银行计算机网络安全及其对策简析
摘要:随着我省银行业务的不断拓展,作为业务创新的科技基础的计算机网络技术得到了广泛的发展与应用, 自助系统、综合业务系统、中间业务平台、办公自动化、银证通、银税通、银证转帐、电子银行等大量投入使用,极大的提高了银行的工作效率和社会服务水平,但同时也使得计算机网络的安全问题日益突出。
一 计算机网络风险
所谓计算机网络风险.是指金融等应用部门在进行技术创新和实现金融电子化过程中,广泛使用计算机网络技术,而计算机本身(软、硬件和操作系统等)及其管理制度缺乏有效的科学性与规范性,存在的不安全因素而造成的潜在的或已发生的风险。其主要表现形式为:系统故障、安全事故和计算机犯罪,它具有范围广、影响大、突发性强等特点。根据金融业的工作性质,大致可分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类别。
(一)实体风险实体风险是指人为的对计算机中心及其设施进行破坏。
银行计算机系统存储了大量重要数据。
在国外,曾发生过多起攻击计算机中心、炸毁计算机设备的案件.这就警示我们,对银行网络中心计算机环境及设备的风险防范应引起足够的重视。
(二)硬件风险硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件的缺陷等导致系统不能正常工作而带来的风险。
1、硬件外在风险。计算机机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的潜在的安全隐患由于不可抗力,如火灾、水灾、地震、电击等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通信故障造成的业务中断而带来的损害计算机网络设备缺乏防雷设施而造成的计算机故障。
2、硬件内在风险。短路、断线、鼠害、接触不良、设备老化、计算机超期服役等计算机相关设备或元器件带来的风险。
5、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道.它的防卫能力和抗攻击能力较弱。网络风险就是当重要数据在网络上传输时,由于网络设备的故障而造成的风险。
(三)软件风险软件风险是指由于程序的潜在错误而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全.或未经全面测试就投入使用,出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力和自我防御能力差等缺陷。这种应用软件一旦泄露,很容易引发风险。
2、软件操作风险。软件操作风险是指由于业务操作人员素质跟不上电子化建设的步伐,对我们的硬件设备以及业务产品不熟悉所造成的操作风险。其主要表现为:
(1)业务人员操作权限界定不清,密码使用混乱。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的管理规定。但在实际业务操作中,系统管理员往往可以操作各业务管理系统,这些现象的存在都能导致风险的发生。
(2)操作不当风险。业务人员操作结束或离开柜台时没有退出操作界面,给非法操作者提供可乘之机,使其很方便的进入业务系统进行非法操作。
(3)自然消失风险。自然消失风险是存储介质保管不当,使得存储在其上的数据丢失或无法读取造成的风险。
(四)信息管理风险信息管理风险是指由于管理体制和管理制度的不完善而给计算机网络系统带来的风险。
1、体制风险。主要是指在管理上缺乏统一的组织领导所引发的风险。由于某些领导认识上的偏差.计算机风险意识不强,注重应用而忽略了计算机的安全监管。
2、制度风险。主要是指在金融电子化业务中,由于制度有漏洞或执行不到位所造成的潜在风险。当前基层信用社建立的计算机安全管理制度有些已不太适应计算机网络形势发展的需要,网络安全运行管理、操作员管理和数据备份存放管理等制度还有待进一步完善。
5、人员素质风险。由于人员的素质达不到,在具体的'业务操作中常常无法有效利用现有资源。因此,人员素质的滞后对计算机网络的安全是一个潜在的风险。
(五)计算机犯罪计算机犯罪主要是指针对计算机及网络的犯罪,其主要特征是以计算机网络知识作为犯罪手段。在金融计算机犯罪中,常见的有两种情况:一是把计算机网络作为诈骗、侵占、盗窃资金的工具;二是把计算机网络本身作为犯罪的目标,如对数据、系统的有意破坏、消除和改变等。
二、计算机网络风险防范对策
认真分析计算机网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故,确保银行资产的完整和客户的资金安全,有针对性的提出计算机网络安全管理和风险防范对策十分必要。围绕金融计算机网络风险的表现形式,应从实体、硬件、软件、管理四个方面采取措施。
(一)实体方面在银行安全经营中,强调最多的是金库的安全、库款押运安全、营业网点安全等方面,而对计算机网络安全的防卫却相对薄弱。网络中心要把计算机及其网络安全纳入防卫视野,要象保卫金库一样保卫网络中心和网络。
严格主机房出入管理,做到同进同出。
(二)硬件方面
1、改善硬件运行环境。
(1)机房建设要按照国家统一颁布的标准进行建设安装,并经消防等部门验收合格后方能投入使用。避免计算机机房靠近各种无线电发射台或电视转播点,以免计算机信号传递出错。
(2)计算机机房、配电室等计算机系统的重要基础设施要严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,并安装电视监控系统。
(3)定期与电力、电信等部f 协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。
应建立对各种计算机网络设备定期检查、维护制度,并做好记录;对突发性的安全事故要有应急措施;对主要服务器和网络设备.要指定专人负责,确保所有设备处于最佳运行状态。
5、加强网络安全防范。
(1) 增加网络安全的投入,特别是有关网络安全的软、硬件配备要到位。