金融信息系统.ppt
金融信息系统,1.电子银行的发展概况,1.1 电子银行的产生与发展1.2 支付和支付系统的产生与发展1.3 IT和IT部门在电子银行中的作用1.4 我国电子银行的现状,1.1 电子银行的产生与发展,银行业应用计算机始于20世纪50年代中期。从20世纪60年代初开始,新的电子资金转账(EFT)系统就像雨后春笋般建立起来,银行业务迅速实现电子化。电子银行的建设经历了将手工操作转为计算机处理、开发自助银行服务、提供金融信息增殖服务和开展网上银行四个发展阶段。,1.2 支付和支付系统的产生与发展,中央银行,商业银行甲,商业银行乙,客户甲,客户乙,1.2 支付和支付系统的产生与发展,银行卡的推出、计算机与通信技术(C&C)的引入、各种电子资金转账(EFT)系统的建立和推广应用,使资金支付活动的各方真正有机的联系在一起,形成各种电子支付系统。,1.2 支付和支付系统的产生与发展,我国目前的支付系统包括:同城清算所 全国手工联行系统 全国电子联行系统 电子汇兑系统 银行卡交易处理系统 网上银行系统 中国现代化支付系统 邮政储蓄和汇兑系统,1.3 IT和IT部门在电子银行中的作用,IT的应用对现代银行具有生死攸关的作用。现代金融企业的优势在于它的信息化和智能化的水平,取决于其对客户和市场需求的响应速度,将创新成果转化为新产品、新业务的速度。能高效利用信息去管理和影响决策过程的企业,具有更大的竞争优势,将获得快速的发展。因此,现代电子银行之间的较量实质上是IT应用与创新之间的竞争。,信息时代金融企业面临的压力,1.空前激烈的全球性业内外竞争2.不断缩短的业务周期3.成本压力4.市场营销策略的变革5.运营、管理体制的变革6.严重的金融风险,1.4 我国电子银行的现状,建成了初具规模的金融数据通信网的基本框架 中国工商银行、中国农业银行、中国银行和中国建设银行四大国有商业银行,采用专线或公共电话网为传输介质,建立了各自的具有相当规模的全国通信网。其他商业银行业建立了规模不等的全国性或地区性数据通信网。中国人民银行的数据通信网将各个商业银行的数据通信网互联在一起,组成了我国统一的金融数据通信网的基本框架。,1.4 我国电子银行的现状,银行传统业务的处理基本实现电子化 通过我国各商业银行的通信网,可实现电子汇兑、系统内联行对账、信用卡授权,网上银行服务及各种报表的传输。各行还开发了实时电子汇兑系统,逐步实现全国联网。企业、单位和个人在这些银行办理汇兑业务,可实现即收即发,资金可及时到账。,1.4 我国电子银行的现状,开发了一批新型的金融服务项目 自从1985年中国银行率先推出长城卡至今,我国银行卡产业取得了可喜成绩。工商行的牡丹卡、建行的龙卡、农行的金穗卡、交行的太平洋卡等银行卡相继推出。20世纪90年代,我国各商业银行开始发展网上银行服务和网上银行支付服务。在实现电子化的基础上,我国的商业银行积极实施数据集中和应用整合,将柜面业务、银行卡、ATM、POS、电话银行、手机银行和网上银行等业务融为一体,建成了以客户为中心的综合业务处理系统。,1.4 我国电子银行的现状,初步建立管理信息系统 为提高银行的监管水平,中国人民银行建立了金融机构监管系统、银行信贷登记咨询系统、农村信用社非现场监管系统等。各商业银行则相继推出了行长查询系统、人力资源管理系统、公文传输系统、统计分析系统、电子邮件系统和办公自动化系统,提高了办公效率、经营管理水平和防范金融风险的能力。,2.电子银行体系与金融创新,2.1 电子银行系统的产生2.2 电子银行体系2.3 商业银行的金融综合服务系统2.4 发展电子银行的意义2.5 信息时代的金融变革与创新2.6 电子银行系统的规划与设计,2.1 电子银行系统的产生,电子资金转账系统(EFT系统),EFT系统采用的数据支付方式,1.支票支付2.贷记转账3.直接借记4.用电子钱包现金卡直接支付,EFT系统发展成为电子银行系统 随着银行业务的不断扩大,EFT系统从专有系统走向共享系统,从小系统逐步互联成地区性、全国性以至全球性的庞大的金融共享系统。信息时代的电子银行呈现四大发展趋势:数据集中化、经营集约化和虚拟化、产品个性化、管理信息化和智能化。