从我国的现行情况来看,金融科技风险主要表现在以下几个方面:
1. 对计算机安全认识不足,由于管理滞后带来的安全风险。目前,仍有一些银行的主要领导对计算机系统的安全管理认识不清,重视不够,日常安全管理远远不能适应业务开展的需要,没有一套完整的管理制度和办法,因而留下了许多漏洞和隐患。
2. 非法用户,即所谓“黑客”的侵入带来的安全风险。某些“黑客”利用高科技手段,通过窃取银行合法用户密码、网址等信息,以合法身份联入金融计算机网络系统进行破坏活动。由于网络系统分散在各地,任何侵害行为的发生极不容易察觉,所以其造成的危害将更加严重。
3.由于电子设备所处的环境不良带来的安全风险。环境对电子化安全威胁主要表现在两个方面:一是运行环境中计算机病毒的侵害;二是计算机实体的物理环境不符合安全要求造成的风险。目前,省市地行计算机机房设置标准较好,物理环境的安全威胁不突出。而基层行处各营业网点的计算机设备安装环境较差,安全威胁较大。如有的无专用机房,灰尘侵蚀严重 ;有的未设专用电源或地线,有的工作间未装空调,夏天设备运行温度过高 ;有的缺乏安全常识,UPS电源挂接电水壶、电炉子等。所有这些都对电子化设备的安全运行构成威胁。
4.软件问题带来的运行风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密,出现应用系统在超级用户下运行,文件权限设置不正确,业务数据以明码形式存放,容错能力差等现象,导致系统在运行过程中账务错乱,数据信息被破坏等,严重的还会导致系统崩溃,从而引发系统运行风险。
5.由于银行网点业务人员对计算机设备和金融电子产品使用不当引起的安全风险。基层网点业务人员素质跟不上高速发展的金融电子化建设的步伐,对银行推出的硬件设备以及金融电子化产品和服务功能不熟悉,由于使用不当而导致工作效率不高甚至于造成系统故障。
6.银行科技支援服务部门对网点服务响应不及时,不周到或不恰当引起的安全风险。
7.意外事故引起的运行安全风险。如供电系统故障及地震、雷击等灾难引起的风险。
加强计算机安全管理,防范金融科技风险是金融部门一项长期的、系统的任务,不能仅靠某一部门搞单打,也不能只阶段性地抓一抓,要举全体之力,艰苦探索,长抓不懈。当前,我们认为金融部门应从以下几方面抓好落实。
1.加大计算机安全宣传力度,提高银行各级员工对计算机安全重要性认识。长期以来,我国银行安全保卫的重点是防盗、防抢、防诈、防差错,对计算机安全普遍认识不足,解决这个问题的关键是各级领导要重视计算机安全工作,加大宣传力度,通过各种宣传形式广泛宣传保障银行计算机安全的重要性,努力提高全行业对计算机安全问题的认识,使全行业上上下下都能够认识到银行科技安全等同于资金安全,高度认真地注重安全管理,遵守安全规程。
2.建立健全管理规章及制度。银行计算机应用发展十分迅速,因此我们管理规章制度的建立要及时跟上变化的情况,同时要贯彻落实。比如根据国家标准和银行自身网点分散,网点多在闹市,且多为租房的状况,制定计算机的环境技术标准、计算机房管理规定等,规范网点和机房装修的计算机布线,规定计算机用电与照明、空调用电分开,规定防火、防盗、防水、防鼠措施和供电及计算机系统的备份条件等。比如建立计算机网络运行维护职责、突发事件应急处理对策和密码管理规定等,落实数据中心的系统管理员和网点计算机维护管理员,建立银行计算机数据的异地备份库,规定软件开发与软件系统维护岗位分离,应用软件人员不得上生产系统,规定密码的管理等。为及时动态掌握基层网点计算机应用情况,银行要建立计算机安全巡检制度,检查规章的落实程度,发现问题立即整改。通过建立这些规章制度,使银行计算机安全工作全面走向规范化。
3.提高银行应用系统的安全保障水平。银行不论是在开发或是购置应用软件时,都要把安全保障放在首要地位。银行自身开发软件要注意采取可靠的加密技术,对计算机数据进行加密。比如,采取现在比较先进的三级密钥管理体制(密钥、主密钥、交易密钥)确保计算机网络间数据的完整性和保密性;在柜台应用系统中,设计五级用户权限(操作员口令、复核员口令、业务主管口令、部门负责人口令、系统管理员口令),重要交易和操作实行分段分人控制,并且由系统硬性要求用户密码定期更换(一般为30天)。
4.提供符合标准的硬件运行环境,加强对硬件系统可能造成风险的防范。计算机是现代化、高精度的电子设备,对周围的运行环境有着严格的技术要求,硬件维护人员或系统管理人员应定期检查硬件设备,部件损坏应及时调换、修复,防止重大事故的发生。除应对计算机硬件环境制定基本防护措施以外,对硬件系统的防范应侧重以下几个方面:
(1)对硬件环境进行屏蔽处理。屏蔽包括静电屏蔽、磁屏蔽和电磁屏蔽,尤其要重视电磁屏蔽,因为电磁干扰产生于电磁场、静电、电源系统内部、地线等诸多方面,对系统安全的危害最大。屏蔽措施可分别采取铺设防静电的活动地板、架设金属网等方式进行处理,同时应尽量避开有强电磁场的地方。
(2)对硬件环境进行防电气噪声处理。这些噪声使计算机、网络通讯设备、UPS等电子设备的电路中出现无规律的、无用的、有害的电信号。因此应尽量远离具有强振动源、强噪声源的地区,提供良好的接地和供电环境,确保给系统提供纯净的电流和不间断供电。
(3)主要业务系统的设备要双机备份。对双机备份的基本要求是主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间。
5.进一步完善内部安全管理机制,并抓好落实。为了充分发挥计算机的作用,必须建立完善的内部安全管理机制和制度,这样才能使计算机安全管理工作做到有章可循,有的放矢。
6.加强软件系统的管理,使其运行安全可靠。软件的可靠正确是银行和客户资金安全的重要保证。当前,应从以下几方面增强安全防范:
(1)操作系统级别的防范:防止非法使用系统资源,指定专人进行系统操作,及时清理各种垃圾文件。对一切操作要有记录,以防误操作损坏软件系统或业务数据。应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。
(2)数据是银行计算机系统安全防范的核心,严格规定访问数据库的各级权限,实现权限等级管理,严禁越权操作,密码强制定期修改,否则密码泄漏可能导致非法入侵,数据输入检查严密,尽量减少人工操作机会,如减少击键次数,用扫描仪、光学字符阅读器声录等方式录入数据信息。涉及机密的数据信息首先要加密,然后再传输、存储。对数据库本身的安全脆弱问题,要作相应处理。对数据要进行多重备份。以便发生意外掉电这样不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(3)加强软件系统运行环境的安全管理,主要是防止计算机病毒的侵蚀。一是通过一定的技术措施和行政手段防止计算机病毒对计算机及网络系统的入侵和传染。二是完善检测病毒措施。要经常通过一定的技术手段检测计算机或程序是否染上了病毒。一旦检测出病毒感染,要做好及时的清毒处理,以防病毒的进一步感染与传播。
(4)加强计算机的稽核、监管职能,对账务和应用系统定期用稽核程序进行检查。对每台终端每个用户的每个操作情况进行现场记录,记载系统的运行情况,以便留下操作信息,进行操作信息的安全跟踪。建立正常的业务记录档案,记录业务的发生情况、时间、操作者。对转换业务数据这样的特殊情况更要详细记录以备查。
7.加大计算机网络的安全防范力度,防范黑客的侵入攻击。随着金融业对网络依赖性的不断增强,网络安全任务也越来越艰巨,对计算机网络应采取以下安全措施加以防范:
(1)防止电磁辐射。从理论上讲,网络、传输介质都可能被窃听,光缆与在转换器、分路器及接口处均为薄弱环节。因此,必须对传输和存储环节中的数据采用相应的加密保护措施。保密设备应符合ISO对网络信息系统的一贯要求。
(2)加强网络资源的授权管理。控制用户登录,限制登录密码的扩散范围,对网络中各用户的存取、访问进行控制,对数据执行加密处理。另外,要增加网络环境的监控、分析设备,加强网络软件自身对各类事件的审计、跟踪、监控功能,时刻监测是否有对网络的非法攻击。
8.加大力度建立和完善银行计算机应用的各类考核激励机制。这些激励机制包括网点安全运行管理的监督激励机制、系统运行维护的考核激励机制、开发与推广应用的目标管理考核激励机制、电子产品与服务功能的市场营销考核激励机制等。激励机制的建立是商业银行金融电子化建设得以稳健发展的关键,是银行电子化建设得以持续稳定健康发展的根本保证,这种激励机制应与职工业绩考核、职务职称晋升以及福利挂钩,在探索的基础上,银行要尽快建立一套比较完善的量化考核制度。
总而言之,银行系统推广和普及计算机已是时代的必然,这要求我们在计算机管理和安全技术方面必须采取有效的防范措施,从而防范和化解各类金融科技风险,保障业务系统运行安全,促进金融业稳定发展。(完)
1383
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
