网络安全风险防范范文精选
网络安全风险防范范文第1篇
计算机网络安全主要包括“网络安全”与“信息安全”两方面内容。“网络安全”与“信息安全”,即避免网络内硬件、软件及信息资源被非法使用。网络安全防范重点不再局限于硬件安全,而是涉及物理、链路、网络、系统及应用安全等多方面。网络物理安全,以整个网络系统安全为基础;链路传输安全,重点在于保证网络传输数据的真实性、机密性;网络结构安全,主要体现为内部、外部网络互联时面临的安全威胁;系统安全,即网络操作与应用系统安全;管理安全,即通过制定和执行安全管理制度,来防范安全风险。
2计算机网络主要的风险来源
2.1网络系统存在缺陷
网络系统最大的安全隐患,主要由网络结构设备及网络系统缺陷引起。一般,网络结构多为集线型及星型等混合型,各结构节点处用到了交换机、集线器等不同的网络设施。受自身技术限制,各网络设备通常会给计算机网络系统造成程度不一的安全风险。另外,网络技术相对较为开放,且可实现资源共享,这就使网络安全性成为其最大的攻击弱点,加上计算机TCP/IP协议的不安全因素,导致网络系统面临数据截取及拒绝服务等安全风险。
2.2计算机病毒
计算机病毒,是执行性较强的程序代码,它有着明显的可传染性、潜伏性及破坏性等特点。病毒能够储存、隐藏在计算机各类可执行程序及相关数据文件中,很难被察觉。出发后便能取得控制系统的基本权限。计算机病毒大多通过自动复制、传送文件以及自动运行程序等方式实现传播与触发。计算机一旦触发病毒,很可能影响整个系统的运行效率,严重时还将破坏甚至删除系统文件,篡改并丢失数据,给系统带来无法弥补的损失。
2.3黑客攻击
黑客,主要指通过特殊途径进入他人服务器,伺机非法操控、破坏他人网络或窃取相关资料的人员。网络信息系统存在某种缺陷,黑客往往会利用该缺陷来进入和攻击系统。网络攻击手段有多种,大体表现为程序中植入木马、网站控制权以及口令攻击等等,特洛伊木马程序技术,在黑客攻击中最为常见。它在普通运行程序中植入操作代码,并根据用户的网络系统来打开该程序,试图控制他人电脑。
3计算机网络安全防范策略
3.1及时安装漏洞补丁程序
现阶段,很多黑客与病毒利用软件漏洞来入侵网络用户,如震荡波病毒,运用Windows内LSASS存在的缓冲区漏洞来攻击网络用户,攻击波病毒通过RPC漏洞进行攻击等。所以,为更好地处理漏洞程序引发的安全问题,我们就必须及时安装COPS、tiger漏洞补丁程序或扫描软件,并安装360安全卫士及瑞星等系统防护软件,全面扫描漏洞并加以补丁。此外,应安装过滤型、监测型等防火墙,用以保护内部网络互联设备,并监控监视网络运行,避免外部网络用户非法入侵和破坏网络系统。
3.2合理运用各种常用技术
3.2.1文件加密技术
文件加密技术,即避免关键信息及相关数据被恶意窃取或破坏,提升信息系统及其数据保密性的防范手段。根据不同的用途,我们可将文件加密技术划分为数据传输加密、数据存储加密以及数据完整性鉴别三大类技术。(1)数据传输加密。通常用于加密传输中数据流,如有线路与端-端加密等。(2)数据存储加密。该技术可分为密文存储加密与存取控制加密两类,均可减少存储过程中的数据失密。(3)数据完整性鉴别。涉及口令、身份及密钥等诸多方面,通过验证数据内容、介入信息传送及存取等,可保证数据的可靠性。
3.2.2入侵检测技术
入侵检测技术,将统计技术、网络通信技术及密码学等结合起来,可达到全面监控网络与计算机系统之目标。作为主动性较强的防范技术,它可采集系统内及各网络资源中的相关信息,并从中发现网络侵入及攻击行为,用以判断网络或计算机系统是否被滥用。一旦觉察到系统被恶意入侵,可提醒用户采取相应的措施,以防范网络风险。例如,记录或自动报警,请求防火墙切断网络连接;或是判断系统操作动作是否处于正常轨道等。
3.3认真执行安全管理制度
设计安全管理体制,这是保证计算机网络安全的前提;与此同时,我们还必须认真培养安全管理意识强的网管队伍,通过对用户设置相应的资源使用权限及口令,来对用户名与口令实行加密存储或传输,并运用用户使用记录与分析等方式来维护系统安全。此外,应逐步强化计算机信息网络安全的管理力度,重视安全技术建设,提升使用及管理人员的防范意识,在保证计算机网络使用安全的基础上,为广大用户谋利益。
4结论现
网络安全风险防范范文第2篇
前言:随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产-------企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如,自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响医院计算机网络安全的因素、存在的安全隐患及其应对策略三个方面进行了做了论述。
一、医院网络安全存在的风险及其原因
1.自然因素:
1.1病毒攻击
