• 11月21日 星期四

金融攻防:隐蔽的华丽外衣

金融攻防:隐蔽的华丽外衣

九十九

在很久很久以前,国泰民安,贸易昌盛,货殖通顺,各家商贾多有分号遍及全国,然大宗钱币运输繁密,多有损耗,兼虑强盗路霸之扰,流转多有不便,故有钱庄、钱号兴起。

乌有故事一

行内同城划汇

一天,“北京通县养鸡场”的伙计走进[农业钱庄],手里拿着“北京全聚德”背书的票据。

两家单位都是[农业钱庄]的客户,“北京全聚德”要付给“北京通县养鸡场”肉鸡费用一千两,于是[农业钱庄]的帐房先生分别打开了两个账本,一本写着“全聚德”,一本写着“通县养鸡场”。

帐房先生在“全聚德”的账本上用毛笔记下“支:银一千两”,又在“通县养鸡场”的账本上记下“收:银一千两”,于是两位伙计开心的走了。

以上,完成了一笔“行内同城划汇”。

解密:北京通县养鸡场的伙计手里拿的票据,最常用的应该是北京全聚德开具的“支票”,同时他还需要有自己东家开具的“进账单”,因为付款人开具的支票,是没有收款人户名、账号等相关信息的。

由于支票是“农业银行”自己家的,所以见票即付,省却了很多银行和银行之间“鉴定”的烦恼。

与此同时,付款人、收款人都在同一家银行,所以记账时信息是在“行内”的系统流转的,是实时的,这个系统我们称之为“核心系统”,核心系统是一家银行自己家的。一家银行的“内网”(核心系统)可以独立运行,相对自由,当官方“外网”(人行的支付清算系统)关闭时,“内网”也可以独立运作。

做个比喻,如果一家大学的互联网接口会在晚上12点熄灯以后关闭,但是宿舍里的几个室友仍然可以搭建内网打游戏。这个内网就是“核心系统”。

乌有故事二

行内异地划汇

后来,“北京全聚德”觉得通县的鸡肉有点柴,所以特地订购了一批“山东德州养鸡场”的肉鸡,并且在交货时,“北京全聚德”交付“山东德州养鸡场”了一张有全聚德背书的[农业钱庄]的单据一千两。

两个商家,依旧都是[农业钱庄]的客户。德州养鸡场的伙计怀揣着这张银票一身轻松的回到了山东,来到了“农业钱庄”山东分号的柜台,于是山东分号的帐房先生又摊开了“全聚德烤鸭店”和“山东德州养鸡场”的账本,分别进行了记账。

这里要加入一个设定,每家钱庄都有各自的“神奇账本”(核心系统),总庄和各家分号的账本,只要在一本上写字,其余账本都会神奇的出现相同的内容(不同于人行的支付清算系统,一家银行自己的核心系统“几乎”是7X24运作的)。

于是德州养鸡场的伙计开心的走了。短短的时间,就完成了一笔“行内异地划汇”。

解密:由于涉及到跨地域,所以这里的“票据”,其实“结算业务申请书”。

柜台接收到结算业务申请书以后,通过验印等流程确认真实有效以后,会通过系统发起支付清算指令,再经过复核、授权等步骤,完成清算。

由于本例虽然是异地,但仍然是在行内结算,所以仍然使用银行自己的“核心系统”,快速、便捷、自由的记账。

事实上,在同行异地划汇当中,使用支票也是可以的,但就存在对支票的验证“托收”,而这就需要使用到支票影像交换系统,即人行的支付清算系统,虽然不存在跨行资金清算的时效性,但由于其局限性,一般不采用这种方式。

乌有

跨行同城划汇

当“北京全聚德”想要付给“六必居”麻酱钱一千两的时候,发现“六必居”居然不是[农业钱庄]的客户,而是[工商钱庄]的客户。

于是“北京全聚德”的伙计(其实“六必居”的伙计也可以)拿着“北京全聚德”开的票,来到 [农业钱庄]的柜台,表明说要付给[工商钱庄]的“六必居”一千两。

[农业钱庄]的帐房先生大笔一挥,摊开自家“北京全聚德”的账本,记上“支:一千两”,又吩咐库房给[工商钱庄]送去真金白银的一千两,并带上小纸条:付给贵司“六必居”一千两。

[工商钱庄]的帐房先生收到银两和纸条,就摊开六必居的账本,记上“收:一千两”。以上,发生了一笔“跨行同城划汇”。

解密:这个环节中,终于涉及到了不同清算机构之间的关系。

在这个例子中,由于是同城划汇,所以用到的是“支票”(异地则使用:结算业务申请书),[付款行]的支票,[收款行]是无法直接接受的,需要一个“确认”的过程,即[收款行]向开具支票的[付款行]进行印鉴等相关信息的确认。

这个过程,我们称之为“托收”,即“委托收款”,亦即收款人,委托自己开户的[收款行]向付款企业的开户的[付款行]进行收款。

[收款行]收到[付款行]的款项时,才会给收款人记账,[付款行]给[收款行]付款的同时,也会给自家客户记账(记支出)。

注意,同城的划汇是不可以使用“结算业务申请书”的,否则会造成一例凭证差错。

本例中,还没有引入人行的概念,而是[农业银行]直接给[工商银行]送去真金白银的一千两。(实际情况中,并不会有真实的货币被运输,而是通过全国支票影像交换系统。)

