隨著計算機及網(wǎng)絡技術在金融系統(tǒng)應用的普及和不斷深入,計算機及網(wǎng)絡系統(tǒng)在安全方面的脆弱性也逐漸顯露出來,給各項金融業(yè)務帶來了隱患,形成了現(xiàn)代金融風險。特別是城市信用社起步較晚,教育培訓、人員的計算機安全防范意識等各方面的因素都比較落后,怎樣才能安全有效使用計算機成為信用社現(xiàn)在面臨的重要課題。只有從中心機房人員的權限、各網(wǎng)點人員的控制、風險防范制度建設和加大風險防控檢查力度等幾方面著手,才能保證城市信用社電子計算機業(yè)務的規(guī)范化、制度化、標準化管理,保障系統(tǒng)安全正常運轉,準確、及時、真實的運行,防止差錯和案件的發(fā)生。
一、?? 現(xiàn)代計算機犯罪的特點
金融計算機犯罪現(xiàn)象是伴隨計算機的運用而產(chǎn)生的,并且隨電子化范圍日益廣泛,計算機犯罪率有上升的趨勢。金融,由于其在國家經(jīng)濟中的特殊地位和作用,被人們形象地喻為國家“血脈”。近年來,受社會環(huán)境的影響,金融系統(tǒng)的經(jīng)濟犯罪大幅度增加。在媒體曝光的案件中,涉案金額數(shù)萬、數(shù)百萬元的案件越來越多,讓人振聾發(fā)聵。金融計算機犯罪是一種新的社會犯罪現(xiàn)象,這種新犯罪現(xiàn)象與傳統(tǒng)犯罪相比,有許多嶄新的特點:
(一)智能性越來越高
1、大多數(shù)計算機犯罪分子具有較高的計算機技術知識和嫻熟的計算機操作技能。他們要么是計算機程序設計人員,要么是計算機管理、操作、維護人員,有使用和接觸電子機具的條件。
2、作案者多采用高科技手段,有時也輔以其它多種方法。例如有時直接或通過他人向計算機系統(tǒng)輸入非法指令從而貪污、盜竊、詐騙錢款,犯罪過程由計算機系統(tǒng)在物理上自動完成;有時借助電話、微波、互聯(lián)網(wǎng)等通訊系統(tǒng)傳輸,以遙控手段進行活動;有時偽造他人信用卡、存折等支付工具來冒用。
3、犯罪分子作案前一般經(jīng)過周密的預謀和精心準備,選擇適當?shù)姆缸飼r機和地點。
(二)隱蔽性越來越強
1、犯罪大多通過程序和數(shù)據(jù)這些電子信息的操作來實現(xiàn),其作案直接目的就是這些電子數(shù)據(jù),因為這些數(shù)據(jù)代表著貨幣資金。
2、犯罪后對機器硬件和信息載體不造成損壞或很少損壞,作案后可以不留痕跡。
3、作案時間短,計算機執(zhí)行一條犯罪指令僅在揮手之間。
4、作案范圍不受時間和空間限制。在全球聯(lián)網(wǎng)的情況下,更可以在任何時間和任何地點進行作案。
5、現(xiàn)實的計算機犯罪不易識別,不易被發(fā)現(xiàn)和偵破。
(三)危害性越來越大
在金融電子化的今天,計算機在金融領域的應用已經(jīng)相當廣泛和深入,金融計算機應用系統(tǒng)日益在社會生產(chǎn)和社會生活中發(fā)揮著巨大的作用。金融行業(yè)經(jīng)營的是貨幣,其電子化系統(tǒng)中存儲和處理的大量數(shù)據(jù)和信息,代表著社會生產(chǎn)和社會生活中的錢、財、物及各種業(yè)務往來記錄,這是人類社會的重要信息資源。金融電子化系統(tǒng)的安全運行將直接影響著社會的穩(wěn)定和經(jīng)濟的正常運轉。一旦不法分子“以計算機為工具或以計算機資產(chǎn)為對象實施犯罪行為”,其后果造成的經(jīng)濟危害和社會危害將是嚴重的,觸目驚心的。
二、?? 城市信用社信息安全建設分析
面對全新的金融犯罪特點,只有通過加強信息安全建設的手段,才能有效防止金融案件的發(fā)生。如何做好城市信用社的信息安全建設,已經(jīng)成為了日常風險防范的重要課題。
(一)從制度上加以約束
1、健全中心機房相關的運維安全標準制度。例如建立中心機房運維檔案;制訂中心機房安全運維標準;制訂中心機房設備操作規(guī)程;定期對中心機房進行風險評估工作等手段和制度來完善城市信用社的中心機房安全建設。
2、健全人員管理制度。例如與相關人員簽訂保密協(xié)議;明確人員分工與責任;對人員加強培訓和考核力度等。
3、健全設備操作管理制度。例如中心機房重要設備要雙人進行操作;加強重要設備與業(yè)務用機的口令控制等。
(二)從技術上提供幫助
1、建立健全的數(shù)據(jù)備份體系。例如建立遠程備份服務器,將數(shù)據(jù)異地保存避免出現(xiàn)重大自然災害造成的數(shù)據(jù)丟失;使用光盤、大容量硬盤備份數(shù)據(jù),避免由于軟盤等易壞介質損壞造成數(shù)據(jù)丟失;進行多點備份操作,避免一份數(shù)據(jù)損壞造成數(shù)據(jù)無法恢復。