因为医院网络同样也是连接在互联网上的一个网络,所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工“并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。我们清醒地知道,完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复时延是完全可能的。但是由于一些工作人员的疏忽,使得医院网络被病毒攻击的频率越来越高,所以病毒的攻击应该引起我们的关注。
1.2软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
1.2.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
1.2.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
1.2.3、口令攻击。例如,Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
2、人为因素:
2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2恶意攻击
这是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
二、构建安全的网络体系结构
1.设计网络安全体系的原则
1.1、体系的安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。
1.2、系统的高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
1.3、体系的可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
1.4、体系的可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由企业来支持,要为此付出一定的代价和开销如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。所以,在设计网络安全体系时,必须考虑企业的业务特点和实际承受能力,没有必要按电信级、银行级标准来设计这四个原则,可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。
2、网络安全体系的建立
网络安全体系的定义:网络安全管理体系是一个在网络系统内结合安全技术与安全管理,以实现系统多层次安全保证的应用体系。网络系统完整的安全体系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下几个方面:
(1)防止非法用户破坏系统设备,干扰系统的正常运行。
(2)防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。
(3)为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如:中心机房配置温控、除尘设备等。
网络安全性主要包括以下几个方面:
(1)限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。
(2)确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。
(3)网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减
少信号衰减。
(4)防止那些为网络通讯提供频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。
应用安全性主要是指利用通讯基础设施、应用系统和先进的应用安全控制技术,对应用系统中的数据进行安全保护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。
另外,对存放重要数据的计算机(服务器、用户机)应使用安全等级较高的操作系统,利用操作系统的安全特性。
三、网络安全的技术实现
1、防火墙技术
在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、型等,应根据不同的需要安装不同的防火墙。
2、划分并隔离不同安全域
根据不同的安全需求、威胁,划分不同的安全域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行进一步安全隔离。
划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
3、防范病毒和外部入侵
防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描,进行安全性检查,找到漏洞并及时修补,以防黑客攻击。
