近日,在第四届世界智能大会云开幕式暨主题峰会上,360董事长兼CEO周鸿祎发表主旨演讲指出:网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。 近日,在第四届世界智能大会云开幕式暨主题峰会上,360董事长兼CEO周鸿祎发表主旨演讲指出:网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。 360董事长兼CEO周鸿祎 除了拉动短期投资,新基建的核心在于数字化,5G、大数据、人工智能、工业互联网等新一代信息技术的应用,将加速推动国家从信息化阶段走向数字化阶段。 数字化在解构旧世界,同时也在建立新的数字孪生世界。进入全面数字化有三大特征,即软件定义世界,万物皆可互联,数据驱动一切。同样,数字化也将带来前所未有的安全风险和挑战,涉及工业生产、金融、能源、医疗,甚至国家和社会的治理,安全基础不牢,新基建和数字化就无法运转,甚至会崩塌。 从这个意义上说,新基建是构建数字孪生世界大厦的“地基”,而安全是“底座”。周鸿祎将新基建面临的“大安全”挑战概括成“七个大”,分别是: 战场大:漏洞无处不在,一切皆可攻击,未来网络攻击能够贯穿到各个场景,不分国家、企业和个人,所有的领域都将面临来自网络世界的攻击; 对手大:玩家升级,网络攻击方从“白开心”“纯小偷”跃升至网络犯罪组织、网络恐怖主义和国家级黑客组织这样的“大玩家”,其组织化程度和技术实力之高相当于“正规军”; 目标大:攻击意图更具野心,从伊朗核设施遭受“震网”病毒攻击,到希拉里邮件门事件,再到委内瑞拉电站遭网络攻击陷入崩溃,这些攻击事件主要瞄准企业重要资产、国家关键基础设施、重要政府部门,达到中断工业生产,瘫痪电力、交通、能源等关键基础设施,颠覆政权,甚至影响战局的目的。未来数字基建必然成为“靶心”,一旦被攻击影响巨大; 布局大:敌已在我,针对重要目标的攻击往往经过周密准备和复杂的策略,进行长期潜伏、持续渗透。为达目的,在产品中预制后门、利用供应链发起攻击都已经是“常规操作”。御敌人于国门之外已经很难做到,必须假设敌已在我。 手法大:无所不用其极,后门、APT攻击、0Day漏洞利用、定制化恶意代码,以及社会工程学等攻击手法越来越高级化和多样化,暗战越来越多,传统的单点检测、碎片化的防护方案越来越无能为力; 代价大:损失重大,据埃森哲估算,2019年全球因网络攻击造成的经济损失约2.5万亿美元,是2018年的1.6倍;到2025年,预计达到5.2万亿美元。Gartner数据也显示2019年66%的企业遭到黑客攻击,54%企业至少被黑客攻击一次或多次。当外部威胁与内部脆弱性叠加共振,一次网络攻击即可造成重大损失; 难度大:攻防不对称急剧加大,攻防资源向供给方倾斜,要发现、阻断和溯源网络攻击难度骤增,“谁进来了不知道、是敌是友不知道、干了什么不知道”的被动局面成常态。 在各国激烈角逐制网权的网络空间新变局下,来自大对手针对新基建发起的大布局、大烈度、防护难度大的网络攻击,让传统安全防护体系似乎都成了“摆设”。
近日,香港人工智能与机器人学会(HKSAIR)副理事长郑松岩做客HKSAIR《AI金融》系列线上讲座第一课,以“香港金融业网络安全和个人隐私数据保护”为主题进行分享。以下为郑松岩演讲全文,雷锋网做了不改变原意的整理:大家好,我是郑松岩,我今天跟大家分享一下香港金融业网络安全跟个人隐私数据保护的情况跟做法。香港金融主要还是银行、证券、保险,但三个细分行业监管的严谨程度存在较大的差异。银行监管最严谨,所以我们讲的主要是银行相关的部分。银行业“水深火热”的网络安全现状2018-2019这两年出现很多资料被盗的案例,不过不是在金融行业,而是在其他行业。2018年10月,国泰航空公司总共有900多万的客户资料被泄露。其实国泰内部早在2018年4月份就发现问题,只是延后公布。新加坡医疗集团Sing Health则丢失了150万病人的资料,这与国泰事件发生时间很接近,但两者处理事件的方式大不相同。Sing Health在出现问题的时候,政府监管马上跟进,几个月后公布调查报告并供公众查阅。万豪旗下的喜来登酒店也曾经丢失超过3亿用户的个人资料。Facebook更是频频通过心理测试或者各种游戏,窃取用户个人资料。Facebook近年不断出现一些系统漏洞,很多用户的个人电话、邮箱、信用卡或身份证资料都暴露了。这些案例看似与金融业务无关,但这些被泄露的客户资料有信用卡号码、身份证号码,都可能被盗用。将来用户在银行申请开户、贷款,这对客户本人就会产生危害。2019年也出现了很多泄露事件,比如新加坡另外一间医疗机构HSA,发现很多客户资料被挂在黑网上售卖。同时,像Instagram等社交媒体,都有很多信息外泄情况。还有第一资本也丢失了客户资料,它本身就是金融机构,丢失资料更容易导致客户信息被盗用,引起金融方面的损失。再往前看,2016-2017这两年,是全球银行经历最多线上劫案的时候。线上劫案,也就是网络攻击。Swift是跨国家或地区的一种汇款转账方式,该机构在各银行安装转账终端机器。