乌有故事四

跨行异地划汇

不久后,北京全聚德在河北开立了分号,那“全聚德河北分号”,依然选择了[农业钱庄]作为自家的钱庄,但区别是开户时,开到了[农业钱庄河北分庄]。

与此同时,六必居在河南也开立了分厂,自然,分厂的账户和老东家一样开立在了[工商钱庄],而且是[工商钱庄河南分庄]。

两家子公司之间也存在着贸易往来,当“全聚德河北分号”要付给“六必居河南分厂”麻酱钱的时候,双方发愁了。像上面那个例子中,“农业”和“工商”两个钱庄的总庄,都在金融街啊,但是[农业河北分庄]和[工商河南分庄],一个河北一个在河南,不方便送银子啊。

没关系,分庄没挨着,总庄还是挨着的嘛,既然内部分别都有神奇账本“核心系统”,那就好办。于是全聚德(或者六必居也行)的伙计拿着凭证来到付款的钱庄,即[农业钱庄河北分庄],的帐房先生在自家的神奇账本上大笔一挥:“替全聚德河北分号,付给,在[工商钱庄河南分庄]开户的,六必居河南分厂,纹银一千两。”

[农业钱庄]总庄的账本上立刻出现了这行字,于是只见在北京金融街上,[农业钱庄]总庄的小哥抱着一千两纹银送到了隔壁的[工商钱庄]总庄,[工商钱庄]总庄收到了这笔银子,在自家的神奇账本上大笔一挥:“收到了[农业钱庄河北分庄]送来的全聚德河北分号(农业钱庄总庄代付),支付给[工商钱庄河南分庄]的六必居河南分号的(工商钱庄总行代收),一千两”。[工商钱庄河南分庄]的账本上立刻出现了这行字,于是在账本上给“六必居河南分号”记了账。

以上,即是一笔“跨行异地划汇”。

解密:又是异地,又是异行,付款行和收款行又都是分(支)行,终于复杂了起来,如果没读明白,请多读两次。

现在我们要多说两句,理清一些概念。一家银行有很多分(支)行,比如分行A有10亿存款,分行B有15亿存款,分行C有12亿存款,但这并不代表分行A、B、C的金库里就有10亿、15亿、12亿。

大部分的钱都是存在总行的,因为大部分支付结算业务都不会用到现金,而是虚拟的转账。所以两家银行的分(支)行之间进行清算时,其实很多时候是两家总行进行头寸交割,然后内部记账。

即当河北全聚德要给河南六必居付款时,只要按照这个路径:农业银行河北分行——》农业银行总行——》工商银行总行——》工商银行河南分行。其中,[农行河北分行]和[农行总行]之间,[工行河南分行]和[工行总行]之间,都是内部系统记账就可以,不用真正的结算(钱都在总行,总分之间全靠记账不用清算),真正需要交割头寸的,只是两家总行,而两家总行又挨着,交割起来很方便,于是问题就解决了。。。

但是,如果两家总行也不挨着,又该怎么办呢?

乌有故事五

跨行异地划汇(升级版)

“北京全聚德”的生意越做越大,甚至做到了广东,终于有一天,“北京全聚德”从“华润五丰行”订购了一批美国进口的火鸡,需要支付纹银一千两。

而“华润五丰行”的开户行是[珠海华润银行],[珠海华润银行]的总行又是在珠海!按照上面故事的流程,需要[农业银行总行]给[珠海华润银行总行]送去纹银一千两,然后双方分别记账。

可是,这下送纸条、送银子就没那么容易了,又要浩浩荡荡的派镖局出马了。要把银子从北京,运送到广东珠海。于是钱庄大佬们坐在一起合计着,怎么办呢。。。

怎么办呢。。。

大宗钱币运输繁密,多有损耗,兼虑强盗路霸之扰。。。

咦?这不就是当初商贾们面临的问题么?那我们把自己当成商贾(客户),成立一家钱庄的钱庄不就行了!

于是,伟大的[人民大钱庄]诞生了!(只是为了讲故事,央行成立的真实过程当然不是这样的。)与之前的钱庄相同,[人民大钱庄]在全国各地都开立了分庄,并且也有自己的“神奇账本”,那就是“支付清算系统”。

于是前面送纸条、搬银子的故事就被改写了。

解密:终于引入了[中国人民银行](央行)的概念。

我们之前提到过,人行,是银行的银行,是给银行记账的银行。

[记账]的好处究竟在哪里呢?就是可以代替真金白银的运输过程。

在一家银行之内记账,那存钱在这家银行的公司,就可以相互转账,不用发生真正的真金白银的运输,各家公司就可以完成转账,凭借“账目”,收到款项的公司在以后就可以提取那些“真金白银”,或者转账出去。

而多家银行之间的“账目”呢?

