银行安全管理制度
为了更好的开展XX银行安全管理工作,加强安全防范意识,提高整体员工管理素质及良好的安全管理队伍,促使管理便捷,特制定以下各岗管理制度及应急预案;
一、消(监)控岗制度
遵守公司的各项规章制度,严格执行工作手册的操作标准;
使用文明用语和微笑服务,殷勤为住户提供服务;
负责当班期间钥匙、对讲机电板等物品领用管理工作,做好详细登记; 掌握各类监控、消防设备的操作与使用,发现问题及时上报;
观察监控屏幕,接到各类报警信号或者发现可疑情况,及时通知巡逻人员排查,做好详细记录;
负责在客户服务部下班后受理住户的电话报修、咨询等服务,并做好详细记录;
认真做好交接班工作;
服从工作安排,完成中心经理、部门主管交办的其它工作;
二、门岗制度
1)工作间(岗亭、休息室)管理制度
工作间(岗亭、休息室)仅供秩序维护员执勤和临时休息使用;
工作间(岗亭、休息室)内的各项物品摆放整齐,保持好室内外卫生; 禁止在工作间(岗亭、休息室)内大声喧哗,无关人员不得随便进入岗亭、休息室内;
禁止在工作间(岗亭、休息室)内存放住户和员工的私人物品及其他违禁物品;
爱惜公司财物,任何人员不得将工作间(岗亭、休息室)内公共设施和物品私自占用、挪用及外借;
严禁在工作间(岗亭、休息室)内私接电源,使用大功率的电热器具,如电炉等;
每次交班前需做好工作间(岗亭、休息室)内外的卫生清洁工作;
2)门岗岗位制度
遵守公司的各项规章制度,严格执行工作手册的操作标准;
使用文明用语和微笑服务,殷勤为住户提供服务;
负责来访人员、车辆的登记工作,做到人、车进出有登记;
负责物品出入的检查、登记,严禁将易燃、易爆、剧毒物品放入园区,运出
货物必须与物品放行单核对后方可放行;
负责进出人员、车辆的指挥工作,保持通道畅通;
认真做好交接班工作;
服从工作安排,完成中心主管、部门主管交办的其它工作;
三、巡逻岗制度
遵守公司的各项规章制度,严格执行工作手册的操作标准;
使用文明用语和微笑服务,殷勤为住户提供服务;
负责按照规定的路线巡逻和巡更打点,巡逻过程中随手关闭单元门、处理可
见垃圾、维护巡逻区交通秩序、礼貌纠正违停车辆、对可疑人员和物品进行监视、盘问和检查,无法处理及时上报;
巡视装修户,发现违章现象立即制止并上报;
接受监控指令,迅速赶到发生异常的区域,按照应急处置方案处理,并及时
反馈;
认真做好交接班工作;
服从工作安排,完成中心经理、部门主管交办的其它工作;
四、领班管理制度
在秩序维护部主管的直接领导下,协助主管做好责任区域秩序维护员的考
勤,合理安排秩序维护员的加班与调班,组织班组例会;
负责责任区域内的秩序维护工作质量的检查,将存在的问题及时整改并上
报;
负责组织交接班工作,跟进上一班遗留工作;
对员工进行设备、工具使用以及操作规范的现场培训;
负责突发事件的应急处理,协助上级做好协调沟通工作;
负责对管辖范围内的设备做好使用及检查记录,落实责任人,发现故障、损
坏立即报修,并做好跟踪处理工作;
在人员缺编时,作为替班进行定岗;
完成中心经理、部门主管交办的其它工作;
五、主管管理制度
根据公司的各项规章制度和根据项目实际情况,负责建立和完善秩序维护部的各项工作制度,预控风险,规范团队运作;
负责对秩序维护员的定编定岗、招聘政审、入职培训、现场督导,组织开展
健康文体活动,创造积极、和谐的工作氛围,增强团队凝聚力;
严格执行工作手册的操作标准,负责对秩序维护员的劳动纪律、工作规范的检查、考核工作,负责不合格服务的纠正整改和预防措施的实施;
负责秩序维护部工具、材料的申购、使用管理工作,有效控制物料;
负责处理住户对秩序维护员的投诉,有效提高客户满意度,建立良好的客户
关系;
负责日常管理中违章装修、违章停车情况及异常情况的应急处置以及人员调
配;
做好部门内外协作资源管理,主动协助他人完成各项工作;
协助中心负责人完成年度经营目标、质量目标和年度工作计划; 完成公司总部及中心经理交办的其它工作;
六、更衣室管理制度
员工更衣箱是为员工临时更换工作服使用,员工更衣箱由各部门主管统一管
理,中心经理定期督查;
员工必须保持所用更衣箱的完好,清洁;
员工不得在更衣箱内存放贵重物品,如有遗失责任自负;
员工不得在更衣箱内存放任何危险、易燃、易爆物品等其他非法物品; 员工离职后必须将更衣箱钥匙统一交还部门主管;
七、宿舍管理制度
严格遵守员工宿舍管理规定,遵守作息时间,以高标准、严要求来整理内务
并保证宿舍的清洁卫生;
住宿员工每天必须在夜间零时前归宿,超过三次未及时归宿的,取消住宿资
格;情节严重者,予以开除处理;
离职员工不能继续留宿,应在办清交接手续后到公司办理离职手续;
当遇到单位有事或自然灾害、突发事件时,全体秩序维护员备勤,一律不得
外出(特殊情况除外);
宿舍长每月28日编写次月宿舍内住宿清单,每周日编写下周内务整理排班
表,并张贴上墙;
宿舍卫生等情况由宿舍长(领班)每日检查,主管每周抽查二次,不合格立
即整改;
品质管理中心每季根据《宿舍检查表》对宿舍进行一次大检查,发放流动红
旗,根据检查结果对宿舍长(领班)予以奖惩;
宿舍严禁下列行为:
1.大声叫喊、高声喧哗、追逐打闹、影响他人休息;
2.乱扔烟头、乱泼污水、乱丢垃圾、随地吐痰;
3.打麻将或进行赌博行为;
4.破坏宿舍公物;
5.看反动、淫秽书画,宣扬封建迷信;
八、火警应急预案
1)火灾可立即扑灭
发现火情的秩序维护员立即报告直接领导和主管,通知监控中心与住户取得
联系;
当班领班迅速赶到事发现场查明原因,组织人员灭火;
得到住户允许且在有第三方(业主委员会、社区工作人员或者住户的邻居)
在场证明的情况下,进入住户家,及时将火扑灭;
门岗、监控岗应固守服务区域,加强盘问和监视力度;
组织人员维护现场轶序、现场拍照;
秩序主管或客服主管留在现场,待住户回来后,详细沟通;
对过程进行详细记录;
2)火情无法自行扑灭
发现者立即报告直接领导或主管;
中心负责人、秩序维护主管、秩序维护领班、工程服务员、客户服务专员立
即赶到现场;
中心负责人负责组织调动人员灭火,根据火情通知监控中心拨打119报警,告知前台立即与该户住户取得联系(中心负责人不在时按职级顺序接替); 秩序维护主管通知工程服务员立即将电梯升至顶层保护起来,并切断该楼煤
电气;
客服部协助秩序维护人员疏散住户、维持轶序,秩序维护主管组织秩序维护
员立即穿戴防毒面具,运用消防栓控制火情;
秩序维护人员在门口引导119消防车到达火灾现场;
参与灭火的秩序维护员撤离火场,火场交由专业消防队负责,协助消防队员
做好现场秩序维护工作;
火灾扑灭后,秩序维护员指挥恢复路口交通,引导消防车离场; 对过程进行详细记录;
九、电梯困人预案
监控中心通过警铃、对讲系统等方法获得来自轿厢的求助信号后,立即通
知服务中心客服人员、电梯管理人员、秩序维护主管,并通知电梯维保单位; 轿厢设有闭路电视系统的,则把电视显示器切换到困人的电梯,观察电梯内的活动情况,监控中心值班人员详细询问乘客的有关情况;
服务中心工作人员须在5分钟内赶到现场安抚乘客,如:“对不起,请您别
惊慌,请稍等,我们马上派人处理”;
工程人员、当班秩序维护员在15分钟内赶到现场,先行实施力所能及的处
理,如:了解电梯所在楼层、电源状态;
自行实施救助有困难的,等待维保单位专业技术人员到场,不得擅自违章操
作;
电梯内若有老人、小孩、孕妇或人多供氧不足须特别留意,必要时请求消防
队员协助;
维保单位专业技术人员30分钟到达现场后,服务中心工作人员应配合实施
救助;
XX银行
网络技术的应用已经融入我们生活的各个方面, 网络技术的使用, 不仅使我们的生活更加便利, 也让信息的传播更加便捷与迅速。计算机网络在银行各项业务中逐步应用, 各大商业银行均把网络安全放在了信息化建设中的至关重要的位置上, 网络安全已发展为构建银行信息网络发展过程中必须首先需要思考和解决的问题。[1]随着“棱镜门”事件的曝光国家也越来越重视网络安全的防护。