2、通過技術手段和替代品限制移動存儲設備的使用。使用移動存儲設備是造成泄密事件和病毒傳播的罪魁禍首,現(xiàn)在很多黑客都是利用移動存儲設備的自身漏洞對網(wǎng)絡和計算機進行攻擊的。能夠有效限制移動存儲設備的使用將使計算機和網(wǎng)絡置于一個相對安全的使用環(huán)境中。
3、為計算機系統(tǒng)安裝防病毒軟件、定時對系統(tǒng)進行補丁升級。如果計算機系統(tǒng)中不存在系統(tǒng)漏洞,將使犯罪者無從下手。
4、在資金網(wǎng)和互聯(lián)網(wǎng)間設置防火墻。只有有效的隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡,才能夠確保內(nèi)部網(wǎng)絡的安全。
(三)通過安全檢查、風險評估和安全培訓等手段提升員工的安全意識。
只有安全意識提升了,才能使員工主動去注意網(wǎng)絡和計算機帶來的風險從而避免風險的發(fā)生。只有讓員工重視信息安全建設,才能夠盡可能的避免金融犯罪的發(fā)生。
三、加強城市信用社信息安全建設,應對現(xiàn)代金融風險
根據(jù)以上分析,為在金融電子化環(huán)境下確保電子化系統(tǒng)的安全運行,防范經(jīng)濟案件的發(fā)生,首先要對城市信用社的信息安全建設情況進行測度評價,按計算機犯罪的途徑,找出其內(nèi)部存在的弱點和風險漏洞,確定可能的犯罪手段,然后有針對性地實施技術性和管理性的防范措施。
(一) 完善制度建設,確保在安全制度上無漏洞。
1、健全機房運維檔案、制度,使機房任何操作有制度可循,同時保證雙人進行操作并且所做操作要記錄在冊。避免操作上造成的風險。
2、明確職責分工,對不相容職責進行適當?shù)姆止?。如?shù)據(jù)輸入與審核不能由同一個人擔任。
3、完善接觸控制。如有的計算機系統(tǒng)不能有效地防止未經(jīng)授權的人接觸和使用計算機,或進入程序系統(tǒng)的口令大家都公開了,必須加強管理,注意保密。
4、可以建立員工輪崗制度,防止一人在同崗位上長期作案的可能性。
5、應做到人機分管。人機分管指電腦操作人員不得掌握電腦的開機密碼,由復核人員保管,防止一人開機操作,一人作案可能性。
6、使用的口令,幾天就應更換,口令使用最長不超過一個月;二是錄入口令時請周圍人員回避;三是口令只記在自己腦中,不書寫在任何地方;四是有同事調(diào)離時,應及時更改口令。
7、加強人員培訓,使員工充分認識到信息安全建設的重要性和必要性,提高安全意識。
(二) 加大技術力量投入,切實降低風險隱患。
1、機房應安裝門禁系統(tǒng),避免非工作相關人員進入中心機房進行作案。
2、保證數(shù)據(jù)的真實性、可用性,做好數(shù)據(jù)的備份工作。建設遠程備份系統(tǒng),實現(xiàn)數(shù)據(jù)異地保存,避免重大自然災害破壞本地數(shù)據(jù)情況的發(fā)生。
3、通過光盤刻錄、屏蔽U口等技術手段實現(xiàn)計算機無移動存儲設備使用。從根本上避免使用移動存儲設備造成的泄密和病毒傳播。
4、定期對系統(tǒng)進行補丁升級,避免犯罪者通過系統(tǒng)漏洞侵入計算機系統(tǒng)作案。
5、為每臺服務器、計算機安裝防病毒軟件。避免犯罪者通過植入木馬等手段進行作案。
6、將資金網(wǎng)和互聯(lián)網(wǎng)在物理上進行隔離,并安裝防火墻。避免犯罪者通過網(wǎng)絡侵入內(nèi)部資金網(wǎng)絡作案。
(三) 加強安全檢查力度,保障信用社信息系統(tǒng)安全。
1、計算機會計外圍檢查。對計算機業(yè)務系統(tǒng)中脫離計算機的原始憑證、帳簿、報表、登記簿等會計資料進行檢查。
2、計算機內(nèi)部數(shù)據(jù)檢查。對計算機系統(tǒng)中存放于計算機內(nèi)部的業(yè)務流水、分戶帳明細、總帳簿、報表、登記簿等電子化會計資料進行檢查。
3、對比計算機外圍和計算機內(nèi)部數(shù)據(jù)檢查內(nèi)容,避免出現(xiàn)不相符的情況發(fā)生,減少操作人員內(nèi)部犯罪幾率。
4、對網(wǎng)絡漏洞、計算機漏洞進行安全檢查。避免出現(xiàn)由于系統(tǒng)漏洞造成的外部風險隱患。
5、對制度建設情況進行檢查。避免由于制度漏洞造成的風險隱患。
6、對人員分工、操作規(guī)程進行檢查。避免出現(xiàn)內(nèi)部人員犯罪情況的發(fā)生。
網(wǎng)絡信息安全不僅與硬件、網(wǎng)絡、系統(tǒng)等技術方面有關,還與它的管理和使用有著極為密切的關系。諸多不安全的漏洞和隱患,恰恰是由于計算機網(wǎng)絡管理和使用人員沒有嚴格遵守有關的規(guī)章制度造成的。因此,要從根本上杜絕計算機網(wǎng)絡系統(tǒng)安全隱患,除了從技術方面入手加強防范外,同時還必須建立一套與之相適應的規(guī)章制度并嚴格執(zhí)行,從而建立起真正意義的完備的銀行網(wǎng)絡安全體系。