医院网管可以在CISCO路由设备中,利用CISCOIOS操作系统的安全保护,设置用户口令及ENABLE口令,解决网络层的安全问题,可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全,:对各服务器操作系统和数据库设立访问权限,同时利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制远程登录主机,以防非法用户使用TELNET、FTP等远程登录工具,进行非法入侵。
4、备份和恢复技术
备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,防止灾难性事故的发生。
5、加密和认证技术
加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护、可视化数字签名等方面。
6、实时监测
采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。
7、PKI技术
公开密钥基础设施(PKI)是通过使用公开密钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密性服务(加密),完整性服务,安全通信,安全时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。
网络安全风险防范范文第3篇
1.1防范体系
该模式包括了风险防范措施与防范策略的选择,以及风险防范的实施,在进行风险防范过程中又包含了以下内容:第一,优先排序风险防范行动;第二,评价建议安全控制的类别与成本收益的分析;第三,风险防范控制措施的选择与责任的分配;第四,安全措施计划的制定;第五,分析残余风险。3.2防范措施计算机网络风险防范为一种系统的方式,在风险管理过程中,管理人员可通过以下措施来实现风险的防范。第一,风险的假设。在管理过程中,接受潜在风险,同时持续进行IT系统的运行,通过安全控制措施来将风险降到可接受范围内。第二,风险的规避。经过风险原因或者后果的消除,即在识别出风险的时候,将系统的某项功能放弃或者关闭,以此来规避风险。第三,风险的限制。利用某项安全控制措施来限制风险,通过这些安全控制系统可把因系统弱点被破坏带来的各种不利影响降到最低或者最小化。第四,风险计划。通过风险防范计划的制定,有计划且有目的的来进行风险的管理。在该计划中,主要是对安全控制实施优先级排序、维护以及实现等。第五,风险的转移。基于对系统自身缺陷的了解,采用相关措施来进行损失的补偿,将风险进行转移。
1.3网络风险的防范——防火墙
当计算机连接至网络后,为了防止其受到非法入侵危害,其中最为有效的一种防护方式就是在其外部网络与局域网间进行防火墙的架设,以此将外部网和局域网分割开来,这样外部网就不可直接进行局域网地址的查找,同时也就不能和局域网之间进行数据的交流,只有经过防火墙过滤以后,局域网中内部的信息才会传递至外部网,且二者间的数据交流只有经过防火墙过滤后才可执行,从而提高内部网络安全性。进行防火墙架设的目的就是为了有效控制网络间访问,避免外部一些非法用户随意获取或者使用内部资源,保护内部网中的设备。所有外部网信息在进入到内部网络前均要事先通过防火墙,由防火墙系统来明确哪些信息可以进行访问,哪些不可进行访问,通过对这些信息的检查,明确只有授权后的数据才可进入到内部网中。
1.4计算机网络风险防范模式的执行
第一,优先级排序风险行动,并安全控制其评价建议。在风险评估的报告中,基于其所提出的相关风险级别,优先级排序行动。应优先排序被标为非常高或者较高等级的风险项目,并采取相应的纠正行动来确保其利益。在风险的评估过程中,在安全控制评价建议时,应对所采用的这些安全控制措施自身的可行性以及有效性进行分析,选择最为合适且科学的措施来降低风险。第二,分析成本和效益,并选择相应的安全控制。在这一过程中,进行成本和效益的分析主要是为了给管理层的决策提供相应的依据,从中选择最好且合理的安全控制措施。在选用安全控制时,应结合管理方面、技术方面以及操作方面的相关因素,要确保其所选用的安全控制不仅满足机构的需求,同时还可保证其IT系统的安全。第三,分配责任和安全措施计划的制定。在完成上述步骤后,选择具备相应技能与专长的控制人员,同时进行责任的分配。接着再进行安全措施计划的制定,在该计划中主要包括以下内容:风险与风险级别、建议的相关安全控制、行动的排序、在安全控制中所需的资源、人员的划分和责任的分配、实施日期与完成日期以及维护要求等。除此之外,还有一个步骤就是残余风险的分析与防范。
2结束语
网络安全风险防范范文第4篇
随着互联网信息化技术的快速发展,在给予给生活与生产便利的同时,也产生了一些有关安全的问题。本文首先阐述了网络安全中存在的问题,其次,在计算机信息管理技术在网络安全中的应用方法上加以阐述,具有一定的参考与讨论价值。