商业银行网络, 鉴于其涉及内容的机密性, 会变成外部黑客和内部非法权限攻击的靶子。保证银行的金融安全并且增强银行风险抵御水平已成为时下各大银行急需解决的难题。目前商业银行网络系统应对的主要风险和威胁包含下面几点。[1,2]
1.1 外部黑客的攻击
当前大多数黑客使用特洛伊木马、操作系统或应用程序的bug, 甚至通过网络嗅探和中间方攻击这几个渠道来攻击网络和系统。然而, 黑客能够利用的攻击方法绝对不止这些, 其它的攻击方法一样能够给网络用户带来不良的结果。并且, 银行信息系统的安全防御工作必须全面周到地斟酌, 此类顾此失彼的安全防御方法不管做得多么稳定, 黑客还是可能另有机会可寻。
1.2 内部非法攻击
目前商业银行对防范外部攻击较为重视, 控制也较为严格。但是相对于外部攻击的层层防护, 银行内部的网络安全防护经常被人忽视, 所以内部防护相对外部防护来说更显得薄弱。内部攻击由可以合法访问公司网络和系统的人员所执行的攻击。这些内部人员可能是对公司不满的员工、受到金钱诱惑从而使用各种攻击窃取信息的员工、临时为公司工作同时担当商业间谍的雇员或者是某个滥用网络特权的其它任何人。
1.3 截获和篡改传输数据
目前绝大部分商业银行均通过租用运营商的点对点专线来组建自己的计算机网络。然而, 银行内部局域网或专线上经常传输大量敏感的交易信息, 极易被不法分子或网络黑客截获、分析甚至修改信息, 造成信息泄露或使核心系统成为攻击对象。
2 计算机网络系统安全解决的原则
商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式紧密相关, 一个优秀的安全设计应当整合当前网络和业务特殊之处并全面考虑发展要求。商业银行的网络安全保护应选择分层次保护的优点, 使用多级拓扑防护方式, 设置不同级别的防御方法。访问控制是网络安全防护和防御的首要方式之一, 其重要目标是保证网络资源不被非法访问。访问控制技术所包括内容相对广泛, 其中有网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等多种手段。
结合某些商业银行的网络系统和部分商业银行的网络和业务规划, 谈商业银行计算机网络安全解决的原则。[1,3]
2.1 实行分级和分区防护的原则
商业银行的计算机网络绝大多数是分层次的, 即总行中心、省级中心、网点终端, 计算机网络安全防护对应实行分级防护的原则, 实现对不同层次网络的分层防护。
防火墙也根据访问需求被分为不同的安全区域:内部核心的TRUST区域, 外部不可信的Untrust区域, 第三方受限访问的DMZ区域。
2.2 风险威胁与安全防护相适应原则
商业银行面对的是极其复杂的金融环境, 要面临多种风险和威胁, 然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究, 制定与之匹配的安全解决方式。
2.3 系统性原则
商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一, 系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二, 要充分为综合性能、安全性和影响等考虑。第三, 关注每个链路和节点的安全性, 建立系统安防体系。
3 计算机网络安全采取的措施
商业银行需要依据银监会发布的《银行业金融机构信息系统风险管理指引》, 引进系统审计专家进行评估, 结合计算机网络系统安全的解决原则, 建立综合计算机网络防护措施。
3.1 加强外部安全管理
网络管理人员需要认真思考各类外部进攻的形式, 研究贴近实际情况的网络安全方法, 防止黑客发起的攻击行为, 特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统, 组成多层次网络安全系统, 确保金融网络安全。
入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位, 当这些位置受到进攻时, 可以马上检测和立即响应。构建入侵检测系统, 可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻, 可以实时监控、自动识别网络违规行为并马上自动响应, 实现对网络上敏感数据的保护。[2]
3.2 加强内部安全管理
内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合, 构建多层次的内部网络安全体系。
基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时, 客户端会先向接入交换机设备发送接入请求, 并将相关身份认证信息发送给接入交换机, 接入交换机将客户端身份认证信息转发给认证服务器, 如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]
内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离, 保证服务器区域不被非法访问。同时结合访问控制列表 (ACL) 方式, 限制内部客户端允许访问的区域或应用, 保证重要服务器或应用不被串访。
同时结合内部漏洞扫描技术, 通过在内部网络搭建漏洞扫描服务器, 通过对计算机网络设备进行相关安全扫描收集收集网络系统信息, 查找安全隐患和可能被攻击者利用的漏洞, 并针对发现的漏洞加以防范。
3.3 加强链路安全管理
对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿, 通过在线路两端设置加密机, 通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件, 采用加密算法对所发送的信息进行加密, 把相应的敏感信息加密成密文, 然后再在局域网或专线上传输, 当这些信息一旦到达目的地, 将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用, 针对加密数据的破解也越来越猖獗, 对数据加密算法的要求也越来越高, 目前根据国家规定越来越多的商业银行开始使用国密算法。
3.4 建立商业银行网络安全审计评估体系
通过建立商业银行网络安全审计评估体系, 保证计算机信息系统的正常运行。对商业银行的核心业务系统和计算机网络数据进行安全风险评估, 发掘风险隐患, 制订相关的措施。[5]
3.5 商业银行管理决策层对策
商业银行计算机网络的安全管理, 不仅要看所采用的安全技术和防范措施, 而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合, 才能使计算机网络安全确实有效。商业银行计算机网络的安全管理, 还包括完善相应的安全管理机构、不断完善和加强计算机的管理功能、加强立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念, 提高商业银行网络用户的安全意识, 对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰。[6]
4 结论
商业银行的网络安全与社会的发展戚戚相关, 认清网络的脆弱性和潜在威胁, 采取强有力的安全策略, 对于保障网络的安全性将变得十分重要。商业银行计算机网络安全是一个综合性的课题, 它涉及到管理、技术、使用等很多方面, 因此, 只有高素质的网络管理人才, 严格的保措施、明晰的安全策略才可能防微杜渐, 把可能出现的损失降低到最低点, 才能生成一个高效、通用、安全的商业银行网络系统。
参考文献
[1]仇坤.商业银行计算机网络安全管理探讨[M], 2008.