由于[人民银行]的成立,银行在人行开立账户一样,银行的总行之间,也不用真金白银的运输了。

比如那上面“从北京运银子到珠海”的环节就可以省去了,站在“上帝视角”的[人民银行](央行),只要摊开自己系统内的账本,写上“[农业银行](总行)支出一千两,[珠海华润银行](总行)收入一千两”,两家银行总行之间的资金划汇,就完成了。

全国都在银行的管辖内,全国的银行都连接着人行的“内网”。

乌有故事六

地域性支付(非营业时间)

有一次,“华润五丰行”进口了一批圣诞纪念版火鸡,所有餐馆都抢着订货,由于货源有限,“华润五丰行”宣布先款后货,先到先得。

“北京全聚德珠海分号”为了抢占一批货源,急忙赶到钱庄,可惜过了17:00,[农业钱庄珠海分庄]的帐房先生遗憾的告诉伙计,[人民大钱庄]的魔力账本(大额支付系统)已经关闭了。

正当伙计抓耳挠腮时,帐房先生提醒道,在非营业时间,广东省内有一个地域性的魔力账本还开着,可以通过它进行结算。

帐房先生查了查广东省的省会广州的金库余额,够用!

于是替“北京全聚德珠海分号”通过“地方版魔力账”本办理了转账。

解密:上文提到过,分行的钱大部分是存在总行的,但仍有一部分留存,用于第三方支付平台的结算。

人行的支付清算系统有其运营时间,其中大额支付系统是8:30至17:00,在这以外的第三方平台支付系统,其中包括同城系统等。

同城系统可以理解为地方版的小支付清算系统,由当地人行组织建立的区域范围内支付结算系统,有省域的,也有市域的。

一般这种地域性的支付系统都采用7X24的方式运行,支持即时清算也支持批量清算。地域性的支付系统的头寸交割,一般是在各家银行在省会人行或者重要的市人行开立的一般准备金账户。

即使是在人行主要的支付清算系统运营时段内,同城系统等也有其优势,包括:可即时记账、手续费低廉等。

乌有故事七

我国银行A在美国的银行B开立美元帐户;香港的银行C也在美国的银行B开立美元帐户。

我国银行A的客户要付款给香港银行C的客户,金额10万美金。

这时候,客户到A银行办汇款手续,列明收款人名称、帐号、币种、金额、收款行等信息,也就是汇款指示。

银行A在收到汇款指示后,从客户帐户扣除10万美金,之后,银行A给自己在美国的美元帐户行B通过SWIFT系统发送报文,告诉帐户行B,把一笔10万美金的款项汇到香港的收款行C,也把收款人的信息重复了一遍。

帐户行B在接收到银行A要求付款的报文后,把银行A在它的存款扣除10万美金,同时把这10万美金直接贷记在香港银行C在该行的帐户上,再向香港银行C发报文,通知它给它存了一笔钱,收款人信息抄送上,香港银行C在收到报文以后,按汇款指示把资金给客户存在,这笔汇款业务妥妥地成功了。

解密:银行进行外汇资金跨国清算,主要依靠三个要素:SWIFT全球清算系统、代理行、帐户行。

SWIFT全球清算系统,从名字就看出来了,是一家专门用于全球银行资金清算的系统,下文会解释。在这个系统中,有两种性质的银行:代理行和帐户行。

金融攻防:隐蔽的华丽外衣

乌有故事八

黑客组织“影子中间人”曾在推特等社交媒体上爆料说,美国国家安全局曾入侵国际银行系统,以监控一些中东和拉丁美洲银行之间的资金流动。

“影子中间人”发布的文件显示,美国国家安全局利用计算机代码入侵SWIFT(环球银行间金融通信协会)服务器,并监控SWIFT信息。文件还曝光了多个入侵SWIFT系统的计算机代码和监控工具。

全球银行每天数万亿美元的资金交易都需要使用SWIFT银行结算系统。目前全球有200多个国家和地区的1万多家银行和证券机构在使用这个系统。

对于此次事件,SWIFT表示,该协会定期发布安全更新,并提示客户如何处理已知的威胁。目前没有证据表明,SWIFT的主网络系统在未授权的情况下被访问。

然而有媒体指出,2016年SWIFT系统就遭遇过黑客入侵。2016年2月,孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击,使得该银行本地SWIFT网络系统按黑客指令,从纽约联邦储备银行向外转账,造成的损失高达8100万美元。

“影子中间人”此次发布的文件还曝光了一些可入侵微软公司“视窗”操作系统的程序。微软公司对此发表声明表示,微软的最新用户不受黑客声称的美国国家安全局监控工具影响,并且微软公司已针对“影子中间人”爆料的12个监控工具中的9个采取了防御措施。

美国前防务承包商雇员爱德华·斯诺登曾在2013年发表文件指出,美国国家安全局一直在监控SWIFT信息,其目的在于迅速发现资助犯罪活动的资金往来。

2016年8月13日,“影子中间人”曾通过社交平台宣称攻入美国国家安全局网络“武器库”——“方程式组织”并泄露其中部分黑客工具和数据。而斯诺登提供文件确认,这些工具是美国国家安全局软件,其中部分软件属于秘密攻击全球计算机的强悍黑客工具。

