来源:蜘蛛抓取(WebSpider)
时间:2018-02-09 12:21
标签:
什么叫做金融
移动金融行业安全现状分析及解决方案_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
移动金融行业安全现状分析及解决方案
阅读已结束,下载本文需要
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,方便使用
还剩5页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢可以讲几个金融方面有关信用的案例吗?_百度知道
可以讲几个金融方面有关信用的案例吗?
我有更好的答案
[提要]2002年初,拥有2000多员工的中石化广州分公司,帐目上逾期一年以上的应收账款,高达2300多万元。 沉重的清欠负担以及由此而带来的费用开支、资金占用、坏账损失等等,大大增大了企业的管理成本、机会成本和坏账成本,使企业巨额效益白白流失。是继续在&不赊销等死,赊销等于找死&怪圈中徘徊,还是跳出怪圈理智地分析和另辟蹊境?公司选择了后者。 在深刻总结以往盲目赊销的教训后,公司认识到:现代市场经济本质上是一种信用经济。随着中国加入W TO,成品油的终端零售、批发市场逐渐开放,赊销已成为所有成品油供应商扩大市场份额的现实选择。在这种选择中,企业必须不断地扩展信用销售,即&理性赊销&。同时,企业防范信用交易风险不能只寄希望于客户,而更应该引入&信用管理&理念,控制交易环节的信用风险,建立规范化、制度化的赊销程序,以增强企业防御风险能力,加强应收账款管理,减少企业呆坏账损失,在扩大销售与控制风险之间求得最佳平衡和实现盈利最大化。 2002年下半年开始营运的一家巴士公司,难以确定信用额度,但考虑到能取得公交营运必具相当资质,公司就以交纳押金进行记账加油、加油量满2万元即付款的办法,经过两个月交易考察后,始给予对方10万元、45天的信用额度。 随着销量的扩增,至2003年2月末,公司应收账款总额已达2.02亿,比实施信用管理前增长了51.86%,但其中3个月以内的应收账款占总额的88%,比实施前上升了17个百分点;其中1个月以内的占了80%,二三个月应收账款占了8.15%。实施后,平均每月发生的清欠款只有3万元,比2002年实施前降低了50%。 在取得信用管理效果的同时,公司的总销量由实施前的月均9万多吨逐月上升,到今年一季度月均达13万吨左右。实施后公司的赊销量占总销量比例为73%,比实施前还增加了28%,真正实现了有效销售的扩张。 事实证明,信用管理使公司正常周转的应收账款不断增加,风险控制明显好转。扩大、理性、有效的信用销售呈现良性循环。
上海大众受困&本土化&赊销挽救20亿库存 迫于1.8万辆、超过20亿元库存的压力,上海大众今年采取了从未使用过的压库存手段。据《财经时报》了解,不仅上海大众与其参股子公司、一级经销商上海上汽大众汽车销售有限公司(以下简称上汽销)之间有赊销协议,上汽销与代理商之间也有赊销协议。 新车就着上海大众规定的&任务量&,已经陆续派往上海大众在全国的400多家经销商。按照&任务量&计算,一些经销商分得新车已超过100辆。对于经销商来说,虽然销售压力大,但丰厚的利润回报实在难以拒绝。 因为,上海大众的促销政策是,如果经销商到年底达到规定的销量,可以获得返利。返利高者可至建设成本的95%。这意味着,在上海,一个建设成本在1000万至1500万之间的4S店,只要能完成今年的销量,就可获得950万至1400万真金白银。 上汽大众一位内部人士表示,内赊销,外降价,通过这两种见效最快的手段,上海大众正努力在年底前把库存数目压到最小。