关键词:
计算机信息管理技术;网络安全;应用
1网络安全中存在的问题
1.1黑客病毒
黑客指的是网络中的一类病毒,其专门利用电脑网络与系统安全漏洞对用户的网络加以攻击和破坏,同时窃取用户重要及私密的资料。计算机病毒在本质上来说是一种程序,它像生物上的病毒一样,迅速蔓延到计算机,可是,却很难消除。它们往往将用户的文件复制到其他用户的计算机上,直至开始蔓延。现今,我国很多网络用户都反映自己的计算机曾经或正在遭到黑客的侵入,对他们的网络安全造成了严重的危害。
1.2系统漏洞
系统漏洞指的是在操作网络系统与应用程序时出现了漏洞,而此漏洞主要是因黑客病毒所造成的,黑客病毒利用系统中出现的漏洞,开始对用户的网络系统加以破坏,达到对用户网络安全产生威胁的目的。
1.3用户信息访问被控制
信息访问限制是计算机信息管理中的重要组成部分之一。信息访问控制指的是采用对网络信息服务加以控制,进而达到对网络用户资料与应用的控制。信息访问控制可以控制用户的计算机及用户的相关资料,这使得用户的资料遭到泄露,对用户的安全了严重的影响。
2计算机信息管理技术在网络安全中的应用方法
2.1增强网络安全防范意识
在日常生活中,计算机信息管理技术在网络安全中应用效果的状态,和网络安全意识防范存在着非常紧密的联系。同样,在网络安全风险防范方面,通过不断地提高相关人员的意识,能够保证网络具备所需的安全性,从而在本质上,规避了不良信息及不良因素对网络安全造成的信息给予问题。而计算机网络安全防范意识的提高,需要相关人员意识到计算机信息管理技术在网络安全中应有的重要意义。计算机信息管理技术在网络安全中的应用对个人、组织和社会皆存在着紧密的联系,能够在本质上出发,促使信息社会的良好发展,相关人员因为具备强大的网络安全防范意识,所以能在使用中意识到相应的安全问题,从而在使用的过程中注重计算机信息管理技术在网络安全保障作用中的发挥。并且,自身能够在网络安全方面的实际情况着手,落实好安全风险的防范方法和安全风险防范的计划,在防范意识不断提高的前提下,使得计算机信息管理在网络安全应用中的管理技术能够进行不断地优化,最终,使得计算机信息管理技术在网络安全中的应用价值得以实现。
2.2采取信息技术保证网络安全
计算机信息管理技术在网络安全中的应用也需要信息技术的大力支持。仅有通过计算机信息管理技术的不断优化,才能够真正的实现技术方面的控制,采用优质的技术控制环节进而建立健全计算机信息管理体系。在信息技术环节中,涉猎到保证网络安全的各类因素时,应该在应用的过程中,需要进行计算机信息管理,并加以不断地加强在研发等方面的工作力度,最终,提高信息技术水平,为网络安全风险出现问题的实时、有效的处理和解决提供了重要的信息技术,成为其最为基础的支撑。信息技术控制作为保证网络安全的重要环节,需要不断的提高人员素质水平,并为其提供必要性的保证。在提高技术从业人员整体素质的方面来说,需要强化对计算机信息管理技术方面的专业人员的积极培训,站在信息技术发展的实际角度出发,在处理网络安全方面,应该继续加强与提高技术人员处理问题的能力。同样,由研发工作水平的提高,进而来强化技术人员在应对突发事件方面的解决能力和处理能力。因此,在信息技术的应用方面,要以各自有分工和各自负责作为基础点,把技术的应用水不断提升,从而充分地满足日益发展的网络安全的需求。
2.3健全网络信息安全管理体系
网络信息安全管理体系的建立健全和网络安全的实现存在着重要的联系。唯有拥有较佳的网络信息安全管理体系,才能够保证计算机信息管理可以做到全面性、完整性的计划,从而在实施过程中恰到好处。网络安全计划的制定和执行与网络安全的实现拥有着紧密的关联。网络安全计划的实施需要科学且合理的模式来加以执行和维护。此模式的基础上,需要在对已经存在的网络安全控制措施和策略加以分析,确定出其必须做的安全控制,从而确立出整体完整的安全构架,并以此为基础,进而建立起一个管理模式。就现有的情况分析,与网络信息安全管理体系密切关联的相关模式,早已得到了广泛的、充分的应用及认可,尤其是政府及企业方面。这些模式就本质上来说,更能体现的是较为混合型的管理模式,基于借鉴及查阅大量相关资料的基础上,并且对相关的安全控制做出了具像描述基础上面所应该得出的结果。
3结语
我国的信息网络安全技术与研究正处于初级阶段,这就需要我们国家政策与法规的支持和集团联合到一起,因此,建立并完善计算机信息技术网络安全管理制度,强化网络安全人员的培训,使得计算机信息管理在网络安全应用中的管理技术能够更加地健全,进而积极的推动社会信息化的建设步伐。
参考文献:
[1]陈均海.计算机信息管理技术在网络安全中的应用[J].信息与电脑,2013(03).
[2]马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].数字技术与应用,2013(03).
