如何甄别一家专业诚信的论文机构? 咨询电话: 13161669098(李老师) QQ:286399115点击即时交谈 设为首页 | 加入收藏 | 在线留言 | 旧版站点入口  

银行管理论文开题报告范本

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2017-05-11 20:49:05

银行管理论文开题报告范本

题目:金融银行业信息科技风险评估研究和实践

一、研究的背景和意义
    金融银行业的发展越来越依赖于其信息化建设的进程,原先的信息科技主要功能为业务支持,而今已逐渐实现与金融业务的融合。然而,随着银行信息化建设的逐步深入,信息技术在给金融银行业带来发展和收益的同时,它造成的风险较之于传统风险,在范围和本质上也发生转变。大数据时代金融银行的运作更加依附于信息科技,因此,防范和控制信息科技风险在业界和学术界得到了高度重视。在十八届三中全会中,我国设立了安全委员会,以保障国家各领域的信息安全。银监会和中国人民银行也先后于2009年和2011年颁布了针对金融银行业的信息科技指引,如《商业银行信息科技风险管理指引》和《金融业“十二五”发展规划》,高度重视金融银行业的信息化建设,为识别和预防其面临的信息科技风险提供标准和支撑〔’〕。
    国家大力发展金融业信息建设的同时,金融银行业却也因为对信息科技的依赖,面临着越来越多的风险和挑战。2011年2月.的近一个月左右,某行的大量用户在网上电子支付时,经历了账户资金在1分钟内遭钓鱼网站迅速转账,洗劫一空的安全事件。中国互联网信息举报中心监测数据显示,此间涌现大量的通过网银窃取资金事件,针对该行的伪冒网站也增至七十余家。不仅如此,针对该网银系统的集团欺诈案频发,并迅速覆盖至全国范围内。从公布消息中即可见当时局势的严重度,自一月十日起的十天内,浙江、江苏分别发生近五十至百余起同类案件,盗窃额度巨大。按照金山云安全收集的数据,伪冒该行网站的访问数量己达五万以上。
    2012年情人节前后,在网购量大增的同时,某新式的网购木马一一“网银大盗”也正在网络猖撅。该木马伪造交易的付款页面,客户在网上购物支付时被拦截,购买病毒编写者拟定的游戏或电话充值卡。网银大盗会改变资金的去向,还可大幅修改和增加支付金额,使用户承受巨额损失。网银大盗拦截并篡改了多家银行的网上交易,涉及中国农业银行、中国工商银行、中国银行、招商银行、浦发银行、民生银行、广发银行等。2012年十月,另一起肆虐的网银木马一一“浮云”案侦破,被木马入侵的网民超过上百余,窃取金额多达千万。浮云木马案共逮捕嫌犯5$人,缴获112台作案设备和400余张银行卡,弥补资金损失超三百万元。
    金融银行业面临的安全问题远远不止这些,安全问题面临着日益严重的趋势,传统的安全检查和风险评估手段,己然变得力不从心。因此,识别并减缓金融银行业由于依附信息科技而带来的风险,是当前函待研究的问题。
二、金融银行业信息科技安全需求
    相比其他行业,金融银行业对信息科技的安全需求,有其自己的特点,主要表现在维护数据安全、严格监管业务流程以及保障业务连续性、快速应急响应等方面。如下图1-1所示:
    1、维护数据安全
    数据是银行业务的载体,金融服务的宗旨就是保障客户资料的环境安全,保障业务系统各项数据的准确性及安全性。银行信息科技系统具有庞大复杂的业务数据,数据安全主要表现在保障数据的准确性、维护数据完整性和高速的处理能力。一旦数据信息如用户资料、交易详情遭到窃取或丢失;或者由于存储介质的遗失与损毁等突发性问题造成数据不完整:或者由于大量信息数据的载入导致系统崩溃;还有系统设计漏洞造成的业务数据统计错误等,都将导致银行业务完全无法开展,造成大量的损失,严重后果不可估量。
    2、严格监管业务流程
    严格监管业务流程,也是推动银行业务顺利进行的关键环节。例如对网上银行流程、银行卡业务流程、电话银行业务流程等,一旦出现漏洞,不法分子可以结合钓鱼网站、木马程序或社会工程等攻击手段,对银行客户进行资金欺诈或密码窃取等攻击行为。银行业务从设计到支撑系统的实现、运行,都需要经过精细地审核。同时,对于发生地安全事件也需及时披露,加强宣传用户安全意识,以此降低业务流程风险的可能性。
    3、保障业务连续性
    银行业务量的迅猛增长,致使在银行信息科技中,业务连续性成为其重要的安全需求。一旦银行业务系统发生设备故障、拒绝服务、网络断开、电力供应故障等任何影响系统稳定的风险事件,都可能影响业务的继续开展。近年来银行业务中断事故频发。2007年,我国数个银行机构发生系统中断服务,业务损失波及面积广泛;2008年,大范围ATM安全事件频发于三菱东京联合银行f2l。信息系统的不稳定甚至中断,将阻滞银行业务的正常运行,信息科技无法成为银行业务的有力支持和保障。
    4、快速应急响应
    银行信息科技风险蔓延速度快、波及领域广。风险造成的安全事件发生后,可以立刻传播至其他甚至全部的银行业务系统,在响应应急预案之前己经引起巨大的业务损失。此外,风险不仅对银行业务造成资金损失,还可能波及到用户个人及社会利益等方面,严重的威胁经济秩序混乱甚至国家安全。因此,一旦发生业务系统的故障,银行必须快速对故障作出响应,启动应急预案,以求在最短的时间内恢复银行业务功能,将风险事件造成的损失降到最小。