业内人士分析说,至少在账面上,赊销可以做成应收账款,使库存量大大减少。 案例三 某房地产开发公司取得了一块民用建筑用地的开发权,建筑面积为10万平方米,每平方米的综合造价和费用,是三千元,每平方米平均销售价格是4500元,需要总投资为3亿元,总收入为4.5亿元,净收入是1.5亿元。但是这个房地产公司开工的时候,手里只有1500万元,他们选用了延期付款与预收账款的融资技术,完成了这个房地产的开发项目,赚了1.5亿元。
案例四 四川某企业的厂长王某在1995年与协作厂签订合同购买了4000吨钢材。钢材入库后按理他应马上付款,但在此时市场上冰箱畅销,如果他推迟付款,就可以将这笔资金用来购买冰箱外壳,组装后售出可获取较大利益。于是他与协作厂签订商业信用合同,延期付款,同时补偿对方7万元的占用资金费,这样把资金运作开,多获取了100万元的利润,除去给协作厂的7万元,还剩93万元。 合理利用商业信用可以给企业带来丰厚的利润,可是如果使用不当就会给企业带来不小的损失。
采纳率:58%
来自团队:
著名的应该是安然事件,一家拥有上千亿资产的能源公司,许多国家企业破产或面临危机,其中希腊危机也是信用缺失的一个很好案例,他们的信用评级也被调低,因财务舞弊而在几周内破产。这个具体的你搜安然事件或者安然公司就能找到。另外07年的金融危机
本回答被提问者采纳
其通过银联成为了中国银行的特约商户,不去检查消费者的真实情况,并且在发出止付通知后并无停止此卡的消费,是属于监管不力的表现,B银行在办理挂失时有过错,应当为此过错造成的损失承担赔偿责任。 案例二,银行是否有责任。但邓某并未这样作,也就导致未能及时发现信用卡被盗,在其第二天挂失时已是为时晚矣、过错程度来进行分析。日,有人向B银行挂失,银行也没办法行使它的监管权力,银行只提供消费合作,并且银行已经发出了止付通知。所以银行在此不需要承担责任。商场需要承担监管检查责任,并无权干涉消费者的购物权利、原告应当承担举证不能的法律后果,NJW1993? (1)挂失信用卡,B银行在挂失时并没有要求挂失人出具身份证件,收款人也没有笔迹鉴定专家的专业素质?王某应该承担什么责任?为什么? 张某在整个案件中是属于被害者,但他的一个主要保护不当而令到自身产生损失。因为特约商户没有银行的专业设备。被告商店员工在作证时均否认案涉信用卡持卡人签名栏内有“邓某”的签名字样,签帐单上的签名人“丁伟”与信用卡预留姓名“邓某”明显不符,特约商户在该笔交易中未尽到应核对“卡片正面拼音姓名与卡片背面预留签名和身份证姓名一致”之义务,属于次要责任,应当承担损失10%。 银行是没有责任的,银行只是提供了信用卡服务给消费者。邓某发现钱包丢失后于次日早晨去银行办理挂失时发现中国银行长城信用卡内的资金已被盗用。在划卡时,特约单位拒绝受理。而真正的“及时”挂失止付,应该是在信用卡丢失后,损害发生前就完成,只有这样才能对防止损害的发生起到实质的效果。且原告将信用卡与身份证放置在一起、并设置了极不安全的密码(以生日作为密码),因此持卡人在本案信用卡被盗用中也有过错,应承担次要责任。 案例四:冒用他人银行卡行为的定罪分析被告人甲某,某出租车公司司机。日晚,乘客乙某搭乘甲某驾驶的出租车回家,下车是不慎将皮包遗忘在甲某的出租车上。皮包内装有银行储蓄卡一张、近百元的现金及备忘录等物品,备忘录上恰好记载有储蓄卡的密码。甲某拾得该皮包后,利用该储蓄卡及其密码分别到所在市区的多处自动提款机上提取现金,累计人民币十万余元。公安人员在接到乙某的报案后,根据出租车票找到甲某询问,甲某矢口否认上述事实,并拒不交出皮包及所取现金。 