非现场稽核事中监督用金融风险实时预警系统

非现场稽核事中监督用金融风险实时预警系统

非现场稽核事中监督用金融风险实时预警系统旨在对银行系统内部的各种业务交易操作行为进行实时的监测和预警，规范交易行为，防范内部或外部人员利用制度管理缺陷或用高科技手段来进行违法犯罪活动。作为借助现代计算机技术等高科技手段为基础的非现场稽核事中监督系统，它能对操作过程中的各种交易操作行为和非交易活动进行严格监测，同时能对客户交易的资金流向、账户动态等进行全方位监控，并能实时地对违规和可疑交易进行预警，并督导对发现的问题及时进行分析和处理，达到及时的稽核审计，提高稽核审计工作的有效性和针对性，纠正和控制操作风险，减轻稽核工作人员劳动强度，为相应业务部门提供一个管理工具，保证银行业务系统的整体安全、平稳地运转。

非现场稽核事中监督用金融风险实时预警系统逻辑结构图

建设意义

非现场稽核事中监督用金融风险实时预警系统建设的意义如下：

及时发现各种差错和违规操作，防范案件于未然

可根据业务重要性进行敏感交易的重点监测，节省大量人力、物力，同时发现问题概率也大为增加

通过系统对关联交易、历史交易的有效的监督分析等，可有效防范风险，使违规和案件率降到最低

非现场稽核事中监督用金融风险实时预警系统的上线可有效弥补事后稽核的不足，起到事中监督的作用，可将业务风险及时向监测人员进行预警提示，减少造成损失的可能性

非现场稽核事中监督用金融风险实时预警系统的实施将对银行提升银行自身的风险管理水平，降低业务操作风险，预防案件发生等方面发挥积极的作用

解决方案

非现场稽核事中监督用金融风险实时预警系统采用了目前国内先进技术手段，能完全不影响各银行现有的各种被监测业务系统正常运行，也完全不改动银行现有网络和系统环境情况，通过建设一套可扩展的、专有的金融业务实时监测预警系统，来对各种被监测业务进行实时监测分析。它既可实时获取到各被监测业务系统的交易报文，用于各种稽核审计数据分析，又没有任何风险性。并使用标准的B/S结构，完成数据采集、报文重组、数据汇集/分流、数据分析和预警处理等。

非现场稽核事中监督用金融风险实时预警系统物理结构图

系统架构

利用金融信息化提供的机遇，借助科技手段，使用先进的开发平台和开发工具，建设适合自身特点的、符合国际惯例和未来发展方向的、在同类商业银行中领先的、全面覆盖各个业务条线的、功能完善的、易学易用的、扩充灵活的、安全可靠非现场稽核事中监督用金融风险实时预警系统的解决方案。其内容应包括：

1、基础环境：主要指运行非现场稽核事中监督用金融风险实时预警系统的网络、主机、存储、数据库、中间件的IT基础环境；

2、应用支撑：非现场稽核事中监督用金融风险实时预警系统构成组件的运行引擎，组件库，业务流程建模工具，业务数据的采集、交换与分析系统；

3、应用服务：基于应用支撑为实时预警、非现场审计、审计信息管理和内控评价等应用服务。

4、安全支撑服务：提供对于IT基础设施以及核心应用系统运行的安全服务保障，包括安全服务支撑系统（软硬件解决方案）以及基于安全等级保护（因该解决方案包括审计信息系统及与之发生关联的银行业务系统、网络、前置机系统等，这些应该处于不同安全等级保护范畴）的安全服务支撑策略；

5、综合运维服务：提供对于IT基础设施以及核心应用系统运行环境的监控管理、事件流程处理管理、业务视图等ITIL系统服务支撑。

非现场稽核事中监督用金融风险实时预警系统系统架构图

DCPF网络数据采集平台简介

网络数据采集平台,英文全称Data Collection PlatForm是一套专门用于对金融行业核心应用等系统的网络报文俘获、重组平台（例如：操作风险防范和数据风险防范均可使用这种平台技术）。通过利用该数据采集平台实时采集到的数据以及应用开发接口，可以开发出各种应用系统，且对原有核心应用系统无需进行任何改造（也不影响这些系统的正常运转）。