,2.2 电子银行体系,电子银行的信息和交易体系,电子银行综合业务服务体系,在面向客户的系统中,包括零售业务系统、面向商业的银行业务系统和批发银行业务系统。零售银行业务系统包括:联机柜员系统、ATM系统和家庭银行系统。面向商业的银行业务系统是销售点电子资金转账(EFT/POS)系统。批发银行业务系统,主要是指企事业单位与银行联机的企业银行(T-to-T)系统。,电子银行综合服务体系,在面向往来银行的系统中,国内银行之间的金融交易,通过自动清算所(ACH)系统和各种国内电子汇兑系统完成,同国外往来银行的金融交易则通过SWIFT网络和其他专用金融网络进行。,电子银行综合服务体系,网上银行系统包括为电子商务提供网上支付服务和网上银行服务。其中的网上支付服务含企业对消费者(B2C)和企业对企业(B2B)两类支付服务。网上银行服务主要是通过互联网为客户提供家庭银行服务和企业银行服务。,电子银行综合服务体系,银行内部管理系统包括行长管理系统、总行管理系统、内务管理系统和分行管理系统等。,2.3 商业银行的金融综合业务服务体系,综合性商业银行核心银行系统(ICBS)ICBS 是IBM依据商业银行面临的新竞争环境推出的综合性商业银行核心银行系统。它支持商业银行的各种业务目标。,2.3 商业银行的金融综合业务服务体系,银行多渠道综合解决方案(WSBCC)WSBCC是IBM提供的面向金融行业的电子商务应用框架模型,它是基于Websphere、跨平台、支持多渠道的综合解决方案。WSBCC支持的销售渠道包括网上银行、手机银行、柜面业务、呼叫中心、自助式信息亭等。,2.3 商业银行的金融综合业务服务体系,电子柜员(e-Teller)IBM基于网络计算的银行前端系统平台e-Teller,是分行级系统解决方案。它是为多种金融前端系统(柜面业务、网上银行、呼叫中心、自助式信息亭、自动柜员机、移动电话服务等)提供快速解决方案的平台。,2.4 发展电子银行的意义,1.商业银行实现三次飞跃 经过近半个世纪的电子银行建设,银行已经实现了如下三次飞跃:第一次是实现电子化,使银行从手工操作实现电子化,随后推出自助银行服务;第二次是实现信息化,使传统银行发展成为电子银行;第三次是实现虚拟化,使实体银行向虚拟银行发展。,2.4 发展电子银行的意义,2.增强了中央银行和银监会的宏观调控作用 中国银行通过电子支付系统,可实时掌握整个社会纷繁变化的资金运用状况和经济运行状况,为采取有效的宏观调控措施提供依据。中央银行还可通过与各商业银行之间的电子支付与结算活动,及时有效的控制信贷规模,监督商业银行的金融活动,并通过办理政府财政业务,控制国家货币的发现和资金的储备,从而加强宏观调控,稳定货币,促进国民经济的持续、稳定和协调发展。,2.4 发展电子银行的意义,3.促进国民经济的发展和信息化进程 金融信息化是我国国民经济信息化的重要组成部分。现代化的电子支付系统,是国民经济大动脉中的一个关键系统,电子银行是现代社会经济的支柱和命脉。,2.5 信息时代的金融变革与创新,当代金融变革的主要特征 1.金融服务信息化、智能化和个性化 2.金融服务时空无限制和手段多维化 3.金融编制精干化,管理体制扁平化 4.金融经营管理智能化,安全监控自动化 5.金融竞争呈现体系化和全球化,2.5 信息时代的金融变革与创新,我国金融创新的方向 1.推进金融思维创新,创立与信息化竞争相适应的现代金融理论。2.推进金融业务创新和技术创新,确立跨越式发展的思路,加速实现核心现代金融业务现代化的电子金融体系建设。3.推进金融体制创新,深化中国金融结构改革,建设适应信息时代电子金融的组织结构。,2.6 电子银行系统的规划与设计,电子银行系统的建设目标 1.使银行提高效率、降低经营成本 2.使银行能够提供高质量的金融信息增殖服务,2.6 电子银行系统的规划与设计,规划电子银行系统涉及的主要因素 成功推出一个电子银行系统的先决条件是这一系统具有服务性、安全性和经济性。而要实现上述要求,电子银行系统的规划与设计就不仅仅是一个技术问题,它必须涉及三个层次的因素,即:由最高领导层作战略规划;由市场销售人员作市场响应预测研究;由银行的技术人员作技术开发研究。