對(duì)金融機(jī)構(gòu)計(jì)算機(jī)安全管理的思考

李　剛

[摘要]金融電子化的迅猛發(fā)展，對(duì)國家經(jīng)濟(jì)建設(shè)起著極其重要的促進(jìn)和保障作用，其安全管理的重要性也日益重要。通過對(duì)金融計(jì)算機(jī)業(yè)務(wù)中潛在的或已發(fā)生的風(fēng)險(xiǎn)分析，詳細(xì)論述在計(jì)算機(jī)管理和安全技術(shù)方面應(yīng)采取的有效防范措施及防范和化解金融科技風(fēng)險(xiǎn)、保障業(yè)務(wù)系統(tǒng)運(yùn)行安全、促進(jìn)金融業(yè)穩(wěn)定發(fā)展的建議。

[關(guān)鍵詞]金融機(jī)構(gòu) 計(jì)算機(jī)安全 管理

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0510050－01

隨著金融事業(yè)的發(fā)展，無論是在儲(chǔ)蓄、對(duì)公還是在管理領(lǐng)域，金融電子化已得到進(jìn)一步的推廣，計(jì)算機(jī)已成為金融部門日常工作的重要工具。由于金融部門地位的重要性和金融工作的特殊性，使金融計(jì)算機(jī)系統(tǒng)的安全問題越來越突顯。

一、金融計(jì)算機(jī)系統(tǒng)安全含義

金融計(jì)算機(jī)系統(tǒng)安全是指金融部門計(jì)算機(jī)信息系統(tǒng)的安全。我國公安部計(jì)算機(jī)管理監(jiān)察司的定義是：“計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安全，即計(jì)算機(jī)信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅與危害”。

二、妨礙金融計(jì)算機(jī)系統(tǒng)安全的幾個(gè)方面

（一）思想麻痹，重視不夠

在觀念上對(duì)計(jì)算機(jī)有迷信思想，沒有看到計(jì)算機(jī)固有的脆弱性和潛在的危險(xiǎn)性，對(duì)國內(nèi)外發(fā)生的大量的計(jì)算機(jī)泄密、計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等危害計(jì)算機(jī)系統(tǒng)和信息安全的事件存有僥幸心理，在思想上、制度上、人員上沒有做好準(zhǔn)備?！叭酪槐！敝幸埠苌偕婕坝?jì)算機(jī)安全保護(hù)。

（二）設(shè)備老化，技術(shù)落后

由于金融電子化開始的較早，而計(jì)算機(jī)技術(shù)發(fā)展的很快，許多計(jì)算機(jī)設(shè)備已過時(shí)和老化，硬故障時(shí)有發(fā)生，威脅了金融業(yè)務(wù)的正常開展。加之這幾年金融事業(yè)有了長足的發(fā)展，業(yè)務(wù)量的增加對(duì)計(jì)算機(jī)設(shè)備提出了更高的要求。

（三）程序復(fù)雜，缺乏維護(hù)

金融系統(tǒng)應(yīng)用軟件大多自行開發(fā)，這幾年各級(jí)部門開發(fā)了不少不同版本的軟件在基層使用。這些軟件由于沒有經(jīng)過正規(guī)的軟件評(píng)測和調(diào)試，使用過程中發(fā)現(xiàn)的問題很難及時(shí)反映給開發(fā)者，所以兼容性、容錯(cuò)性較差，狀態(tài)不穩(wěn)定。加上軟件沒有通俗、完備的用戶手冊(cè)，職工培訓(xùn)也沒有跟上，使基層單位對(duì)應(yīng)用軟件的功能理解不全面。在日常工作中由于操作失誤不時(shí)出現(xiàn)死機(jī)和數(shù)據(jù)庫丟失等故障，影響業(yè)務(wù)工作的正常進(jìn)行。

（四）系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫抗非訪問能力差

金融計(jì)算機(jī)系統(tǒng)遭到的破壞我們可以將它分為惡意破壞和“善意”破壞那些通過私自操作程序和修改數(shù)據(jù)庫以達(dá)到貪污挪用公款的違法行為是惡意破壞。而有時(shí)由于工作人員在計(jì)算機(jī)上操作玩耍造成系統(tǒng)損壞的違規(guī)行為可視為“善意”破壞。但無論是“善意”破壞還是惡意破壞都暴露出系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫缺少保護(hù)外殼，不具備拒絕非法訪問的能力，使人們能輕而易舉地接觸到要害部分。

三、對(duì)計(jì)算機(jī)安全管理的基本策略

根據(jù)以上計(jì)算機(jī)安全工作存在的六種風(fēng)險(xiǎn)，相應(yīng)地制定出計(jì)算機(jī)安全管理工作的策略和管理措施。

（一）加強(qiáng)計(jì)算機(jī)安全制度的建設(shè)

首先，從管理層到技術(shù)人員、業(yè)務(wù)人員都要加強(qiáng)計(jì)算機(jī)風(fēng)險(xiǎn)意識(shí)，重視計(jì)算機(jī)安全管理。其次，各金融機(jī)構(gòu)都要建立健全計(jì)算機(jī)安全制度和操作規(guī)程，做到有章可循，操作規(guī)程應(yīng)具有科學(xué)性、超前性、可操作性。再次，要嚴(yán)格按制度和操作規(guī)程執(zhí)行，做到有章必循。計(jì)算機(jī)安全管理的依據(jù)是：國務(wù)院各部門有關(guān)金融、信息科技、信息安全等方面的有關(guān)條例和規(guī)定；金融行業(yè)內(nèi)部有關(guān)信息科技、信息安全等方面的條例、辦法和規(guī)定；金融行業(yè)各部門制訂的行業(yè)管理業(yè)務(wù)操作規(guī)范。

