❶ 金融数据安全治理,要从基础做起
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,要求“加快培养数据要素”,将数据作为新型生产要素,正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和 社会 生产创新要素之一。
中国人民银行副行长范一飞表示,金融业作为数据密集型行业要深刻认识数据重要意义、深化研究数据管理机制、深度挖掘数据内在价值,为金融装上数据引擎,实现多向赋能。
同时,范一飞强调,目前部分消费者和金融机构数据保护意识相对不足,对数据泄露环节和危害认识不到位,而不法分子窃取数据的手段却不断翻新,从面对面诱骗到远程网络攻击,从木马病毒到短信嗅探,个人隐私泄露等安全事件频频发生,甚至危及人民群众生命财产安全,数据安全保护刻不容缓。
此外,范一飞进一步指出数据及数据安全对于金融行业的重要意义,数据已经成为了金融行业发展的新引擎,在使用数据之前要做好数据安全保护。金融机构不仅仅要做好数据治理,更要做好数据安全治理。这对于金融机构来说不是简单的事情。
以银行为例,根据《中小银行数据安全治理报告》显示,虽然92.5%的银行已经开展了数据安全治理工作,但是采用成熟的方法论几乎是0%。
《报告》指出,目前中国中小银行数据安全治理的总体态势存在三大短板:数据安全体系建设成效参差不齐;未遵循科学的方法论;知识和能力不足。
采用科学的、正确的方法,才能少走弯路,更容易成功。那么什么是数据安全治理的方法论?数据安全治理该怎么做呢?
分级指南:数据安全治理的基础
2020年9月23日,中国人民银行正式发布《金融数据安全数据安全分级指南》(JR/T 0197-2020)(以下简称《指南》)。
《指南》给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。值得注意的是,《指南》虽为推荐性行业标准,但数据分类分级是金融机构所必须进行的重要工作。
《网络安全法》第二十一条规定网络运营者应当采取数据分类、重要数据备份和加密等措施,以防止网络数据泄露或者被窃取、篡改。
2020年4月9日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度”。
标准主要起草人、国家金融 科技 测评中心(银行卡检测中心)的陈聪博士表示,对数据资产进行梳理并开展数据安全分级是机构开展数据安全管理的起始点。对数据实施分级管理,能够进一步明确数据保护对象,有助于金融机构合理分配数据保护资源和成本,是金融机构建立完善的数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。
有了分级的框架,后续才能够对数据采集和使用等情形进行界定,例如何种金融服务能采集哪些数据、数据如何存储及其留存期限、哪些数据必须加密或脱敏、机构内部和机构之间哪些数据在何种情况下能够进行跨部门、跨机构、跨行业,甚至跨国境的数据共享和传输等等。
因此,《指南》是解决金融行业数据安全应用和数据价值发掘痛点的根本,主要作用是敲地基,是数据安全相关标准制定和实施的基础和前提。换句话说,《指南》是数据安全治理方法论的基础。
数据使用和数据安全的两全之法
对数据的争夺,就是对商机和客户的争夺,而是否能够在这场争夺战中占据优势地位,取决于金融机构自身的数据安全治理能力。
对金融数据的使用和安全,中国人民银行 科技 司司长李伟曾表示,要制定数据分级标准,基于全局数据资产目录将数据进行分级。针对不同等级数据采取差异化的控制措施,实现数据精细化管理。规范数据共享流程,确保数据使用方在依法合规、保障安全前提下,根据业务需要申请使用数据。
由此可以看出,金融数据不是不能共享,也不是不能使用,而是在依法合规、保障安全前提下有序进行。也就是数据使用和数据安全的两全之法。
当前,数据安全能力已经成为金融机构核心竞争力的代表。金融机构自身数据资产安全梳理和数据安全分级作为数据安全管理的第一步,是切实保障金融数据安全应用、强化金融机构数据安全能力的有力保障。
相对体量庞大、业务复杂的机构,从厘清数据资产的难度角度,中小型金融机构落地指南的难度相对较低。
但是从数据安全管理工作一致性和完整性的角度,大型机构具备相对更为完善的组织、岗位和制度体系,以及更为丰富的资源和更加雄厚的资本,数据安全分级落地实施的过程中,能够进行更为全面和有力的统筹和规划,并能够获得更加专业、多样的外部支援力量(如专业人才、外部专家、第三方机构等),能够将数据安全分级与后续数据安全管理有机结合起来,在完成本阶段金融数据安全分级的同时,更加规范、有效地部署和实现覆盖数据生命周期全过程的金融数据安全管理体系。
因此,对于各类型金融机构,数据安全分级工作没有例外、更没有捷径可走。
数据分级首先需要对数据资产进行安全梳理,包括数据资产全面梳理、数据合规资料整理、不同数据安全需求分析以及对数据安全影响情况的评估等工作,即便是对于中小型机构,特别是此前没有将数据安全纳入机构日常安全管理规划中的机构来说,仍然是一项需要给予足够重视和投入才能完成好的工作。
因此可以考虑借助工具、第三方测评机构的技术能力和实施经验等,结合自身数据资产、机构特点、业务情况等,开展数据安全分级,以确保数据安全分级工作合法合规的同时,节约成本,提高效率。
❷ 简要概述网络安全保障体系的总体框架
网络安全保障体系的总体框架
1.网络安全整体保障体系
计算机网络安全的整体保障作用,主要体现在整个系统生命周期对风险进行整体的管理、应对和控制。网络安全整体保障体系如图1所示。
图4 网络安全保障体系框架结构
【拓展阅读】:风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上,制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法,以避免和减少风险损失。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心,风险分为信用风险、市场风险和操作风险,其中包括信息安全风险。
实际上,在网络信息安全保障体系框架中,充分体现了风险管理的理念。网络安全保障体系架构包括五个部分:
(1)网络安全策略。以风险管理为核心理念,从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。
(2)网络安全政策和标准。网络安全政策和标准是对网络安全策略的逐层细化和落实,包括管理、运作和技术三个不同层面,在每一层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,以保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准也需要调整相互适应,反之,安全政策和标准也会影响管理、运作和技术。
(3)网络安全运作。网络安全运作基于风险管理理念的日常运作模式及其概念性流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。是网络安全保障体系的核心,贯穿网络安全始终;也是网络安全管理机制和技术机制在日常运作中的实现,涉及运作流程和运作管理。
(4)网络安全管理。网络安全管理是体系框架的上层基础,对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证正常运作,网络安全技术体系是从技术角度保证运作。
(5)网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
引自高等教育出版社网络安全技术与实践贾铁军主编2014.9
❸ 金融行业的数据安全体系是怎么样的
金融行业的发展和正常运转高度依赖信息系统,其系统中存储的大量用户信息和金融数据一直是黑客攻击的重点,尤其是近年以人工智能、大数据、区块链等为代表的新型技术的加入,使得传统金融行业与信息技术深度融合,在给行业发展提供巨大的动力的同时,也对其网络安全防护工作提出了更高的要求。