解密:SWIFT又称:“环球同业银行金融电讯协会”,是国际银行同业间的国际合作组织,成立于一九七三年,目前全球大多数国家大多数银行已使用SWIFT系统。SWIFT的使用,使银行的结算提供了安全、可靠、快捷、标准化、自动化的通讯业务,从而大大提高了银行的结算速度。由于SWIFT的格式具有标准化,目前信用证的格式主要都是用SWIFT电文。

SWIFT(Society for Worldwide Interbank FinancialTelecommunications---环球同业银行金融电讯协会),是一个国际银行间非盈利性的国际合作组织,总部设在比利时的布鲁塞尔,同时在荷兰阿姆斯特丹和美国纽约分别设立交换中心(Swifting Center),并为各参加国开设集线中心(National Concentration),为国际金融业务提供快捷、准确、优良的服务。SWIFT运营着世界级的金融电文网络,银行和其他金融机构通过它与同业交换电文(Message)来完成金融交易。

除此之外,SWIFT还向金融机构销售软件和服务,其中大部分的用户都在使用SWIFT网络。

乌有故事九

2016年4月25日SWIFT周一通过路透社向客户发布警告称,“SWIFT意识到,在最近的几起网络事件中,恶意攻击者通过金融管理后台的本地端口连接至SWIFT网络,入侵SWIFT客户端获得提交SWIFT报文的权限”。

SWIFT银行结算系统频繁遭到网络安全威胁引起了全球网络安全界和金融界人士的高度关注。

金融攻防:隐蔽的华丽外衣

图1 黑客利用SWIFT消息攻击全球银行系统线路图

互联网上已经有安全组织获取了相关攻击的样本和系统数据,通过分析,初步判定此类事件与2014年索尼影业娱乐公司好莱坞制片厂被黑事件的参与者Lazarus(黑客组织)有所关联。

金融攻防:隐蔽的华丽外衣

图2 历史样本相似度分析

另外,2017年使用国际银行业合作SWIFT系统的银行频频发生被盗,这和SWIFT系统存在的严重安全问题不无关系。

2018年,国际银行结算系统SWIFT对成员银行强制实施SWIFT强制实施新的安全控制框架。所有使用SWIFT信息平台的银行,都需要遵守一个建立安全基准的网络安全框架。去年推出的《 SWIFT客户安全控制框架 》 为SWIFT客户描述了一套强制性和建议性安全控制,今年就要全面实行了。

金融攻防:隐蔽的华丽外衣

解密:SWIFT提供的服务

1.接入服务:包括SWIFTAllianceAccess and Entry 、SWIFTAlliance Gateway 、SWIFTAlliance Webstation 、File TransferInterface 等接入模式;

2.金融信息传送服务:包括SWIFTNetFIN 、SWIFTNet InterAct 、SWIFT FileAct 、SWIFTNeBrowse等传输模式;

3.交易处理服务:提供交易处理匹配服务、实时报告的双边净额清算服务、支持B2B的商务中的端对端电子支付等;

4.分析服务与分析工具:向金融机构提供一些辅助性的服务,即分析服务与分析工具。

总共有安全措施27项,其中有16条是要求强制执行的,还有11项是建议性控制措施,现在采用SWIFT的所有银行必须执行。

安全风险管理公司Bay Dynamics战略副总裁Steven Grossman 表示,新的SWIFT要求还包括安全基线控制,例如网络隔离,漏洞和补丁管理,并要求隔离访问特权,以防止任何一个人或用户帐户,在没有多人参与的情况下,肆意妄为,从而限制了恶意和非恶意的内部人士所带来的风险,以及被盗的凭证。

新措施最特别的一个要求是“检测系统或交易记录异常活动”的能力,SWIFT独特地适用于监控银行处理的许多不同方面,包括交易和系统活动。关于反洗钱计划,许多银行都很了解这个概念。

虽然它没有要求使用特定的工具,但用户和 用户实体行为分析 技术通常应用于此功能,以检测恶意和非恶意的攻击者以及网络漏洞。遵守这一控制,要求重要的日志记录和分析功能,以及管理这些功能所需的专业知识。

乌有故事十

知情人士透露,早在2015年的时候IBM就计划利用比特币的底层技术blockchain,为主流货币创造一种虚拟现金和支付系统。

知情人士表示,IBM的目标是借助这项技术提供实时现金汇款或支付交易,无需银行或清算机构的参与,从而节省交易费用。这些交易将位于某国货币(例如美元或欧元)的开放总账内。

blockchain是一种数字货币所有交易的总账或列表,它被视作比特币的主要技术创新,可以方便用户实现实时匿名支付,而不必受制于政府监管。这个总账并不存储在单独的服务器中,也不受个人、公司或银行的控制,而是对比特币网络的所有参与者开放。

IBM规划的数字货币系统也将采用类似的工作模式。

“当有人想在系统中交易时,你使用的不再是比特币,而是美元。”知情人士说,“这跟比特币很像,但却没有比特币。”

除了IBM外,还有很多科技企业也都希望将blockchain技术应用于比特币之外的其他领域。这种数字货币6年前诞生,已经吸引了众多投资者和科技爱好者。

知情人士表示,IBM已经与包括美联储在内的多国央行展开了非正式会谈。倘若这些央行认可这一理念,IBM就将为该项目开发可以扩展的安全基础架构。

IBM和美联储均未对此置评。

但有迹象显示,一些央行已经开始考虑利用数字货币系统中的创新。英格兰银行在2014年9月的一份报告中将blockchain的开放总账称作“重大创新”,认为它可以给整个金融体系带来更大范围的变革。

