银行计算机网络风险防范与对策研究
作者:佚名; 更新时间:2014-12-05
随着中国入世对银行业带来的的巨大冲击,我国各家银行机构都在不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各家银行机构的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对?行畔⒅行募扑慊?璞甘堤宓陌踩?头缦辗婪毒陀Φ币?鹱愎坏闹厥印S绕涫巧桃狄?谢?慵扑慊??悖?邢嗟币徊糠只?可杓萍蚵??阑ぷ爸么锊坏焦娑ū曜迹?宋??ち思扑慊?堤宸缦铡?br> (二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、硬件在外风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;人为在计算上设置发射装置、通过在高频电波上增大发射功率,把电波传送到外部的无线电接收机上,因电磁波安全风险造成信息泄漏;由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害,就更容易引发风险。
2、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这在基层行表现得尤其突出。基层行因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
(四)信息管理风险。
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
1、体制风险。所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在银行电子化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视金融科技监管。科技人员单兵作战,除了承担业务软件的推广应用,还要负责全行设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
2、制度风险。所谓制度风险,主要是指在银行电子化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐步深入,各家银行机构都在精简机构、精简网点人员,一人多网、一人持有多个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执行的状况。
3、人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。当前我国银行业普遍存在缺乏专业高素质人员,一般银行从业人员尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适应;在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
(五)计算机及网络犯罪。
计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在银行计算机及网络犯罪中,常见的有两种情况:一是把计算机及网络作为诈骗、侵占、盗窃资金工具使用而引起的犯罪;二是把计算机及网络本身作为犯罪的目标,如对数据、系统的有意破、消除和改变等。
二、银行计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,确保银行资产的完整性,有针对性的提出计算机安全管理和风险防范的对策十分必要。围绕银行计算机网络风险表现形式,应从实体、硬件、软件、管
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对?行畔⒅行募扑慊?璞甘堤宓陌踩?头缦辗婪毒陀Φ币?鹱愎坏闹厥印S绕涫巧桃狄?谢?慵扑慊??悖?邢嗟币徊糠只?可杓萍蚵??阑ぷ爸么锊坏焦娑ū曜迹?宋??ち思扑慊?堤宸缦铡?br> (二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、硬件在外风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;人为在计算上设置发射装置、通过在高频电波上增大发射功率,把电波传送到外部的无线电接收机上,因电磁波安全风险造成信息泄漏;由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害,就更容易引发风险。
2、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这在基层行表现得尤其突出。基层行因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
(四)信息管理风险。
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
1、体制风险。所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在银行电子化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视金融科技监管。科技人员单兵作战,除了承担业务软件的推广应用,还要负责全行设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
2、制度风险。所谓制度风险,主要是指在银行电子化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐步深入,各家银行机构都在精简机构、精简网点人员,一人多网、一人持有多个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执行的状况。
3、人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。当前我国银行业普遍存在缺乏专业高素质人员,一般银行从业人员尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适应;在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
(五)计算机及网络犯罪。
计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在银行计算机及网络犯罪中,常见的有两种情况:一是把计算机及网络作为诈骗、侵占、盗窃资金工具使用而引起的犯罪;二是把计算机及网络本身作为犯罪的目标,如对数据、系统的有意破、消除和改变等。
二、银行计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,确保银行资产的完整性,有针对性的提出计算机安全管理和风险防范的对策十分必要。围绕银行计算机网络风险表现形式,应从实体、硬件、软件、管
热门论文