隨著計算機及網(wǎng)絡(luò)技術(shù)在金融系統(tǒng)應(yīng)用的普及和不斷深入��,計算機及網(wǎng)絡(luò)系統(tǒng)在安全方面的脆弱性也逐漸顯露出來�����,給各項金融業(yè)務(wù)帶來了隱患���,形成了現(xiàn)代金融風(fēng)險。特別是城市信用社起步較晚�,教育培訓(xùn)、人員的計算機安全防范意識等各方面的因素都比較落后��,怎樣才能安全有效使用計算機成為信用社現(xiàn)在面臨的重要課題�����。只有從中心機房人員的權(quán)限、各網(wǎng)點人員的控制���、風(fēng)險防范制度建設(shè)和加大風(fēng)險防控檢查力度等幾方面著手����,才能保證城市信用社電子計算機業(yè)務(wù)的規(guī)范化����、制度化、標準化管理�,保障系統(tǒng)安全正常運轉(zhuǎn),準確�、及時、真實的運行���,防止差錯和案件的發(fā)生����。
一��、?? 現(xiàn)代計算機犯罪的特點
金融計算機犯罪現(xiàn)象是伴隨計算機的運用而產(chǎn)生的�,并且隨電子化范圍日益廣泛,計算機犯罪率有上升的趨勢�����。金融��,由于其在國家經(jīng)濟中的特殊地位和作用�����,被人們形象地喻為國家“血脈”�。近年來,受社會環(huán)境的影響��,金融系統(tǒng)的經(jīng)濟犯罪大幅度增加�����。在媒體曝光的案件中�����,涉案金額數(shù)萬�、數(shù)百萬元的案件越來越多,讓人振聾發(fā)聵�。金融計算機犯罪是一種新的社會犯罪現(xiàn)象���,這種新犯罪現(xiàn)象與傳統(tǒng)犯罪相比,有許多嶄新的特點:
(一)智能性越來越高
1���、大多數(shù)計算機犯罪分子具有較高的計算機技術(shù)知識和嫻熟的計算機操作技能�����。他們要么是計算機程序設(shè)計人員���,要么是計算機管理、操作�、維護人員,有使用和接觸電子機具的條件����。
2、作案者多采用高科技手段��,有時也輔以其它多種方法�����。例如有時直接或通過他人向計算機系統(tǒng)輸入非法指令從而貪污�、盜竊、詐騙錢款����,犯罪過程由計算機系統(tǒng)在物理上自動完成;有時借助電話�����、微波�、互聯(lián)網(wǎng)等通訊系統(tǒng)傳輸,以遙控手段進行活動��;有時偽造他人信用卡����、存折等支付工具來冒用。
3�、犯罪分子作案前一般經(jīng)過周密的預(yù)謀和精心準備,選擇適當?shù)姆缸飼r機和地點�。
(二)隱蔽性越來越強
1、犯罪大多通過程序和數(shù)據(jù)這些電子信息的操作來實現(xiàn)�����,其作案直接目的就是這些電子數(shù)據(jù),因為這些數(shù)據(jù)代表著貨幣資金�����。
2����、犯罪后對機器硬件和信息載體不造成損壞或很少損壞,作案后可以不留痕跡�����。
3�、作案時間短,計算機執(zhí)行一條犯罪指令僅在揮手之間����。
4、作案范圍不受時間和空間限制�。在全球聯(lián)網(wǎng)的情況下,更可以在任何時間和任何地點進行作案�����。
5��、現(xiàn)實的計算機犯罪不易識別,不易被發(fā)現(xiàn)和偵破���。
(三)危害性越來越大
在金融電子化的今天�����,計算機在金融領(lǐng)域的應(yīng)用已經(jīng)相當廣泛和深入,金融計算機應(yīng)用系統(tǒng)日益在社會生產(chǎn)和社會生活中發(fā)揮著巨大的作用�����。金融行業(yè)經(jīng)營的是貨幣����,其電子化系統(tǒng)中存儲和處理的大量數(shù)據(jù)和信息,代表著社會生產(chǎn)和社會生活中的錢��、財��、物及各種業(yè)務(wù)往來記錄�,這是人類社會的重要信息資源。金融電子化系統(tǒng)的安全運行將直接影響著社會的穩(wěn)定和經(jīng)濟的正常運轉(zhuǎn)�。一旦不法分子“以計算機為工具或以計算機資產(chǎn)為對象實施犯罪行為”,其后果造成的經(jīng)濟危害和社會危害將是嚴重的��,觸目驚心的。