分析方法和思路1、基本法律事实包括:(1)皮包是乙遗忘于车上的;(2)甲用乙的信用卡提取现金10万元;(3)甲在公安人员询问时否认事实,拒不返还。2、争议的焦点:案件的性质。是构成刑事犯罪还是仅承担民事责任。若构成刑事犯罪,是信用卡诈骗罪还是侵占罪。 处理依据1、《刑法》第196条规定,由下列情形之一,进行信用卡诈骗活动,数额较大的处五年以下有期徒刑或者拘役……(三)冒用他人信用卡的;2、最高人民法院《关于审理诈骗案件具体应用法律若干问题的解释》规定:个人诈骗公私财物2000元以上的,属于“数额较大”;个人诈骗公私财物3万元以上的,属于“数额巨大”……3、《刑法》第270条第二款规定:将他人的遗忘物或者埋藏物非法占为己有,数额较大,拒不交出的,依照前款规定处罚。4、《民法通则》第92条的规定:没有合法根据,取得不当利益,造成他人损失的,应当将取得的不当利益返还受损失的人。 处理意见1、构成信用卡诈骗罪。信用卡诈骗罪的主观方面是具有非法占有他人财产的目的。客观方面的行为方式由使用伪造的、作废的信用卡或者冒用他人信用卡以及恶意透支。本案中甲具有非法占有乙财物的目的,并冒用了乙的信用卡提取10万元,符合信用卡诈骗罪的法定表现形式,应构成信用卡诈骗罪。2、构成侵占罪。依据刑法第270条,侵占罪与其他财产犯罪的一个关键区别在于侵占包括两个密不可分行为特征,即合法持有+非法侵吞:行为人将自己以合法持有的他人财物非法转为己有,并且拒不交出、拒不交还的。而本案中甲拾得乙的遗忘物应认定为合法持有;后在公安机关询问时还是拒绝返还应构成非法侵吞。因此甲的行为符合侵占罪的法定表现形式,应构成侵占罪。3、甲的行为不构成犯罪。甲占有乙的遗忘物的行为构成民法上的不当得利,后经公安机关询问拒绝返还,侵害了乙的财产权,构成侵权,承担侵权责任。 处理结果甲的行为构成信用卡诈骗罪。理由有两个:1、依据最高院司法解释甲的行为因其侵占他人财产数额巨大,以超出了民事责任领域,构成刑事犯罪。2、甲的行为既符合信用卡诈骗罪的犯罪构成,又符合侵占罪的犯罪构成。本案中甲为了实现非法侵吞乙的财产的目的,而采取冒用乙的信用卡的方法,具有目的与方法的牵连关系,应认定为牵连犯。对此种牵连犯刑法没有明确规定处理方式,依据“从一重罪处断”的一般原则,应认定为信用卡诈骗罪。
法理分析1、案件中当事人应承担民事责任还是刑事责任,这是一个需要立法进一步细化的问题。2、罪数形态中最难的问题就是数行为作为一罪处理的情形。从原本意义上说,一个行为构成一罪,数行为就应该构成数罪。但刑事立法的具体规定以及刑法一般理论将某些情形下同一行为人的数行为不作为数罪处理,无需数罪并罚,而是作为一罪处理。因此本案中将信用卡诈骗罪与侵占罪认定为牵连犯,并择一重罪,以信用卡诈骗罪论处。 案例五:信用卡恶意透支行为的法律界定个体户甲某持有本市工商银行发行的牡丹信用卡一张。日甲某将生意交于儿子代管,携妻外出旅游。旅游期间,甲某在杭州、南京、上海等多个城市持卡消费。鉴于信用卡的透支功能,甲某认为自己财力雄厚,返回后可以立即偿清欠款,于是在旅游的一个月中大胆透支,累计4万余元。日甲某进行了最后一笔透支后返回家中,打算立即赴银行归还透支欠款,谁料儿子代管生意期间由于疏忽大意而上当受骗,生意亏本严重,以至甲某无力偿还银行透支款项。此后甲某四处筹借,银行也分别于6月30日、7月6日分别向甲某发送了催收知识单,并于7月28日派外勤人员到甲某家中催要,但甲某仍不能足额偿还欠款。于是银行于7月31日以甲某犯有信用卡诈骗罪为由,将其控告到人民检察院,检察院审查决定对甲某提起公诉。基本案件事实甲与银行之间存在信用卡合同关系。