这种开放总账并不是银行维护的交易记录账目,而是允许系统的所有用户查看,而且可以使用预先商定的流程将交易录入系统。

知情人士表示,该项目仍处于发展初期,目前仍在推进。但目前还不清楚如何规避洗钱和犯罪活动等在比特币社区较为泛滥的不法行为。

知情人士称,IBM不会采用与比特币一样的分布式系统,而是会统一交由央行控制。

“这将成为货币供给的一部分。”知情人士说,“货币并没有变,只不过不再是印有序列号的钞票,而是变成了blockchain上的一个令牌。”

解密:包括IBM在内的很多科技企业其实是想做个系统绕过SWIFT。

SWIFT组织成立于1973年5月,其全球计算机数据通讯网在荷兰和美国设有运行中心,在各会员国设有地区处理站,来自美国、加拿大和欧洲的15个国家的239家银行宣布正式成立SWIFT,其总部设在比利时的布鲁塞尔,它是为了解决各国金融通信不能适应国际间支付清算的快速增长而设立的非盈利性组织,负责设计、建立和管理SWIFT国际网络,以便在该组织成员间进行国际金融信息的传输和确定路由。

从1974年开始设计计算机网络系统。

1977年夏,完成了环球同业金融电信网络(SWIFT网络)系统的各项建设和开发工作,并正式投入运营。

1977年时SWIFT在全世界就拥有会员国150多个,会员银行5000多家,SWIFT系统日处理SWIFT电讯300万笔,高峰达330万笔。

到2007年6月为止,SWIFT的服务已经遍及207个国家,接入的金融机构超过8100家。台湾地区唯一的具有商业策略以及服务供应伙伴资格的是资通电脑Ares。

在国际贸易结算中,SWIFT信用证是正式的、合法的,被信用证各当事人所接受的、国际通用的信用证,信用证是指凡通过SWIFT系统开立或予以通知的信用证。采用SWIFT信用证必须遵守SWIFT的规定,也必须使用SWIFT手册规定的代号(Tag),而且信用证必须遵循国际商会2007年修订的《跟单信用证统一惯例》各项条款的规定。在SWIFT信用证可省去开证行的承诺条款(Undertaking Clause),但不因此免除银行所应承担的义务。SWIFT信用证的特点是快速、准确、简明、可靠。

该组织创立之后,其成员银行数逐年迅速增加。从1987年开始,非银行的金融机构,包括经纪人、投资公司、证券公司和证券交易所等,开始使用 SWIFT。至2010年,该网络已遍布全球206个国家和地区的8,000多家金融机构,提供金融行业安全报文传输服务与相关接口软件,支援80多个国家和地区的实时支付清算系统。

1980年SWIFT联接到香港。我国的中国银行于1983年加入SWIFT,是SWIFT组织的第1034家成员行,并于1985年5月正式开通使用,成为我国与国际金融标准接轨的重要里程碑。之后,我国的各国有商业银行及上海和深圳的证券交易所,也先后加入SWIFT。

进入90年代后,除国有商业银行外,中国所有可以办理国际银行业务的外资和侨资银行以及地方性银行纷纷加入SWIFT。SWIFT的使用也从总行逐步扩展到分行。1995年,SWIFT在北京电报大楼和上海长话大楼设立了SWIFT访问点SAP(SWIFT Access Point),它们分别与新加坡和香港的SWIFT区域处理中心主节点连接,为用户提供自动路由选择。

为更好地为亚太地区用户服务,SWIFT于1994 年在香港设立了除美国和荷兰之外的第三个支持中心,这样,中国用户就可得到SWIFT支持中心讲中文的员工的技术服务。SWIFT还在全球17个地点设有办事处,其2000名的专业人员来自55个国家,其中北京办事处于1999年成立。

全世界金融数据传输、文件传输、直通处理STP(Straight Through Process)、撮合,清算和净额支付服务、操作信息服务、软件服务、认证技术服务、客户培训和24小时技术支持。

SWIFT自投入运行以来,以其高效、可靠、低廉和完善的服务,在促进世界贸易的发展,加速全球范围内的货币流通和国际金融结算,促进国际金融业务的现代化和规范化方面发挥了积极的作用。我国的中国银行、中国农业银行、中国工商银行、中国建设银行、交通银行、中信实业银行等已成为环球银行金融通信协会的会员。这也就是为什么PP只支持电汇这几家国内银行的原因。

SWIFT的设计能力是每天传输1100万条电文,而当前每日传送500万条电文,这些电文划拨的资金以万亿美元计,它依靠的便是其提供的240种以上电文标准。SWIFT的电文标准格式,已经成为国际银行间数据交换的标准语言。这里面用于区分各家银行的代码,就是SWIFT Code,依靠SWIFT Code便会将相应的款项准确的汇入指定的银行。