孟加拉央行被黑客进入,通过Swift被盗取8100万美金。香港很多网上银行用户个人资料丢失后,被黑客冒用做股票交易进行现金套现。台湾第一银行ATM服务器被攻破,导致很多不同地区的ATM某天自动吐钱。泰国也出现过ATM被盗,是在机构更新ATM程序时趁虚而入。实际上,现在很多地下黑网都会给这种网络攻击明码标价,盗取的店面数量、账户总值都可以在网上看到。钓鱼工具典型案例之孟加拉央行这种盗取很多资金攻击,是不是很复杂?这里以孟加拉银行为例做出解释。黑客并不是直接攻击银行数据中心,因为数据中心的服务器比较复杂,而是利用钓鱼邮件,比如假装成求职简历,邮件发送到央行人事部门,部门人员点进去就中招。这样,接收文件的那台个人电脑就被黑客入侵了。除了用户自身操作以外,很多系统管理人员也在这台电脑安装过软件或是日常维护,黑客也就顺势拿到系统管理人员的密码,就可以尝试通过网络控制其他服务器。再利用服务器,安装一个能够获取用户键盘输入信息的程序。如果此时这台电脑是给用户用Swift做汇款操作的,那黑客就能获取Swift汇款的ID和信息,远程操控这台机器。这样的操作,一直持续了39天,央行一直不知情,直到有一次黑客打错收款人姓名,交易被中断。银行内部做检查,发现这不是内部人员所为,才追踪发现这件事情。这就是从终端电脑开始慢慢安装软件,潜伏,通过网络搜寻获取更高权限,层层递进,最终发动攻击。钓鱼工具典型案例之台湾第一银行而入侵台湾第一银行的程序,实际上它是从伦敦的一个终端机上进入的,通过网络掌控到传真式服务器。传真经常会和总部有资料往来,他们之间有连接。黑客通过传真式服务器、伦敦的服务器,再进入到台湾本部的服务器,一层层操作后掌控自动柜员机的服务器,黑客可以操作指定区域的ATM机器,给出取钱指令,直接得到现金。我们的惯性思维会认为,网络攻击就是攻击服务器、数据中心,但这是从技术层面来讲。钓鱼软件则是一种从终端用户切入的攻击,低成本高效益,操作更容易,也不容易被追踪。对用户来说,网上银行要输入ID,同时还有短信之类的双重认证。黑客用钓鱼软件,程序很简单,比如给用户发链接,点进去之后显示的银行登陆界面需要输入ID、密码、验证码,用户更容易信以为真。但这个弹出的网上银行界面,其实是黑客电脑上的,不是真正网银界面。用户在不知情的情况下,输入自己的ID、密码,被黑客获取,去真正网银上输入用户的账密,用户收到辅助验证的短信。一旦用户没有发现端疑,按照指示操作,黑客就能拿到短信完成双重认证,从而进行更多操作和交易。金融业的网络安全治理之道金融业的网络安全管制,不只是技术层面的。各业务部门和用户,全部都要有网络安全意识,无论是在哪个机构、哪个国家或地区都是如此。另外,不同银行的管控能力都不同,网络安全的治理跟管理要并行,这一点要分清楚。管理是日常的网络安全计划,采取一定措施监控和运行系统都是属于日常管理。但治理更重要,它处于更高层次,金融机构必须定出一种方向,去思考:1、对网络安全的容忍度有多少?2、网络安全在机构里,属于最高优先级吗?这些问题的答案,直接与机构对网络安全的重视程度挂钩,包括投入的资源、人才跟资金,因为要建构很多不同的措施,包括检查机构网络安全的水准是否达到一个水平。在座有不少朋友负责网络安全,或者从事科技行业,我想请问大家:当你的管理层或董事会问你,你觉得自家机构的网络安全与业界同行相比是什么水平?有多少差距?这个问题你会怎么来回答呢?网络安全是一件由上到下、遍及全民的要事。香港金管局就明确规定,保障银行的网络安全是机构董事会成员的责任,由董事会负最终责任。管理层必须根据董事会定下的网络安全优先级,去保证所有的资源架构配套能够到位。管理层监督管理层的下一级是科技或风险管理部门,甚至是一些前线。管理层要保证计划都能够执行到位,再具体到技术人员。只有管理层乃至机构董事会了解到整体安全保障情况,把它列入日常议程,整个机构的网络安全资源跟能力才能持续下去。网络安全永远没有“做到最好”这个说法,不是监管要求或者稽查就做一下,无人违纪就停止了,而是要持续执行下去。管理层监督的对象,就是有关网络安全的部门、科技部门,包括用户。有关部门应该收集报告,定期向高层管理、董事会汇报安全情况。现在很多培训,只面向科技人员,这不够。要把培训遍及到董事会跟高层管理,他们也充分了解当前网络安全整体趋势,才能引起足够重视。基层同事也要知道网络安全各方面保护,不断宣传,让所有的终端用户都有这种意识。除了全民意识,在技术层面可以有很多的手段,比如在电脑上安装不同防护工具、加密工具或监控工具。实际上不同机构都会不断互相学习,然后引进技术手段,辐射到终端用户和高层管理的培训。香港金融管理局(下称“金管局”)对科技的风险监管有不同的规范,以科技管制和技术措施为主。持续性业务,又称TM-G2,是指业务整体都要持续有留存备份,不只是科技中心的备份,还有业务操作备份、演练规划。演练包括技术和业务层面,应急启动等,都有很多不同规范。电子银行因为变化得很快,所以有专门的管理规范和相关指引。