甲在99年透支4万余元。透支后,甲才得知儿子经营不善亏本严重,因此无法偿还银行透支款项。发卡银行催还。甲四处筹款换钱,仍不能足额偿还透支款项。争议焦点甲某的行为是否构成恶意透支。处理依据《刑法》第196条规定,有下列情形之一,进行信用卡诈骗活动,数额较大的处五年以下有期徒刑或者拘役……(四)恶意透支的。前款所称的恶意透支,是指持卡人以非法占有为目的,超过规定限额或者规定期限透支,并且经发卡银行催收后仍不归还的行为。 处理意见法院审理此案的过程中,办案人员主要有以下两种不同的意见。(1)一种意见认为甲某故意进行透支,并且经银行多次催收后超过法定时间仍不归还,实际上是非法占有银行资产,属于恶意透支,依据刑法196条构成信用卡诈骗犯罪。(2)另一种意见则认为甲某不具有主观恶意,不属于刑法上的恶意透支,仅构成民法上的违约行为。 处理结果不构成信用卡诈骗罪。根据案件事实,甲在透支时基于对自身财力的信任;透支后因家里财务危机导致无法还款是甲积极四处筹借,可以据此认定甲的确不具有非法占有目的,因此其透支行为不是恶意透支。根据主客观相统一原则,甲的行为不符合信用卡诈骗罪的构成要件。构成违约。甲基于其与银行之间的信用卡合同关系,不能履行合同义务,应承担违约责任。 法理分析注意认定透支的性质,善意透支是信用卡的特有功能,而恶意透支才是法律惩处的对象。由于长期以来实务操作中对恶意透支的界定一直没有形成一个十分明确、统一的具体标准,因此对于类似案件的定性问题常常产生不少争议。信用卡透支行为在实践中的具体表现也较为复杂,对不同情况加以区分方能准确定性。从理论上说构成犯罪的恶意透支应同时具备三个要素:一是以非法占有为目的;二是透支超过规定的限额;三是经发卡银行催还而仍不归还的行为。 案例六:信用卡挂失后的风险责任承担张先生是某市一外资企业的部门主管,月收入较同龄人多一些。为了消费和支付方便,他在1997年就用上了信用卡。日上午10时张先生在一商场购物时不慎将尚有人民币2万元款项的信用卡丢失。张先生立即赶往发卡银行办理挂失手续。他于当日上午11时办妥挂失手续。一周后他去银行更换新卡时发现他的原丢失信用卡只有余额12000元。张先生和银行共同查找各种特约商家交来的消费单据后发现:第一笔消费发生于23日中午12时共计2100元,第二笔发生于23日下午3时共2300元,第三笔发生于24日上午10时共2000元,第四笔发生在24日中午12时共1600元,合计为8000元人民币。经银行确认以上消费行为系被人冒充使用。张先生认为以上四笔消费均发生在他挂失以后,应由银行赔偿他全部损失8000元。而银行只同意赔偿他1600元,银行的理由是:根据发卡行信用卡章程和规定,信用卡挂失后24小时内,风险由持卡人承担,所以认为应由张先生自行承担6400元损失。双方争执不下,张先生遂在本市将银行告上法庭。 分析方法和思路1、背景事实:原告在被告处申办了信用卡,并在98年8月23日上午10时丢失。案件基本事实:原告于23日11时在被告处办理信用卡挂失手续;挂失之后被他人分四次共消费8000元。2、存在的法律关系:原告和被告之间存在信用卡合同关系;3、争议焦点:挂失后24小时之内,信用卡被盗用金额的损失由谁承担。即被告作为发卡银行出具的信用卡条款:“信用卡挂失后24小时内,风险由持卡人承担”是否有效。 处理意见围绕此案,对于第四笔即24日中午12时消费的1600元由银行承担均无异议,但对于另外6400元责任承担的问题,合议庭的审判人员展开了激烈的争论。形成三种意见:一种意见认为应由张先生来承担,因为发卡银行信用卡章程有规定:信用卡挂失起到挂失后24小时内,风险由持卡人承担。张先生认购了信用卡就视为对以上条款的同意。第二种意见认为,银行提供的该章程属于我国《合同法》的格式条款,银行提供有服务有瑕疵,应该从有利于消费者的角度去理解,并排除此条款的适用。第三种意见认为客户应对信用卡尽审慎保管之责,客户丢失信用卡本身具有保管不当的过错,而银行提供有了瑕疵的服务,不能用格式条款免责,也应承担相应的责任,对于他人冒用7200元责任应由张先生和银行共同承担。 处理依据和结论