该平台的实现目标可概括为：

实时、高效地截获网络IP包

准确、高效地实现网络层重组

以组件方式灵活扩充会话层的重组（主要考虑商业中间件的使用，如Cics、Tuxedo）

以组件方式灵活扩充应用层报文解析

充分考虑安全性

预留上层应用系统的开发接口

整个平台的实现原理类似OSI关于网络应用实现的七层标准。

该平台实现的流程与后端应用的连接关系如下所示：

DCPF网络数据采集平台工作原理示意图

作为一个实时的数据采集平台，进行高速的业务数据抓取是最基础、最关键的一项技术，它可以从通过多路负载分配器直接获得被监测业务交易的网络数据包。我们知道，一般的以太网卡均具有杂收模式（Promiscuous mode），也就是说具有获得本不属于该网卡网络包的能力，只是在一般情况下杂收模式被禁止而已。再者，银行骨干网络上的交换机也具有端口镜像（SPAN）功能，也就是将若干个物理端口上流过的任何数据镜像到指定的其他物理端口上，该镜像端口是一个单向端口，而且其数据镜像功能基本不会对整个交换机的性能产生影响。

要保证数据采集设备完全不丢包或丢包率极小（小于几十万分之一），取决于两个因素，即：经交换机、多路汇集器、负载分配器后能完整转发数据包；并且采集设备也能完全跟上这样的速度。为了保证数据采集设备能够不丢包，并完整还原出全部被监测业务系统的交易报文，一种措施是使用多路数据负载分配器的输出端用于将汇集的完整报文按照IP通信时的端口号资源分配定义均衡地分配到多个输出端口，由这多个端口分别对应接驳多台数据采集设备。另外的措施是让采集器选用高性能（DMA方式）的以太网芯片、绕过OS内核层直接从网口驱动程序中捕获数据包（一些高性能IDS类设备采用的最新实现方式也是这种所谓’零拷贝’技术）、同时采用高性能的BPF网络包过滤器技术、较大的循环数据缓

冲池（可缓存约30万笔业务）等。另外还还采用了网络汇集技术等以保证网络上采集到的数据的完整性。

功能简介

非现场稽核事中监督用金融风险实时预警系统的基本功能包括：柜员交易行为监测、反洗钱监测、各种临柜和非临柜业务交易监测、营业状况的监测、查询打印和统计分析等，此外，对监测分析人员访问权限需要进行设置，因此设有分级和分类管理等功能。具体如下：

加强内部控制管理和风险防范，提供网络审计记录和跟踪手段。

反冼钱中的大额支付交易和可疑支付交易进行报警。配合人民银行完成对洗钱行为的及时、有效监测。同时有些洗钱行为也带有犯罪的嫌疑，对其进行有效监控也可预防某些犯罪行为的发生。

网点的营业状态进行监控。系统可自动监测所辖全部营业网点的工作状态。以便监测人员及时了解所辖营业网点的营业状态。为客户提供最方便的服务。同时也对网点的营业情况进行有效监督。

柜员违规行为监测。如：刺探客户密码、频繁做取消或冲正交易、开户时不用身份证而用其它证件代替、强制修改或调整利息支出、其它应收/应付款等特殊科目、逃避授权，拆分交易、违规将对公或客户资金存入个人账户、月底虚增存款等、刺探主管密码以逃避授权、不按贷款管理制度进行贷款发放和回收操作、违规调整贷款形态或利息等的行为、库存现金超过规定限额、通过虚存现金调拨头寸等。

及时防范和发现违法案件。通过风险实时预警系统可以及时防范和发现各种违法犯罪案件并可通过人工制止，防止给银行造成大量经济和信誉损失。如：可通过该系统发现了一些恶意挪用或诈骗客户（银行）资金案件、银行卡诈骗案件等。

柜员操作行为中的差错行为。记账串户、账号、发生金额等交易要素输入错误、汇出交易重汇等。

大额资金交易监测。如：大额资金转账、大额资金汇划、大额资金清算和大额贷款等。

异常交易行为监测。如克隆客户的银行卡，设法窃取密码后取现；将银行内部资金转移至某一卡账户后，克隆出若干张相同的卡在不同地点（ATM或营业网点）迅速转账或提取现金后逃逸；超市工作人员利用客户的麻痹行为重复扣划客户资金；在网络上利用木马程序盗取客户的账号和密码后转移客户资金等。

对高风险特殊交易（如挂失、冲正、授权交易等）进行监控。如：当日开户、当日销户；当日质押、当日解除质押；资金从对公账户转入个人结算账户。