[2]张峥.基于访问控制技术的银行网络安全研究及应用[M].重庆大学3.%A刘玉强, 2007.
[3]基于访问控制技术银行网络安全及应用[M].
[4]赵志强.商业银行信息安全保障体系的研究[D].天津大学, 2008.
[5]徐鹏.浅谈商业银行网络系统安全[J].金山, 2013, 1:96.
单位负责是做好安全防范工作的重要保证
单位内部治安保卫工作是整个国家治安管理的重要组成部分,也是企业事业单位内部行政管理的一项重要内容。国务院于2004年12月1日颁布的《企业事业单位内部治安保卫条例》从不同的层次、多方位、多角度地规定了对单位内部治安保卫工作的责任。其中第五条规定:单位的主要负责人对本单位的内部治安保卫工作负责。这一规定从法律制度上明确了单位内部治安保卫工作,是单位主要负责人或者法定代表人的职责。在单位的层面上明确了责任人和组织机构,从而将责任最终落实在基层的组织和人员上,将对安全工作起着重要作用。因此,每个企业的治安保卫工作,要在公安机关的行政监督和业务指导下,在单位主要负责人的具体领导下,由单位保卫机构或者保卫人员具体组织实施。作为单位的主要负责人,要履行好治安保卫工作的职责,贯彻“谁主管、谁负责”的工作原则,必须要充分认识单位治安保卫工作的地位和作用,处理好单位内部治安保卫工作与单位行政管理工作的关系,一手抓经营、一手抓安全,认真贯彻“预防为主、单位负责、突出重点、保障安全”的方针,切实把治安保卫工作纳入单位全面建设的总体规划,列入单位工作的重要议事日程,抓好落实。金融单位的安全防范工作的开展重在落实责任,安全责任不落实或者落实不到位,会严重影响安全工作的质量。因此,要一级抓一级、一环扣一环,层层落实责任制,要始终坚持常抓不懈和警钟常鸣,任何时候都不能有懈怠和麻痹大意的思想。要树立安全工作无小事,安全工作一票否决的观念。同时要抓好责任追究和奖惩制度的建设,确保单位长治久安。
依法管理、严格制度是做好安全防范工作的重要依据
国务院《企业事业单位内部治安保卫条例》和公安部《银行营业场所风险等级和防护级别的规定》是金融系统做好安全防范工作的法律依据。银行安全保卫工作规章制度,是做好银行保卫工作的重要保证。银行所发生的一切案件,虽然案件情况千差万别,但共同的教训是:或无章可循,或有章不循。相反,银行保卫工作做得好的单位,共同的经验就是依法管理,严格遵章办事。可见,要做好银行安全保卫工作,就必须狠抓规章制度的落实。制定银行保卫工作制度的原则应在法律规定的框架内,立足银行单位的实际工作,以保障安全为前提,凡是重点护卫,重点保护的目标,易于遭到破坏、侵害的目标,以及可能发生危害事故的部门、场所,都必须制定切实可行的安全保卫工作制度。规章制度一经建立,每一位领导,每一名员工都要自觉地严格遵守执行,要做为大家的行为规范和自觉的行为准则,同时也要进行大力的安全宣传教育工作,进一步增强全体人员的防范意识、忧患意识和责任意识。这样就可以大大提高银行的安全系数。
金融企业保卫机构设置和人员配备,是做好安全保卫工作的重要前提
金融企业无论规模大小,人员多少,客观上都有内部安全工作的需要,广大职工的人身安全,国家财产的安全,也都需要依法得到保护。由于金融企业的性质不同,有的属于国有金融企业,有的是地方股份制企业及外资企业,这些单位在内部机构设置及其人员编制上有相应自主权,但是,加强单位内部治安保卫工作,搞好安全防范工作,维护工作秩序,生产秩序,保护职工和国家财产的安全,是企业单位应当履行的法律义务和依法承担的法律责任。因此,在国务院《企业事业单位内部治安保卫条例》第六条明确规定“单位应当根据内部治安保卫工作的需要,设置治安保卫机构或者配备专职、兼职治安保卫人员”。因此,金融企业应当根据本条规定和安全保卫工作的实际需要根据规模大小,设置相应的保卫机构,并根据金融企业内部安全保卫任务和具体的工作量配备相应的专职保卫人员或兼职保卫人员,做到组织机构健全、人员落实、任务落实。各级领导要充分发挥安全保卫工作职能部门的作用,专兼职保卫人员要严格履行岗位职责,用心、用力做好安全保卫工作。同时将治安保卫机构的设置和人员配备情况,报主管公安机关备案,以便接受公安机关对安全保卫工作的监督。
完善防护设施,严格防范措施是做好银行安全保卫工作的重要基础
银行完善防护设施和严格的防范措施,它构成一道抵御犯罪分子的屏障,祢补了人力防范的缺陷。在犯罪分子作案手段日益现代化的今天,科学防范设施的重要性和优越性显得尤为重要。我们必须向安全防范的电子化、技术化、科学化的方向发展,以适应现代化银行保卫工作的需要。同时重要守卫目标及营业场所要派出保安人员担任警卫工作。保安人员要做到专业化程度高、业务素质好、作风纪律严格和完成任务突出。保安人员担任营业场所警卫工作,使员工和客户都有安全感,对犯罪分子也有强大的震慑作用。然而安全防范设施又是一个与时俱进的概念,在银行的安全防范与违法犯罪行为的较量上,历来是“道高一尺,魔高一丈”。随着现代科技的发展与进步,违法犯罪分子也利用高科技手段进行违法犯罪活动,那么相应的技术防范设施就必须更先进,才能達到预防的目的。各级领导在加大对安全防范设施的投入上要舍得花钱,树立安全就是效益,安全就是节约的观念,在技防、物防和人防上加大投入。形成多层次防范,全方位控制的防范体系,只有坚固牢靠的防范设施和防范措施才能为银行的平安提供保证。
开展安全检查、及时堵塞漏洞隐患,是做好安全防范的重要环节
第一章总则
第一条为了进一步加强**支行(以下简称本行)安全保卫工作,保障本行员工、资金和财产的安全,规范对各种违反安全保卫制度行为的处罚,根据《银行业金融机构安全评估办法》及《**银行安全检查管理规定》,结合本行实际,特制定本办法。
第二条本办法适用于本行全体干部员工(含干部、职工、合同工和临时工)。
第三条本办法对违反安全保卫制度但未造成案件事故的违规行为实施经济处罚。对严重违反安全保卫制度或屡教不改,有可能导致发生案件事故的,要给予相应的行政处分。
第四条对违反安保制度,导致发生案件事故的行为,应按照《**银行安全保卫管理办法》,给予相应的行政处分,构成犯罪的要移交司法机关依法处理。
第二章领导责任
第五条健全组织机构,落实专(兼)职安全员、消防员,未做到的对责任人罚款200元。
第六条支行副行长组织安全保卫检查,要做到每月检查一次,单位领导要坚持不定期抽查,发现问题及时纠正,以记录为准,未做到的每次对责任人罚款100元。
第七条支行行长(网点负责人)每月组织职工进行安全保卫学习,及时传达上级有关安全保卫文件、案件通报和有关会议精神,做到警钟长鸣,以记录为准,未做到的,对责任人每次罚款100元。
第八条安全防范设施未按规定购置、配备,或已损坏、过期或产品不合格,经提出限期整改意见,逾期仍不整改的,给予责任人罚款200-1000元。
第九条支行要制定行之有效的防抢、防盗、防诈、防火等预案,以书面为准,少一种罚责任人100元。
