對金融機構計算機安全管理的思考

李　剛

[摘要]金融電子化的迅猛發展，對國家經濟建設起著極其重要的促進和保障作用，其安全管理的重要性也日益重要。通過對金融計算機業務中潛在的或已發生的風險分析，詳細論述在計算機管理和安全技術方面應采取的有效防范措施及防范和化解金融科技風險、保障業務系統運行安全、促進金融業穩定發展的建議。

[關鍵詞]金融機構 計算機安全 管理

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0510050－01

隨著金融事業的發展，無論是在儲蓄、對公還是在管理領域，金融電子化已得到進一步的推廣，計算機已成為金融部門日常工作的重要工具。由于金融部門地位的重要性和金融工作的特殊性，使金融計算機系統的安全問題越來越突顯。

一、金融計算機系統安全含義

金融計算機系統安全是指金融部門計算機信息系統的安全。我國公安部計算機管理監察司的定義是：“計算機安全是指計算機資產安全，即計算機信息系統和信息資源不受自然和人為有害因素的威脅與危害”。

二、妨礙金融計算機系統安全的幾個方面

（一）思想麻痹，重視不夠

在觀念上對計算機有迷信思想，沒有看到計算機固有的脆弱性和潛在的危險性，對國內外發生的大量的計算機泄密、計算機犯罪和計算機病毒等危害計算機系統和信息安全的事件存有僥幸心理，在思想上、制度上、人員上沒有做好準備?！叭酪槐！敝幸埠苌偕婕坝嬎銠C安全保護。

（二）設備老化，技術落后

由于金融電子化開始的較早，而計算機技術發展的很快，許多計算機設備已過時和老化，硬故障時有發生，威脅了金融業務的正常開展。加之這幾年金融事業有了長足的發展，業務量的增加對計算機設備提出了更高的要求。

（三）程序復雜，缺乏維護

金融系統應用軟件大多自行開發，這幾年各級部門開發了不少不同版本的軟件在基層使用。這些軟件由于沒有經過正規的軟件評測和調試，使用過程中發現的問題很難及時反映給開發者，所以兼容性、容錯性較差，狀態不穩定。加上軟件沒有通俗、完備的用戶手冊，職工培訓也沒有跟上，使基層單位對應用軟件的功能理解不全面。在日常工作中由于操作失誤不時出現死機和數據庫丟失等故障，影響業務工作的正常進行。

（四）系統、應用程序和數據庫抗非訪問能力差

金融計算機系統遭到的破壞我們可以將它分為惡意破壞和“善意”破壞那些通過私自操作程序和修改數據庫以達到貪污挪用公款的違法行為是惡意破壞。而有時由于工作人員在計算機上操作玩耍造成系統損壞的違規行為可視為“善意”破壞。但無論是“善意”破壞還是惡意破壞都暴露出系統、應用程序和數據庫缺少保護外殼，不具備拒絕非法訪問的能力，使人們能輕而易舉地接觸到要害部分。

三、對計算機安全管理的基本策略

根據以上計算機安全工作存在的六種風險，相應地制定出計算機安全管理工作的策略和管理措施。

（一）加強計算機安全制度的建設

首先，從管理層到技術人員、業務人員都要加強計算機風險意識，重視計算機安全管理。其次，各金融機構都要建立健全計算機安全制度和操作規程，做到有章可循，操作規程應具有科學性、超前性、可操作性。再次，要嚴格按制度和操作規程執行，做到有章必循。計算機安全管理的依據是：國務院各部門有關金融、信息科技、信息安全等方面的有關條例和規定；金融行業內部有關信息科技、信息安全等方面的條例、辦法和規定；金融行業各部門制訂的行業管理業務操作規范。

（二）加強計算機安全管理隊伍的建設

計算機安全管理是一項專業性很強的工作，對從業人員的要求很高，計算機安全管理人員應具備與其從事工作相當的計算機知識、業務知識和專業技能，計算機安全管理人員自身要不斷地學習和掌握專業技術知識，以提高自己的管理水平。

金融機構要設立專門的計算機安全機構，負責轄內計算機安全工作的有效實施，在機構上、人員上給予充分的保證，并為計算機安全管理人員提供充分的培訓提高機會，以適應計算機技術的迅猛發展和安全工作的需要。

（三）確定計算機安全級別的劃分及評價

根據對業務的影響程度，建議將計算機安全度分為高、中、低三級。

高風險：表示該項目沒有得到妥善的處理，會使業務承受較高的風險，并對業務運作造成很大的影響。管理層應立即實施補救及改善措施，務求把風險降到合理的水平。如科技部門開發、維護、運行崗位不清，一人身兼多職；計算機人員和業務人員分工不合理相互交叉；操作系統超級用戶口令管理不嚴；無完善的制度或對制度執行不嚴，缺乏規范的制約機制；管理層和技術層缺乏風險意識等。

中風險：表示按照現代處理該項目的方法，仍未能把業務風險降到合理水平。雖然這方面的急切性不及“高風險”項目，但管理層也應加強留意，務求把風險盡量降低，如對外來介質無防毒檢查，柜員密碼長期不做修改，也無強制修改措施等。

低風險：表示業務風險性不大或已降到可以接受的水平，但還有待管理層進一步完善風險管理。

如數據優盤、報表在交接時無簽收手續，技術檔案管理不規范。

以上三種風險度的劃分，對于計算機的安全管理提出了明確的層次目標，在制定整改、制度、措施上劃定了層次界線。

這里還要強調的是責任者的重要性，責任者是指所有涉及計算機系統的人。例如：計算機的任何使用都需要有超級用戶給予授權，以便能掌控誰使用機器以及使用機器的目的。因此，每一臺機器應有一個授權用戶表記錄。計算機安全的最基本方法是人的因素，必須花更多的時間提高工作人員的整體素質，提高他們的計算機安全意識，尤其是計算機人員，因為他們更接近犯罪、電子偷閱者、非法入侵系統者。在當前金融業國際競爭日趨激烈的形勢下，我國銀行業必須提高認識，采取切實可行的措施。要充分認識到現代銀行業的發展與計算機技術是緊密聯系的。

參考文獻：

[1]陳衛軍，企業建設容災備份系統時應注意問題的探討[J].廣東通信技術，2004,(S1).

[2]李振樂，金融計算機犯罪的防范[J].信息網絡安全 ，2004,(12).

[3]董新生、楊恒宇，銀行計算機信息系統安全建設[J].安徽科技，2004,(11).