[摘要]当前,以银行计算机及网络为基础的金融服务广泛深入到经济生活的各个领域,在为各阶层提供方便的银行服务的同时,也带来了各种各样的金融风险。文章根据目前银行业计算机及网络风险的各种表现形式,提出相应的解决办法。
[关键词]银行业计算机;网络风险;对策
[作者简介]陈健,上海大学计算机系工程硕士,上海,200072
[中图分类号] F830.49[文献标识码] A[文章编号] 1007-7723(2008)01-0025-0002
一、银行业计算机及网络风险的表现形式
(一)实体风险
实体风险是指人为地对计算机中心及其设备、设施进行破坏与攻击。银行计算机系统存储了大量与国民经济活动有关的信息,对金融组织的管理决策与整个国家宏观调控制至关重要。据媒体报道,国外曾发生多宗炸毁计算机设备、攻击计算机中心的事件。这就警示我们,对银行信息中心计算机设备实体的安全和风险防范应引起足够的重视。尤其是银行业基层计算机网点,有相当部分机房设计简陋,防护装置达不到规定标准,人为助长了计算机实体风险。
(二)软件风险
1.软件设计风险。应用软件在研制过程中,由于考虑不周或在编制程序时不够严谨导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、业务数据以明码形式存放、文件权限设置不正确、自我防御能力差、容错能力差等缺陷,系统在运行过程中往往会出现数据信息受损、账务错乱,甚者导致整个系统崩溃。这类应用软件如遭受病毒侵害,很容易引发风险。
2.软件操作风险。其主要表现为:
(1)操作失误或操作不当风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪。
(2)业务人员密码使用混乱,操作权限界定不清。在计算机安全管理中,密码和权限应该有严格的规定。但在实际业务操作中,为简化操作和便于系统维护,系统管理员通常都可以操作业务管理系统,而操作员之间代号混用,密码没有严格定期更换,有的操作员甚至以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。
(3)自然消失风险。因磁存储介质保管不当,使存储的信息无法读取或丢失造成的风险。这在基层银行表现较为突出。基层银行因数据备份不及时或缺少有效的数据备份,而数据备份则是账务安全和故障恢复的重要保证。如果没有有效和完整的备份数据,数据库一旦发生损坏则无法将所有数据完全恢复。
(三)硬件风险
1.硬件内在风险。断线、短路、接触不良、电脑超期服役、设备老化、损坏性的使用和人为减少计算机运行寿命等由计算机本身及相关元件、部件、设备等带来的风险。
2.硬件外在风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;电信部门通讯故障造成的业务中断和供电系统不稳、后备电源不足而带来的损害;由于不可抗力,如火灾、水灾、磁、雷电、地震、爆炸、温度等难以预料的突发性灾害对银行计算机系统资源带来的损害;计算机及网络设计没有可靠接地,缺少防尘、防雷设备而造成的计算机故障。
3.网络风险。网络是一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱。网络风险就是当电子信息在网络上传输时,由于网络没有将内部网络与国际互联网进行物理隔断或设备的故障导致遭受外界侵袭造成的风险。
(四)信息管理风险
1.制度风险。制度风险主要是指在银行电子化业务中,由于制度制定执行力或有漏洞所造成的潜在风险。目前基层行建立的计算机安全管理制度滞后于银行计算机及网络形势发展的需要。数据备份媒体存放管理、网络安全运行管理、操作员管理、密码专人管理等制度有待于进一步完善。内控制度的落实更是各银行电子化建设较为薄弱的环节。随着金融体制的深入改革,各银行机构都在精简机构、精简人员,一人多岗、一人多个操作员号的现象常发生。银行人员少、业务集中、基本内控制度执行不力的状况较为突出。
2.体制风险。体制风险主要是指在管理上缺乏统一的领导和组织所引发的风险。在信息管理上较重视计算机在银行电子化业务中的应用,过于强调科技的服务职能,而忽略了计算机安全管理工作,忽视银行科技监管。科技人员往往是单兵作战,除了承担业务软件的推广应用外,还要负责全行设备的管理和维护,造成顾此失彼。各业务职能部门尚未将计算机安全作为一项重要工作来抓,计算机风险管理几乎还是空白。
3.人员素质风险。人员素质风险主要是指因人员素质参差不齐而引发计算机及网络系统的风险。目前我国银行业缺乏专业高素质人员,银行从业人员尤其是基层行人员素质还不能适应先进的管理工具和先进的管理手段的发展要求;在具体的业务操作中无法有效地利用现有的资源。因此,人员素质的滞后对计算机及网络的安全也是一个潜在的风险。
(五)计算机及网络犯罪
计算机及网络犯罪主要是指不正当使用计算机及网络或对计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。常见的银行计算机及网络犯罪有两种:一是把计算机及网络本身作为犯罪的目标,如对数据和系统的有意改变、破坏、消除等;二是把计算机及网络作为盗窃资金工具使用、侵占、诈骗等而引起的犯罪。
