随着计算机及网络技术在金融系统应用的普及和不断深入,计算机及网络系统在安全方面的脆弱性也逐渐显露出来,给各项金融业务带来了隐患,形成了现代金融风险。特别是城市信用社起步较晚,教育培训、人员的计算机安全防范意识等各方面的因素都比较落后,怎样才能安全有效使用计算机成为信用社现在面临的重要课题。只有从中心机房人员的权限、各网点人员的控制、风险防范制度建设和加大风险防控检查力度等几方面着手,才能保证城市信用社电子计算机业务的规范化、制度化、标准化管理,保障系统安全正常运转,准确、及时、真实的运行,防止差错和案件的发生。
一、 现代计算机犯罪的特点
金融计算机犯罪现象是伴随计算机的运用而产生的,并且随电子化范围日益广泛,计算机犯罪率有上升的趋势。金融,由于其在国家经济中的特殊地位和作用,被人们形象地喻为国家“血脉”。近年来,受社会环境的影响,金融系统的经济犯罪大幅度增加。在媒体曝光的案件中,涉案金额数万、数百万元的案件越来越多,让人振聋发聩。金融计算机犯罪是一种新的社会犯罪现象,这种新犯罪现象与传统犯罪相比,有许多崭新的特点:
(一)智能性越来越高
1、大多数计算机犯罪分子具有较高的计算机技术知识和娴熟的计算机操作技能。他们要么是计算机程序设计人员,要么是计算机管理、操作、维护人员,有使用和接触电子机具的条件。
2、作案者多采用高科技手段,有时也辅以其它多种方法。例如有时直接或通过他人向计算机系统输入非法指令从而贪污、盗窃、诈骗钱款,犯罪过程由计算机系统在物理上自动完成;有时借助电话、微波、互联网等通讯系统传输,以遥控手段进行活动;有时伪造他人信用卡、存折等支付工具来冒用。
3、犯罪分子作案前一般经过周密的预谋和精心准备,选择适当的犯罪时机和地点。
(二)隐蔽性越来越强
1、犯罪大多通过程序和数据这些电子信息的操作来实现,其作案直接目的就是这些电子数据,因为这些数据代表着货币资金。
2、犯罪后对机器硬件和信息载体不造成损坏或很少损坏,作案后可以不留痕迹。
3、作案时间短,计算机执行一条犯罪指令仅在挥手之间。
4、作案范围不受时间和空间限制。在全球联网的情况下,更可以在任何时间和任何地点进行作案。
5、现实的计算机犯罪不易识别,不易被发现和侦破。
(三)危害性越来越大
在金融电子化的今天,计算机在金融领域的应用已经相当广泛和深入,金融计算机应用系统日益在社会生产和社会生活中发挥着巨大的作用。金融行业经营的是货币,其电子化系统中存储和处理的大量数据和信息,代表着社会生产和社会生活中的钱、财、物及各种业务往来记录,这是人类社会的重要信息资源。金融电子化系统的安全运行将直接影响着社会的稳定和经济的正常运转。一旦不法分子“以计算机为工具或以计算机资产为对象实施犯罪行为”,其后果造成的经济危害和社会危害将是严重的,触目惊心的。
二、 城市信用社信息安全建设分析
面对全新的金融犯罪特点,只有通过加强信息安全建设的手段,才能有效防止金融案件的发生。如何做好城市信用社的信息安全建设,已经成为了日常风险防范的重要课题。
(一)从制度上加以约束
1、健全中心机房相关的运维安全标准制度。例如建立中心机房运维档案;制订中心机房安全运维标准;制订中心机房设备操作规程;定期对中心机房进行风险评估工作等手段和制度来完善城市信用社的中心机房安全建设。
2、健全人员管理制度。例如与相关人员签订保密协议;明确人员分工与责任;对人员加强培训和考核力度等。
3、健全设备操作管理制度。例如中心机房重要设备要双人进行操作;加强重要设备与业务用机的口令控制等。
(二)从技术上提供帮助
1、建立健全的数据备份体系。例如建立远程备份服务器,将数据异地保存避免出现重大自然灾害造成的数据丢失;使用光盘、大容量硬盘备份数据,避免由于软盘等易坏介质损坏造成数据丢失;进行多点备份操作,避免一份数据损坏造成数据无法恢复。