网络安全风险防范范文第5篇
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对行畔⒅行募扑慊璞甘堤宓陌踩头缦辗婪毒陀Φ币鹱愎坏闹厥印S绕涫巧桃狄谢慵扑慊悖邢嗟币徊糠只可杓萍蚵阑ぷ爸么锊坏焦娑ū曜迹宋ち思扑慊堤宸缦铡?br>(二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、硬件在外风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;人为在计算上设置发射装置、通过在高频电波上增大发射功率,把电波传送到外部的无线电接收机上,因电磁波安全风险造成信息泄漏;由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害,就更容易引发风险。
2、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这在基层行表现得尤其突出。基层行因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
(四)信息管理风险。
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
1、体制风险。所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在银行电子化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视金融科技监管。科技人员单兵作战,除了承担业务软件的推广应用,还要负责全行设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
2、制度风险。所谓制度风险,主要是指在银行电子化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐步深入,各家银行机构都在精简机构、精简网点人员,一人多网、一人持有多个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执行的状况。
3、人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。当前我国银行业普遍存在缺乏专业高素质人员,一般银行从业人员尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适应;在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
(五)计算机及网络犯罪。
计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在银行计算机及网络犯罪中,常见的有两种情况:一是把计算机及网络作为诈骗、侵占、盗窃资金工具使用而引起的犯罪;二是把计算机及网络本身作为犯罪的目标,如对数据、系统的有意破、消除和改变等。
二、银行计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,确保银行资产的完整性,有针对性的提出计算机安全管理和风险防范的对策十分必要。围绕银行计算机网络风险表现形式,应从实体、硬件、软件、管理四个层面采取措施:
(一)实体方面。
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。各行对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件方面。
1、改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。尤其是总行和省、市分行的计算机中心,一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听、篡改。
(三)软件方面。
1、重视应用软件的开发研制工作。在银行各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。
2、操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(四)信息管理方面。
1、建立计算机风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入行长的工作日程。成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“科技安全,人人有责”的良好氛围。
2、整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录(操作日志)。
3、解决人员素质对计算机及网络风险的影响。对科技人员要及时“充电、加油”提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、法制观念、敬业精神、计算机业务操作水平和安全防范综合能力。在工作实践中,既要重视专业人员的素质,又要重视计算机管理领导人的素质。做到各类人员人数要有合适的比例;各类人员职责分明不扯皮;建立专业人员与领导者良好的协作关系。在具体的工作中,尤其要克服领导者不能借口技术不懂而不承担相应的责任,也不允许技术人员借口领导者不懂具体某种技术而抵制领导的监督管理。
(五)计算机及网络犯罪方面。
防止银行业计算机犯罪已是一个刻不容缓的任务。近几年来,银行业利用计算机及网络技术犯罪呈上升趋势,而我国目前的法律条款尚不能准确全面的对其量罪定刑。在司法实践中,往往以不正当获得资金和情报的性质而定罪,相应的法规已经严重滞后于计算机及网络的发展。在目前信息立法滞后的情况下,银行业防止计算犯罪应重点从以下几方面入手:一是要严格内控制度建设,在管理上不给犯罪分以可乘之机;二是强化技术上的安全措施,在系统计算的安全性、先进性和加密的不易破解性上下功夫;三是从国家技术信息安全的战略高度,促进国家加快相关信息立法,以法律保护计算机及网络使风险降到最小限度。
随着中国入世对银行业带来的的巨大冲击,我国各家银行机构都在不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各家银行机构的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对银行信息中心计算机设备实体的安全和风险防范就应当引起足够的重视。尤其是商业银行基层计算机网点,有相当一部分机房设计简陋,防护装置达不到规定标准,人为助长了计算机实体风险。
(二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、硬件在外风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;人为在计算上设置发射装置、通过在高频电波上增大发射功率,把电波传送到外部的无线电接收机上,因电磁波安全风险造成信息泄漏;由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害,就更容易引发风险。
2、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这在基层行表现得尤其突出。基层行因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
(四)信息管理风险。
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
1、体制风险。所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在银行电子化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视金融科技监管。科技人员单兵作战,除了承担业务软件的推广应用,还要负责全行设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
2、制度风险。所谓制度风险,主要是指在银行电子化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐步深入,各家银行机构都在精简机构、精简网点人员,一人多网、一人持有多个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执行的状况。
3、人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。当前我国银行业普遍存在缺乏专业高素质人员,一般银行从业人员尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适应;在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
(五)计算机及网络犯罪。