香港民众对个人隐私的保护意识很强,是好事,当然也没那么快接受新鲜事物。香港有专门的隐私条例,大概有6个原则:个人资料的收集、目的及方式。社会上不同的机构,像银行、商店要收集客户资料,就必须讲清楚收集资料的目的跟使用方式。个人资料的准确及保留期。讲清楚目的后,还有使用期限,多久之内必须要删除,资料不再留存。个人资料的使用。在使用的过程中,要遵循告知用户使用的方式且只能用于此事,用户一旦发现不妥,可以投诉。个人资料的保护。即是资料在处理中、传输中、存放中的保护。资讯需在一般情况下可以提供。查阅、修改个人资料的权利。根据隐私条例规定,用户可以随时要求查询收集记录的资料,也有权要求修改和删除。网络安全管理指引四大重点网络安保方面,金管局曾给出过银行指引,重点如下:1、董事会和高级管理层的监督银行网络安全的风险拥有人就是董事会,信息一旦泄漏就可能让黑客容易进入一些科技系统,因此必须建立科技跟业务并行的风险管理整体措施。风险出现时,我们要面对监管、客户、民众、媒体。所以这一系列活动中,业务部门、企业职能部门都是要并行运作的。风险管控的措施不只是科技,同时要保证多数人有网络安全措施跟意识,董事会跟高级管理层有责任建立这一种文化。2、定期评估及监察银行网络安全要建立一种控制基准,包括治理层面。类似的国际基准有CSC20,通过标准比对,找出差距,不断修改补充。2015年时金管局提问各个银行:网络安全团队有多少人?需要配备足够的人员及人才,足够的财务投入,才能把网络安保做好,定期向董事会汇报。3、业界合作及应急规划金融机构要跟其他行业机构、警方互相合作,共享一些网络信息;同行业间互相分享不同的安保信息。做好应变测试,确保能够及时处理。这里的应变测试是指整个机构面对问题的时候的应变处理。4、定期独立评估及测试足够的网络安保专业人才跟知识是衡量机构的标准。另外,要请有资质的顾问公司对机构进行独立评估,这也是监管要求之一。网络防卫评估框架金管局推出了「网络防卫评估框架」,近几年还在继续完善跟运作。评估框架要求:银行根据自身交易量、提供交易服务的复杂程度和自身规模,进行自我评估,判断固有风险的高中低程度。银行的规模越大、业务越复杂、提供的产品越多,固有风险就越高。还有网络安防成熟度的要求。固有风险越高,成熟度要求就越高,通过独立的顾问公司评估银行,逐项判断是否满足要求。再根据评估结果找出差距,银行必须优化改进。每个银行的评估结果最终都要上报,金管局根据结果提出意见,银行再根据意见和评估结果制定修订的计划进行整改。金管局还要求提供修订报告,独立顾问公司对银行做审查,评估整改的方案跟措施。半年后,会要求银行找顾问公司再做一次评估,确认方案是否仍然有效。全部做完后,再要求各个银行去找顾问公司,找出不同的场景在机构里测试,然后从端对端中看能否找出漏洞。网络评估的要素成熟度评估包括7个领域,水平分为基本、中级、高级,总共有366项,具体看是否完成,服务程度等。独立顾问公司帮忙审核,列出不符合的项目。其中,风险识别这一点是指如何保护系统,如何侦测到分别来自内部和外部的攻击活动,如何去法院处理,同时恢复服务,这就是风险意识。最后一点是第三方的风险管理。近年来,各国对第三方的风险管理要求趋严,相信接下来会有更多第三方服务商(相关条例出现)。比如银行将呼叫中心业务外发给第三方供应商去做,必须监控供应商是否存在漏洞,以免影响服务质量。还包括关键的硬件供应商,需要有替代方案应对突发问题。第三方扩展会越来越多,因为现在的银行讲究效率——传统银行要求客户到分行,或用专门手机银行做金融交易,但现在有Open API开放这些应用的接口,越来越趋向于B2B方式。B2B2C模式是银行跟其他非银机构合作提供服务,共同经营双方客户。在这种模式下,用户可以通过一些像网商或航空公司等非银机构,在他们的网站直接享受银行服务,例如开户、转账。同样,银行也可以建立这种平台,提供像汽车销售、旅游计划等商业合作。当第三方公司网站出现问题,银行必须采取行动,及时判断这些机构存在的问题,判断其可信资质。最近金管局对银行又提出关于人工智能的一些要求,指明如果银行采用AI产品,或与机构服务商合作,董事局跟高层管理也必须负责AI引起的结果。这就要求使用者对应用程序要有足够的专业知识,和对人工智能的认知。AI要用数据训练模型,因此也对数据质量有所要求。AI模型还要做好核实,包括模型的可审计性。如果采用外部机构的AI产品,比如NLP,涉及的编制也需核实。外部AI或服务如何管控,如何确定变更过的模型准确性不变,如何检测程序中是否有恶意部分……这些对银行来说都是不小的挑战。云在内地银行应用较广泛,香港银行相对较少,这与监管不无关系。如果银行使用外部云,(在香港)它会被当成是技术外包,那技术外包也有自己的条例,包括全程监控,可审计等。云计算上的复杂状况不一定完全符合监管要求,要明确监管条例,银行才能启用云。银行用云也分为很多情况。比如银行内部出于成本效益考虑,选择自建云。有些银行是跨国且有很多子公司,它需要让一些企业客户跟银行IT系统有连接,比如银企直联,企业的ERP也能够连到银行,在处理账务或资金调拨时更方便。