,2.6 电子银行系统的规划与设计,规划与设计的原则 规划设计电子共享的基本原则是,要充分利用、共享各种金融机构已有的计算机系统资源,充分兼顾系统所有参与者的利益,要能适应国际发展潮流。,2.6 电子银行系统的规划与设计,需要考虑的几个重要问题 1.目标 2.多功能性 3.安全 4.覆盖面 5.灵活易扩充 6.整合的系统结构 7.需要非常大的投资,3.电子银行的安全,3.1 电子银行安全概述 3.2 影响电子银行安全的因素 3.3 电子银行的入侵探测与安全控制 3.4 计算机信息系统安全理论和评价准则,3.1 电子银行安全概述,金融业是国民经济的命脉,电子银行的安全对国民经济的正常运行和发展有着至关重要的影响。电子银行系统的缺陷和失效,很可能给国民经济带来巨大损失。,3.1 电子银行安全概述,电子银行安全特点 1.安全性要求很高 2.抗攻击能力要很强 3.安全难度很大 4.高科技犯罪比重大,3.1 电子银行安全概述,电子银行的资源 1.物理设备,包括机房、机房内和通信线路上的所有设备。2.软件资源,包括系统软件和应用软件。3.数据资源。4.人才资源。,3.1 电子银行安全概述,电子银行安全的基本条件 1.可靠性,系统中的所有资源都必须是正确完好、无差错的。2.可用性,保证合法用户能正确使用系统资源,而不被拒绝访问或拒绝执行合法的用户指令。3.可维护性,保障电子银行系统不会停止工作,永远能为用户提供高质量的快速服务。,3.1 电子银行安全概述,电子银行的信息安全需求 1.身份识别 2.交易认证 3.访问控制 4.信息的不可否认性 5.提供冲正过程 6.审计跟踪,3.2 影响电子银行安全的因素,自然灾害 电子银行很容易受到自然灾害的袭击。在作电子银行系统分析和设计时,要充分考虑可能产生的各种自然灾害。金融信息中心的地址选择、房屋结构设计要很慎重,关键的软硬件要冗余配置,重要的信息中心要配置备份中心。,3.2 影响电子银行安全的因素,环境因素 电子银行安全会受工作环境影响,如 掉电、电力波动过大、工作环境温度和湿度过高或过低等,都可能对电子银行构成安全威胁。,3.2 影响电子银行安全的因素,软硬件质量及其安全漏洞 1.操作系统体系结构上的安全漏洞。2.操作系统支持在网络上传输文件,包括传输可执行的文件映像,即在网络上加载程序。3.操作系统通常提供一些后台守护进程的系统命令,如Daemon、Debug、Wizard等。4.操作系统安排的无口令入口,本是为系统开发人员提供的便捷入口,但它可能成为黑客的通道。,3.2 影响电子银行安全的因素,误操作 误操作有时也会引起严重的安全问题。为解决误操作问题,必须提高操作人员的技术水平;重要数据的录入,需要有复核;此外,在软件的设计上应该有保证数据正确性和完整性的检验功能。,3.2 影响电子银行安全的因素,人为破坏 人为破坏可能是局外人,也可能是系统内的职工所为;可能是有意破坏,也可能是误操作引起。,3.2 影响电子银行安全的因素,非授权存取 非授权存取方式有被动和主动攻击之分。侦听是被动攻击,截获通信线路中的数据并加以篡改是主动攻击。,3.3 电子银行的入侵探测与安全控制,攻击的类型,中断是使系统资源遭受损失、损坏或不可用,使用户得不到所需资源。例如,蓄意破坏设备,删除程序和数据文件,使操作系统文件管理程序失效,导致不能找到所需的磁盘文件,都属于中断失效。,截取是指非授权实体对资源的存取。这里所说的实体,可以是人、程序,或计算机系统。阀门非法访问网络,对程序或数据作非法拷贝,都属于截取攻击。,修改是指非授权实体对资源进行篡改而产生的失效方式。非法篡改数据库数据、修改程序、修改正在传输中的数据、修改硬件等,都属于修改攻击。,伪造是指非授权实体伪造计算机中的实体。例如,作案分子将伪造的事物加入到计算机网络系统中,或向数据中非法加入记录等。,否认服务是指否认自己曾向银行计算机系统发出指令等实际行动。例如,事后否认自己曾向银行系统发出过转账请求的实际指令。,3.3 电子银行的入侵探测与安全控制,安全威胁来源,3.3 电子银行的入侵探测与安全控制,入侵探测方法 入侵探测是通过检查网络流量和各种系统事件,如检测CPU利用率、系统调用、文件操作等发现入侵者。入侵探测的主要方法有:模式匹配、统计分析、完整性分析等。