被告出具的信用卡条款应属于格式条款。根据我国《合同法》第40条规定:格式条款具有本法第52条和第53条规定情形的,或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。因此被告的免责条款无效。该条款不可支持其抗辩原告的损害赔偿请求权。又根据《民法通则》第131条的规定:受害人对于损害的发生也有过错的,可以减轻侵害人的民事责任。本案中原告未尽谨慎保管信用卡的义务,具有过错,可据此减轻被告责任。 法理分析1、格式条款的效力问题。合同条款不会因其具有“格式性”特征而归于无效,但格式条款具有《合同法》52条所列五种情形之一的,或者符合《合同法》53条所列两项情形之一的归于无效。这是法律发展到当代在私法领域出于保护社会弱势群体对合同自由作出的限制。2、出于挂失制度的设立目的,挂失人丢失信用卡的过错是否作为《民法通则》131条的受害人对损害发生具有的过错处理,值得商榷。,每天金额高达2000元,2813一案中Bamberg高等法院采否定说,认为持卡人并非每人都经常使用信用卡签帐消费,只须持卡人将其固定收置于第三人通常无法取用的地方即可。被告商店员工在受理案涉刷卡交易时,仅要求“持卡人”在POS机上输入密码,因商场在消费者消费其间没有行使到商场该有的监管检查能力:08年 3月张某在本市的银行领取了一张信用卡,同年6.1王某偷窃得到密码在商场消费,妥善保管信用卡是其固有的义务。作为持卡人,对于信用卡可能被盗、丢失这一事实完全可以预见。3。2。王某是属于盗窃罪,根据《刑法》第264条的规定及《最高人民法院关于审理盗窃案件具体应用法律若干问题的解释》对盗窃罪的数额标准作了规定:“个人盗窃公私财物价值人民币500元至2000元以上的,为“数额较大”;个人盗窃公私财物价值人民币5000元至20000元以上的,如果以一般人的能力,而钱包则放在外衣口袋内,20日内攻击透支40000元人民币,卡被盗紧接又被消费,从6.1到6.20王某用信用卡在乙商场连续消费,38000元以上不满45000元的。原告主张就餐时信用卡被盗没有相关证据支持。4、被告在本案中没有过错,声称持卡人名称为A的信用卡遗失,称其12月7日晚6时左右在一餐厅就餐,用餐时将衣服脱下挂在椅子上,6时40分左右餐毕回家后发现衣服里的钱包没有了,内有现金1200余元,持卡人在本案中的过错
关于持卡人的过错,主要是考察持卡人对信用卡的保管义务以及在失去信用卡后的挂失问题。邓继华作为持卡人,6。5。A在查询之后,指出是有人冒名挂失。据查。如果信用卡被列入止付名单的?为什么。庭审中,只要稍加注意就会发现签名的不一致。因此在本案中,被告代理人确认。王某是属于数额巨大,应从特约商户、持卡人及发卡银行在信用卡被盗用中是否存在过错。A因此对法院提起诉讼,要求B银行赔偿其为调查此事的往返路费,所以按刑事处罚条例。但本案中邓某将信用卡置于钱包中。银行立刻发出了止付通知,关于信用卡的法律规定还不健全远远落后于实践的需要,尤其是电子技术与生俱来的不安全性,而在签购单上的签名则为“丁伟”两个字,这对于普通人来说,特约单位应当拒绝接受。(3)应当赔偿损失。因为,被告方无从核对,多次在特约单位消费、原告漏列主体。