欧盟GDPR VS 香港个人私隐条例1、香港私隐条例列出6大原则,基本是原则性条文。而欧盟在2018年推出的资料保护条例叫GDPR,罗列了99条具体细则,它比香港的条例更严格。2、香港把身份证、电话号码等算在隐私范畴,而GDPR则将生物特征、车牌号、相片、IP地址、色情网络记录等等都全部列进去。3、GDPR条例会覆盖到其他的国家和地区,比如别国网站的产品,如果销售对象是欧洲地区的客户,或是销售中用到欧洲语言,会被计入GDPR。4、如果有出现问题,你一定要72小时内上报到某一个机构。5、很多地区的私隐条例只讲了原则,没有具体的违规处罚方式。欧盟就规定很清楚,说最高可处以2000万欧元的罚款或者全球营业额的4%。如何持续优化一个金融机构的网络安全能力?第一,定期外聘一个具认受性的顾问公司对机构的网络安全做成熟度评估。这是多维度的考察,并不只是检查技术上的防护。比如毕马威的成熟度评估模型,总共分了6个维度,评估管制跟领导、整体信息风险管理、法律合规方面机制等;运作与科技只占一项,还有业务持续性、人员素质……每个维度又分成5个层次,从初始级到优化级,定出一个最适合自己的标准。金融机构如果期望更好的效果,就应该通过各个维度找出差距并整改补齐。整改时要对措施的有效性进行评估,整改后再对措施的持续性作评估。由于不同的顾问公司的评估模型稍有差异,因而找不同的公司作评估,可以从更多的方位找出改善的地方。第二,不断演练。机构应事先制定好不同的场景,像网络攻击、阻断式攻击、钓鱼等,并制定好每年演练场景的数量、所需时间,按照规划完成。从高级管理层到终端用户、科技人员、科技系统等全都会加入。另外也可以聘请外部机构进行网络安保方面的攻防演练,找出漏洞并修补。系统中的补丁,也是很多机构容易疏忽的一点。一个中大型的机构,比如服务器、网络设备、终端机等,时而有补丁可更改,但也要分析实际作用再做定夺。而且要及时知道新的补丁上线时间,这要跟供应商保持沟通,确定补丁需要的时间、风险优先级等。有没有出现过没按规定打补丁的事件?早几年的Wanna Cry(永恒之蓝)就是,它个病毒会锁掉所有档案资料,黑客收取比特币之后才能解锁。当时全球很多地方都中招了,如果及时打上Microsoft Shop的OS补丁,是可以避免的。第三,人员意识培训。负责网络安保的人员是否具备专业知识跟能力?这必须由专业人才进行培训。很多人认为,有充分的实战经验就行了,但还是必须要求有专业认证。因为经验会随人员流动,有专业认证起码能保证网络安保人员认知的水平在同一水平线。像科技风险管理或者网络安保之类的认证人员数量,至少要占团队90%以上。同时经常举办不同的网络安保培训活动。另外也可以通过攻防演练、座谈会、网络学习、钓鱼测试等培养安全意识。引入智能化分析工具很多机构有不同工具,例如防病毒、防攻击、防侵入等,在服务器上有防脆弱、防档案更改的工具,网络有一些像DDOS防阻塞式攻击的工具。监控,其实都是监控到不同前中后台、终端或是服务器网络设备日志。日志单独查看可能很难看出问题,需要引入智能化分析工具,像Cyber Security Analytic,把不同设备的访问日志以及一些来自外部的访问IP的信息聚合在一起通过工具进行关联性分析,找出较为隠蔽的问题。例如有些服务器或应用系统正常运行,但某时段有一个IP在极短时间内出现不合理的交易数量,便可藉此提示是否有使用机器人进行操作的可能。实际上,近两年病毒或DDOS类型的攻击反而较少,更危险的是APT攻击(Advanced Persistent Threat,高级持续性威胁)。它是在一个位置记录搜寻漏洞,找到更重要的一个设备,再在设备上找新漏洞,找到它认为合适的时候才发起攻击,手段非常隐蔽,攻击让人措手不及。这就需要建构大数据网络安保分析平台来应对。实际上,网络安全、信息安全是政府、企业跟个人的共同责任。政府要做好立法和执法。企业方面,各个企业的网络安控水准跟意识各不相同,有些中小型企业没有资金跟人才去部署,怎么保证他们都有这样一种安全意识也是问题所在。同时,个人也要提高安全防范意识,注意个人ID密码被盗,钓鱼邮件,WiFi安全性等等。甚至平时你填的表格信息,也要考虑到信息用途,说不定很多信息因此就丢失。即将启幕CCF-GAIR 全球人工智能与机器人峰会———AI金融专场历届 CCF-GAIR 已汇聚多位诺奖、图灵奖得主,28位海内外院士,21位世界A类顶会主席,103位Fellow,400多位知名企业家以及100余位VC创始人出席。8月7日-9日,《AI金融评论》将在第五届CCF-GAIR中举办「AI金融专场」,目前统计学“诺贝尔”— COPSS总统奖得主,摩根大通执行董事,世界顶级学会主席,金融巨头首席科学家、首席风控官,已确认出席。会议详情与合作,可联系专场负责人周蕾,微信:LorraineSummer更多会议安排点击https://gair.leiphone.com/gair/gair2020查看。