对此,金融行业已经普遍持续地加大了在网络安全方面的投入,在网络化、信息化和智能化的路上构建全方位的纵深网络防护体系,尤其是在威胁较高的边界区域上,更需要实现“主动防御”和“动态防御”。
传统被动防御的安全防护模式,倚重规则特征和人工分析等手段,存在安全可见性盲区,有严重的滞后性,且无力检测未知攻击。因此在科技迅速发展、网络攻击数量急速增长和攻击手段不断升级的今天,传统防护已经很难再满足金融行业安全防护的需要。
而以内存安全为代表的新型防御手段,通过对系统运行的程序进行实时监控,结合行为关联分析技术,可以从海量的行为数据中准确识别出异常,一旦发现威胁可实时响应。不仅能够提升对未知威胁的检测能力,实现真正的运行时安全,而且填补了传统防护手段的不足,以主动防护新理念,突破传统被动防护手段的阈值,可以推动金融行业安全防护的底层架构向更加完整可靠的方向转型升级。
❹ 信息安全管理实践
信息安全管理平台的设计和实现离不开整体的信息安全规划和建设思路,而信息安全的实践根据不同行业、不同组织的自身特点也有着相应的建设思路。针对归纳提炼的信息安全三大属性即机密性、可用性和完整性,不同实践思路也有着不同侧重点。
7.3.1金融行业安全管理实践
改革开放30多年来,中国的金融信息化建设是从无到有、从单一业务向综合业务发展,取得了一定的成绩。如今已从根本上改变了传统金融业务的处理模式,建立了以计算机和互联网为基础的电子清算系统和金融管理系统。
随着金融行业信息化的发展,业务系统对信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证金融组织信息系统平稳运行和业务持续开展,需要建立金融组织信息安全保障体系,以增强金融组织的信息安全风险防范能力。
7.3.1.1需求分析
随着世界经济全球化和网络化的发展,国外的金融变革对我国的影响越来越大。由于利益的驱使,针对金融业的安全威胁越来越多,金融业必须加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。
随着银行业务的不断发展,其网络系统也经历了多年的不断建设,多数商业银行进行了数据的大集中。在业务水平、网络规模不断提升的同时,银行的网络也变得越来越复杂,而这种复杂也使其安全问题越来越严峻。目前各金融体系的建设标准很难统一,阻碍了金融信息化的进一步发展。在国有商业银行全面实施国家金融信息化标准前,许多银行都已经建立了自己的体系,由于机型、系统平台、计算机接口以及数据标准的不统一,使得各地的差距比较大,系统的整合比较困难,标准化改造需要一段时间。金融组织充分认识到安全保证对于业务系统的重要性,采取了相应的安全措施,部署了一些安全设备。公众对信息安全的防范意识也有所提高,但信息犯罪的增加、安全防护能力差、信息基础严重依赖国外、设备缺乏安全检测等信息安全方面由来已久的问题并未得到解决。加强对计算机系统、网络技术的安全研究,完善内控管理机制,确保业务数据和客户信息的安全,全面提高计算机的安全防范水平已是国内各大银行面临的共同问题。但是安全的动态性、系统性的属性决定了安全是一个逐步完善、整体性的系统工程,需要管理、组织和技术各方面的合力。
7.3.1.2安全体系建设
安全体系建设的目标是通过建立完善的信息安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,来实现信息系统的可靠性、保密性、完整性、有效性、不可否认性,为金融业务的发展提供一个坚实的信息系统基础保证。信息安全防范体系的覆盖范围是整个信息系统。
安全体系建设的主要工作内容有:
(1)建立和完善银行信息安全管理组织架构,专门负责信息系统的安全管理和监督。
(2)设计并实施技术手段,技术手段要包括外网边界防护、内网区域划分与访问控制、端点准入、内网监控与管理、移动办公接入、拨号安全控制、病毒防范、安全审计、漏洞扫描与补丁管理等诸多方面安全措施。通过划分安全域的方法,将网络系统按照业务流程的不同层面划分为不同的安全域,各个安全域内部又可以根据业务元素对象划分为不同的安全子域;针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施;不同的安全子域之间和不同的安全域之间存在着数据流,这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。
(3)制订金融安全策略和安全管理制度。安全管理部门结合银行信息系统的实际情况,制订合理的安全策略,对信息资源进行安全分级,划分不同安全等级的安全域,进行不同等级的保护。如加强系统口令管理;进行权限分离,明确责任人;加强内审机制;注意授权的最小化和时效性,除非真正需要,一般只授最小权限,到一定时间后就收回授权,并且形成制度和流程;对所有服务器进行漏洞扫描,形成资产脆弱性报告;建立数据的异地容灾备份中心;物理和环境的安全。制订并执行各种安全制度和应急恢复方案,保证信息系统的安全运行。这些包括密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等。
(4)建立安全运维管理中心,集中监控安全系统的运行情况,集中处理各种安全事件。针对金融应用系统、数据库的黑客攻击越来越多,仅仅通过设立边界防火墙,建立、改善、分析服务器日记文件等被动的方式是不够的,监测黑客入侵行为最好的方法是能够当时就能监测出恶意的网络入侵行为,并且马上采取防范反击措施加以纠正,因此IDS的部署也就必不可少。
(5)统一制定安全系统升级策略,并及时对安全系统进行升级,以保证提高安全体系防护能力。
(6)容灾、备份系统。金融组织关键数据丢失会中断正常业务运行,损失不可估量。要保护数据,保证数据的高可用性和不间断性,需要建立备份、容灾系统。备份和容灾两个系统相辅相成,两者都是金融组织数据安全的重要保障,而且两者的目标是不同的。容灾系统的目的在于保证系统数据和服务的“在线性”,即当系统发生故障时,仍然能够正常地向网络系统提供数据和服务,以使系统不致停顿。备份是“将在线数据转移成离线数据的过程”,其目的在于应付系统数据中的逻辑错误和历史数据保存。
7.3.2电子政务安全管理实践
政府组织作为国家的职能机关,其信息系统安全跟国家安全紧密结合在一起。信息的可用性尤为重要,在某些领域信息的机密性也是政府组织信息安全建设的重中之重。电子政务涉及对国家机密和敏感度高的核心政务信息的保护,涉及维护社会公共秩序和行政监管的准确实施,涉及为企业和公民提供公共服务的质量保证。
在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现。然而,电子政务一方面的确可以提高办公效率、精简机构人员、扩大服务内容、提升政府形象,另一方面也为某些居心不良者提供了通过技术手段窃取重要信息的可能。而且考虑到网络本身所固有的开放性、国际性和无组织性,政府网络在增加应用自由度的同时,政府网络对安全提出了更高的要求。
7.3.2.1需求分析
电子政务是一个由政务内网、政务外网和互联网三级网络构成。政务内网为政府部门内部的关键业务管理系统和核心数据应用系统,政务外网为政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,与互联网相连的网络,面向社会提供的一般应用服务及信息发布,包括各类公开信息和非敏感的社会服务。由于我国大部分政府官员和公务员对信息技术、网络技术和计算机技术还未接触或接触不多,防范方法和技术欠缺,整体素质与电子政务安全防范的要求还有很大的距离。电子政务最常见的安全问题,包括网站被黑、数据被篡改和盗用、秘密泄露、越权浏览等。
因此,政府网络常见的信息安全需求如下:
(1)统一的安全管理平台。目前政府信息系统较常见的安全威胁主要来自很多无意的人为因素而造成的风险,如由于用户安全意识不强导致的病毒泛滥、账户口令安全薄弱等。对集中统一的安全管理软件,如病毒软件管理系统、身份认证管理系统以及网络安全设备管理软件等要求较高。因此,通过安全管理平台可有效地实现全网的安全管理,同时还可以针对人员进行安全管理和培训,增强人员的安全防范意识。这就对安全管理平台和专业的网络安全服务提出了较高的要求。