SWIFT Code是由该协会提出并被ISO通过的银行识别代码,其原名是BIC(Bank Identifier Code),但是BIC这个名字意思太泛,担心有人理解成别的银行识别代码系统,故渐渐大家约定俗成地把BIC叫作SWIFT Code了。SWIFT是(Society for Worldwide Interbank Financial Telecommunications)环球银行间金融通信协会是一个由金融机构共同拥有的私营股份公司,按比利时的法律登记注册,由会员银行和其他金融机构协同管理。

SWIFT银行识别代码

每家申请加入SWIFT组织的银行都必须事先按照SWIFT组织的统一原则,制定出本行的SWIFT地址代码,经SWIFT组织批准后正式生效。银行识别代码(Bank Identifier Code---BIC)是由电脑可以自动判读的八位或是十一位英文字母或阿拉伯数字组成,用于在SWIFT电文中明确区分金融交易中相关的不同金融机构。凡该协会的成员银行都有自己特定的SWIFT代码,即SWIFT Code。在电汇时,汇出行按照收款行的SWIFT Code发送付款电文,就可将款项汇至收款行。该号相当于各个银行的身份证号。

十一位数字或字母的BIC可以拆分为银行代码、国家代码、地区代码和分行代码四部分。以中国银行北京分行为例,其银行识别代码为BKCHCNBJ300。其含义为:BKCH(银行代码)、CN(国家代码)、BJ(地区代码)、300(分行代码)。

(1)银行代码(Bank Code):由四位英文字母组成,每家银行只有一个银行代码,并由其自定,通常是该行的行名字头缩写,适用于其所有的分支机构。

(2)国家代码(Country Code):由两位英文字母组成,用以区分用户所在的国家和地理区域。

(3)地区代码(Location Code):由0、1以外的两位数字或两位字母组成,用以区分位于所在国家的地理位置,如时区、省、州、城市等。

(4)分行代码(Branch Code):由三位字母或数字组成,用来区分一个国家里某一分行、组织或部门。如果银行的BIC只有八位而无分行代码时,其初始值订为“XXX”。

同时,SWIFT还为没有加入SWIFT组织的银行,按照此规则编制一种在电文中代替输入其银行全称的代码。所有此类代码均在最后三位加上“BIC”三个字母,用来区别于正式SWIFT会员银行的SWIFT地址代码。

SWIFT Code的查询方法

要查询某家银行的SWIFT Code,推荐的方式是:

(1)直接去银行询问工作人员

(2)可以打电话咨询。

(3)通过SWIFT的官方网站查询:

①精确查找,进入网站后,如果你知道银行的SWIFT代码(BIC Code)或机构关键字(Institution Keyword),可以做快速查找它的信息;例如:中国银行的关键字是Bank of China,输入就可以查询中国银行在全世界的分行的SWIFT Code,当然包括大陆各地的代码。从搜索结果可以看到,内地分行的开始8位全部是BKCHCNBJ,可以直接在BIC搜索下输入这8位,列出国内中国银行各地分行的SWIFT Code。

②若不太清楚,那么就可进入另一个查询页面,进行详细的查找,点击下方的位置即可进入。

国内各银行总行的SWIFT代码

中国银行:BKCHCNBJ

工商银行:ICBKCNBJ

建设银行:PCBCCNBJ

农业银行:ABOCCNBJ

招商银行:CMBCCNBS

交通银行:COMMCN

中信银行:CIBKCNBJ

兴业银行:FJIBCNBA

民生银行:MSBCCNBJ

华夏银行:HXBKCN

浦发银行:SPDBCNSH

汇丰银行:HSBCCNSH

渣打银行:SCBLCNSX

花旗银行:CITICNSX

德意志银行:DEUTCNSH

瑞士银行:UBSWCNBJ

荷兰银行:ABNACNSH

香港汇丰:BLICHKHK

香港花旗:CITIHK

香港东亚银行:BEASCNSH

代码后需要统一添加分行阿拉伯数字代号。

乌有故事十一

据国外媒体报道,2016年环球同业银行金融电讯协会(SWIFT)警告其客户称近期有黑客通过恶意软件入侵SWIFT通信平台发送诈骗短信的现象。

据悉,SWIFT此次发出该警告的时间,正值调查人员调查黑客入侵孟加拉央行盗提现金案之际。2016年2月,黑客入侵了孟加拉央行的电脑系统,试图将其在纽约联邦储备银行的9.51亿美元存款转走。SWIFT已经承认,黑客通过恶意软件入侵了涉事央行的SWIFT软件,删除了非法转账的相关记录。

SWIFT通过路透社向客户发布警告称,“SWIFT意识到,在最近的几起网络事件中,恶意攻击者通过金融管理后台的本地端口连接至SWIFT网络,入侵SWIFT客户端获得提交SWIFT报文的权限”。

SWIFT发布该警告的同时并未明确有相关金融机构因此受到攻击或出现损失。同时SWIFT组织证实了路透社发文的真实性。

后面SWIFT针对银行客户端软件发布安全更新以阻止恶意软件。英国防务承包商BAE安全研究人员称该恶意软件可能被黑客用于此前的孟加拉央行盗提现金案。

BAE获取的相关证据表明,黑客通过恶意软件入侵了SWIFT的Alliance Access客户端软件以掩饰其非法转账的痕迹。但BAE无法就黑客如何通过SWIFT系统发起转账做出解释。

