
(十三)互聯網行業管理。任何組織和個人開設網站從事互聯網金融業務的,除應按規定履行相關金融監管程序外,還應依法向電信主管部門履行網站備案手續,否則不得開展互聯網金融業務。工業和信息化部負責對互聯網金融業務涉及的電信業務進行監管,國家互聯網信息辦公室負責對金融信息服務、互聯網信息內容等業務進行監管,兩部門按職責制定相關監管細則。
(十四)客戶資金第三方存管制度。除另有規定外,從業機構應當選擇符合條件的銀行業金融機構作為資金存管機構,對客戶資金進行管理和監督,實現客戶資金與從業機構自身資金分賬管理。客戶資金存管賬戶應接受獨立審計並向客戶公開審計結果。人民銀行會同金融監管部門按照職責分工實施監管,並制定相關監管細則。
(十五)信息披露、風險提示和合格投資者制度。從業機構應當對客戶進行充分的信息披露,及時向投資者公布其經營活動和財務狀況的相關信息,以便投資者充分了解從業機構運作狀況,促使從業機構穩健經營和控制風險。從業機構應當向各參與方詳細說明交易模式、參與方的權利和義務,並進行充分的風險提示。要研究建立互聯網金融的合格投資者制度,提升投資者保護水平。有關部門按照職責分工負責監管。
(十六)消費者權益保護。研究制定互聯網金融消費者教育規劃,及時發布維權提示。加強互聯網投資模式合同內容、免責條款規定等與消費者利益相關的信息披露工作,依法監督處理經營者利用合同格式條款侵害消費者合法權益的違法、違規行為。構建在線爭議解決、現場接待受理、監管部門受理投訴、第三方調解以及仲裁、訴訟等多元化糾紛解決機制。細化完善互聯網金融個人信息保護的原則、標准和操作流程。嚴禁網路銷售投資產品過程中的不實宣傳、強制捆綁銷售。人民銀行、銀監會、證監會、保監會會同有關行政執法部門,根據職責分工依法開展互聯網金融領域消費者和投資者權益保護工作。
(十七)網路與信息安全。從業機構應當切實提升技術安全水平,妥善保管客戶資料和交易信息,不得非法買賣、泄露客戶個人信息。人民銀行、銀監會、證監會、保監會、工業和信息化部、公安部、國家互聯網信息辦公室分別負責對相關從業機構的網路與信息安全保障進行監管,並制定相關監管細則和技術安全標准。
(十八)反洗錢和防範金融犯罪。從業機構應當採取有效措施識別客戶身份,主動監測並報告可疑交易,妥善保存客戶資料和交易記錄。從業機構有義務按照有關規定,建立健全有關協助查詢、凍結的規章制度,協助公安機關和司法機關依法、及時查詢、凍結涉案財產,配合公安機關和司法機關做好取證和執行工作。堅決打擊涉及非法集資等互聯網金融犯罪,防範金融風險,維護金融秩序。金融機構在和互聯網企業開展合作、代理時應根據有關法律和規定簽訂包括反洗錢和防範金融犯罪要求的合作、代理協議,並確保不因合作、代理關系而降低反洗錢和金融犯罪執行標准。人民銀行牽頭負責對從業機構履行反洗錢義務進行監管,並制定相關監管細則。打擊互聯網金融犯罪工作由公安部牽頭負責。
(十九)加強互聯網金融行業自律。充分發揮行業自律機制在規范從業機構市場行為和保護行業合法權益等方面的積極作用。人民銀行會同有關部門,組建中國互聯網金融協會。協會要按業務類型,制訂經營管理規則和行業標准,推動機構之間的業務交流和信息共享。協會要明確自律懲戒機制,提高行業規則和標準的約束力。強化守法、誠信、自律意識,樹立從業機構服務經濟社會發展的正面形象,營造誠信規范發展的良好氛圍。
(二十)監管協調與數據統計監測。各監管部門要相互協作、形成合力,充分發揮金融監管協調部際聯席會議制度的作用。人民銀行、銀監會、證監會、保監會應當密切關注互聯網金融業務發展及相關風險,對監管政策進行跟蹤評估,適時提出調整建議,不斷總結監管經驗。財政部負責互聯網金融從業機構財務監管政策。人民銀行會同有關部門,負責建立和完善互聯網金融數據統計監測體系,相關部門按照監管職責分工負責相關互聯網金融數據統計和監測工作,並實現統計數據和信息共享。
擴展閱讀:【保險】怎麼買,哪個好,手把手教你避開保險的這些"坑"
❼ 網路安全保障的體系有那些
在當今網路化的世界中,計算機信息和資源很容易遭到各方面的攻擊。一方面,來源於Internet,Internet給企業網帶來成熟的應用技術的同時,也把固有的安全問題帶給了企業網;另一方面,來源於企業內部,因為是企業內部的網路,主要針對企業內部的人員和企業內部的信息資源,因此,企業網同時又面臨自身所特有的安全問題。網路的開放性和共享性在方便了人們使用的同時,也使得網路很容易遭受到攻擊,而攻擊的後果是嚴重的,諸如數據被人竊取、伺服器不能提供服務等等。隨著信息技術的高速發展,網路安全技術也越來越受到重視,由此推動了防火牆、人侵檢測、虛擬專用網、訪問控制等各種網路安全技術的蓬勃發展。 企業網路安全是系統結構本身的安全,所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次,從高到低分別是企業安全策略層、企業用戶層、企業網路與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術防範系統,常見的企業網安全技術有如下一些。 VLAN(虛擬區域網)技術 選擇VLAN技術可較好地從鏈路層實施網路安全保障。