(2)信息的保密性和完整性。由于政府网络上存有重要信息,对信息的保密性和完整性要求非常高。信息可能面临多层次的安全威胁,如通过电磁辐射或线路干扰等物理威胁、泄漏或者存放机密信息的系统被攻击等威胁。同时针对网上报税等电子政务应用还要求严格保障信息的完整性,这都需要从网络安全角度整体考虑,配合统一的网络安全策略并选择相应的安全产品,保障网络的信息安全。
7.3.2.2建设思路
(1)内外网物理隔离。一般来讲,政府组织内部网络可以根据功能划分为电子政务网与办公网两部分。安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及本单位、本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家相关文件严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离。按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。
(2)建立严格的防范机制。政府组织外部网络面临最大的威胁是来自互联网的恶意攻击行为,重在“防范”,通过部署防垃圾邮件系统、防病毒系统、入侵检测系统、防拒绝服务攻击系统,保证政府门户网站对外宣传。建立政府上网信息保密审查制度,坚持“谁上网谁负责”的原则,信息上网必须经过信息提供单位的严格审查和批准。各级保密工作部门和机构负责本地区本部门网上信息的保密检查,发现问题,及时处理。
(3)遵循信息安全管理国际标准。改变我国的信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手段。国际标准BS7799和ISO/IEC17799是流行的信息安全管理体系标准。其中的管理目标为数据的保密性、完整性和可用性,具有自组织、自学习、自适应、自修复、自生长的能力和功能,保证持续有效性。通过计划、实施、检查、措施四个阶段周而复始的循环,应用于其整体过程、其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等,为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便。在模式和方法上都兼容,成为统一的内部综合管理体系,包括按照可信网络架构方法,编制信息安全解决方案、多层防范多级防护、等级保护、风险评估、重点保护;针对可能发生的事故或灾害,制定信息安全应急预案,建立新机制、规避风险、减少损失;根据相应的政策法规在网络工程数据设计、建设和验收等阶段实行同步审查,建立完善的数据备份、灾难恢复等应用,确保实时、安全、高效、可靠的运行效果。
(4)建立健全网络信息安全基础设施。我国的网络安全基础设施建设还处于初级阶段,应该尽快建立网络监控中心、安全产品评测中心、计算机病毒防治中心、关键网络系统灾难恢复中心、网络安全应急响应中心、电子交易安全证书授权中心、密钥监管中心等国家网络安全基础设施。目前,国际出入口监控中心和安全产品评测认证中心已经初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和网络安全专家委员会组成。积极推动电子政务公钥基础设施建设,建立政府网络安全防护与通报机制以及网络身份认证制度,加速政府部门之间的信息交流和共享,增强网络活动的安全保障,确保信息的有效性和安全性。建立中国的电子政务公钥基础设施/认证中心(PKI/CA)体系事关全局,各级地方和部门应在国家级CA的体系下,严格按照国家有关主管部门的统一部署,有序建设。
7.3.3军队军工安全管理实践
军队军工行业网络经过多年信息化建设已经初具规模,随着内网资源共享程度增加,网络安全保密的威胁和风险也同时增大,参照涉密网保密资质的要求,目前的网络现状存在很大泄密的威胁和风险。而且军队军工行业网络中有大量的涉密文件和信息,对保密性的要求特别严格。
军队军工信息系统的计算机网络规模庞大,终端、网络设备众多,应用环境复杂,信息系统中对数据安全和网络安全方面要求保证绝对机密,同时要求系统持续可靠运行。
7.3.3.1安全需求分析
目前,我军应用的信息技术,大部分是引进西方发达国家,没有形成具有自主知识产权的核心技术。网络系统使用的芯片、操作系统、协议、标准、先进密码技术和安全产品几乎被国外垄断。由于受技术水平等限制,对从外国引进的关键信息设备可能预做手脚的情况无从检测和排除,客观上造成了军队关键信息基础建设防护水平不高,存在安全隐患。英国Omega基金会在一次报告中明确指出,在欧洲,全部电子邮件、电话和传真等通讯都处于美国国家安全局的日常监听之下。当前我国的信息安全研究处于忙于封堵现有信息安全漏洞阶段。要彻底解决这些问题,归根结底取决于信息安全保障体系的建设。主要有以下需求:
进一步完善军队军工行业的网络安全管理制度和执行力度,以确保整个网络系统的安全管理处于较高的水平;配备相应的物理安全防护设施,确保网中重要机房的安全,确保关键主机及涉密终端的物理安全;建立军队军工CA证书服务中心,从而构建起基于证书的安全基础支撑平台;建立统一的身份认证和访问控制平台,为管理系统提供统一的身份认证和访问控制服务,给予相应人员对应的权限,阻断越权操作等非法行为;通过防火墙技术在自己与互联网之间建立一道信息安全屏障,一方面将军网与互联网物理隔离,防止黑客进入军网,另一方面又能安全地进行网间数据交换。确保网络关键主机和涉密终端的安全,确保存储在军工网关键主机和涉密终端中机密信息的安全,在保证信息畅通的基础上,有效阻止非法信息获取或数据篡改,避免对系统的恶意破坏导致系统瘫痪;健全数据备份/恢复和应急处理机制,确保网络信息系统的各种数据实时备份,当数据资源在受到侵害破坏损失时,及时地启动备份恢复机制,可以保证系统的快速恢复,而不影响整个网络信息系统的正常运转。对于服务器和工作站端来说,必须建立一个整体、全面的反病毒体系结构,解决网络中的病毒传播和防病毒集中监控问题;使用安全评估和性能检测工具,准确而全面地报告网络存在的脆弱性和漏洞,为用户和管理者了解主机与网络设备的服务开启情况、系统漏洞情况,为调整安全策略、确保网络安全提供决策依据。
7.3.3.2安全解决思路
(1)安全域访问控制。在军队广域网中将若干个区域网络实体利用隧道技术连接成虚拟的独立网络,网络中的数据利用加(解)密算法进行加密封装后,通过虚拟的公网隧道在各网络实体间传输,从而防止未授权用户窃取、篡改信息。军队军工网络不同安全级别之间严格遵循高密级信息禁止流向低密级信息系统。不同密级之间数据传输只能是“高密级读低密级,低密级写高密级”;对不同密级的边界进行细颗粒或基于证书的访问控制、审计、检测策略;相同密级的不同科研单位之间,原则上不开放相互访问权限。通过在路由器主板上增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。使用安全路由器可以实现军队各单位内部网络与外部网络的互联、隔离、流量控制、网络和信息安全维护,也可以阻塞广播信息和小知名地址的传输,达到保护内部信息化与网络建设安全的目的。军队军工项目管理系统建立基于证书的身份认证和权限管理,不同密级的用户或用户组划分不同的权限。根据密级要求和用户实际的安全需求,对终端的硬件、软件资源使用建立访问控制策略,并通过技术手段实施、监控和管理。
(2)保密措施纲要。设立专门的信息安全管理机构,人员应包括领导和专业人员。按照不同任务进行分类,以确立各自的职责。一类人员负责确定安全措施,包括方针、政策、策略的制定,并协调、监督、检查安全措施的实施;另一类人员负责具体管理系统的安全工作,包括信息安全管理员、信息保密员和系统管理员等。在分类的基础上,应有具体的负责人负责整个网络系统的安全。采取强制访问控制策略,从安全域划分、边界访问控制、入侵检测、远程网络加密、主机管理、系统安全性能检测、数字签名抗抵赖、审计等多方面,在物理层、网络层、系统层、应用层采取相应手段进行防护、检测、稽核、管理、控制。针对物理层、网络层、系统层、应用层和管理层对涉密信息可用性、有效性带来的威胁,从恢复与备份、病毒与恶意代码防护、应急响应体系、系统配置管理几个方面,以确保涉密系统的运行安全。