但SWIFT就该攻击做出推测,称攻击者非法获取了SWIFT通信的相关授权后,才能通过SWIFT通信平台进行欺骗性转账申请。这是近期网络攻击的共性问题。

SWIFT发言人Natasha Deteran表示,“这些网络攻击的共性是攻击者首先非法获取了关于该金融机构的有效授权。”她警告称,“客户应尽最大努力,防止授权泄露。”

SWIFT同时告知客户需在5月12日之前安装软件更新。Natasha Deteran称,“我们已经对Alliance客户端软件进行了强制更新,目的是帮助银行记录操作痕迹,无论这些操作是正式授权还是恶意入侵。”

解密:SWIFT特点——

1.SWIFT需要会员资格。我国的大多数专业银行都是其成员。

2.SWIFT的费用较低,高速度。同样多的内容,SWIFT的费用只有TELEX(电传)的18%左右,只有CABLE(电报)的2.5%左右。

3.SWIFT的安全性较高;。SWIFT的密押比电传的密押可靠性强、保密性高,且具有较高的自动化。

4.SWIFT的格式具有标准化。对于SWIFT电文,SWIFT组织有着统一的要求和格式。

用户包括三种类型,分别为:会员(股东)、子会员以及普通用户。会员可享受所有的SWIFT服务;普通用户只享有与其业务相关的服务,主要来自于证券行业,如证券中介、投资管理公司、基金管理公司等。

SWIFT提供的服务

1、接入服务

SWIFT的接入服务通过SWIFTAlliance的系列产品完成,包括:

(1) SWIFTAlliance Access and Entry:传送FIN信息的接口软件;

(2) SWIFTAlliance Gateway:接入SWIFTNet的窗口软件;

(3) SWIFTAlliance Webstation:接入SWIFTNet的桌面接入软件;

(4) File Transfer Interface:文件传输接口软件,通过SWIFTNet FileAct是用户方便的访问其后台办公系统。

SWIFTNET Link软件内嵌在SWIFTAlliance Gateway和SWIFTAlliance Webstation中,提供传输、标准化、安全和管理服务。连接后,它确保用户可以用同一窗口多次访问SWIFTNet,获得不同服务。

2、金融信息传送服务

SWIFTNet启用以后,传统的FIN服务转而在新的网络 SWIFTNet FIN(已于2002年8月开通)上提供。SWIFT把传统的FIN服务与新开发的、交互性的服务进行了整合,开发出SWIFTNet信息传送服务以满足现代金融机构不断发展的需要。包括以下四种服务:(1)在金融信息传送方面(2)SWIFTNet InterAct :提供交互(实时)和存储与转发两种信息传送方式,适合要求实时应答的金融业务。(3)SWIFT FileAct:提供交互和存储与转发两种文件自动传输方式,适合大批量数据的传输。(4)SWIFTNeBrowse以浏览为基础,使用标准的Internet浏览器(如IE)和SWIFT Alliance Web Station访问Browse服务,其安全由SSL和SIPN保证。

3、交易处理服务

交易处理服务也是通过SWIFTNet向外汇交易所、货币市场和金融衍生工具认证机构提供交易处理服务,具体包括:

(1) 交易处理匹配服务(Accord Matching)

(2) 实时报告的双边净额清算服务(According Netting)

(3) 支持B2B的商务中的端对端电子支付(E-PaymentsPlus)

4、分析服务与分析工具

SWIFT也向金融机构提供一些辅助性的服务,即分析服务与分析工具。

SWIFT包括以下工具:

(1)BIC Online和 BIC Directory Update broadcast:向金融机构提供最新的、世界范围内的金融机构的代码(BIC);

(2)Traffic Watch:可以监视SWIFT当前传送信息的数量;

(3)Transaction Watch:可以监视信息从发出到接收所经历的过程,获得各种参数,为提高证券系统和支付系统的效率提供分析数据;

(4)STP Review:金融机构为提高自身竞争力,直达处理(straight through processing (STP))能力变得愈加重要。SWIFT可以向用户提供独立、客观的STP评估。

SWIFT的风险防范

SWIFT 安全威胁来自2个方面:一是支付风险,二是系统风险。

在支付风险方面,SWIFT并不向金融机构提供直接的帮助。利用SWIFT所提供的服务,金融机构可以有效控制支付风险。例如,SWIFT为支持大额支付与证券相关交易中的清算、结算、净额结算,提供了FIN Copy 服务。在交易指令传达给接收方之前,指令要备份并通过第三方(如中央银行)的认证。

SWIFT系统的安全主要遭受这几个方面的威胁:假冒,报文被截取(读取或复制)、修改、重播,报文丢失,报文发送方或接收方否认等。针对这些安全威胁,SWIFT系统提供了安全策略,用以维护系统安全。SWIFT安全层次分为:(1)安全登入和选择服务。(2)防止第三方冒充。(3)防止第三方截取报文。(4)使第三方无法修改、替换报文内容,或者使接收方可以发现报文在传输的过程中被修改。(5)防止报文的重播和丢失。(6)在系统内进行交换的报文被复制存储,与报文交换有关的各种活动及其发生的时间均被记录。(7)相关安全责任的分离,即一人不能负责多项安全事务。