VLAN指通過交換設備在網路的物理拓撲結構基礎上建立一個邏輯網路,它依*用戶的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網,劃分的依據可以是設備所連埠、用戶節點的MAC地址等。該技術能有效地控制網路流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN埠實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網路的信息。 網路分段 企業網大多採用以廣播為基礎的乙太網,任何兩個節點之間的通信數據包,可以被處在同一乙太網上的任何一個節點的網卡所截取。因此,黑客只要接人乙太網上的任一節點進行偵聽,就可以捕獲發生在這個乙太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息。網路分段就是將非法用戶與網路資源相互隔離,從而達到限制用戶非法訪問的目的。 硬體防火牆技術 任何企業安全策略的一個主要部分都是實現和維護防火牆,因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣,這使得內部網路與Internet之間或者與其他外部網路互相隔離,並限制網路互訪從而保護企業內部網路。設置防火牆的目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。 入侵檢測技術 入侵檢測方法較多,如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。 不知道你找的是不是這些
❽ 想要確保網路的安全性,關鍵在於網路是否得到有效的控制,請問採取什麼防護措施才能確保網路信息安全呢
【熱心解答】
網路安全是個系統工程,不可能只是採取單一措施即可解決,需要網路安全保障體系共同綜合措施。通常,企事業機構需要先對網路系統進行風險評估,確定各類潛在風險和等級,並針對各類風險確定相應的策略和方案。經過有效的安全控制降低風險發生的可能性,殘留風險將通過監控和分析,並在意外發生時作出應急響應和災難恢復,最終實現業務的持續運行。
實際上,原有的一些傳統網路安全技術,通常可以使企事業機構在檢測攻擊、發現漏洞、防禦病毒、訪問控制等方面取得較為滿意的效果,然而,卻無法從根本上徹底解決網路信息系統整體防禦的問題。面對新的網路環境和新的威脅,促使各國為具體的安全技術建立一個以深度防禦為重點的整體網路安全平台——網路安全保障體系。
如我國某金融機構的網路網路安全保障體系總體框架,如圖所示。網路網路安全保障體系框架的外圍是風險管理、法律法規、標準的符合性。
註:摘自清華大學出版社《網路安全實用技術》賈鐵軍教授主編。
❾ 網路安全管理措施
【熱心相助】
您好!網路安全管理措施需要綜合防範,主要體現在網路安全保障體系和總體框架中。
面對各種網路安全的威脅,以往針對單方面具體的安全隱患,提出具體解決方案的應對措施難免顧此失彼,越來越暴露出其局限性。面對新的網路環境和威脅,需要建立一個以深度防禦為特點的信息安全保障體系。
【案例】我國某金融機構的網路信息安全保障體系總體框架如圖1所示。網路信息安全保障體系框架的外圍是風險管理、法律法規、標準的符合性。
圖1 網路信息安全保障體系框架
風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別風險、衡量風險、積極應對風險、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失,促進企業長期穩定發展。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中後者包括信息安全風險。實際上,在信息安全保障體系框架中充分體現了風險管理的理念。網路信息安全保障體系架構包括五個部分:
1) 網路安全戰略。以風險管理為核心理念,從長遠戰略角度通盤考慮網路建設安全。它處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
2) 信息安全政策和標准。以風險管理理念逐層細化和落實,是對網路安全戰略的逐層細化和落實,跨越管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准通過調整相互適應。安全政策和標准也會影響管理、運作和技術。
3) 網路安全運作。是基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。既是網路安全保障體系的核心,貫穿網路安全始終;又是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網路安全管理。涉及企業管理體系范疇,是網路安全體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證網路安全運作,網路安全技術體系是從技術角度保證網路安全運作。
5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目的,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
(拓展參考本人資料:清華大學出版社,賈鐵軍教授主編,網路安全實用技術)