(3)互联网管理与监控。在涉密网网络建设规划中,严格按照“物理隔离”的要求进行网络建设,但根据以往的安全保密管理经验,存在一些安全意识淡薄或故意有泄密行为的人员,通过本地可外连的网络,把涉密信息通过外网传输出去,造成严重泄密,故在军队军工领域由于科研需要,存在一定范围的互联网的情况下,必须对互联网上的网络行为进行实时的监控和审计,并针对互联网网络进行严格的管理。主要的安全措施是在各个互联网出口部署互联网审计系统,通过专用的互联网信息安全审计管理中心系统统一管理。为管理用户提供一个统一的对互联网上多种事件的安全处置管理平台,提供全方位的网络控制、远程查询和详尽的报表统计功能,采用统一的数据库和统一的管理界面进行管理,全方位协助管理部门对互联网进行审计管理。可以集中完成分布在不同网络内的互联网用户的安全、审计管理,实现在一个平台下,有效地进行信息共享、综合分析、统一管理的目的。
(4)采用安全性较高的系统和使用数据加密技术。美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1、B2、B3、A1级,安全等级由低到高。目前主要的操作系统等级为C2级,在使用C2级系统时,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在极端重要的系统中,应采用B级操作系统。对军事涉密信息在网络中的存储和传输可以使用传统的信息加密技术和新兴的信息隐藏技术来提供安全保证。在传发保存军事涉密信息的过程中,不但要用加密技术隐藏信息内容,还要用信息隐藏技术来隐藏信息的发送者、接收者甚至信息本身。通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹和标杆等技术手段可以将秘密资料先隐藏到一般的文件中,然后再通过网络来传递,提高信息保密的可靠性。
(5)备份与恢复。涉密网备份与恢复,主要考虑到涉密数据、应用数据的备份,电源安全与设备的备份,同时备份环境基于一定的环境安全上。对各个研究组织的应用数据和涉密数据,建立专门的备份服务器,并建立数据备份号恢复策略和相关管理制度,以协助完善应急响应体系,关键数据和涉密数据在24小时内恢复和重建。
(6)应急响应体系。军工网络应急响应体系建设,主要依托基于物理安全、运行安全、信息保密安全建立的相应检测、监控、审计等技术手段,对系统运行事件和涉密事件实施不同的应急响应策略和管理制度。制订相应的处理预案和安全演练培训。涉密事件处理通过安全检查工具和审计工具,有针对性地发现和检测泄密事件;采取果断措施切断泄密源头,控制泄密范围;评估涉密事件风险,上报、记录。安全事件处理通过入侵检测、病毒防护、防火墙、主机审计、网络审计等技术手段,发现运行安全事件;制订相应事件的处理预案和培训;评估事件对系统的影响,并修补漏洞、记录。
❺ 针对互联网金融的国家政策有哪些
《关于促进互联网金融健康发展的指导意见》x0dx0ax0dx0a为鼓励金融创新,促进互联网金融健康发展,明确监管责任,规范市场秩序,经党中央、国务院同意,中国人民银行、工业和信息化部、公安部、财政部、国家工商总局、国务院法制办、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家互联网信息办公室日前联合印发了《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号,以下简称《指导意见》)。x0dx0ax0dx0a《指导意见》按照“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,提出了一系列鼓励创新、支持互联网金融稳步发展的政策措施,积极鼓励互联网金融平台、产品和服务创新,鼓励从业机构相互合作,拓宽从业机构融资渠道,坚持简政放权和落实、完善财税政策,推动信用基础设施建设和配套服务体系建设。x0dx0ax0dx0a《指导意见》按照“依法监管、适度监管、分类监管、协同监管、创新监管”的原则,确立了互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等互联网金融主要业态的监管职责分工,落实了监管责任,明确了业务边界。x0dx0ax0dx0a《指导意见》坚持以市场为导向发展互联网金融,遵循服务好实体经济、服从宏观调控和维护金融稳定的总体目标,切实保障消费者合法权益,维护公平竞争的市场秩序,在互联网行业管理,客户资金第三方存管制度,信息披露、风险提示和合格投资者制度,消费者权益保护,网络与信息安全,反洗钱和防范金融犯罪,加强互联网金融行业自律以及监管协调与数据统计监测等方面提出了具体要求。x0dx0ax0dx0a下一步,各相关部门将按照《指导意见》的职责分工,认真贯彻落实《指导意见》的各项要求;互联网金融行业从业机构应按照《指导意见》的相关规定,依法合规开展各项经营活动。(完)x0dx0ax0dx0a中国人民银行工业和信息化部公安部财政部工商总局法制办银监会证监会保监会国家互联网信息办公室关于促进互联网金融健康发展的指导意见x0dx0ax0dx0a近年来,互联网技术、信息通信技术不断取得突破,推动互联网与金融快速融合,促进了金融创新,提高了金融资源配置效率,但也存在一些问题和风险隐患。为全面贯彻落实党的十八大和十八届二中、三中、四中全会精神,按照党中央、国务院决策部署,遵循“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,从金融业健康发展全局出发,进一步推进金融改革创新和对外开放,促进互联网金融健康发展,经党中央、国务院同意,现提出以下意见。x0dx0ax0dx0a一、鼓励创新,支持互联网金融稳步发展x0dx0ax0dx0a互联网金融是传统金融机构与互联网企业(以下统称从业机构)利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。互联网与金融深度融合是大势所趋,将对投资模式、业务、组织和服务等方面产生更加深刻的影响。互联网金融对促进小微企业发展和扩大就业发挥了现有金融机构难以替代的积极作用,为大众创业、万众创新打开了大门。促进互联网金融健康发展,有利于提升投资服务质量和效率,深化金融改革,促进金融创新发展,扩大金融业对内对外开放,构建多层次金融体系。作为新生事物,互联网金融既需要市场驱动,鼓励创新,也需要政策助力,促进发展。x0dx0ax0dx0a(一)积极鼓励互联网金融平台、产品和服务创新,激发市场活力。鼓励银行、证券、保险、基金、信托和消费金融等金融机构依托互联网技术,实现传统金融业务与服务转型升级,积极开发基于互联网技术的新产品和新服务。支持有条件的金融机构建设创新型互联网平台开展网络银行、网络证券、网络保险、网络基金销售和网络消费金融等业务。支持互联网企业依法合规设立互联网支付机构、网络借贷平台、股权众筹融资平台、网络投资产品销售平台,建立服务实体经济的多层次投资服务体系,更好地满足中小微企业和个人投融资需求,进一步拓展普惠金融的广度和深度。鼓励电子商务企业在符合金融法律法规规定的条件下自建和完善线上投资服务体系,有效拓展电商供应链业务。鼓励从业机构积极开展产品、服务、技术和管理创新,提升从业机构核心竞争力。x0dx0ax0dx0a(二)鼓励从业机构相互合作,实现优势互补。支持各类金融机构与互联网企业开展合作,建立良好的互联网金融生态环境和产业链。鼓励银行业金融机构开展业务创新,为第三方支付机构和网络借款平台等提供资金存管、支付清算等配套服务。支持小微投资服务机构与互联网企业开展业务合作,实现商业模式创新。支持证券、基金、信托、消费金融、期货机构与互联网企业开展合作,拓宽投资产品销售渠道,创新财富管理模式。鼓励保险公司与互联网企业合作,提升互联网金融企业风险抵御能力。