图片源自网络 6月19日,汇丰中国发布澄清声明,称网络上出现有关汇丰的一些具有误导性的传言,缺乏事实依据。 声明还表示,中国是汇丰集团重要的战略性市场。“未来,我们将继续在业务、服务、人才和技术等各方面增加对内地市场的投入,一如既往地为中国经济的可持续发展做出自己的贡献。同时,我们也希望社会理性对待、客观评价国际银行在中国改革开放进程中所发挥的积极作用。” 6月17日,有市场消息称,汇丰银行正在恢复冠状病毒爆发后搁置的大规模裁员计划,将在中期裁员约3.5万人,此外将冻结几乎所有的外部招聘。 另有报道称,指控孟晚舟的唯一关键证据是由汇丰银行提供。 加拿大温哥华当地时间6月15号,法院对孟晚舟案再一次开庭,听证会上孟晚舟律师团的证据显示,美国要求引渡孟晚舟的文件中,由汇丰银行提供的、指控孟晚舟的唯一关键证据,被美方在做总结时遗漏了非常重大的信息,甚至出现故意误导的行为。
新基建热潮将应对安全挑战提到前所未有的高度,网络安全也成为新基建的关键因素之一。 今年年初,《中华人民共和国密码法》正式实施。有关专家表示,在网络时代,所有终端都要采用密码技术,密码法的制定夯实了我国网络安全的一个重要环节。 与此同时,今年新基建整体提速。专家指出,密码技术是网络安全的一项基础性技术,在构建网络空间信任、保障网络空间秩序中可提供核心技术和基础支撑。而新基建深度依赖网络空间,网络安全秩序是新基建安全有序展开的关键环节。因此,将密码技术融入网络协议形成安全网络,或将成为探讨新基建底层信息安全的可行方向。 据了解,密码与协议的深度融合有最新进展。一直致力于研发国产协议的视联动力,从2019年开始就着手探索在网络协议中植入密码,生成具备内生安全的网络协议。其间,密码学家、中国科学院院士王小云在视联动力调研后,给当时的视联网协议+密码提出了很多宝贵意见。 这项探索是视联网协议在交互中融入基于国密SM2/3/4算法的数字签名、密钥协商、数据加密和完整性保护等安全机制,以密码学强度实现设备、人员的身份认证、业务调度信令防篡改抗重放和音视频数据的加密保护。 第三方检测机构永信至诚实验室曾对植入密码的视联网系统内部环境安全和边界设备进行安全测评。验证结果显示,该系统在开展视频会议、视频监控、工业数据调度等业务时不易受到网络攻击影响。 目前这项安全性能加强的新技术正在服务视联网所覆盖的各个领域的应用,如综治视联网、雪亮工程视联网平台的使用,满足了各级政府大规模视频会议的需求,方便了为基层乡村提供远程医疗、远程教育的应用等。 据专家分析,视联网协议本身具备结构性安全的特征。由于是自主的技术体系,视联网内的设备均支持国产化型号部署,产品不存在漏洞后门。无论设备还是网络均不存在被植入恶意后门的安全风险,能够显著提升信息化系统的自主化水平和服务保障能力,并确保整套网络全系统的供应链安全。 融合密码技术后,视联网能够兼顾网络防护和信息泄露两个维度的安全问题,安全能力可概括为“网络抗摧毁、配置防篡改、控制权可控、信息不泄露”四个方面。“网络抗摧毁”是指视联网能够防止外部攻击者的干扰、渗透和内部攻击者的蓄意破坏、非法外联,确保全网通信连接的可用性与合法性。“配置防篡改”是指视联网能够防止攻击者非法查询、篡改、删除关键的管理配置信息,确保网络各项关键配置信息的正确性。“控制权可控”是指用户在视联网内的任何业务控制操作都要经过身份认证、权限审核和审计记录,防止误用、冒用或滥用。“信息不泄露”是指视联网能够保护用户信息和业务数据的安全性,防止攻击者窃取、篡改、插入或删除敏感数据。 专家认为,随着国家网络安全相关法律、战略和等级保护制度要求相继更新实施,密码技术的应用将更为深入,与网络安全的连接也更为紧密。密码与自主研发的网络协议结合,在保障安全的同时,也促进对网络协议的探索研究。融合密码技术的视联网具备跨域跨层、灵活兼容、品质保障、实时安全等特点优势,可为新基建发展提供便捷高效、优质安全的服务保障。
相关专题:美团小贷被判定违法放贷 在河南遭遇重挫的某团小贷,陆陆续续于多个执行裁定书中被法院认为,未经金融监管部门依法批准,利用互联网信息技术,通过融资业务平台,违法从事发放贷款业务,扰乱了金融市场秩序,破坏了金融市场的稳定性,损害了社会公共利益。因此,对其提出的仲裁裁决的执行申请,法院予以全面驳回。(编者注:近日,河南焦作市中级人民法院公布的一批法院执行裁定书显示,重庆美团小额贷款有限公司未在限期内提供金融监管部门批准从事资金融通发放贷款业务的证明,多起执行申请被驳回)对此,市场纷纷猜测,某团小贷放贷之所以被认定为违法,或与其仅获得小贷资质;未获得网络小贷资质,就跨区域经营有关。 鉴于本案并无更多事实披露,且当事人将要上诉,最终裁判结果尚未落定等情节,我们谨假设某团小贷公司在未取得网络小贷牌照的情况下,进行跨区域的网络放贷经营,由此,对其可能面临的法律评价,我们分享如下看法: 网络小贷与小贷大有不同 话说,某团小贷全称为重庆**小额贷款有限公司,经营范围包括开展各项贷款、票据贴现、资产转让和以自有资金进行股权投资等。为何其已与取得小贷资质,仍被市场认为没有资质?已有小贷牌照,为何还需要申请网络小贷经营资格?网络小贷与小贷有何区别呢? 