二、银行计算机及网络风险防范的对策
(一)实体方面
在银行业安全经营中,对营业网点安全防范、库款押运安全、金库的守卫等方面十分重视;而对计算机中心或机房的安全防范则相对薄弱。各银行机构的安全保卫部门应该将本行的计算机及网络的安全纳入自己的管理范畴,要像保卫金库安全一样保卫计算机中心或机房。各行,一方面,应严格对机房重地的管理;另一方面,要加强相关人员安全保密的培训与教育等工作。
(二)软件方面
1.做好应用软件的开发研制工作。在应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的周全与缜密;编程过程中,要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;在软件正式投入推广使用前要进行全面的测试,以便及时发现并修正软件设计过程中的不足。
2.抓好操作风险的防范工作。加强操作人员权限和密码管理。对访问数据库的所有用户要科学地分配权限,实现权限等级管理,严禁越权操作,密码实行强制性定期更改,数据输入检查严密,尽量减少人工操作机会;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作;防止非法使用系统资源,指定专人进行系统操作,对一切操作都要有记录,以防误操作损坏软件系统或业务数据。做好数据备份,确保数据安全,对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备要通过电子开关实现自动切换,以减少系统中断运行时间;数据保存、传输过程中对涉及机密的数据信息要先加密,后传输、存储;对数据库本身的安全脆弱问题要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(三)硬件方面
1.做好设备维护。建立对各种计算机及网络设备维护制度、定期检修,并做好维护、检修记录;对突发性的安全事故处理要有应急计划,对主要网络设备、服务器要指定专人负责,发生故障保证及时修复,确保所有设备处于最佳运行状态。
2.改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。计算机机房、空调间、配电室等计算机系统的重要基础设施要视为要害部门严格管理,配备防火、防水、防磁、防雷、防鼠害、防盗等设备,同时要安装监控系统。定期与电信、电力等部门沟通与协调,争取技术支持,保证畅通的网络环境和良好供电环境。
3.加强网络安全防范。网络安全的软件、硬件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听或篡改。
(四)信息管理方面
1.建章立制,落实内控制度。对计算机运行要建立健全各项计算机安全防范和管理制度,完善业务操作规程;加强内控制度的落实,严禁系统程序开发人员、网络技术人员、管理人员和前台操作人员混岗、代岗或一人多岗,各操作人员须定期更换密码;加强要害岗位管理,建立和补充完善要害岗位人员管理制度;非业务与业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录。
2.建立风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入日常工作。成立计算机安全领导小组,明确权利与责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的环节和部位,进行重点管理与监督。各职能部门要加大对计算机风险管理力度,全行上下要形成合力,营造出“科技安全,人人有责”的良好氛围。
3.有效解决人员素质对计算机及网络风险的影响。一是对科技人员要及时“充电”,提高其防范计算机与网络风险和处理计算机与网络故障的能力;二是对业务操作人员要重点抓好计算机知识的培训工作,建立相应的岗位培训和定期轮训制度,提高人员的法制观念、计算机业务操作水平和安全防范综合能力。
(五)计算机及网络犯罪方面
近几年来,银行业利用计算机及网络技术犯罪的案例呈上升趋势,而相应的法规法规建设严重滞后于计算机及网络的发展。在目前信息立法滞后的情况下,银行业防止计算机犯罪应重点从如下几方面入手:一是要严格内控制度建设,在管理上不给犯罪分子以可乘之机;二是强化技术上的安全措施,在系统的先进性、安全性和加密的不易破解性上下足功夫;三是从国家技术信息安全的战略高度,促进国家加快相关信息立法,以法律保护计算机及网络,从而使风险降到最低点。
[参考文献]
[1]丁梅.构建银行计算机安全体系[J].华南金融电脑,2003,(12).
[2]顾红.商业银行业计算机系统风险防范与对策[J].现代金融,2005,(8).
[3]张霁.银行计算机安全管理研究[J].辽宁工程技术大学学报,2005,(11).
[4]钟光.浅谈银行业计算机网络风险防范与对策[J].特区经济,2007,(7).