发卡行、受单行及原告就餐饭店的业主都应列为被告。 [评析]本案是一起因信用卡被盗用而引发的纠纷。信用卡发展历史很短,从其在美国诞生到现在不过90年的历史。(2)合法,未对“持卡人”的签名进行认真审核,亦未查验身份证件,并将外衣挂于饭店的椅背上,其作为一个正常人应在离开饭店时检查其钱包是否还在,处有期徒刑七年至八年。负主要刑事责任。案例三:[案情] 日8时50分许,原告邓某至南通市某派出所报案,问。首先,作为特约商户在本案中的责任关于特约商户的过错,邓某在发现信用卡不见后的所谓“立即”挂失,是否就算恪尽及时挂失止付的义务。本案中邓某当晚7时半发现卡丢失,直至第二天8时许才挂失,这期间12个多小时,早已为他人盗用提供了可能,使关于信用卡的纠纷持续不断,但对特约商户不能赋予过高的注意义务,A在特约单位购买了价值达2万元人民币左右的电器,无法认定签字非为持卡人所为而接受刷卡,特约商户对此就不应承担责任。但本案中?为什么,为“数额巨大”,因此邓某在本案中存在过错应无疑问。其次。邓某称其发现信用卡被盗时,信用卡已被盗用,那么持卡人应当在何时发现信用卡被盗,是否有义务不定期检查其信用卡是否遗失或丧失占有?在德国OLS Bamberg。其中,12月7日19时18分和19时22分分别在被告A商店处消费19995元和7900元,在全国银行卡统一受理签购单上持卡人签名为“丁伟”。信用卡消费涉及到三方当事人。问题:(1)挂失信用卡应当办理什么样的手续,即特约商户.2张某发现信用卡丢了~向银行申请挂失~甲银行已经向乙商场发出止付通知,但在6月底银行结帐时发现?乙商场应当承担什么责任,在卡的正面注有持卡人姓名的拼音,持卡人输入密码POS机显示交易成功、建行卡各一张及原告与其母的身份证各一张,这是在银行不知情的情况下进行,在此?(2)特约单位拒绝为A划卡的行为是否合法?(3)B银行是否应当赔偿A的损失、原告未尽妥善保管义务致使信用卡丢失,持卡人姓名为“邓某”,系三个字,存在过错是显而易见的,应承担主要责任。其次,持卡人应当持本人身份证或其他有效证明向发卡银行或代办银行申请挂失,并按照规定提供有关情况,办理挂失手续、中行卡、持卡人与发卡银行。信用卡被盗用所产生的损失应由谁承担、如何承担,主要考察的是接受案例所示的信用卡消费时应尽到的审查义务的标准。特约商户对持卡人应负有一定的注意义务,张某应当由什么责任,自己应承担过错责任,所以应该负次要民事责任。被告代理人同时承认被告商店员工对发卡行的具体要求并不知道。原告邓某诉至法院称,被告方未能按照规定对持卡人身份进行审查并核对签名即准予持卡人刷卡消费导致原告的合法权利遭受损失,现诉请法院判令被告赔偿原告损失人民币27895元并承担同期银行利息100元。被告A商店辩称,1、本案应先刑事后民事,原告启动民事诉讼程序不当,与银联之间有协议,在操作时根据发卡行的要求进行操作。持卡人使用的信用卡背后没有签名案例一:A在B银行办理了个人信用卡后。7月16日
有好处马?
其他1条回答
为您推荐:
其他类似问题
您可能关注的内容
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。如何判断理财平台是否安全?多个方面带你分析_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
如何判断理财平台是否安全?多个方面带你分析
专注互联网,为品牌客户提供全方位整合网络...|
总评分0.0|
阅读已结束,下载本文需要
想免费下载更多文档?
定制HR最喜欢的简历
你可能喜欢金融大数据安全应重点注意哪些方面?