二�、?? 城市信用社信息安全建設(shè)分析
面對全新的金融犯罪特點,只有通過加強信息安全建設(shè)的手段����,才能有效防止金融案件的發(fā)生。如何做好城市信用社的信息安全建設(shè)�,已經(jīng)成為了日常風(fēng)險防范的重要課題。
(一)從制度上加以約束
1��、健全中心機房相關(guān)的運維安全標準制度�。例如建立中心機房運維檔案;制訂中心機房安全運維標準���;制訂中心機房設(shè)備操作規(guī)程���;定期對中心機房進行風(fēng)險評估工作等手段和制度來完善城市信用社的中心機房安全建設(shè)。
2��、健全人員管理制度�。例如與相關(guān)人員簽訂保密協(xié)議;明確人員分工與責(zé)任�;對人員加強培訓(xùn)和考核力度等。
3�����、健全設(shè)備操作管理制度。例如中心機房重要設(shè)備要雙人進行操作��;加強重要設(shè)備與業(yè)務(wù)用機的口令控制等��。
(二)從技術(shù)上提供幫助
1�、建立健全的數(shù)據(jù)備份體系�。例如建立遠程備份服務(wù)器,將數(shù)據(jù)異地保存避免出現(xiàn)重大自然災(zāi)害造成的數(shù)據(jù)丟失�;使用光盤、大容量硬盤備份數(shù)據(jù)�,避免由于軟盤等易壞介質(zhì)損壞造成數(shù)據(jù)丟失;進行多點備份操作����,避免一份數(shù)據(jù)損壞造成數(shù)據(jù)無法恢復(fù)。
2����、通過技術(shù)手段和替代品限制移動存儲設(shè)備的使用。使用移動存儲設(shè)備是造成泄密事件和病毒傳播的罪魁禍首��,現(xiàn)在很多黑客都是利用移動存儲設(shè)備的自身漏洞對網(wǎng)絡(luò)和計算機進行攻擊的��。能夠有效限制移動存儲設(shè)備的使用將使計算機和網(wǎng)絡(luò)置于一個相對安全的使用環(huán)境中。
3���、為計算機系統(tǒng)安裝防病毒軟件�、定時對系統(tǒng)進行補丁升級�。如果計算機系統(tǒng)中不存在系統(tǒng)漏洞,將使犯罪者無從下手��。
4�����、在資金網(wǎng)和互聯(lián)網(wǎng)間設(shè)置防火墻�����。只有有效的隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)���,才能夠確保內(nèi)部網(wǎng)絡(luò)的安全�����。
(三)通過安全檢查�����、風(fēng)險評估和安全培訓(xùn)等手段提升員工的安全意識��。
只有安全意識提升了�,才能使員工主動去注意網(wǎng)絡(luò)和計算機帶來的風(fēng)險從而避免風(fēng)險的發(fā)生。只有讓員工重視信息安全建設(shè)����,才能夠盡可能的避免金融犯罪的發(fā)生。
三���、加強城市信用社信息安全建設(shè)��,應(yīng)對現(xiàn)代金融風(fēng)險
根據(jù)以上分析,為在金融電子化環(huán)境下確保電子化系統(tǒng)的安全運行��,防范經(jīng)濟案件的發(fā)生��,首先要對城市信用社的信息安全建設(shè)情況進行測度評價����,按計算機犯罪的途徑,找出其內(nèi)部存在的弱點和風(fēng)險漏洞����,確定可能的犯罪手段���,然后有針對性地實施技術(shù)性和管理性的防范措施。
(一) 完善制度建設(shè)����,確保在安全制度上無漏洞。
1����、健全機房運維檔案、制度���,使機房任何操作有制度可循�,同時保證雙人進行操作并且所做操作要記錄在冊����。避免操作上造成的風(fēng)險。
2��、明確職責(zé)分工�,對不相容職責(zé)進行適當?shù)姆止ぁH鐢?shù)據(jù)輸入與審核不能由同一個人擔(dān)任��。