x0dx0ax0dx0a(三)拓宽从业机构融资渠道,改善融资环境。支持社会资本发起设立互联网金融产业投资基金,推动从业机构与创业投资机构、产业投资基金深度合作。鼓励符合条件的优质从业机构在主板、创业板等境内资本市场上市融资。鼓励银行业金融机构按照支持小微企业发展的各项金融政策,对处于初创期的从业机构予以支持。针对互联网企业特点,创新投资模式和服务。x0dx0ax0dx0a(四)坚持简政放权,提供优质服务。各金融监管部门要积极支持金融机构开展互联网金融业务。按照法律法规规定,对符合条件的互联网企业开展相关金融业务实施高效管理。工商行政管理部门要支持互联网企业依法办理工商注册登记。电信主管部门、国家互联网信息管理部门要积极支持互联网金融业务,电信主管部门对互联网金融业务涉及的电信业务进行监管,国家互联网信息管理部门负责对金融信息服务、互联网信息内容等业务进行监管。积极开展互联网金融领域立法研究,适时出台相关管理规章,营造有利于互联网金融发展的良好制度环境。加大对从业机构专利、商标等知识产权的保护力度。鼓励省级人民政府加大对互联网金融的政策支持。支持设立专业化互联网金融研究机构,鼓励建设互联网金融信息交流平台,积极开展互联网金融研究。x0dx0ax0dx0a(五)落实和完善有关财税政策。按照税收公平原则,对于业务规模较小、处于初创期的从业机构,符合我国现行对中小企业特别是小微企业税收政策条件的,可按规定享受税收优惠政策。结合金融业营业税改征增值税改革,统筹完善互联网金融税收政策。落实从业机构新技术、新产品研发费用税前加计扣除政策。x0dx0ax0dx0a(六)推动信用基础设施建设,培育互联网金融配套服务体系。支持大数据存储、网络与信息安全维护等技术领域基础设施建设。鼓励从业机构依法建立信用信息共享平台。推动符合条件的相关从业机构接入金融信用信息基础数据库。允许有条件的从业机构依法申请征信业务许可。支持具备资质的信用中介组织开展互联网企业信用评级,增强市场信息透明度。鼓励会计、审计、法律、咨询等中介服务机构为互联网企业提供相关专业服务。x0dx0ax0dx0a二、分类指导,明确互联网金融监管责任x0dx0ax0dx0a互联网金融本质仍属于金融,没有改变金融风险隐蔽性、传染性、广泛性和突发性的特点。加强互联网金融监管,是促进互联网金融健康发展的内在要求。同时,互联网金融是新生事物和新兴业态,要制定适度宽松的监管政策,为互联网金融创新留有余地和空间。通过鼓励创新和加强监管相互支撑,促进互联网金融健康发展,更好地服务实体经济。互联网金融监管应遵循“依法监管、适度监管、分类监管、协同监管、创新监管”的原则,科学合理界定各业态的业务边界及准入条件,落实监管责任,明确风险底线,保护合法经营,坚决打击违法和违规行为。x0dx0ax0dx0a(七)互联网支付。互联网支付是指通过计算机、手机等设备,依托互联网发起支付指令、转移货币资金的服务。互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨。银行业金融机构和第三方支付机构从事互联网支付,应遵守现行法律法规和监管规定。第三方支付机构与其他机构开展合作的,应清晰界定各方的权利义务关系,建立有效的风险隔离机制和客户权益保障机制。要向客户充分披露服务信息,清晰地提示业务风险,不得夸大支付服务中介的性质和职能。互联网支付业务由人民银行负责监管。x0dx0ax0dx0a(八)网络借贷。网络借贷包括个体网络借贷(即P2P网络借贷)和网络小额借款。个体网络借贷是指个体和个体之间通过互联网平台实现的直接借贷。在个体网络借贷平台上发生的直接借贷行为属于民间借贷范畴,受合同法、民法通则等法律法规以及最高人民法院相关司法解释规范。个体网络借贷要坚持平台功能,为投资方和融资方提供信息交互、撮合、资信评估等中介服务。个体网络借贷机构要明确信息中介性质,主要为借贷双方的直接借贷提供信息服务,不得提供增信服务,不得非法集资。网络小额借款是指互联网企业通过其控制的小额借款公司,利用互联网向客户提供的小额借款。网络小额借款应遵守现有小额借款公司监管规定,发挥网络借款优势,努力降低客户融资成本。网络借贷业务由银监会负责监管。x0dx0ax0dx0a(九)股权众筹融资。股权众筹融资主要是指通过互联网形式进行公开小额股权融资的活动。股权众筹融资必须通过股权众筹融资中介机构平台(互联网网站或其他类似的电子媒介)进行。股权众筹融资中介机构可以在符合法律法规规定前提下,对业务模式进行创新探索,发挥股权众筹融资作为多层次资本市场有机组成部分的作用,更好服务创新创业企业。股权众筹融资方应为小微企业,应通过股权众筹融资中介机构向投资人如实披露企业的商业模式、经营管理、财务、资金使用等关键信息,不得误导或欺诈投资者。投资者应当充分了解股权众筹融资活动风险,具备相应风险承受能力,进行小额投资。股权众筹融资业务由证监会负责监管。x0dx0ax0dx0a(十)互联网基金销售。基金销售机构与其他机构通过互联网合作销售基金等投资产品的,要切实履行风险披露义务,不得通过违规承诺收益方式吸引客户;基金管理人应当采取有效措施防范资产配置中的期限错配和流动性风险;基金销售机构及其合作机构通过其他活动为投资人提供收益的,应当对收益构成、先决条件、适用情形等进行全面、真实、准确表述和列示,不得与基金产品收益混同。第三方支付机构在开展基金互联网销售支付服务过程中,应当遵守人民银行、证监会关于客户备付金及基金销售结算资金的相关监管要求。第三方支付机构的客户备付金只能用于办理客户委托的支付业务,不得用于垫付基金和其他投资产品的资金赎回。互联网基金销售业务由证监会负责监管。x0dx0ax0dx0a(十一)互联网保险。保险公司开展互联网保险业务,应遵循安全性、保密性和稳定性原则,加强风险管理,完善内控系统,确保交易安全、信息安全和资金安全。专业互联网保险公司应当坚持服务互联网经济活动的基本定位,提供有针对性的保险服务。保险公司应建立对所属电子商务公司等非保险类子公司的管理制度,建立必要的防火墙。保险公司通过互联网销售保险产品,不得进行不实陈述、片面或夸大宣传过往业绩、违规承诺预期收益或者承担损失等误导性描述。互联网保险业务由保监会负责监管。x0dx0ax0dx0a(十二)互联网信托和互联网消费金融。信托公司、消费金融公司通过互联网开展业务的,要严格遵循监管规定,加强风险管理,确保交易合法合规,并保守客户信息。信托公司通过互联网进行产品销售及开展其他信托业务的,要遵守合格投资者等监管规定,审慎甄别客户身份和评估客户风险承受能力,不能将产品销售给与风险承受能力不相匹配的客户。信托公司与消费金融公司要制定完善产品文件签署制度,保证交易过程合法合规,安全规范。互联网信托业务、互联网消费金融业务由银监会负责监管。x0dx0ax0dx0a三、健全制度,规范互联网金融市场秩序x0dx0ax0dx0a发展互联网金融要以市场为导向,遵循服务实体经济、服从宏观调控和维护金融稳定的总体目标,切实保障消费者合法权益,维护公平竞争的市场秩序。要细化管理制度,为互联网金融健康发展营造良好环境。x0dx0ax0dx0a(十三)互联网行业管理。任何组织和个人开设网站从事互联网金融业务的,除应按规定履行相关金融监管程序外,还应依法向电信主管部门履行网站备案手续,否则不得开展互联网金融业务。工业和信息化部负责对互联网金融业务涉及的电信业务进行监管,国家互联网信息办公室负责对金融信息服务、互联网信息内容等业务进行监管,两部门按职责制定相关监管细则。x0dx0ax0dx0a(十四)客户资金第三方存管制度。除另有规定外,从业机构应当选择符合条件的银行业金融机构作为资金存管机构,对客户资金进行管理和监督,实现客户资金与从业机构自身资金分账管理。客户资金存管账户应接受独立审计并向客户公开审计结果。人民银行会同金融监管部门按照职责分工实施监管,并制定相关监管细则。x0dx0ax0dx0a(十五)信息披露、风险提示和合格投资者制度。从业机构应当对客户进行充分的信息披露,及时向投资者公布其经营活动和财务状况的相关信息,以便投资者充分了解从业机构运作状况,促使从业机构稳健经营和控制风险。