第三章营业场所安全
第十条通勤门(包括营业场所有通道门)应关闭上锁,未关闭上锁,对责任人罚款200元。如责任人不明,罚单位负责人200元。
第十一条上级主管部门或公安机关等有关部门对营业场所进行安全检查,必须要有本行领导或保卫干部陪同,并出示介绍信、检查证(工作证)、身份证,在三证核对无误的情况下才准进入检查,做不到的,罚责任人100-500元。
第十二条营业场所、金库、守库值班室、监控(电脑)室、档案室严禁外人入内(按规定办理有关手续者除外),如有违反者,对责任人罚款150元。
第十三条营业期间暂时离开工作岗位,且又不在自己的视线范围内的,不论离开时间长短,均要上锁保管好自己经管的现金、公私印章、重要凭证、押数机等重要物品,并退出电脑应用系统,未做到罚责任人100元。
第十四条每个临柜人员必须配有1件自卫武器,并按规定管理使用,未做到的,对责任人罚款100元。
第十五条营业部、守库值班室、运钞车、监控(电脑)室、档案室必须各配备足够的灭火器或相应灭火装置,并且保持良好状态,违者对责任人罚款100元。
第十六条电视监控、110报警器等因人为不使用、不设防,或管理不善造成设备未保持在良好工作状态,扣罚责任人100-500元;利用数码监控主机打游戏,或未经单位领导批准擅自拷贝、修改、删除录像数据的,扣罚责任人500-1000元。
第十七条营业终了,营业场所禁止遗留个人贵重物品,包括现金、有价单证、印章等,并要进行安全检查,以记录为准,未做到的,扣罚责任人100元。
第十八条建立各种安全保卫登记簿,登记簿要内容真实、完整,记载不完整,漏掉部分视为未做到,每次罚责任人50-200元;
第十九条对技防设备和防卫器械人为损坏或管理使用不当造成损坏的,应进行赔偿;对损坏或已失效而没有及时修理或更换的,对有关责任人罚款100-500元。
第四章押运管理
第二十条押运时间、地点、路线、押运钱物要严格保密,对泄密者罚款200元。
第二十一条建立各种押运登记簿,严格交接手续,如登记交接手续不清,对责任人各罚100元,造成寄库包或现金短缺,由有关责任人全额赔偿。
第二十二条押运钱物时,营业网点要保证二人以上接送,不准把钱箱放置在营业室外候车,如有违反,罚责任人200元。
第五章处罚管理
第二十三条责任人包括违规行为的决定人员和直接经办人员。
一、谁违规,谁就是责任人。
二、单位领导或上级部门负责人指令经办人员违规办理业务,或应由领导布置而未布置的,该领导或上级部门负责人为责任人;经办人员在办理过程中未提出异议或不抵制的,经办人员同为责任人。
第二十四条凡责任不清时,所有经办该事项的人员同为责任人。
第二十五条检查人员发现问题而未提出整改意见的,与违规者同为责任人。
第二十六条 凡直接或变相抗拒检查,没有及时落实整改措施,屡教不改、拒不执行处罚的,对责任人从重处罚,处罚金额以1000元为限,违规问题较微、态度较好的可从轻处罚。第二十七条凡本处罚办法未列出的其他违规行为比照同类或相近条款处罚。
第二十八条 检查人员对责任人的违章违规行为要当场予以认定,经领导审批后作出处罚决定,由检查小组签发收据执行处罚。被处罚的责任人必须在规定的期限内(最长不超过10个工作日)主动交纳罚款。
第二十九条任何单位或个人不得干预和拒绝执行处罚决定,被处罚人如有不服,可在处罚之日起15日内向上级保卫部门提请复议,被提请部门必须在30天内作出答复,复议期间处罚决定照常执行。
第三十条对有关责任人的处罚要使用统一印制的处罚决定通知书,收缴罚款由审计部门设专户统一管理。
第七章附则
第三十一条本办法自下发之日起执行。
第三十二条本办法由**银行**支行负责解释。
防范操作规程
第一章 总 则
第一条 本制度所称营业场所包括支行自有或租赁的办公区域,如营业厅、办公楼(室)、财务室、计算机房、库房等。
第二条 坚持预防为主、综合治理的原则,逐级建立安全管理责任制。全员参与安全防范,安全责任落实到岗。
第三条 营业及办公场所安全管理应落实“谁主管,谁负责”的原则。日常营业管理与安全保卫工作应同布置、同检查、同考核。
第四条 营业及办公场所安全管理应做到人防、技防、物防相结合。
第二章 管理制度
第五条 营业场所是支行现金出纳、有价证券、会计结算业务的场所,其防范设施建设和安全管理,要贯彻“预防为主,保障安全”的方针,以防盗、防抢、防诈骗、防火灾、防爆炸、防自然灾害、事故为目的,严格执行营业场所建设标准和安全管理的规范要求,提高防范不法侵害的能力,确保支行财产和员工生命安全。
第六条 营业场所的安全防范,应坚持“人防、物防、技防”的整体性、系统性、综合性的有机统一,按照“谁主管,谁负责”的原则,行长是本单位安全保卫责任人。应层层、逐级签订并履行《安全保卫“九防三保”目标管理责任书》,加强营业场所物防、技防等设施的维护和日常的安全管理。
第七条 营业网点的坐班主任或分理处负责人,是营业期间安全管理工作负责人。
第八条 员工出入营业室边(后)门时,必须在确认安全情况下,即开即锁,严防外人尾随进入营业室。除必要的电器设备或线路维修外,非本单位员工严禁进入营业室。
第九条 加强防尾随门管理,营业期间严禁将钥匙带在外面,严禁将门同时开启。网点要对防尾随门钥匙进行合理配置,并进行造册登记,岗位变动时应进行交接登记。营业终了,除带值班人员以外,严禁任何人将防尾随门钥匙随身携带;带值班人员离替岗时,要对防尾随门钥匙进行交接。
第十条 营业场所(支行、分理处、)必须保证三人在岗,二人临柜,其中原则上应配有一名男同志。
第十一条 自卫武器必须配置适当的数量,并置于隐蔽、随手可取的部位。要定人定位管理。
第十二条 营业室柜台外严禁放置刀斧、棍棒等可供犯罪分子利用的做案工具。
第十三条 营业人员严禁接受外来人员的香烟、饮料等食用品。
第十四条 严格遵守操作规程,增强防范意识,熟悉各种预案,熟练掌握“110”报警器的撤布防、灭火器使用等安防实施设备的运用技巧,遇到突发事件按照预案处置,确保安全。下班后要检查关闭水、电、火源,关门落锁。
第十五条 营业场所员工要熟悉各类报警电话,包括总行分管行长、保卫部经理、支行行长电话。
第十六条 营业网点必须建立联防单位,并签订联防协议书。
第三章 营业场所安全防范操作规程
第十七条
营业前做到“四要”:
(一)要查看有无异常。员工到达营业区域后,先观察门窗有无被撬迹象,再查看主要办公设施设备、重要物品有无短缺损毁情况。如发现问题,要保护好现场,并立即报告。
(二)要锁定大门。工作人员进入营业区域后要先锁定大门,再打扫卫生或进行班前准备工作。
(三)要检查电视监控设备、防卫器具、消防器材。员工应先检查电视监控设备是否正常,“110”报警器是否布防,再检查防卫器械、消防器材是否齐全,摆放位置是否正确。
(四)要坚持款箱交接制度。当押运公司押运员送来款箱后,负责接款箱的员工应先按照款箱接送操作流程进行身份确认,后开门接迎款箱,并在营业室电视监控有效范围内办理交接手续。押运人员离开后立即锁闭大门,并将现金、凭证、印章等及时入柜或入库保管,严禁将装有大综现金的款箱长时间随意放置。