,3.3 电子银行的入侵探测与安全控制,入侵探测系统 根据探测方法,可将入侵探测产品分为三种:事后审计分析、实时数据包分析和实时活动监视。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 1.密码技术 密码技术是保证信息系统安全的核心技术和最有效工具,是各种安全技术的基础。明文经过加密成密文后,局外人无法理解密文的含义,密文截获者就不能对截获到的信息进行修改,也不能伪造电文和信息。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 2.数字签名 在通信过程中,数据加密只起保密作用,要使通信的双方互相信任,要保证数据传输的完整性,重点在协议。数字签名协议广泛应用于数据通信中,用于保护电文在传送过程中的安全。为了通信双方能显示识别传输电文的完整性,电子银行中还广泛采用电文识别码技术。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 3.身份识别技术 在电子银行中,不同网络环境下,采用的身份识别技术不同。例如,通过设置识别码识别,容貌、声音、掌纹、指纹识别。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 4.软件控制 软件控制包括:系统软件控制、程序内部控制、开发专门的安全监控软件、电子金融的经营风险管理软件。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 5.硬件控制 在计算机系统安全中,硬件安全设备(如加密硬设备、电子门卫设备等)主要起辅助作用。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 6.物理控制 物理控制用于确保系统内所有计算机、通信设备、通信线路和机房环境等的物理安全。例如,房门上锁、设岗哨、将重要的软件和数据定期备份等。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 7.稽核控制 对电子银行的稽核控制,是对任何实体在电子银行系统中的操作都要记录下每项操作的属性,这些记录必须保留必要的时限,以备日后审查。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 8.规章管理制度 有效的规章制度和一体化的安全管理,是确保上述各种控制方法得以实施的保证。如果没有有效的规章制度,就无法有效地实施系统内部的安全策略,即使有再好的安全控制方法和手段也是无济于事的。,3.3 电子银行的入侵探测与安全控制,电子银行的安全控制 9.法律和伦理道德控制 计算机技术日新月异,而法律很少发生变化。因此,计算机领域的法律保护部严密,需要制定计算机专业人员伦理道德规范。,3.3 电子银行的入侵探测与安全控制,制定电子银行安全策略的原则 1.预防为主的原则 2.加强最薄弱环节原则 3.时间性原则 4.有效性原则 5.效能投资相容原则 6.以人为本的原则,3.4 计算机信息系统安全理论和评价准则,开环控制安全理论及可信计算机系统评价准则,3.4 计算机信息系统安全理论和评价准则,TCSEC TCSEC是可信计算机系统评价准则的缩写。是美国国防部(DOD)根据美国国防部信息系统的安全需要制定的,对用户登录、授权管理、访问控制、审计跟踪、引通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南等都提出了规范性的要求。,3.4 计算机信息系统安全理论和评价准则,ITSEC ITSEC是1991年由英国、法国、荷兰、德国四国提出的信息技术安全评价准则。它吸收了TCSEC的经验,并首次提出了信息安全的保密性,完整性和可用性的概念,把可信计算机的概念提高到可信技术的高度来认识。,3.4 计算机信息系统安全理论和评价准则,闭环控制安全理论,3.4 计算机信息系统安全理论和评价准则,闭环控制安全理论 从安全的实施过程来描述,PDR模型可描述为:安全=风险分析+制定安全策略+系统实施+漏洞监测+实时响应,