从业机构应当向各参与方详细说明交易模式、参与方的权利和义务,并进行充分的风险提示。要研究建立互联网金融的合格投资者制度,提升投资者保护水平。有关部门按照职责分工负责监管。x0dx0ax0dx0a(十六)消费者权益保护。研究制定互联网金融消费者教育规划,及时发布维权提示。加强互联网投资模式合同内容、免责条款规定等与消费者利益相关的信息披露工作,依法监督处理经营者利用合同格式条款侵害消费者合法权益的违法、违规行为。构建在线争议解决、现场接待受理、监管部门受理投诉、第三方调解以及仲裁、诉讼等多元化纠纷解决机制。细化完善互联网金融个人信息保护的原则、标准和操作流程。严禁网络销售投资产品过程中的不实宣传、强制捆绑销售。人民银行、银监会、证监会、保监会会同有关行政执法部门,根据职责分工依法开展互联网金融领域消费者和投资者权益保护工作。x0dx0ax0dx0a(十七)网络与信息安全。从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。人民银行、银监会、证监会、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管,并制定相关监管细则和技术安全标准。x0dx0ax0dx0a(十八)反洗钱和防范金融犯罪。从业机构应当采取有效措施识别客户身份,主动监测并报告可疑交易,妥善保存客户资料和交易记录。从业机构有义务按照有关规定,建立健全有关协助查询、冻结的规章制度,协助公安机关和司法机关依法、及时查询、冻结涉案财产,配合公安机关和司法机关做好取证和执行工作。坚决打击涉及非法集资等互联网金融犯罪,防范金融风险,维护金融秩序。金融机构在和互联网企业开展合作、代理时应根据有关法律和规定签订包括反洗钱和防范金融犯罪要求的合作、代理协议,并确保不因合作、代理关系而降低反洗钱和金融犯罪执行标准。人民银行牵头负责对从业机构履行反洗钱义务进行监管,并制定相关监管细则。打击互联网金融犯罪工作由公安部牵头负责。x0dx0ax0dx0a(十九)加强互联网金融行业自律。充分发挥行业自律机制在规范从业机构市场行为和保护行业合法权益等方面的积极作用。人民银行会同有关部门,组建中国互联网金融协会。协会要按业务类型,制订经营管理规则和行业标准,推动机构之间的业务交流和信息共享。协会要明确自律惩戒机制,提高行业规则和标准的约束力。强化守法、诚信、自律意识,树立从业机构服务经济社会发展的正面形象,营造诚信规范发展的良好氛围。x0dx0ax0dx0a(二十)监管协调与数据统计监测。各监管部门要相互协作、形成合力,充分发挥金融监管协调部际联席会议制度的作用。人民银行、银监会、证监会、保监会应当密切关注互联网金融业务发展及相关风险,对监管政策进行跟踪评估,适时提出调整建议,不断总结监管经验。财政部负责互联网金融从业机构财务监管政策。人民银行会同有关部门,负责建立和完善互联网金融数据统计监测体系,相关部门按照监管职责分工负责相关互联网金融数据统计和监测工作,并实现统计数据和信息共享。
❻ 互联网保险金融规定
《关于促进互联网金融健康发展的指导意见》
为鼓励金融创新,促进互联网金融健康发展,明确监管责任,规范市场秩序,经党中央、国务院同意,中国人民银行、工业和信息化部、公安部、财政部、国家工商总局、国务院法制办、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家互联网信息办公室日前联合印发了《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号,以下简称《指导意见》)。
《指导意见》按照“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,提出了一系列鼓励创新、支持互联网金融稳步发展的政策措施,积极鼓励互联网金融平台、产品和服务创新,鼓励从业机构相互合作,拓宽从业机构融资渠道,坚持简政放权和落实、完善财税政策,推动信用基础设施建设和配套服务体系建设。
《指导意见》按照“依法监管、适度监管、分类监管、协同监管、创新监管”的原则,确立了互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等互联网金融主要业态的监管职责分工,落实了监管责任,明确了业务边界。
《指导意见》坚持以市场为导向发展互联网金融,遵循服务好实体经济、服从宏观调控和维护金融稳定的总体目标,切实保障消费者合法权益,维护公平竞争的市场秩序,在互联网行业管理,客户资金第三方存管制度,信息披露、风险提示和合格投资者制度,消费者权益保护,网络与信息安全,反洗钱和防范金融犯罪,加强互联网金融行业自律以及监管协调与数据统计监测等方面提出了具体要求。
下一步,各相关部门将按照《指导意见》的职责分工,认真贯彻落实《指导意见》的各项要求;互联网金融行业从业机构应按照《指导意见》的相关规定,依法合规开展各项经营活动。(完)
中国人民银行工业和信息化部公安部财政部工商总局法制办银监会证监会保监会国家互联网信息办公室关于促进互联网金融健康发展的指导意见
近年来,互联网技术、信息通信技术不断取得突破,推动互联网与金融快速融合,促进了金融创新,提高了金融资源配置效率,但也存在一些问题和风险隐患。为全面贯彻落实党的十八大和十八届二中、三中、四中全会精神,按照党中央、国务院决策部署,遵循“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,从金融业健康发展全局出发,进一步推进金融改革创新和对外开放,促进互联网金融健康发展,经党中央、国务院同意,现提出以下意见。
一、鼓励创新,支持互联网金融稳步发展
互联网金融是传统金融机构与互联网企业(以下统称从业机构)利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。互联网与金融深度融合是大势所趋,将对投资模式、业务、组织和服务等方面产生更加深刻的影响。互联网金融对促进小微企业发展和扩大就业发挥了现有金融机构难以替代的积极作用,为大众创业、万众创新打开了大门。促进互联网金融健康发展,有利于提升投资服务质量和效率,深化金融改革,促进金融创新发展,扩大金融业对内对外开放,构建多层次金融体系。作为新生事物,互联网金融既需要市场驱动,鼓励创新,也需要政策助力,促进发展。
(一)积极鼓励互联网金融平台、产品和服务创新,激发市场活力。鼓励银行、证券、保险、基金、信托和消费金融等金融机构依托互联网技术,实现传统金融业务与服务转型升级,积极开发基于互联网技术的新产品和新服务。支持有条件的金融机构建设创新型互联网平台开展网络银行、网络证券、网络保险、网络基金销售和网络消费金融等业务。支持互联网企业依法合规设立互联网支付机构、网络借贷平台、股权众筹融资平台、网络投资产品销售平台,建立服务实体经济的多层次投资服务体系,更好地满足中小微企业和个人投融资需求,进一步拓展普惠金融的广度和深度。鼓励电子商务企业在符合金融法律法规规定的条件下自建和完善线上投资服务体系,有效拓展电商供应链业务。鼓励从业机构积极开展产品、服务、技术和管理创新,提升从业机构核心竞争力。
(二)鼓励从业机构相互合作,实现优势互补。支持各类金融机构与互联网企业开展合作,建立良好的互联网金融生态环境和产业链。鼓励银行业金融机构开展业务创新,为第三方支付机构和网络借款平台等提供资金存管、支付清算等配套服务。支持小微投资服务机构与互联网企业开展业务合作,实现商业模式创新。支持证券、基金、信托、消费金融、期货机构与互联网企业开展合作,拓宽投资产品销售渠道,创新财富管理模式。鼓励保险公司与互联网企业合作,提升互联网金融企业风险抵御能力。
(三)拓宽从业机构融资渠道,改善融资环境。支持社会资本发起设立互联网金融产业投资基金,推动从业机构与创业投资机构、产业投资基金深度合作。鼓励符合条件的优质从业机构在主板、创业板等境内资本市场上市融资。鼓励银行业金融机构按照支持小微企业发展的各项金融政策,对处于初创期的从业机构予以支持。针对互联网企业特点,创新投资模式和服务。