    因此,在对金融银行业进行信息科技风险分析时,需要突出重点,根据金融银行业信息科技所特有的安全需求,分主次、侧重性的开展风险识别工作。
三、金融银行业信息科技风险分类
    信息科技风险在巴塞尔资本协议的最新版本中,属于操作风险[[3]e“信息科技风险”在2009年银监会颁布的《商业银行信息科技风险管理指引》中,有了更精确的描述,它是指信息科技在商业银行运用过程中,由于自然、人为、技术漏洞和管理缺陷等因素产生的操作、法律和声誉等风险[f}l0
    由此看来,单纯的技术性信息系统风险已经无法概括信息科技风险,它涵盖的内容还包含管理、业务流程等其他层次。我们可以将银行信息科技风险归结如下,如图1-2所示:
    1、管理风险
    主要表现在人员的威胁,其造成金融行业信息科技危害的原因可以包括:如由于董事会银行监管制度不够完善、管理规程缺失以及银行外部人员的恶意操作、内部人员的越权滥用等行为。
    以IT外包风险管理为例,银行外包服务可以减少产品开发时间,研发更具高新技术和更多功能的新产品,分散银行内部机构的工作压力,将重点放在业务经营上。然而,对外包服务的管理缺乏完善的制度体系和严格的执行策略,会导致各种潜在威胁。如外包服务机构不保证能长期维护系统安全,保障系统连续性。又如外包服务机构不保证会窃取银行机密资料及数据,造成银行的商业机密泄露等。
    2、业务流程风险
    主要指银行在业务运营的整个流程中面临的风险。如电子银行、ATM(CDM/CDS) ,银行卜等业务流程。有些漏洞风险是由于系统开发者不熟悉业务流程,导致风险在运行以后被攻击者发现。有些风险也可以是业务流程设计之初的固有漏洞,或安全事件的披露机制和安全宣传不够完善等原因造成。
    例如,对于某些在柜面未到期限严格禁止办理的业务,使用网上银行却可以违规操作。又如ATM机在收钞时模块不进行验钞功能,利用这个漏洞不法分子将持假钞与ATM机中的真钞进行兑换。又如银行口令卡的有效期为60秒,不法分子利用这一漏洞在窃取用户口令后,设立一定机制实现60秒多次转账。此外,银行业务系统的设计也可能有缺陷,如侵入者欲越权攻击,可通过访问控制方面的漏洞等。
   3、业务系统风险
    业务系统的风险是基于资产风险进行研究的。如攻击者发现系统存在的固有弱点或配置策略不完善,使用计算机网络攻击。如用于用户信息窃取、网络嗅探、滥用权限、伪冒用户、系统恶意破坏、业务数据窃取的恶意代码等等,还有远程控制的木马程序和和对服务器的拒绝服务攻击等。此外,业务系统风险还包括如断电、静电、电磁干扰、洪灾、地震、以及设备故障、设备老化等自然和物理灾害,这也会严重破坏金融行业信息科技的系统设备,导致业务系统无法正常运行。
    例如,由于系统漏洞可以造成攻击者利用信用卡、利用钓鱼网站、恶意代码等窃取用户数据资料(如账号密码交易信息)进行犯罪。如用户交易数据在传输过程中被远程木马恶意篡改,用户在未核实交易信息以后造成资金流失。又如客户资料的外泄造成银行社会信誉降低,甚至带来法律风险。
    由此看来,银行信息科技风险并非局限在系统风险,管理和业务流程带来的风险也不容小觑,在研究时应该分层次、全面化。
四、课题研究内容与意义
    依据上文金融银行业信息科技的安全现状、安全需求和风险分类的分析,对金融银行业信息科技风险的识别和规避工作,要以维护数据安全、严格监管业务流程、保障业务连续性和快速应急响应为目的,将风险分为管理、业务流程和业务系统三方面,进行全面化、侧重性的开展。目前,针对金融银行信息科技风险的成因、特征以及评估方法等各方面研究正在日益深化,但是业界研究缺乏全面的风险评估模型和针对性的量化评估方法。某些研究将信息科技风险归为单纯的技术风险,不覆盖管理和业务流程风险;某些研究只对风险的管理方面提出识别和预防。研究工作无法涵盖行业范围内所有信息科技带来的风险,不能实现在管理层面、业务层面和系统层面等各类信息科技风险的统一识别和分类监控。
    因此,为使商业银行信息科技风险评估体系更加健全;提高银行管理制度完备性、支付业务连续性、系统安全性等方面的能力;辅助对风险的持续监测和风险预警;促进金融银行业稳步发展,本文基于银监会公布的《商业银行信息科技风险管理指引》和《银行业金融机构信息科技风险监管现场检查手册》等主要标准,以最具代表性的商业银行信息科技风险作为研究对象,以风险域划分为基本思路,建立了其风险评估模型。通过整合管理、业务流程和业务系统三个风险域,将符合性分析与基于资产赋值的量化法结合,识别了风险域、子域及各风险点,最终通过权重赋值实现了银行信息科技风险的综合量化和等级评判,并从评估量化值中快速定位高风险域和风险点。

[1] [2]  下一页

  • 好的评价 如果您觉得此文章好,就请您
      0%(0)
  • 差的评价 如果您觉得此文章差,就请您
      0%(0)

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论