三.SWIFT电文格式分类、表示方式。

{1.BASIC HEADER BLOCK}基本报头

{2.APPLICATION HEADER BLOCK}应用报头

{3.USER HEADER BLOCK}用户报头

{4.TEXT BLOCK}正文

{5.TRAILERBLOCK}报尾

SWIFT报文共有十类:

第1类:客户汇款与支票(Customer Payments & Checks)

第2类:金融机构间头寸调拨(Financial Institution Transfers)

第3类:资金市场交易(Treasury Markets-FX,MM,Derivatives)

第4类:托收与光票(Collections & Cash Letters)

第5类:证券(Securities Markets)

第6类:贵金属(Treasury Market-Precious Metals)

第7类:跟单信用证和保函(Documentary Credits and Guarantees)

第8类:旅行支票(Traveler's Checks)

第9类:现金管理与账务(cash management & Customer Status)

第0类:SWIFT系统电报

除上述十类报文外,SWIFT电文还有一个物殊类,即第N类——公共报文组(Common Group Messages)

乌有故事十二

SWIFT是一个私营股份公司,股东来自会员,由25名董事长领导下的执行股东会为最高权力机构。SWIFT的股东来自世界各地,他们在金融通信方面的实践经验对公司的管理有很大的影响。执行部门由一组全职员工构成,由CEO领导,并处于董事会的监督之下。包括6个委员会,其中决策权由董事会授与。

财务委员会(The Audit and Finance Committee,AFC)负责会计、财务报表、财务管理、审计与常规监督、预算、融资以及长期财务计划编制、监督SWIFT运作和内部控制。

常服委员会(The Board Compensation Committee)负责评估公司绩效,并决定董事会成员和其他主要主管的薪酬,负责雇员薪酬管理津贴计划。董事会还设有2个商务委员会(Business Committee),分别负责银行与支付(Banking & Payments)和证券(Securities);2个技术委员会(Technical Committee),分别负责标准(Standards)以及技术和产品(Technical & Production)

为了对SWIFT进行有效管理与监督,十国集团(G10)的中央银行作出对SWIFT进行了监督管理的特定安排,比利时的国家银行(NBB)在SWIFT的监督中起主导作用,G10的中央银行从旁边进行协助。

解密:SWIFT的成员分为持有股者和非持股者。

持有股者(会员),即Shareholder(Member)包括银行、符合资格的证券经销商(eligible securites broker-dealers)以及符合规定的投资管理机构(investment management institutions),都可以持有SWIFT的股份。会员行由董事选举权,当股份达到一定的董事的被选举权。

非持有股者(Non-shareholders)主要分为非参股成员、附属成员及参与者3类。

(1)非参股成员是那些符合成为参股人资格但是并未选择或不愿意成为参股人的机构。

(2)附属会员是持有股会员对该机构组织拥有50%的直接控股权或100%的间接控股权。此外,该机构组织还需满足附属会员条例中第8款第一节的要求。即必须和会员所参与的业务相同。但必须完全由参股人控制管理。

(3)参与者是主要来自于证券业的各个机构,如证券经纪人和经销商、投资经理、基金管理者、货币市场经纪人等。

1.项目表示方式

SWIFT由项目(FIELD)组成,如“59: Beneficiary - Name & Address”(受益人),就是一个项目,59是项目的代号,可以是两位数字表示,也可以两位数字加上字母来表示,如“51D: Applicant Bank - Name & Address”(申请人)。不同的代号,表示不同的含义。项目还规定了一定的格式,各种SWIFT电文都必须按照这种格式表示。

在SWIFT电文中,一些项目是必选项目(MANDATORY FIELD),一些项目是可选项目(OPTIONAL FIELD):必选项目是必须要具备的,如“31D: Date and Place of Expiry”(信用证有效期);可选项目是另外增加的项目,并不一定每个信用证都有的,如“39B: Maximum Credit Amount”(信用证最大限制金额)。

2.日期表示方式

SWIFT电文的日期表示为:YYMMDD(年月日)

如:1999年5月12日,表示为:990512;

2000年3月15日,表示为:000315;

2001年12月9日,表示为:011209。

3.数字表示方式

在SWIFT电文中,数字不使用分格号,小数点用逗号“,”来表示

如:5,152,286.36 表示为:5152286,36;

4/5 表示为:0,8;

5% 表示为:5 PERCENT

4.货币表示方式

澳大利亚元:AUD;

奥地利元:ATS;

比利时法郎:BEF;

加拿大元:CAD;

人民币元:CNY;

丹麦克朗:DKK;

德国马克:DEM;

荷兰盾:NLG;

芬兰马克:FIM;

法国法郎:FRF;

港元:HKD;

意大利里拉:ITL;

日元:JPY;

挪威克朗:NOK;

英镑:GBP;

瑞典克朗:SEK;

美元:USD

欧元:EUR

上一篇新闻

江苏贸促周讯2021年第7期

下一篇新闻

关于“银行保函”“上不不上网“您了解多少?

评论

订阅每日新闻

订阅每日新闻以免错过最新最热门的新加坡新闻。