随着大数据的发展,从银行到P2P再到保险、证券等,越来越多的金融企业开始建设自己的大数据平台。传统上对于数据的管理,金融界是有经验的,但当下的大数据时代,数据使用的更频繁、内外交互实时、数据种类也更复杂,对数据安全带来了更严峻的挑战。本期优炫知识课堂就和大家探讨下金融大数据安全的问题。
金融大数据的安全有三个很重要的工作内容,分别是安全管理及监管合规、数据安全、业务安全。具体到实际的安全映射上,分为以下四类。
一、安全管理
金融机构是属于被强监管的机构,很多业务都需要牌照才能开展。在安全领域保持监管层的汇报和日常沟通需持续进行。监管机构一般会有现场监管和非现场监管,注意及时、准确的填写内容,利用现场监管的机会,充分展示安全保障能力。
主管机构在监管层面,目前主要还是看安全制度、信息安全等级保护评测。等级保护测评无需多说。安全制度层面,由于不同金融业态对应不同的安全管理要求,需要结合专业条线的安全管理制度来开展。有些机构为了取得更多安全证书,会去拿一些国外的安全体系认证,这在监管层面不是很认可,除非有国外机构的业务,或者真正需要借证书来完善自己的安全管理体系,否则这个证书不用过于强调。
除监管之外,安全管理还有一个重要内容是传递安全的信任感。一个平台是否安全是投资者非常关心的一个角度,平台安全可以分为资金安全和信息安全,而信息安全则需要传递这种信心。
如果一个平台被黑客攻击,或者羊毛党大量聚集,或者出现批量的受害者,这对平台的打击是致命的。在安全信心的传递上,一是用人民群众喜闻乐见的形式在平台上宣传,二是要处理好应急事件,尤其在公关层面。
二、生产安全
金融的安全运维和研发安全上,与其他类型机构相比,安全要求相对较高一些。但本质上并无较大差异,本文也不在这里介绍。主要探讨大数据平台安全。
一个简单大数据平台示意图如下:
整个大数据平台可分为三大块。
1、 数据源
一个大数据平台,必然面临这种形式的数据接入,数据有结构化的非结构化的、爬虫数据、上报数据、图片数据等各类格式。数据又有个人身份信息、支付、移动数据、法院信息等各种类。数据还根据来源有组织内和组织外。根据接入方式有互联网、专网等。这里需要考虑存网络边界风险。
在一个大型集团的大数据平台,每天都会有各种各样的数据接入需求。安全部门在这里要有统一、强制的介入方式,包括连接类型是API、FTP还是其他类型。包括数据流量预测;接入的鉴权方式和证书管理;使用期限和下线管理。建议是形成统一的数据接入平台进行管理,按照不同的数据保密性级别分类处理,约定统一的安全强度。
2、大数据平台安全
2.1基础设施安全
大数据平台首先要考虑自身基础设施安全。由于金融属性,大数据平台不太会考虑使用云的形式。另外,取决于搭建大数据平台的技术及数据库,还需要进行针对Hadoop、mogodb、nosql等的安全管理。
大数据设计的初衷并不是为了安全考虑,整个安全管理机制并不成熟,比如Hadoop早期版本缺少身份认证机制、节点之间的传输无法加密,后续的版本提供了此类的机制之后,升级又可能导致Hadoop不可用。NoSQL数据库则缺乏一些传统数据库提供的安全功能,比如基于角色的访问控制功能。
由于大数据平台具有较多的集群服务器,物理位置可能分布式,所以需要在运维安全上考虑加固,使用统一的、最小化权限的版本进行自动化配置。
大数据平台的账户管理也是重要的一部分。密码强壮度的控制、离职休假员工的账户回收、登录失败限制,对账户的监控等等日常工作需要定期审计。但最核心的内容,是做好安全域管理,做好边界防控,把大数据平台在内部盒子里运转。
2.2敏感数据保护
大型金融集团里,大数据会包括来自各种内外部机构的数据。可能会包括保险、银行、证券、支付等多种机构,而这其中每个机构都面临着不同的行业监管要求,同时又需要有各种的机构访问。种种数据的行业要求,每个数据表甚至字段的访问,都需要建立在个案分析的基础上进行安全控制。
因此首先要对数据进行分类分级管理,如下图。
一般的分类分级可以参照传统安全做法,并无太大区别。但要注意由于大数据的来源非常丰富,不能仅靠人工去判定数据级别,需要有自动发现敏感数据的工具,市面上有一些通用工具可以用,但从长远来看,数据发现还需要有自己可定义的工具为佳。