其实,小贷与网络小贷的差别不只一点点。 根据《中国银行业监督管理委员会、中国人民银行关于小额贷款公司试点的指导意见》可知,经营小额贷款业务的有限责任公司或股份有限公司的经营范围,由各省市结合实际,在省、区、市范围内展开。小贷公司秉持“小额、分散、本土化”的经营理念,有些较为严格的地域限制。 而网络小额贷款则是互联网企业通过其控制的小额贷款公司,利用互联网向客户提供的小额贷款,具有通过互联网平台上获取借款人,运用互联网平台积累的客户经营、网络消费等特定场景信息等评定信用风险,在线上完成贷款全业务流程等特点。其主要形式包含全国范围内纯线上经营网络小额贷款业务的小额贷款公司,跨区域线上、线下结合开展网络小额贷款的小额贷款公司”。 具体到牌照申请上,就此次热点事件,我们特别找到重庆市金融工作办公室印发的《重庆市小额贷款公司试点管理暂行办法》、《重庆市小额贷款公司设立变更工作监管指引》及《重庆市小额贷款公司开展网络贷款业务监管指引》等,由此可知: 一般小贷公司的设立条件如下: (一)符合《公司法》的公司章程。 (二)符合规定条件的出资人。 (三)注册资本应由股东或发起人以货币资金出资,在公司设立时一次性足额缴纳。有限责任公司的注册资本不得低于2000万元,股份有限公司的注册资本不得低于3000万元。最大股东或主要发起人及其关联方的持股比例不得超过注册资本总额的30%;其他股东或发起人持股及其关联方的持股比例,最高不得超过注册资本总额的10%,最低不得低于注册资本总额的5‰。 (四)符合任职资格条件的高级管理人员。高级管理人员不少于2名,且具有3年以上从事金融或相关工作经验。 (五)健全的组织机构、业务操作规则和风险控制制度。 (六)与业务经营相适应的营业场所、安全防范措施和其他必要设施。 (七)市政府金融办规定的其他审慎性条件。 而网络小贷的申请要严格得多,申请设立开展网络贷款业务的小额贷款公司,除满足设立小额贷款公司的一般性条件外,还需要具备以下条件: (一)公司注册资本3亿元人民币以上; (二)具有专职人员负责网络平台安全,技术负责人应有3年以上计算机网络工作经历; (三)具有中国境内合法的正常运营的网络平台;网络平台具有潜在的网络贷款客户对象,能够筛选出满足开展网络贷款业务需要的客户群体; (四)具有合理的网络贷款业务规则、业务流程、风险管理和内部控制机制; (五)具有包括但不限于提供咨询、申请、审核、授信、审批、放款、催收、查询、投诉等多项功能的独立运行的业务系统,能够与小额贷款公司监管系统对接,满足监管信息录入报送和监管检查的要求。 (六)…… 概言之,网络小贷因为面对的客户群体较为广泛,且在线上运作,因此,监管机关对网络小贷要比一般小贷公司在注册资本、风控能力、经营实力等方面提出更高更多的要求。 无网络小贷资质,跨区域放贷合同无效? 看到小贷与网络小贷的显著不同后,有读者会问,没有网络小贷资质,跨区域对外发放贷款的借贷合同有效吗? 我们曾在之前文章中提及,《商业银行法》第19条规定“未经国务院银行业监督管理机构批准,任何单位和个人不得设立银行业金融机构或者从事银行业金融机构的业务活动”。 同时,《关于规范民间借贷行为维护经济金融秩序有关事项的通知》(银保监发〔2018〕10号)第三条进一步要求,严格执行《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》及《非法金融机构和非法金融业务活动取缔办法》等法律规范,未经有权机关依法批准,任何单位和个人不得设立从事或者主要从事发放贷款业务的机构或以发放贷款为日常业务活动。 由此,未取得网络小贷资质,跨区域对外发放贷款,从而签订的合同涉嫌违反国家强制性规定。 而我国《合同法》第五十二条认为,违反法律、行政法规强制性规定的合同无效。《合同法若干问题的解释(二)》第十四条指出,《合同法》第五十二条第(五)项规定的“强制性规定”,是指效力性强制性规定。《全国法院民商事审判工作会议纪要》再进一步提出,下列强制性规定,应当认定为“效力性强制性规定”:强制性规定涉及金融安全、市场秩序、国家宏观政策等公序良俗内容的。 由此,未取得网络小贷资质,跨区域对外发放贷款而签订的合同,因违反法律、行政法规的效力性强制性规定,应属于无效。 没有放贷资质而发放贷款,构成非法经营罪? 2019年10月21日,非法放贷行为入刑。听说某团小贷没有资质就对外放贷,如此行为,该不会构成刑法所说的非法经营罪吧? 《关于办理非法放贷刑事案件若干问题的意见》第一条规定,违反国家规定,未经监管部门批准,或者超越经营范围,以营利为目的,经常性地向社会不特定对象发放贷款,扰乱金融市场秩序,情节严重的,依照刑法第二百二十五条第(四)项的规定,以非法经营罪定罪处罚。该条有如下法定要素: (1)放贷行为的违法性:非法经营罪属于行政犯,需要“违反国家规定”才能入罪。从事发放贷款业务需要经过有关金融监管部门批准。如未取得网络借贷资质而对外跨区域放贷的,当具有非法性。 (2)放贷活动的职业性:2年内向不特定多人(包括单位和个人)以借款或其他名义出借资金10次以上的,就构成经常性地向社会不特定对象发放贷款。