(四)坚持简政放权,提供优质服务。各金融监管部门要积极支持金融机构开展互联网金融业务。按照法律法规规定,对符合条件的互联网企业开展相关金融业务实施高效管理。工商行政管理部门要支持互联网企业依法办理工商注册登记。电信主管部门、国家互联网信息管理部门要积极支持互联网金融业务,电信主管部门对互联网金融业务涉及的电信业务进行监管,国家互联网信息管理部门负责对金融信息服务、互联网信息内容等业务进行监管。积极开展互联网金融领域立法研究,适时出台相关管理规章,营造有利于互联网金融发展的良好制度环境。加大对从业机构专利、商标等知识产权的保护力度。鼓励省级人民政府加大对互联网金融的政策支持。支持设立专业化互联网金融研究机构,鼓励建设互联网金融信息交流平台,积极开展互联网金融研究。
(五)落实和完善有关财税政策。按照税收公平原则,对于业务规模较小、处于初创期的从业机构,符合我国现行对中小企业特别是小微企业税收政策条件的,可按规定享受税收优惠政策。结合金融业营业税改征增值税改革,统筹完善互联网金融税收政策。落实从业机构新技术、新产品研发费用税前加计扣除政策。
(六)推动信用基础设施建设,培育互联网金融配套服务体系。支持大数据存储、网络与信息安全维护等技术领域基础设施建设。鼓励从业机构依法建立信用信息共享平台。推动符合条件的相关从业机构接入金融信用信息基础数据库。允许有条件的从业机构依法申请征信业务许可。支持具备资质的信用中介组织开展互联网企业信用评级,增强市场信息透明度。鼓励会计、审计、法律、咨询等中介服务机构为互联网企业提供相关专业服务。
二、分类指导,明确互联网金融监管责任
互联网金融本质仍属于金融,没有改变金融风险隐蔽性、传染性、广泛性和突发性的特点。加强互联网金融监管,是促进互联网金融健康发展的内在要求。同时,互联网金融是新生事物和新兴业态,要制定适度宽松的监管政策,为互联网金融创新留有余地和空间。通过鼓励创新和加强监管相互支撑,促进互联网金融健康发展,更好地服务实体经济。互联网金融监管应遵循“依法监管、适度监管、分类监管、协同监管、创新监管”的原则,科学合理界定各业态的业务边界及准入条件,落实监管责任,明确风险底线,保护合法经营,坚决打击违法和违规行为。
(七)互联网支付。互联网支付是指通过计算机、手机等设备,依托互联网发起支付指令、转移货币资金的服务。互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨。银行业金融机构和第三方支付机构从事互联网支付,应遵守现行法律法规和监管规定。第三方支付机构与其他机构开展合作的,应清晰界定各方的权利义务关系,建立有效的风险隔离机制和客户权益保障机制。要向客户充分披露服务信息,清晰地提示业务风险,不得夸大支付服务中介的性质和职能。互联网支付业务由人民银行负责监管。
(八)网络借贷。网络借贷包括个体网络借贷(即P2P网络借贷)和网络小额借款。个体网络借贷是指个体和个体之间通过互联网平台实现的直接借贷。在个体网络借贷平台上发生的直接借贷行为属于民间借贷范畴,受合同法、民法通则等法律法规以及最高人民法院相关司法解释规范。个体网络借贷要坚持平台功能,为投资方和融资方提供信息交互、撮合、资信评估等中介服务。个体网络借贷机构要明确信息中介性质,主要为借贷双方的直接借贷提供信息服务,不得提供增信服务,不得非法集资。网络小额借款是指互联网企业通过其控制的小额借款公司,利用互联网向客户提供的小额借款。网络小额借款应遵守现有小额借款公司监管规定,发挥网络借款优势,努力降低客户融资成本。网络借贷业务由银监会负责监管。
(九)股权众筹融资。股权众筹融资主要是指通过互联网形式进行公开小额股权融资的活动。股权众筹融资必须通过股权众筹融资中介机构平台(互联网网站或其他类似的电子媒介)进行。股权众筹融资中介机构可以在符合法律法规规定前提下,对业务模式进行创新探索,发挥股权众筹融资作为多层次资本市场有机组成部分的作用,更好服务创新创业企业。股权众筹融资方应为小微企业,应通过股权众筹融资中介机构向投资人如实披露企业的商业模式、经营管理、财务、资金使用等关键信息,不得误导或欺诈投资者。投资者应当充分了解股权众筹融资活动风险,具备相应风险承受能力,进行小额投资。股权众筹融资业务由证监会负责监管。
(十)互联网基金销售。基金销售机构与其他机构通过互联网合作销售基金等投资产品的,要切实履行风险披露义务,不得通过违规承诺收益方式吸引客户;基金管理人应当采取有效措施防范资产配置中的期限错配和流动性风险;基金销售机构及其合作机构通过其他活动为投资人提供收益的,应当对收益构成、先决条件、适用情形等进行全面、真实、准确表述和列示,不得与基金产品收益混同。第三方支付机构在开展基金互联网销售支付服务过程中,应当遵守人民银行、证监会关于客户备付金及基金销售结算资金的相关监管要求。第三方支付机构的客户备付金只能用于办理客户委托的支付业务,不得用于垫付基金和其他投资产品的资金赎回。互联网基金销售业务由证监会负责监管。
(十一)互联网保险。保险公司开展互联网保险业务,应遵循安全性、保密性和稳定性原则,加强风险管理,完善内控系统,确保交易安全、信息安全和资金安全。专业互联网保险公司应当坚持服务互联网经济活动的基本定位,提供有针对性的保险服务。保险公司应建立对所属电子商务公司等非保险类子公司的管理制度,建立必要的防火墙。保险公司通过互联网销售保险产品,不得进行不实陈述、片面或夸大宣传过往业绩、违规承诺预期收益或者承担损失等误导性描述。互联网保险业务由保监会负责监管。
(十二)互联网信托和互联网消费金融。信托公司、消费金融公司通过互联网开展业务的,要严格遵循监管规定,加强风险管理,确保交易合法合规,并保守客户信息。信托公司通过互联网进行产品销售及开展其他信托业务的,要遵守合格投资者等监管规定,审慎甄别客户身份和评估客户风险承受能力,不能将产品销售给与风险承受能力不相匹配的客户。信托公司与消费金融公司要制定完善产品文件签署制度,保证交易过程合法合规,安全规范。互联网信托业务、互联网消费金融业务由银监会负责监管。
三、健全制度,规范互联网金融市场秩序
发展互联网金融要以市场为导向,遵循服务实体经济、服从宏观调控和维护金融稳定的总体目标,切实保障消费者合法权益,维护公平竞争的市场秩序。要细化管理制度,为互联网金融健康发展营造良好环境。
(十三)互联网行业管理。任何组织和个人开设网站从事互联网金融业务的,除应按规定履行相关金融监管程序外,还应依法向电信主管部门履行网站备案手续,否则不得开展互联网金融业务。工业和信息化部负责对互联网金融业务涉及的电信业务进行监管,国家互联网信息办公室负责对金融信息服务、互联网信息内容等业务进行监管,两部门按职责制定相关监管细则。
(十四)客户资金第三方存管制度。除另有规定外,从业机构应当选择符合条件的银行业金融机构作为资金存管机构,对客户资金进行管理和监督,实现客户资金与从业机构自身资金分账管理。客户资金存管账户应接受独立审计并向客户公开审计结果。人民银行会同金融监管部门按照职责分工实施监管,并制定相关监管细则。
(十五)信息披露、风险提示和合格投资者制度。从业机构应当对客户进行充分的信息披露,及时向投资者公布其经营活动和财务状况的相关信息,以便投资者充分了解从业机构运作状况,促使从业机构稳健经营和控制风险。从业机构应当向各参与方详细说明交易模式、参与方的权利和义务,并进行充分的风险提示。要研究建立互联网金融的合格投资者制度,提升投资者保护水平。有关部门按照职责分工负责监管。
(十六)消费者权益保护。研究制定互联网金融消费者教育规划,及时发布维权提示。加强互联网投资模式合同内容、免责条款规定等与消费者利益相关的信息披露工作,依法监督处理经营者利用合同格式条款侵害消费者合法权益的违法、违规行为。构建在线争议解决、现场接待受理、监管部门受理投诉、第三方调解以及仲裁、诉讼等多元化纠纷解决机制。细化完善互联网金融个人信息保护的原则、标准和操作流程。严禁网络销售投资产品过程中的不实宣传、强制捆绑销售。人民银行、银监会、证监会、保监会会同有关行政执法部门,根据职责分工依法开展互联网金融领域消费者和投资者权益保护工作。