第十八条 营业期间应坚持“五不准、六必须”:
(一)五不准
1.不准非本营业场所人员进入营业室。凡因业务、安全检查需进人营业室或金库重地的,必须有“三证一信”,并由本单位领导或总行保卫部门负责人陪同方可进入。员工进出入,边后门必须随时落锁;如遇无本单位领导或上级保卫部门负责人陪同时,必须经请示支行行长并确认同意,查明有效证件后,方可允许进人;外单位安装、维修人员,必须出具总行保卫部门的介绍信,并有上级相关部门人员带领,否则任何人不得进人;
2.不准在营业室外办理现金、有价证券业务。3.不准将大宗现金放置桌面。员工必须将成把的现金锁入保险柜,零用现金放入款箱保管。
4.不准随意接受他人的食品、饮料、香烟、包裹等物品。5.不准在营业室内吸烟。
(二)六必须
1.必须在保障安全的前提下出入营业室。员工出入营业室,应先观察有无异常情况后出入。如发现营业室门外有可疑人员或异常情况不得开门。
2.必须熟练掌握《营业场所突发事件应急预案操作规程》。员工应了解《营业场所突发事件应急预案操作规程》的具体分工,熟悉掌握操作要点,做到“临危不乱”,妥善处理。
3.必须及时“签退”计算机,并锁好现金和印章。员工临时离岗,必须退出计算机操作界面,做好“签退”工作。现金、重要凭证、印章必须入柜、入箱保管,并上锁,保管好钥匙。
4.营业期间,现金必须入柜保管,款箱内不得存放现金、重要空白凭证、印章等物品。
5.必须坚持临柜制度。营业场所必须坚持“三人当班、两人临柜”的制度。如本场所员工因公外出而少于三人的,要提前通知轮休员工顶岗,不得两人当班。
6.必须坚持审核制度。临柜员工办理业务中,要仔细辨别、认真核实身份证及银行卡、单、折、票、证、印鉴和单据、文件等各类票证的真伪。
第十九条 营业终了应做到“两禁止,三确认”
(一)两禁止
1.禁止存放私人钱、物。员工应将个人现金、有价证券及贵重物品随身携带,不得存放在营业室。
2.禁止留人娱乐、饮酒和住宿。除单位组织加班、值班外,任何人不得在营业场所娱乐、饮酒和住宿。
(二)三确认
1.确认系本单位运钞车和押运人员无误后,方可进行款箱交接。营业结束后,员工应锁闭营业室门,在室内等候运钞车。不得将款箱放置室外候车。运钞车到达后,应确认无误后,在室内进行交接。
2.营业结束后,营业场所行长应督促员工检查现金款箱、保险柜及抽屉,确认章、证、款无遗漏后,等待押运人员的到来。
3.员工离开营业场所前,支行行长或安全员要确认电源切断(除不允许切断电源的设备外)、门窗关闭、应急灯工作正常、“110”报警布防后,方可离去,并关好前后门。
第四章 附 则
第二十条 当营业与办公场所发生抢劫、盗窃、诈骗、火灾、群体性突发事件等紧急状况时,按照有关专项应急预案进行处置。
第一条 为加强我行日常工作的安全防护,保护员工和顾客的安全和健康,促进我行事业的健康发展,根据有关劳动保护的法令、法规等有关规定,结合我行的实际情况制定本规定。
第二条 我行的安全生产工作必需贯彻“安全第一,预防为主”的方针,贯彻执行行长(法定代表人)负责制。
第三条 安全生产奖励和责任追究制度
1、对在安全生产方面有突出贡献的单位和个人要给予奖励,对违反安全生产制度和操作规程造成事故的责任者,要给予严肃处理,触及刑律的,交由司法机关论处。
2、总行行长对我行安全生产负全面责任,各支行行行长对总行行长负责,负责本单位的安全生产工作,并与总行行长签订责任状,若发生安全生产事故,按国家有关安全生产法规和我行安全生产管理制度追究相关责任人的责任。对于全年没有发生安全事故的,对该单位所有员工给与一定奖励。
第四条 安全生产责任制度
参照“廊坊市商业银行安全生产岗位职责制度”。
第五条 安全生产资金投入保障制度
1、我行安全生产资金投入主要包括:建设安全技术工程,如防火工程,通风工程等方面的费用;对安全设备、器材、装备、仪器等的维护和更新费用;职工的安全生产教育和培训等方面资金的投入。
2、安全生产资金投入由行长负责保证落实并监督资金的使用情况。
3、由行政保卫部负责安全生产资金投入的具体使用和落实。
第六条 电梯的管理和检修、维修制度
1、签订电梯订货、安装、维修保养合同时,须遵相关安全要求。
2、新购的电梯必须是取得国家有关许可证并在安全生产监管部门备案的单位设计、生产的产品。
3、电梯的使用必须取得安全生产监管部门颁发的《电梯使用合格证》。
4、安装、维修、检测电梯时,需雇请具备专业资格、安全生产监管部门安全认可的单位
5、行政保卫部,要切实加强电梯的管理、使用和维修、保养、年审等工作。发现隐患要立即消除,严禁电梯带隐患运行。
第七条 消防安全管理制度
1、消防工作贯彻“预防为主,防消结合”的方针,所有干部职工都有维护消防安全、保护消防设施、预防火灾、报告火警的义务,都有参加灭火工作的义务。
2、雇用专业的物业公司负责我行的消防安全工作,包括:负责消防值班室的值班,监控消防设备的运行情况。负责消防值班室各种设备、设施的操作、维护和保养。负责各种消防设施的巡查与维护工作。在发生火灾后,负责组织义务消防队员开展初期灭火工作。
3、总部及各营业网点均成立义务消防队、义务消防小组,总行行长为全行消防总负责人兼总部义务消防总指挥,副行长为义务消防队副总指挥,行政保卫部经理为全行消防安全管理人及义务;支行各自设总指挥、副总指挥、义务消防队队长、组长。
4、我行所有员工都有责任做好防火宣传教育工作,同时也有积极学习各种消防、灭火知识的义务。
第八条 职业卫生管理制度
1、聘用专业的物业公司负责办公区内、外的卫生保洁工作。
2、全行所有员工有义务自觉保持办公环境的卫生与整洁。
3、营业室内环境卫生标准为:办公区内不准乱挂衣物;办公区内地面不准有灰尘、烟蒂、废纸;废色带、墨盒等废弃物不准乱投乱放,应放入指定回收箱中;营业室内桌椅必须摆放整齐;营业室内卫生间应保持整洁无异味;营业室内各种电线、数据线必须摆放整齐;办公桌上不准有灰尘、杂物。
4、营业大厅环境卫生标准:柜台上各种凭证、单据、印台等物品必须摆放整齐;柜台上无灰尘杂物;大厅地面干净整洁,无灰尘、纸屑等杂物;玻璃幕墙必须干净、明亮、无印记;沙发、桌椅、烟灰缸、水杯、饮水机等设施要完好整洁;室内花草树木要经常护理;各种宣传镜框要整洁。
第九条 安全生产逐级监察及事故隐患排查、整改制度
1、总行行长对我行安全生产工作全面负责。
2、主管副行长督促、监督我行安全生产的检查工作,定期听取安全生产工作汇报,解决安全生产工作中的重大问题。
3、行政保卫部负责监督、管理和检查各支行安全生产工作的实施情况,对检查中发现存在安全隐患的支行下发整改通知书,责令支行整改。
4、各支行行长监督管理本支行的安全生产工作,要经常性的组织本行的安全生产检查工作,对检查中发现的问题和总行下发的整改通知书中提出的问题要立即进行整改。