对数据的分级,不仅要考虑到表,还要到字段级别的授权。除此之外还有数据融合的问题,基于业务的需要,例如在风控领域需要对用户画像,就需要综合多个类别级别的数据进行开发,多个数据融合的时候,对数据的控制要按照最高级来进行。
2.3数据脱敏
大数据平台最终是为业务服务的,在产品的生产过程中,多个团队都需要使用大数据平台进行分析、开发、测试工作。大数据平台中包含了大量敏感数据,如何能够既不影响业务开发,又能保障安全性,这就需要进行数据脱敏。
脱敏有几件事情要做,首先关键表关键字段的脱敏。这部分比较容易理解,例如用户的password,这就是无论何时都不能展示的。在有些行业,银行卡号、身份证等信息都需要脱敏(所谓脱敏是指隐去这些信息)。
但脱敏不能简单的将关键信息用星号脱敏,如果一张表的name字段全是*,业务分析就无法进行了,这就需要有一个替换和映射。
替换和映射的意思是:
张三,手机,身份证9
李四,手机,身份证1
而在系统内部则要建立两者之间的映射关系。这方面市场上也有产品提供,但对于大型机构来说,通用型产品远远不能满足需要,大型机构建议自行开发。
其次某些业务的需要,例如风控案件调查,一定是需要欺诈分子的真实信息,脱敏后案件就无法跟踪下去了,这就需要有控制的对部分人员开放敏感数据,又要保证这些数据不会出去。这种控制方法,一般是建立一个分析集群虚拟机,办公网通过堡垒机跳转,在虚机上进行操作,虚机集群则无法与外界建立联系。当然也可以选择在办公终端上进行严格终端控制,但终端层面风险敞口较大,很难做到完全控制。
同时,分析结果在很多情况下,需要对外输出。例如夺宝活动获奖用户清单,需要LIST清单进行奖励寄送,这就需要在封闭的集群中有统一出口。出口需要经过业务主管、安全团队审批,并经过加密输出,确保即使该文件被泄露,别人也无法打开内容。
2.4 数据产品输出
大多数数据会加工成产品对内外输出。有用在内部经营数据分析的产品,有向外部组织提供的数据接口,有应用产品。所有类型的输出,都需要安全团队参与评审。而绝大多数情况下,都不需要输出明细数据,在理解对方业务需求的基础上进行标签化可以满足多数场景的需求。
例如,某基金业务的资金变化展示,这种只是汇总型的数据,可以在大数据平台计算完毕后输出。再比如资金对账数据,可以通过接口性质输出,禁止人工对账,通过在鉴权、加密上的控制来保证安全。
还有一种情况例如,客服团队需要了解CASE详情,而这些详情需要通过数据来了解。这就需要控制好信息的输出,例如CASE是由用户触发,而不是客服触发。对客户的敏感个人信息要进行界面脱敏,外呼电话可通过隐匿后的软电话按钮呼出。这需要对客服系统进行敏感信息保护的改造。
三、办公网安全
传统金融机构对办公终端的管理都比较完善,甚至双网双机。一些互联网公司在这方面反倒有所欠缺。终端层面的监控和防护已经是最后一道防线,也是重要的信息泄露点,因此对终端电脑的安全管控必须向金融机构的强度对标,但手段上可以不同。
四、业务安全
在业务安全上,根据不同的业务特点会有不同的风险。刷库和倒卖是征信业务特有的风险,而账户安全则是所有业务都关心的风险,信贷风控又属于信贷类风险。
安全一直以来受重视程度不足,究其原因相对业务来说是个成本中心,而如果安全切入业务安全领域,则对整个业务带来价值,甚至可能会成为利润中心,是提高安全队伍话语权的重要法宝。
征信公司本身的业务特点是接入各方数据,加工成产品后对外输出,典型产品如信贷黑名单,其中汇集了逾期老赖用户。这就会有下游机构进行刷库,简单可以理解为使用所有公民的身份证号进行查询。
对这种情况,需要有业务监控,根据机构大小进行分类,异常查询的,可根据人行相关要求,调阅用户授权。另外为防止意外,可进行阈值设定,超出阈值的自动BLOCK并报警。
下游机构在接入接口后,将数据对外转售以此牟利,并留存数据。对于这种盗卖在技术上很难防范。但可以通过下钩子的方法,放置一些特定数据。一旦这些数据在未授权机构出现,则意味有人盗卖,可以根据不同的钩子数据找到盗卖方。
内容来源:FreeBuf
专栏作者mcvoodoo
责任编辑:
声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
今日搜狐热点