(十七)网络与信息安全。从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。人民银行、银监会、证监会、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管,并制定相关监管细则和技术安全标准。
(十八)反洗钱和防范金融犯罪。从业机构应当采取有效措施识别客户身份,主动监测并报告可疑交易,妥善保存客户资料和交易记录。从业机构有义务按照有关规定,建立健全有关协助查询、冻结的规章制度,协助公安机关和司法机关依法、及时查询、冻结涉案财产,配合公安机关和司法机关做好取证和执行工作。坚决打击涉及非法集资等互联网金融犯罪,防范金融风险,维护金融秩序。金融机构在和互联网企业开展合作、代理时应根据有关法律和规定签订包括反洗钱和防范金融犯罪要求的合作、代理协议,并确保不因合作、代理关系而降低反洗钱和金融犯罪执行标准。人民银行牵头负责对从业机构履行反洗钱义务进行监管,并制定相关监管细则。打击互联网金融犯罪工作由公安部牵头负责。
(十九)加强互联网金融行业自律。充分发挥行业自律机制在规范从业机构市场行为和保护行业合法权益等方面的积极作用。人民银行会同有关部门,组建中国互联网金融协会。协会要按业务类型,制订经营管理规则和行业标准,推动机构之间的业务交流和信息共享。协会要明确自律惩戒机制,提高行业规则和标准的约束力。强化守法、诚信、自律意识,树立从业机构服务经济社会发展的正面形象,营造诚信规范发展的良好氛围。
(二十)监管协调与数据统计监测。各监管部门要相互协作、形成合力,充分发挥金融监管协调部际联席会议制度的作用。人民银行、银监会、证监会、保监会应当密切关注互联网金融业务发展及相关风险,对监管政策进行跟踪评估,适时提出调整建议,不断总结监管经验。财政部负责互联网金融从业机构财务监管政策。人民银行会同有关部门,负责建立和完善互联网金融数据统计监测体系,相关部门按照监管职责分工负责相关互联网金融数据统计和监测工作,并实现统计数据和信息共享。
扩展阅读:【保险】怎么买,哪个好,手把手教你避开保险的这些"坑"
❼ 网络安全保障的体系有那些
在当今网络化的世界中,计算机信息和资源很容易遭到各方面的攻击。一方面,来源于Internet,Internet给企业网带来成熟的应用技术的同时,也把固有的安全问题带给了企业网;另一方面,来源于企业内部,因为是企业内部的网络,主要针对企业内部的人员和企业内部的信息资源,因此,企业网同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了防火墙、人侵检测、虚拟专用网、访问控制等各种网络安全技术的蓬勃发展。 企业网络安全是系统结构本身的安全,所以必须利用结构化的观点和方法来看待企业网安全系统。企业网安全保障体系分为4个层次,从高到低分别是企业安全策略层、企业用户层、企业网络与信息资源层、安全服务层。按这些层次建立一套多层次的安全技术防范系统,常见的企业网安全技术有如下一些。 VLAN(虚拟局域网)技术 选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依*用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。 网络分段 企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接人以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。 硬件防火墙技术 任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 入侵检测技术 入侵检测方法较多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。 不知道你找的是不是这些
❽ 想要确保网络的安全性,关键在于网络是否得到有效的控制,请问采取什么防护措施才能确保网络信息安全呢
【热心解答】
网络安全是个系统工程,不可能只是采取单一措施即可解决,需要网络安全保障体系共同综合措施。通常,企事业机构需要先对网络系统进行风险评估,确定各类潜在风险和等级,并针对各类风险确定相应的策略和方案。经过有效的安全控制降低风险发生的可能性,残留风险将通过监控和分析,并在意外发生时作出应急响应和灾难恢复,最终实现业务的持续运行。
实际上,原有的一些传统网络安全技术,通常可以使企事业机构在检测攻击、发现漏洞、防御病毒、访问控制等方面取得较为满意的效果,然而,却无法从根本上彻底解决网络信息系统整体防御的问题。面对新的网络环境和新的威胁,促使各国为具体的安全技术建立一个以深度防御为重点的整体网络安全平台——网络安全保障体系。
如我国某金融机构的网络网络安全保障体系总体框架,如图所示。网络网络安全保障体系框架的外围是风险管理、法律法规、标准的符合性。
注:摘自清华大学出版社《网络安全实用技术》贾铁军教授主编。
❾ 网络安全管理措施
【热心相助】
您好!网络安全管理措施需要综合防范,主要体现在网络安全保障体系和总体框架中。
面对各种网络安全的威胁,以往针对单方面具体的安全隐患,提出具体解决方案的应对措施难免顾此失彼,越来越暴露出其局限性。面对新的网络环境和威胁,需要建立一个以深度防御为特点的信息安全保障体系。
【案例】我国某金融机构的网络信息安全保障体系总体框架如图1所示。网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。
图1 网络信息安全保障体系框架
风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上,制定的识别风险、衡量风险、积极应对风险、有效处置风险及妥善处理风险等一整套系统而科学的管理方法,以避免和减少风险损失,促进企业长期稳定发展。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心,风险分为信用风险、市场风险和操作风险,其中后者包括信息安全风险。实际上,在信息安全保障体系框架中充分体现了风险管理的理念。网络信息安全保障体系架构包括五个部分:
1) 网络安全战略。以风险管理为核心理念,从长远战略角度通盘考虑网络建设安全。它处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。
2) 信息安全政策和标准。以风险管理理念逐层细化和落实,是对网络安全战略的逐层细化和落实,跨越管理、运作和技术三个不同层面,在每一层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,以保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准通过调整相互适应。安全政策和标准也会影响管理、运作和技术。
3) 网络安全运作。是基于风险管理理念的日常运作模式及其概念性流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。既是网络安全保障体系的核心,贯穿网络安全始终;又是网络安全管理机制和技术机制在日常运作中的实现,涉及运作流程和运作管理。
4) 网络安全管理。涉及企业管理体系范畴,是网络安全体系框架的上层基础,对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证网络安全运作,网络安全技术体系是从技术角度保证网络安全运作。
5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的技术可以极大提高网络安全运作的有效性,从而达到网络安全保障体系的目的,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
(拓展参考本人资料:清华大学出版社,贾铁军教授主编,网络安全实用技术)