第十条 安全生产教育培训考核制度
1、我行安全生产主要负责人、安全生产主管部门负责人和安全生产管理员都要经过培训考核持证上岗,并且每年都要接受由安全生产监督管理部门组织的培训。
2、我行所雇用物业公司的消防人员、电工必须持证上岗,而且每年必须参加由安全生产监督管理部门组织的培训。
3、行政保卫部要定期不定期的对员工进行消防安全教育,如通过举办消防知识讲座、举行消防演习和印发各种宣传资料等活动以熟练员工的灭火技巧,增强员工自救能力。
第十一条 生产安全事故报告和调查处理制度
1、我行须制定生产安全事故应急救援预案,在安全生产事故发生后立即启动相应预案。
2、事故发生后,立刻向廊坊市人民政府、安全生产监督管理部门和公安机关报告。事故报告应包括以下内容:事故发生的时间、地点和现场情况;事故的简要经过、伤亡人数(包括下落不明人数)和直接经济损失的初步估计;事故类别;事故原因的初步分析;事故发生后采取的措施;事故报告单位及主要负责人。
3、事故发生后,由行长坐镇指挥,成立事故调查小组,工会和安全生产技术人员参与事故调查,并将条查结果形成调查报告,调查内容包括: 1)事故经过、人员伤亡和经济损失情况; 2)事故的原因和性质;
3)确定事故责任提出对事故责任者的处理意见;
4)总结事故教训,体出防止事故再次发生的措施建议。
第十二条 劳动防护用品发放和管理制度
1、行政保卫部负责我行劳动防护用品的发放和管理工作,为员工提供符合国家标准或行业标准的劳动防护用品,并监督、教育从业人员按照使用规则佩戴使用。
目前, 我国商业银行信贷资产风险高, 银行业经营风险大, 给金融危机的发生留下了隐患, 会直接影响我国的经济增长。加强管理信贷风险, 提高信贷资产质量, 减少不良贷款是我国商业银行目前的紧要任务。
认真分析我国商业银行信贷风险的形成原因, 加强债权人财务风险管理, 让银行参与公司治理, 完善我国的相关制度, 可有效解决我国商业银行信贷风险高的问题。
一、债权人财务风险管理
(一) 宏观方面带来的信贷风险
政府行政干预带来的风险。政策的不断调整会打乱商业银行的正常运转。例如自2010年以来政府多次上调法定准备金率, 现已经达到历史最高点, 控制了商业银行的放款规模, 对商业银行的实际运作有一定的影响。
社会保障机制滞后带来的风险。一旦企业破产, 银行贷款风险无法通过企业破产失业救济制度来分散和转移, 也不能通过企业保险制度来保全贷款资产。
法制不健全带来的风险。我国市场交易法规不完善, 交易秩序不规范, 银行若要将债务人的抵押物变现需进行各种繁琐手续, 交纳高额的交易费用, 银行保全债权受法律保护作用不明显。
(二) 借款人方面的信贷风险
1、借款人的信用风险。我国信用体系与美国等西方发达国家相比还不健全、不完善, 银行难以对借款人的财产真实性作出正确判断, 对借款人的还款记录缺乏参考依据。贷款发放后, 一些借款人因投资失败导致收入减少, 从而丧失了偿还能力;有的虽然有偿还能力却不愿归还借款, 这都加大了银行信贷风险。
2、一些借款人道德败坏, 使用假身份证、假证明、假合同、假担保, 不择一切手段骗取银行资金, 他们得手后大多携款潜逃、挥霍, 这些行为扰乱了市场经济秩序的正常运行, 给社会造成重大财产损失。
3、借款人钻制度漏洞进行多头贷款。有些银行管理制度不规范, 整体协调能力不强、互通机制不完备, 一些借款人趁机在同一银行的不同部门进行贷款, 增加了银行贷款风险。
(三) 银行内部管理风险
部分商业银行忽视经营安全隐患;平时没有建立起完善的责权对等的管理机制, 一旦贷款出现问题, 很难分清责任, 更谈不上追究责任。另外有些银行内部员工素质不高, 与企业进行内外勾结, 给银行信贷资金带来风险。个别银行员工见利忘义, 滥用手中的权力, 吃、拿、卡、要, 不给好处不办事, 给了好处乱办事, 搞人情贷款, 置国家信贷资金的安全于不顾, 为犯罪分子诈骗银行资金开绿灯。诈骗、盗窃银行信贷资金的大案要案时有发生, 造成国家资产的大量损失, 败坏了金融机构的声誉, 给银行经营造成很大困难。
(四) 债权人的治理权后置
正常情况下债权人无法参与企业经营决策, 这就为债务人损害债权人利益提供了便利条件, 债权人承担了企业很大的经营风险。
(五) 信息不对称
债权人与企业之间的信息不对称使得债权人在与出资者和经营者之间的博弈中处于弱势地位, 导致债权人利益受损和风险增加。所以, 债权人有着强烈的动机去了解公司关于重大项目以及对公司有重大影响的所有信息。
二、财务分析方法
企业财务分析是客户信用风险分析的重要工具, 是了解企业投资收益情况和经营业绩的重要途径, 因此银行在选择授信客户, 贷前调查、贷中审查、贷后检查时, 采用最多的是财务分析。
由于财务报表分析仅仅是原则性的, 存在诸多的局限性, 因此, 这就要求信贷人员有较强的专业知识、敏锐的职业判断力来分析不同企业的财务状况, 及时发现问题, 采取有效措施, 从而提高信贷风险的防范能力。
通常采用以下办法:
1、定期对信贷人员进行培训, 从整体上提高他们的业务水平与能力。
2、信贷人员要经常审阅客户的财务报表, 特别要关注审计的项目和范围。
3、对三大财务报表、附表、会计报表附注和财务情况说明书这几部分内容都要充分分析, 这样才能清楚地了解到信贷风险的范围。
4、要根据企业所处的行业, 通过行业标准来分析比较, 查原因找差距。
5、充分发挥信贷人员的主观能动性, 遇到企业的专业术语时及时询问企业的相关人员, 研究企业所采用的会计政策对报表数据的影响程度;收集和掌握对经营决策有重要影响的信息。
三、债权人参与公司治理
(一) 通过董事会参与公司治理
我国新《公司法》第38条、第103条规定, 董事、监事 (由股东代表出任) 的选举和更换属于股东会的法定职权, 但没有明确规定董事提名权。如果赋予债权人董事提名权, 银行就可通过董事会参与企业的公司治理。
(二) 通过监事会参与公司治理
我国《公司法》第118条规定了股份有限公司监事会应当包括股东代表和适当比例的公司职工代表。若监事会成员中可以有一定比例的银行代表, 就可通过法律来保护债权人, 使债权人能在公司中起到监督作用。
(三) 以股东身份参与公司治理
德国、日本、美国的银行都持有公司股份。我国应向这些国家学习, 允许银行债权人以股东身份参加股东大会, 能及时了解到公司的重要经营决策, 对参与公司治理就有了发言权。但是股东身份和债权人身份还是有很大差距的, 所以银行的持股比例应当限制在一定水平上。
四、其他措施
第一, 积极发展公司债券市场。通过改善制度环境促进公司债券市场的发展将有力地改变我国公司整体上的资本结构状况。通过发行公司债券, 公司将面对广大债券投资者, 这种债务是公司必须偿还的, 因此发行公司债券有助于形成一种硬性约束, 强化公司的债务意识。