2、通过技术手段和替代品限制移动存储设备的使用。使用移动存储设备是造成泄密事件和病毒传播的罪魁祸首,现在很多黑客都是利用移动存储设备的自身漏洞对网络和计算机进行攻击的。能够有效限制移动存储设备的使用将使计算机和网络置于一个相对安全的使用环境中。
3、为计算机系统安装防病毒软件、定时对系统进行补丁升级。如果计算机系统中不存在系统漏洞,将使犯罪者无从下手。
4、在资金网和互联网间设置防火墙。只有有效的隔离内部网络和外部网络,才能够确保内部网络的安全。
(三)通过安全检查、风险评估和安全培训等手段提升员工的安全意识。
只有安全意识提升了,才能使员工主动去注意网络和计算机带来的风险从而避免风险的发生。只有让员工重视信息安全建设,才能够尽可能的避免金融犯罪的发生。
三、加强城市信用社信息安全建设,应对现代金融风险
根据以上分析,为在金融电子化环境下确保电子化系统的安全运行,防范经济案件的发生,首先要对城市信用社的信息安全建设情况进行测度评价,按计算机犯罪的途径,找出其内部存在的弱点和风险漏洞,确定可能的犯罪手段,然后有针对性地实施技术性和管理性的防范措施。
(一) 完善制度建设,确保在安全制度上无漏洞。
1、健全机房运维档案、制度,使机房任何操作有制度可循,同时保证双人进行操作并且所做操作要记录在册。避免操作上造成的风险。
2、明确职责分工,对不相容职责进行适当的分工。如数据输入与审核不能由同一个人担任。
3、完善接触控制。如有的计算机系统不能有效地防止未经授权的人接触和使用计算机,或进入程序系统的口令大家都公开了,必须加强管理,注意保密。
4、可以建立员工轮岗制度,防止一人在同岗位上长期作案的可能性。
5、应做到人机分管。人机分管指电脑操作人员不得掌握电脑的开机密码,由复核人员保管,防止一人开机操作,一人作案可能性。
6、使用的口令,几天就应更换,口令使用最长不超过一个月;二是录入口令时请周围人员回避;三是口令只记在自己脑中,不书写在任何地方;四是有同事调离时,应及时更改口令。
7、加强人员培训,使员工充分认识到信息安全建设的重要性和必要性,提高安全意识。
(二) 加大技术力量投入,切实降低风险隐患。
1、机房应安装门禁系统,避免非工作相关人员进入中心机房进行作案。
2、保证数据的真实性、可用性,做好数据的备份工作。建设远程备份系统,实现数据异地保存,避免重大自然灾害破坏本地数据情况的发生。
3、通过光盘刻录、屏蔽U口等技术手段实现计算机无移动存储设备使用。从根本上避免使用移动存储设备造成的泄密和病毒传播。
4、定期对系统进行补丁升级,避免犯罪者通过系统漏洞侵入计算机系统作案。
5、为每台服务器、计算机安装防病毒软件。避免犯罪者通过植入木马等手段进行作案。
6、将资金网和互联网在物理上进行隔离,并安装防火墙。避免犯罪者通过网络侵入内部资金网络作案。
(三) 加强安全检查力度,保障信用社信息系统安全。
1、计算机会计外围检查。对计算机业务系统中脱离计算机的原始凭证、帐簿、报表、登记簿等会计资料进行检查。
2、计算机内部数据检查。对计算机系统中存放于计算机内部的业务流水、分户帐明细、总帐簿、报表、登记簿等电子化会计资料进行检查。
3、对比计算机外围和计算机内部数据检查内容,避免出现不相符的情况发生,减少操作人员内部犯罪几率。
4、对网络漏洞、计算机漏洞进行安全检查。避免出现由于系统漏洞造成的外部风险隐患。
5、对制度建设情况进行检查。避免由于制度漏洞造成的风险隐患。
6、对人员分工、操作规程进行检查。避免出现内部人员犯罪情况的发生。
网络信息安全不仅与硬件、网络、系统等技术方面有关,还与它的管理和使用有着极为密切的关系。诸多不安全的漏洞和隐患,恰恰是由于计算机网络管理和使用人员没有严格遵守有关的规章制度造成的。因此,要从根本上杜绝计算机网络系统安全隐患,除了从技术方面入手加强防范外,同时还必须建立一套与之相适应的规章制度并严格执行,从而建立起真正意义的完备的银行网络安全体系。