3、完善接觸控制��。如有的計算機系統(tǒng)不能有效地防止未經(jīng)授權(quán)的人接觸和使用計算機��,或進入程序系統(tǒng)的口令大家都公開了��,必須加強管理���,注意保密�����。
4����、可以建立員工輪崗制度�,防止一人在同崗位上長期作案的可能性。
5��、應(yīng)做到人機分管���。人機分管指電腦操作人員不得掌握電腦的開機密碼,由復(fù)核人員保管��,防止一人開機操作����,一人作案可能性��。
6���、使用的口令,幾天就應(yīng)更換�,口令使用最長不超過一個月;二是錄入口令時請周圍人員回避���;三是口令只記在自己腦中���,不書寫在任何地方;四是有同事調(diào)離時�,應(yīng)及時更改口令。
7����、加強人員培訓(xùn),使員工充分認識到信息安全建設(shè)的重要性和必要性��,提高安全意識����。
(二) 加大技術(shù)力量投入���,切實降低風(fēng)險隱患。
1�����、機房應(yīng)安裝門禁系統(tǒng)�,避免非工作相關(guān)人員進入中心機房進行作案。
2�、保證數(shù)據(jù)的真實性、可用性��,做好數(shù)據(jù)的備份工作�����。建設(shè)遠程備份系統(tǒng)����,實現(xiàn)數(shù)據(jù)異地保存,避免重大自然災(zāi)害破壞本地數(shù)據(jù)情況的發(fā)生���。
3、通過光盤刻錄、屏蔽U口等技術(shù)手段實現(xiàn)計算機無移動存儲設(shè)備使用����。從根本上避免使用移動存儲設(shè)備造成的泄密和病毒傳播。
4��、定期對系統(tǒng)進行補丁升級�,避免犯罪者通過系統(tǒng)漏洞侵入計算機系統(tǒng)作案。
5���、為每臺服務(wù)器�、計算機安裝防病毒軟件�。避免犯罪者通過植入木馬等手段進行作案。
6�、將資金網(wǎng)和互聯(lián)網(wǎng)在物理上進行隔離,并安裝防火墻���。避免犯罪者通過網(wǎng)絡(luò)侵入內(nèi)部資金網(wǎng)絡(luò)作案���。
(三) 加強安全檢查力度,保障信用社信息系統(tǒng)安全�����。
1、計算機會計外圍檢查��。對計算機業(yè)務(wù)系統(tǒng)中脫離計算機的原始憑證��、帳簿�、報表、登記簿等會計資料進行檢查�。
2、計算機內(nèi)部數(shù)據(jù)檢查�����。對計算機系統(tǒng)中存放于計算機內(nèi)部的業(yè)務(wù)流水��、分戶帳明細�、總帳簿、報表�����、登記簿等電子化會計資料進行檢查��。
3�����、對比計算機外圍和計算機內(nèi)部數(shù)據(jù)檢查內(nèi)容,避免出現(xiàn)不相符的情況發(fā)生�,減少操作人員內(nèi)部犯罪幾率����。
4、對網(wǎng)絡(luò)漏洞��、計算機漏洞進行安全檢查���。避免出現(xiàn)由于系統(tǒng)漏洞造成的外部風(fēng)險隱患����。
5����、對制度建設(shè)情況進行檢查。避免由于制度漏洞造成的風(fēng)險隱患���。
6�����、對人員分工�、操作規(guī)程進行檢查。避免出現(xiàn)內(nèi)部人員犯罪情況的發(fā)生����。
網(wǎng)絡(luò)信息安全不僅與硬件、網(wǎng)絡(luò)����、系統(tǒng)等技術(shù)方面有關(guān),還與它的管理和使用有著極為密切的關(guān)系����。諸多不安全的漏洞和隱患,恰恰是由于計算機網(wǎng)絡(luò)管理和使用人員沒有嚴格遵守有關(guān)的規(guī)章制度造成的����。因此,要從根本上杜絕計算機網(wǎng)絡(luò)系統(tǒng)安全隱患���,除了從技術(shù)方面入手加強防范外���,同時還必須建立一套與之相適應(yīng)的規(guī)章制度并嚴格執(zhí)行,從而建立起真正意義的完備的銀行網(wǎng)絡(luò)安全體系�����。