第二, 建立银行经常审计的制度。目前我国的银行尽管也可以对公司进行审计, 但往往是针对某一笔具体的贷款而定, 不具有经常性, 也没有形成法律制度。这不利于银行对公司财务状况的经常性监督。通过建立银行经常性审计的制度, 可以给公司经营者形成压力, 从而改善公司法人治理。
第三, 加快国有商业银行的商业化进程。大力重构现代金融体系, 推进商业银行的真正商业化, 发挥银行应有的治理作用。
第四, 实行银行适度持股与主办银行制度。在国有银行商业化、股份制的改造基本完成后, 允许商业银行适度持有企业股份。当银行适度持股法律施行后, 应继续完善主办银行制度, 为银行实施相机治理、构筑新型银企关系奠定制度基础。
第五, 修改完善相关法律, 构筑良好的法制基础。我国现行立法体系在相关债权人参与公司治理方面的规定偏弱, 需要完善相关法律, 构筑良好的法制基础, 主要包括两个方面:一是加快现行相关法律的修改。二是根据债权人参与公司治理的特别要求, 制定新的法律法规, 使债权人参与公司治理有法可依。同时还应当加强相关配套法律法规的制定, 如公司债权人知情权制度、完善公司信息披露制度等。
参考文献
[1]、何俭亮:《债权人与公司治理》《证券市场导报》2001年7月号。
[2]、于东智:《资本结构、债权治理与公司绩效:一项经验分析》, 《中国工业经营》2003年第7期。
[3]、李健:《公司治理论》经济科学出版社1999年
[4]、陆泽峰:《金融创新与法律变革》, 法律出版社1998年
[5]、朱义坤:《公司治理制度的多元结构》《暨南学报》1998年第4期。
[6]、丁广宇:《论有限责任公司债权人权利的回归》《法商研究》2008年第2期。
[7]、刘晶, 邵洪强.基于公司治理结构的上市公司会计信息质量的改善[J].《商场现代化》, 2008 (6)
近一两年来,各大商业银行网站被黑,网上银行账户资金被盗的事件时有发生。
2004年12月,中国银行的网站被黑客假冒,内蒙古呼和浩特市一市民因为登录了该网站而被盗窃2.5万元; 2006年2月,四名黑客利用“木马”程序,盗取南宁市市民陆某的网银账户及密码,并通过网上银行将陆某的21400元存款全部转出。
尽管各大银行针对各种账户诈骗、窃取事件做出了回应,但是网银风波并没有因此而终止。2006年5月,一位用户的3120元存款10分钟内被黑客连转三账户,另一用户的网银账户在5月份从月初到近月末,每天转出200元,被盗金额达5000多元。这些网银账户密码被盗、存款失窃的事件备受业界关注,社会各界视线再次聚焦到网银的安全问题上。
为了发泄对中国工商银行(以下简称“工行”)的不满,一位姓丁的受害者在网站上发起组建了“受害者联盟QQ群”、“维权联盟”,并在网站上建立Blog召唤有着相同遭遇的人。在域名为www.ak.cn的“工行网银受害者集体维权联盟”网站上,已有将近200多人使用真实姓名签名,并留下了联系地址和失窃金额。而根据他们的一些聊天记录可以发现,很多“失窃网民”把网银密码被盗、存款失窃的原因归于银行保护不力,指责工行“店大欺客”、以“霸王条款”来搪塞和推卸责任。
而银行方面则认为,网上银行密码的失窃,很多是因为用户对电脑的保护不周,被置入木马后遭窃,银行在应对正确用户名和正确密码时,不存在过错。
安全隐患在何处
工行是国内网银用户最多的一家银行,也是因安全问题遭到网银用户投诉最多的银行,身为工行电子银行部的负责人之一,电子银行部总经理王刚最近的大部分时间放在了处理各种用户申诉的案件上。
据王刚介绍,前段时间曝光的工行网银投诉事件,大多由工行的网站被黑客假冒引起。当时很多网银用户收到了一封貌似来自工行的邮件,一旦用户点击邮件正文中的超链接,就会打开一个仿冒工行的页面,使用户认为已经进入了工行的真正网站,如果用户在钓鱼网站上输入个人信息,不法分子便会利用电子邮件自动发送到事先设定好的邮箱,窃取用户的财务数据。据统计,在所有接触诈骗信息的用户中,有多达5%的人对这些骗局做出了回应。
在过去的几年时间里,工行的网站曾遭遇过“网银大盗”多次不同程度的攻击,受害者不在少数。而且其他诸如中国银行、中国农业银行、招商银行等银行网站也遭遇过类似攻击。
中国已成为黑客攻击的主要目标之一,来自国际反网络诈骗组织的报告显示,中国已成为仅次于美国的世界上第二多拥有仿冒域名及假冒网站数量的国家,占全球域名仿冒总量的12%,与此同时,各类假冒网站、邮件恶意欺骗事件也直线飙升。
“当前的网络环境还不够安全。”在谈及网银是否安全时,王刚的解释是,根本原因在于互联网通信协议、网络架构等基础层面存在较大的安全缺陷。
在王刚看来,网络之所以不安全,是因为在实体社会中,有相对完善的法律法规,人与人能见面,彼此有荣誉感和羞耻感,有道德的约束,但在网络环境里这些因素并不完善甚至不具备。如果把黑客和网银比作攻守双方,它们之间的力量对比一直就是“道高一尺魔高一丈”的非平衡博弈状态。
“除了互联网,网银的不安全还在于中国现阶段的金融基础环境比较差。”中国建设银行电子银行部副总经理马春峰表示,中国网银进入门槛低,是导致各种网银安全事件的重要原因,“在国外,银行对网银账户申请审批特别严格,各种审查信息也很全面,进入门槛非常高,而国内银行在这一方面的规定却比较宽松,账户申请特别是个人用户账户申请非常容易。”
一些专家分析,网上银行的不安全因素主要来自网银系统本身和网银客户端两方面。
王刚则认为,网银系统基本上不会有问题,因为银行在这方面都有严格的安全措施和防范手段。“从目前抓到的一些案犯和媒体披露的情况来看,都是案犯利用客户的身份进入工行网银系统作案的。”他说,这表明网银用户端是存在不安全因素的重点。据公安部门统计,个人用户计算机端有近70%是不安全的。“现在的个人客户端使用的操作系统几乎都是基于微软的Windows系统,而微软操作系统的最大问题是‘易攻难守’,因为它有很多的漏洞给黑客软件、木马软件攻击提供了便利,要防护好非常困难。”一位专家说。
网银领域分析专家、中科院教授吕本富认为,用户端安全风险主要来自以下几类。第一类是假银行网站欺诈,即钓鱼网站。这类假银行网站域名与真银行网站非常相似,网民一旦进入假网站,输入卡号和密码,钱就会被不法分子通过转账等方式划走。第二类是通过窃取密码进行欺诈。这类欺诈方式有多种,例如通过在用户电脑上置入木马程序,盗取用户的账号和密码,然后划走网银用户的资金; 或者用户在公共网吧等地方上网以后,没有及时退出银行网页界面就离开自己的电脑,被黑客窃走资金。第三类来自于业务层面。问题可发生在电子购物过程中,因为电子购物有很多环节,这有可能导致网银安全漏洞的出现。
在2005年的一次安全会议上,一位业内人士在谈及网银安全问题时表示: 超过70%以上的黑客攻击针对银行用户,而其中网页假冒的攻击数量更是以不到三个月就翻一番的速度在增加。
尽管网银的不安全因素主要存在于客户端,但多数民众认为,既然银行提供网银业务,就应该对安全保障问题负责。
数字证书确保网银安全?