（二）加強(qiáng)計(jì)算機(jī)安全管理隊(duì)伍的建設(shè)

計(jì)算機(jī)安全管理是一項(xiàng)專業(yè)性很強(qiáng)的工作，對(duì)從業(yè)人員的要求很高，計(jì)算機(jī)安全管理人員應(yīng)具備與其從事工作相當(dāng)?shù)挠?jì)算機(jī)知識(shí)、業(yè)務(wù)知識(shí)和專業(yè)技能，計(jì)算機(jī)安全管理人員自身要不斷地學(xué)習(xí)和掌握專業(yè)技術(shù)知識(shí)，以提高自己的管理水平。

金融機(jī)構(gòu)要設(shè)立專門的計(jì)算機(jī)安全機(jī)構(gòu)，負(fù)責(zé)轄內(nèi)計(jì)算機(jī)安全工作的有效實(shí)施，在機(jī)構(gòu)上、人員上給予充分的保證，并為計(jì)算機(jī)安全管理人員提供充分的培訓(xùn)提高機(jī)會(huì)，以適應(yīng)計(jì)算機(jī)技術(shù)的迅猛發(fā)展和安全工作的需要。

（三）確定計(jì)算機(jī)安全級(jí)別的劃分及評(píng)價(jià)

根據(jù)對(duì)業(yè)務(wù)的影響程度，建議將計(jì)算機(jī)安全度分為高、中、低三級(jí)。

高風(fēng)險(xiǎn)：表示該項(xiàng)目沒有得到妥善的處理，會(huì)使業(yè)務(wù)承受較高的風(fēng)險(xiǎn)，并對(duì)業(yè)務(wù)運(yùn)作造成很大的影響。管理層應(yīng)立即實(shí)施補(bǔ)救及改善措施，務(wù)求把風(fēng)險(xiǎn)降到合理的水平。如科技部門開發(fā)、維護(hù)、運(yùn)行崗位不清，一人身兼多職；計(jì)算機(jī)人員和業(yè)務(wù)人員分工不合理相互交叉；操作系統(tǒng)超級(jí)用戶口令管理不嚴(yán)；無完善的制度或?qū)χ贫葓?zhí)行不嚴(yán)，缺乏規(guī)范的制約機(jī)制；管理層和技術(shù)層缺乏風(fēng)險(xiǎn)意識(shí)等。

中風(fēng)險(xiǎn)：表示按照現(xiàn)代處理該項(xiàng)目的方法，仍未能把業(yè)務(wù)風(fēng)險(xiǎn)降到合理水平。雖然這方面的急切性不及“高風(fēng)險(xiǎn)”項(xiàng)目，但管理層也應(yīng)加強(qiáng)留意，務(wù)求把風(fēng)險(xiǎn)盡量降低，如對(duì)外來介質(zhì)無防毒檢查，柜員密碼長期不做修改，也無強(qiáng)制修改措施等。

低風(fēng)險(xiǎn)：表示業(yè)務(wù)風(fēng)險(xiǎn)性不大或已降到可以接受的水平，但還有待管理層進(jìn)一步完善風(fēng)險(xiǎn)管理。

如數(shù)據(jù)優(yōu)盤、報(bào)表在交接時(shí)無簽收手續(xù)，技術(shù)檔案管理不規(guī)范。

以上三種風(fēng)險(xiǎn)度的劃分，對(duì)于計(jì)算機(jī)的安全管理提出了明確的層次目標(biāo)，在制定整改、制度、措施上劃定了層次界線。

這里還要強(qiáng)調(diào)的是責(zé)任者的重要性，責(zé)任者是指所有涉及計(jì)算機(jī)系統(tǒng)的人。例如：計(jì)算機(jī)的任何使用都需要有超級(jí)用戶給予授權(quán)，以便能掌控誰使用機(jī)器以及使用機(jī)器的目的。因此，每一臺(tái)機(jī)器應(yīng)有一個(gè)授權(quán)用戶表記錄。計(jì)算機(jī)安全的最基本方法是人的因素，必須花更多的時(shí)間提高工作人員的整體素質(zhì)，提高他們的計(jì)算機(jī)安全意識(shí)，尤其是計(jì)算機(jī)人員，因?yàn)樗麄兏咏缸?、電子偷閱者、非法入侵系統(tǒng)者。在當(dāng)前金融業(yè)國際競爭日趨激烈的形勢下，我國銀行業(yè)必須提高認(rèn)識(shí)，采取切實(shí)可行的措施。要充分認(rèn)識(shí)到現(xiàn)代銀行業(yè)的發(fā)展與計(jì)算機(jī)技術(shù)是緊密聯(lián)系的。

參考文獻(xiàn)：

[1]陳衛(wèi)軍，企業(yè)建設(shè)容災(zāi)備份系統(tǒng)時(shí)應(yīng)注意問題的探討[J].廣東通信技術(shù)，2004,(S1).

[2]李振樂，金融計(jì)算機(jī)犯罪的防范[J].信息網(wǎng)絡(luò)安全 ，2004,(12).

[3]董新生、楊恒宇，銀行計(jì)算機(jī)信息系統(tǒng)安全建設(shè)[J].安徽科技，2004,(11).