该要素对某团案件来说,非常容易构成。 (3)放贷对象的不特定性:网络贷款面向客户的广泛性使得放贷对象的不特定性在本案中也易实现。 (4)情节达到严重程度:以非法经营罪追究刑事责任需要达到“情节严重”的程度。《关于办理非法放贷刑事案件若干问题的意见》运用刑法手段打击的目标,实际上锁定在非法高利放贷。再结合民事司法解释关于民间借贷利率的规定,《最高人民法院关于办理非法放贷刑事案件若干问题的意见的理解与适用》认为“以超过36%的实际年利率实施非法放贷行为”是认定非法放贷“情节严重”和“情节特别严重”的前提条件”。 由此,没有放贷资质而发放贷款,是否构成非法经营罪还需落实到各要素中来。但我们想说的是,当借款人从某团小贷公司借款的综合成本利率低于36%时,不能简单认为其未获得网络小贷牌照就跨区域放贷的行为构成犯罪。 结语 据了解,自2017年11月21日起,互联网金融风险专项整治工作领导小组办公室要求各级小额贷款公司监管部门一律不得新批设网络(互联网)小额贷款公司,禁止新增批小额贷款公司跨省(区、市)开展小额贷款业务,以防范“现金贷”带来的风险隐患。自此,2年过去,再无互联网小贷牌照获批。 去年,也曾有声音指出,银保监会将制定《网络小额贷款业务管理暂行办法》,确定全国统一的网络小额贷款监管制度等,对此,我们拭目以待。
“等创业板注册制落地后,公司将根据新规对并购重组方案进行调整然后稳步推进。”6月8日,华凯创意召开2019年年度股东大会,会后公司董秘王安祺对投资者关心的并购重组进展做出了最新答复。 值得关注的是,华凯创意此次并购重组的标的易佰网络在疫情期间受“宅经济”推动,销售收入逆势增长,对海外电商市场的渗透率进一步提高。王安祺表示:“易佰网络一季度实现销售收入约11亿元,同比增长30%,‘宅经济’对健身器材、摄像头等产品的销售推动较大。” 易佰网络一季度业绩逆势增长 去年10月份,华凯创意发布公告,拟收购易佰网络90%股权,交易完成后,易佰网络将成为上市公司的控股子公司。同时,公司拟向特定投资者发行股份、可转换公司债券募集配套资金,募资总额不超过3亿元。 资料显示,易佰网络是一家依托中国优质供应链资源、以市场需求为导向的跨境出口零售电商企业。2019年易佰网络实现营业收入35.78亿元,同比增长97.42%,实现扣除非经常性损益后归属于母公司所有者的净利润1.75亿元,同比增长94.51%。今年一季度,易佰网络合计销售收款约1.57亿美元(折合人民币约11亿元),与2019年同期相比增幅近30%(未经审计)。 图片来源:易佰网络官网 “易佰网络基于疫情期间目标市场终端消费者的需求,加强开发和供应了消毒防护、远程办公教学、母婴玩具、厨房卫浴、园艺日用、室内健身等品类产品,充分发挥‘国内仓+第三方海外仓+亚马逊FBA仓’协同发展和运营平台、海外仓库、终端市场的多元化分布的优势,一季度业绩反而实现了逆势增长。”王安祺说。 据介绍,受疫情影响以及“宅经济”的推动,易佰网络在海外电商市场的渗透率进一步提升。王安祺表示:“欧美国家目前电商渗透率仅10%左右,远低于中国30%的渗透率,因此我们十分看好跨境电商的市场前景。” 根据业绩承诺,易佰网络2019年至2022年净利润分别不低于1.41亿元、1.7亿元、2.04亿元、2.51亿元。 对于投资者普遍关心的中美贸易摩擦对易佰网络业绩的影响,王安祺也做出了相应解答:“易佰网络经营的主要商品并不在加征关税的商品清单内,从近两年易佰网络的运营情况来看,标的公司业绩并未受到重大影响。” 并购重组方案将根据新规微调 今年3月1日正式施行修订后的《中华人民共和国证券法》明确规定,创业板并购重组实施注册制。在制度设计中,更加强调发挥市场机制作用,尊重市场规律,通过调整一些指标的认定标准、设置较短时间(5天)的注册程序,为创业板上市公司自主、便利和高效利用并购重组做大做强主业,提升“硬实力”提供有力的制度支撑。 王安祺表示,公司在做出相应调整后将继续稳步推进并购重组,并强调看好易佰网络的市场前景,不会因为政策变化变更并购标的。 值得关注的是,近日科创板上市公司华兴源创并购重组获上交所审核通过,成为第一例通过审核的并购重组项目。不过,该项目还需中国证监会同意注册之后才能实施。 “并购重组新规对并购标的的净利润要求有所放宽,允许未盈利的科技、生物医药、互联网公司通过重组并入上市公司。”CIIA投资分析师张海亮表示,并购重组实施注册制有利于更好地发挥资本市场优化资源配置的积极作用。 “这对券商和投资者提出了更高的要求。一是券商要具备定价能力,二是投资者要有企业估值的辨别能力,要有风险承受能力。”张海亮建议,进一步完善监管处罚措施,以杜绝金融违法、犯罪成本过低的现象。