随着黑客、病毒攻击的增加,银行已经意识到网银安全问题的严重性,并采取了应对措施。
“我们有两种安全模式可供客户选择。”据王刚介绍,工行的两种安全模式数字证书,分别是U盾和动态口令卡。安全级别最高的U盾数字证书就下载在U盾的智能卡里面,是病毒无法攻破的“黑管”,它是网银的物理“身份证”和“安全钥匙”,所有涉及资金对外转移的网银操作,都必须使用U盾才能完成。而新推出的动态口令卡,和U盾客户相比,虽然有一定的交易额度和功能限制,但购买价格远比U盾低,且使用方便,安全性能也有保证。
不过,王刚提醒说,动态口令卡的动态密码还有有待完善之处: 虽然每次需要输入的字符串都不同,但如果被人将密码卡复印或抄写下来,那么动态密码的保护作用就可能被攻破。
据了解,已经有些银行推出了更为先进的动态密码方案,如汇丰银行和恒生银行。这两大银行的所有用户会免费获得一个可挂在钥匙圈上的电子密码生成器,每按1次,就自动生成1个6位数密码,每个密码都不同且有一定规律,但这一规律仅由银行掌握。使用网络银行时,用户除了要输入自己设定的密码外,还需要输入这个6位数密码,由于每次使用的动态密码是新生成的,因此既不需要更换密码卡,也不存在密码卡被复制的可能。
与工行不同的是,其他银行提供的安全数字证书既可下载到客户端主机硬盘(软证书)单独使用,又可与USB Key载体绑在一块(硬证书)应用。目前,中国建设银行为客户提供的安全工具有数字证书、USB Key用户证书载体两种方式。
专家认为,使用数字证书能最大程度地提高网上交易的安全系数,到目前还不存在黑客攻破数字证书的先例。“技术上黑客利用木马是攻击不到的,因为它藏在IE的某个位置,木马是无法找到的,编程也是没法找到的,至少目前是这样。”中国建设银行电子银行部产品管理处经理寇冠表示。
虽然数字证书具有很难被黑客攻破的优点,但使用数字证书进行网上交易的用户还是不多,例如在工行2000万网银用户中,只有88万用户使用数字证书。
为什么使用证书的用户数如此之少?业内人士认为,首先,数字证书也存在漏洞,如果把USB Key证书载体长期插在电脑上不退出,就有失控的可能,比如用户在做一件交易还没来得及签名时,黑客会抢先签名,就是用户的账号和密码都输入后,黑客抢先在他的前面把名签了,从而盗走资金。“当然,这只是理论上的分析,实际的作案方式可操作性非常差。”网银安全专家、中国金融认证中心(CFCA)技术顾问关振胜表示。
其次,如果数字证书、证书密码、账号、登录密码和支付密码所有这些安全措施被同一个人窃取,也会存在安全风险。
最后是数字证书在使用上的一些技术性障碍,因为现在的数字证书跟应用环境有很大的关系,用户在使用的时候需要下载自行保管,而且也有各种各样的问题,当用户重装了系统,这个证书可能就不好用。此外,硬证书还存在安装驱动的问题,但是这个驱动在有些系统环境下可能无法运行。
正是基于对数字证书安全的顾虑、使用上的不便,网银用户不太愿意采纳数字证书,更何况还需要花60~70元不等的使用成本。
如何在便利与安全之间寻求到平衡,建设银行的做法是实行差别化服务。“大众版以方便为主,只提供查询、交费和小额支付,而大额转账以安全为主,实行更高级别的安全认证。”马春峰说。
为了降低大众版网银功能的安全风险,工行目前将大众版网银对外支付额度限制在300元以内,并取消了新的大众版用户的申请,目的是鼓励大家使用数字证书或者电子口令卡。招商银行日前也取消了大众版的使用,要求用户使用数字证书进行网上支付和转账。
就目前的情况来说,“想要银行拿出一个成熟的方案来使用户感觉到既方便又安全,是比较困难的。”但作为银行来讲,在保证安全的前提下,还应当考虑网银使用的易用性和可靠性。
技术之外的问题
虽然银行都建立有相对完善的安全认证手段,但并没有获得用户足够的认同。
在一些维权网站上,很少有网银受害者承认遭遇黑客攻击有自己的过失,而是直接把原因归罪于银行,称银行未经本人授权就支付或转账资金,银行应该承担责任、赔偿损失,而对于银行推出的数字证书,则认为是银行在强行高价搭售。
“网银的问题不再是一个技术问题,而是一个社会责任问题。”吕本富教授的看法是,用户之所以对数字证书的使用没有热情,关键在于银行的宣传不得力,银行必须设法提高用户的安全意识。
通过宣传,使大家建立一个规范,明确规定哪些是用户必须要注意的事,哪些是银行要介入的事。“在规范建立之前,用户肯定会把责任推给银行,这没什么可说的。”他说。
在吕本富看来,纯粹是由于黑客病毒等技术带来的网银风险比例不会超过10%,而大部分风险来自于用户的安全防范意识不强,如果银行对用户的安全意识教育做得好,估计可以降低70%的风险。
马春峰告诉记者,中国建设银行在网银安全问题上除了加强系统的技术防范和监测、制定完整的业务规则、提供如短信服务的安全辅助手段以外,重点放在对用户的宣传教育,包括金融安全知识的普及教育,安全方面应该注意哪些问题等。
尽管如此,网银的安全态势并无很大的改观。接受采访的几位专家分析认为,首要原因在于银行的战略理念有问题。“普通老百姓之所以害怕网上银行,不愿意用数字证书,就是因为各银行早期推出的大众版(普通版)网银产生了安全担忧的误导,这是银行的策略性失误。”CFCA技术顾问关振胜说,银行应该像军事家一样站在战略高度来看待网银的安全问题,其实用户是很愿意接受数字证书的,只要合理,用户花钱买也是认可的。
记者了解到,在网银是否安全这个问题上,不仅普通老百姓不清楚,就连一些地方银行的行长们都讲不明白,这种情况下,普通老百姓担心网银不安全也就在情理之中了。吕本富的观点是,关键在于银行能否选择合适的用户群来推广数字证书,让这个客户群来带动社会其他人群。“银行必须像企业推销MP3一样,针对白领、大学生等年青人群去推广,因为这批人时间紧张,比较喜欢银行的这种服务。”吕本富建议。
其次,网银安全与我国电子支付市场的成熟度,以及人们在这一过程中的认知程度也有很大的关系。一位网银厂商的专家认为,目前的这个市场还处在发展时期,人们对它的认识程度都处在一个发展的过程中,就像短信,它在给人们带来极大方便的同时,也会产生类似于短信欺诈那样的负面效果,但是我们不能因此否定它的价值。
【银行安全管理制度】推荐阅读:
银行卡安全使用06-01
银行安全宣传周活动总结06-22
银行开展全民国家安全教育日活动总结06-17
银行考勤制度05-30
中国工商银行银行承兑汇票业务管理办法05-29
银行对公账户管理方案06-18
流动银行管理办法07-02
uml银行管理系统06-01
银行信贷管理办法06-09
银行合规管理考试试题06-23
