银行计算机网络风险防范与对策研究(2)
作者:佚名; 更新时间:2014-12-05
理四个层面采取措施:
(一)实体方面。
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。各行对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件方面。
1、改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。尤其是总行和省、市分行的计算机中心,一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听、篡改。
(三)软件方面。
1、重视应用软件的开发研制工作。在银行各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。
2、操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(四)信息管理方面。
1、建立计算机风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入行长的工作日程。成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“科技安全,人人有责”的良好氛围。
2、整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录(操作日志)。
3、解决人员素质对计算机及网络风险的影响。对科技人员要及时“充电、加油”提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、法制观念、敬业精神、计算机业务操作水平和安全防范综合能力。在工作实践中,既要重视专业人员的素质,又要重视计算机管理领导人的素质。做到各类人员人数要有合适的比例;各类人员职责分明不扯皮;建立专业人员与领导者良好的协作关系。在具体的工作中,尤其要克服领导者不能借口技术不懂而不承担相应的责任,也不允许技术人员借口领导者不懂具体某种技术而抵制领导的监督管理。
(五)计算机及网络犯罪方面。
防止银行业计算机犯罪已是一个刻不容缓的任务。近几年来,银行业利用计算机及网络技术犯罪呈上升趋势,而我国目前的法律条款尚不能准确全面的对其量罪定刑。在司法实践中,往往以不正当获得资金和情报的性质而定罪,相应的法规已经严重滞后于计算机及网络的发展。在目前信息立法滞后的情况下,银行业防止计算犯罪应重点从以下几方面入手:一是要严格内控制度建设,在管理上不给犯罪分以可乘之机;二是强化技术上的安全措施,在系统计算的安全性、先进性和加密的不易破解性上下功夫;三是从国家技术信息安全的战略高度,促进国家加快相关信息立法,以法律保护计算机及网络使风险降到最小限度。
随着中国入世对银行业带来的的巨大冲击,我国各家银行机构都在不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各家银行机构的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家
(一)实体方面。
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。各行对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件方面。
1、改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。尤其是总行和省、市分行的计算机中心,一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听、篡改。
(三)软件方面。
1、重视应用软件的开发研制工作。在银行各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。
2、操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(四)信息管理方面。
1、建立计算机风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入行长的工作日程。成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“科技安全,人人有责”的良好氛围。
2、整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录(操作日志)。
3、解决人员素质对计算机及网络风险的影响。对科技人员要及时“充电、加油”提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、法制观念、敬业精神、计算机业务操作水平和安全防范综合能力。在工作实践中,既要重视专业人员的素质,又要重视计算机管理领导人的素质。做到各类人员人数要有合适的比例;各类人员职责分明不扯皮;建立专业人员与领导者良好的协作关系。在具体的工作中,尤其要克服领导者不能借口技术不懂而不承担相应的责任,也不允许技术人员借口领导者不懂具体某种技术而抵制领导的监督管理。
(五)计算机及网络犯罪方面。
防止银行业计算机犯罪已是一个刻不容缓的任务。近几年来,银行业利用计算机及网络技术犯罪呈上升趋势,而我国目前的法律条款尚不能准确全面的对其量罪定刑。在司法实践中,往往以不正当获得资金和情报的性质而定罪,相应的法规已经严重滞后于计算机及网络的发展。在目前信息立法滞后的情况下,银行业防止计算犯罪应重点从以下几方面入手:一是要严格内控制度建设,在管理上不给犯罪分以可乘之机;二是强化技术上的安全措施,在系统计算的安全性、先进性和加密的不易破解性上下功夫;三是从国家技术信息安全的战略高度,促进国家加快相关信息立法,以法律保护计算机及网络使风险降到最小限度。
随着中国入世对银行业带来的的巨大冲击,我国各家银行机构都在不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各家银行机构的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家
热门论文