“网络扶贫行动计划”实施三年多以来,贫困地区的网络通信基础设施不断完善。借助一根网线,特色农产品(行情000061,诊股)飞出大山,优质教育、医疗等资源走进农村,乡村触网升级、焕发新生机。网络扶贫有哪些新形式?还有哪些短板需要尽快补齐?请看记者调查。 一大早,江西崇义县聂都乡龙西村贫困户吕世谦就喜盈盈地来到乡电商服务中心,让中心管理员吕志梅把39罐土蜂蜜快递给预订的客户。去年,吕世谦在中心销售土蜂蜜增收1万多元,成功脱贫。“蜂蜜卖上好价钱,日子过得比蜜甜!” 以“网络覆盖”“农村电商”“网络扶智”“信息服务”“网络公益”五大工程为主要内容的“网络扶贫行动计划”的实施,给越来越多的贫困群众插上了脱贫致富的翅膀。 3975亿元 2019年全国农产品网络零售额 在全国电商扶贫示范市——甘肃省陇南市,电商销售成为很多农民的新农活。每天早上,礼县永兴镇龙槐村农民张加成都会在平台上做直播,带着众多“铁粉”参观他家的苹果园。说起电商销售,他喜不自禁:“苹果价格翻三番,去年我挣了20多万元。” “政府大力推动,我们在实践中探索形成了网店、产业、创业、就业、入股、众筹‘六路带动’的电商扶贫机制,成为贫困群众增收脱贫的重要路径。”陇南市委书记孙雪涛介绍,目前全市开办网店14372家,电商经营者超过3.3万个,2019年电商带动全市贫困户人均增收840元。 “全国学陇南电商带贫经验的国家级贫困县就有536个。”国务院扶贫办社会扶贫司司长曲天军介绍,电子商务进农村实现了对832个国家级贫困县的全覆盖,共建设县级电商公共服务中心和物流配送中心1700多个,乡村电商服务站点超过13万个,开展各类培训500多万人次。2019年,全国农产品网络零售额达3975亿元,比2016年增长了1.5倍。 中国商业经济学会会长马龙龙说,长期以来,贫困地区由于交通不畅、信息闭塞等原因,很多优质特产市场小、收益少。借助电商扶贫,贫困地区的特色农产品得以对接大市场、卖出好价钱,促进了贫困地区扶贫产业发展和贫困群众增收脱贫,对于如期打赢脱贫攻坚战发挥了重要作用。 99% 贫困村通宽带比例 最近,陕西柞水县小岭镇金米村的木耳火了。4月21日,某直播平台上村里的直播间在线观看人数接近2000万,一晚上就卖出了24吨木耳。 小木耳成了金米村脱贫致富的“金耳朵”,离不开网络通信基础设施的支撑。村里建起了两座4G基站,光纤宽带资源全部到位,村民在秦岭深处畅享“移动+光网宽带”的“双百兆”网络生活。 近年来,网络扶贫行动深入实施,贫困地区的网络通信基础设施不断完善。中国互联网络信息中心发布的《第45次中国互联网络发展状况统计报告》显示,截至2019年10月,我国行政村通光纤和4G比例均超过98%,贫困村通宽带比例达到99%。 互联网不仅让特色农产品飞出大山,也深刻改变了贫困群众的生活。 “一堂课两位老师教学,名师通过网络直播传授专业知识,学校老师担任助教,解答疑问,拓展知识。” 河北省广宗县葫芦乡中学九年级一班的李子敏说,在“双师课堂”上,同学们都聚精会神听讲,生怕错过一个细节。2016年高考,广宗县一中只有1名学生上“一本线”,2019年跃升到112名。 北京师范大学中国扶贫研究中心主任张琦说,“互联网+教育扶贫”将名师、名校、名机构等优质教育资源分享给贫困乡村,更好阻断贫困代际传递。 在甘肃省平凉市灵台县人民医院远程会诊中心,该院医生正与独店镇卫生院医生进行视频连线,为张坡村贫困户张宏才进行远程会诊。张宏才高兴地说:“用视频就能请县医院的医生看病,省钱又方便,真是太好了。” “‘互联网+健康扶贫’打通省—县—乡村三级医生资源合作体系,通过网络分级诊疗和远程会诊等方式,让贫困群众也能方便地享受优质医疗资源,对缓解因病致贫、返贫发挥了重要作用。”华中师范大学减贫和乡村治理研究中心主任陆汉文表示。 96.6% 设立快递服务网点的乡镇比例 “‘钱袋子’越来越鼓了!”四川通江县春在镇石板店村农民潘国峰的13亩蔬菜喜获丰收。他跟县上冷链物流公司合作,蔬菜顺利送进冷库储存,延长了销售周期,价格还高出市价3%左右。冷藏车定时、定点进出村里,村民种的时令蔬菜、新鲜水果源源不断运出大山。 “网络扶贫要想发挥更好的减贫效益,必须尽快补上物流短板。”张琦说。 数据显示,目前,全国已经有96.6%的乡镇设立了快递服务网点,但快递直投到村的比例只有35%。今年的《政府工作报告》指出,支持电商、快递进农村,拓展农村消费。为了带动更多农产品飞出山沟,国家邮政局已于近期启动“快递进村”工程,力争用3年时间推动符合条件的建制村基本实现村村通快递。 做好网络扶贫还要提升产业链水平。受疫情影响,湖北秭归县约有17万吨成熟的脐橙无法及时采摘、销售,农户、平台商家携手解决难题。“视频监控采摘、分选、包装等全过程,圈尺测量果子大小,测试仪一键测甜度,一旦发现异常,立即核查。”某电商平台负责人介绍道。 缓解人才缺乏的瓶颈,网络扶贫才能行稳致远。山东省鄄城县创建网红学院,定期开展短视频直播培训,一批批懂网络、会直播、能线上销售的“网红农民”,通过“线上直播+线下产业”模式,将特色农产品卖向全国。 “随着网络扶贫深入推进,乡村也将跟着触网升级,焕发新生机。”张琦说,网络扶贫将进一步推动乡村治理和农村现代化进程。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估