计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在银行计算机及网络犯罪中,常见的有两种情况:一是把计算机及网络作为诈骗、侵占、盗窃资金工具使用而引起的犯罪;二是把计算机及网络本身作为犯罪的目标,如对数据、系统的有意破、消除和改变等。
二、银行计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,确保银行资产的完整性,有针对性的提出计算机安全管理和风险防范的对策十分必要。围绕银行计算机网络风险表现形式,应从实体、硬件、软件、管理四个层面采取措施:
(一)实体方面。
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。各行对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件方面。
1、改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。尤其是总行和省、市分行的计算机中心,一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听、篡改。
(三)软件方面。
1、重视应用软件的开发研制工作。在银行各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。
2、操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(四)信息管理方面。
1、建立计算机风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入行长的工作日程。成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“科技安全,人人有责”的良好氛围。
2、整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录(操作日志)。
3、解决人员素质对计算机及网络风险的影响。对科技人员要及时“充电、加油”提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、法制观念、敬业精神、计算机业务操作水平和安全防范综合能力。在工作实践中,既要重视专业人员的素质,又要重视计算机管理领导人的素质。做到各类人员人数要有合适的比例;各类人员职责分明不扯皮;建立专业人员与领导者良好的协作关系。在具体的工作中,尤其要克服领导者不能借口技术不懂而不承担相应的责任,也不允许技术人员借口领导者不懂具体某种技术而抵制领导的监督管理。
(五)计算机及网络犯罪方面。
防止银行业计算机犯罪已是一个刻不容缓的任务。近几年来,银行业利用计算机及网络技术犯罪呈上升趋势,而我国目前的法律条款尚不能准确全面的对其量罪定刑。在司法实践中,往往以不正当获得资金和情报的性质而定罪,相应的法规已经严重滞后于计算机及网络的发展。在目前信息立法滞后的情况下,银行业防止计算犯罪应重点从以下几方面入手:一是要严格内控制度建设,在管理上不给犯罪分以可乘之机;二是强化技术上的安全措施,在系统计算的安全性、先进性和加密的不易破解性上下功夫;三是从国家技术信息安全的战略高度,促进国家加快相关信息立法,以法律保护计算机及网络使风险降到最小限度。
随着中国入世对银行业带来的的巨大冲击,我国各家银行机构都在不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各家银行机构的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对银行信息中心计算机设备实体的安全和风险防范就应当引起足够的重视。尤其是商业银行基层计算机网点,有相当一部分机房设计简陋,防护装置达不到规定标准,人为助长了计算机实体风险。
(二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、硬件在外风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;人为在计算上设置发射装置、通过在高频电波上增大发射功率,把电波传送到外部的无线电接收机上,因电磁波安全风险造成信息泄漏;由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害,就更容易引发风险。
2、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这在基层行表现得尤其突出。基层行因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
(四)信息管理风险。
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
1、体制风险。所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在银行电子化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视金融科技监管。科技人员单兵作战,除了承担业务软件的推广应用,还要负责全行设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
2、制度风险。所谓制度风险,主要是指在银行电子化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐步深入,各家银行机构都在精简机构、精简网点人员,一人多网、一人持有多个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执行的状况。
3、人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。当前我国银行业普遍存在缺乏专业高素质人员,一般银行从业人员尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适应;在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
(五)计算机及网络犯罪。
计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在银行计算机及网络犯罪中,常见的有两种情况:一是把计算机及网络作为诈骗、侵占、盗窃资金工具使用而引起的犯罪;二是把计算机及网络本身作为犯罪的目标,如对数据、系统的有意破、消除和改变等。
二、银行计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,确保银行资产的完整性,有针对性的提出计算机安全管理和风险防范的对策十分必要。围绕银行计算机网络风险表现形式,应从实体、硬件、软件、管理四个层面采取措施:
(一)实体方面。
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。各行对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件方面。
1、改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。尤其是总行和省、市分行的计算机中心,一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听、篡改。
(三)软件方面。
1、重视应用软件的开发研制工作。在银行各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。
2、操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(四)信息管理方面。
1、建立计算机风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入行长的工作日程。成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“科技安全,人人有责”的良好氛围。
2、整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录(操作日志)。
3、解决人员素质对计算机及网络风险的影响。对科技人员要及时“充电、加油”提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、法制观念、敬业精神、计算机业务操作水平和安全防范综合能力。在工作实践中,既要重视专业人员的素质,又要重视计算机管理领导人的素质。做到各类人员人数要有合适的比例;各类人员职责分明不扯皮;建立专业人员与领导者良好的协作关系。在具体的工作中,尤其要克服领导者不能借口技术不懂而不承担相应的责任,也不允许技术人员借口领导者不懂具体某种技术而抵制领导的监督管理。
