隨著金融事業(yè)的發(fā)展���,無論是在儲蓄、對公還是在管理領域����,金融電子化已得到進一步的推廣,計算機已成為我們日常工作的重要工具���。由于金融部門地位的重要性和金融工作的特殊性�,使金融計算機系統(tǒng)的安全問題越來越突顯�����。本文試圖從金融工作的特點上談一下對金融計算機系統(tǒng)安全保護體系問題�����。
一����、金融計算機系統(tǒng)安全的涵義。
金融計算機系統(tǒng)安全是指金融部門計算機信息系統(tǒng)的安全。所謂計算機安全�,按國際標準化委員會的定義,即“為數(shù)據(jù)庫處理系統(tǒng)建立和采取的技術的和管理的安全保護�,保護計算機硬件、軟件��、數(shù)據(jù)��,不因偶然的或惡意的原因而遭破壞����、更改、顯露”����。我國公安部計算機管理監(jiān)察司的定義是:“計算機安全是指計算機資產(chǎn)安全,即計算機信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅與危害”��。
以上定義可以看出金融計算機系統(tǒng)安全所涉及的范圍是很廣泛的����,我們可以把它分為四個部分,即:
��、逵嬎銠C硬件設備的安全��。包含主機�、外設和相關設施,涉及到環(huán)境���、建筑設備�����、電磁輻射���、數(shù)據(jù)載體和自然災害。
����、嫦到y(tǒng)及應用軟件的安全。涉及系統(tǒng)選擇�、應用軟件的開發(fā)、系統(tǒng)和應用軟件的使用與維護���。
���、鐢(shù)據(jù)庫的安全。指系統(tǒng)擁有的和產(chǎn)生的數(shù)據(jù)和信息完整��、有效、使用合法����、不被破壞和泄露,包括輸入輸出識別用戶�、存取控制、加密���、審計���、備份和恢復等。
���、柽\行使用的安全����。包括機房出入管理�、磁盤和打印數(shù)據(jù)的管理、運行使用管理等�。
二、妨礙金融計算機系統(tǒng)安全的幾個方面
��、潘枷肼楸��,重視不夠。在觀念上對計算機有迷信思想�����,沒有看到計算機固有的脆弱性和潛在的危險性����,對國內外發(fā)生的大量的計算機泄密���、計算機犯罪和計算機病毒等危害計算機系統(tǒng)和信息安全的事件存有僥幸心理�,在思想上��、制度上�、人員上沒有作好準備����!叭酪槐!敝幸埠苌偕婕坝嬎銠C安全保護����。
⑵設備老化�,跟不上技術進步和業(yè)務要求���。由于金融電子化開始的較早,而計算機技術發(fā)展的很快��,許多計算機設備已過時和老化�����,硬故障時有發(fā)生�,威脅了金融業(yè)務的正常開展。加之這幾年金融事業(yè)有了長足的發(fā)展���,業(yè)務量的增加對計算機設備提出了更高的要求����。
�、菓贸绦虬姹净祀s,缺乏使用維護����。金融系統(tǒng)應用軟件大多自行開發(fā),這幾年各級部門開發(fā)了不少不同版本的軟件在基層使用����。這些軟件由于沒有經(jīng)過正規(guī)的軟件評測和調試���,使用過程中發(fā)現(xiàn)的問題很難及時反映給開發(fā)者,所以兼容性�����、容錯性較差���,狀態(tài)不穩(wěn)定。加上軟件沒有通俗����、完備的用戶手冊,職工培訓也沒有跟上���,使基層單位對應用軟件的功能理解不全面�����。在日常工作中由于操作失誤不時出現(xiàn)死機和數(shù)據(jù)庫丟失等故障�,影響業(yè)務工作的正常進行�。
⑷系統(tǒng)�����、應用程序和數(shù)據(jù)庫抗非法訪問能力差。金融計算機系統(tǒng)遭到的破壞我們可以將它分為惡意破壞和“善意”破壞���。那些通過私自操作程序和修改數(shù)據(jù)庫以達到貪污挪用公款的違法行為是惡意破壞��。而有時由于工作人員在計算機上操作玩耍造成系統(tǒng)損壞的違規(guī)行為可視為“善意”破壞�。但無論是“善意”破壞還是惡意破壞都暴露出系統(tǒng)����、應用程序和數(shù)據(jù)庫缺少保護外殼,不具備拒絕非法訪問的能力����,使人們能輕而易舉地接觸到要害部分。
這一缺陷隨著金融系統(tǒng)精通計算機知識的大中專生的不斷增多����,在DOS系統(tǒng)和DBASE/FOXBASE數(shù)據(jù)庫中表現(xiàn)的由其明顯。而UNIX/XENIX系統(tǒng)雖然有用戶級別控制存取訪問權限�����,但由于沒有設超級用戶的密碼或密碼的半公開,使這一極好的保護機制形同虛設�。
⑸日常管理松懈�。計算機的使用已經(jīng)和金融業(yè)務緊密地結合起來了,而對其的管理卻呈現(xiàn)“政出多門����,多頭管理”的狀況。資金組織����、會計�、計算機信息部門都在行使管理職能,然而在具體管理工作中卻相互推諉�����。業(yè)務部門由于對計算機知之甚少���,對新形勢下如何保證金融系統(tǒng)電子化的安全無所適從�,安全保衛(wèi)部門幾乎不插手計算機系統(tǒng)的管理�����,而技術部門人手不足加上對業(yè)務不熟悉�,使得問題不能得到及時解決���。還有管理制度的制定和執(zhí)行的問題。現(xiàn)行計算機管理制度多是八十年代制定的���,不全面而且跟不上技術進步和形勢發(fā)展����。在執(zhí)行中又缺乏監(jiān)督機制���,制度的執(zhí)行力度也不夠����,成為安全的隱患���。
��、蔬\行環(huán)境不規(guī)范��。雖然現(xiàn)在的計算機技術已不是八十年代的PC機可比�����,但計算機對溫度���、濕度���、通風量、清潔度等要求還是很高�����,防火�、防水也不可忽視。這幾年金融電子化發(fā)展十分迅速����,對計算機運行環(huán)境也不象以前那么重視了�����,加上業(yè)務開展過程中產(chǎn)生的污染(如點鈔產(chǎn)生的大量塵埃等)��,使運行環(huán)境造成的硬故障對計算機系統(tǒng)安全已構成威脅�。
三、加強金融計算機安全保護體系的建設
�����、潘枷胫匾暎哟笸度搿���,F(xiàn)代金融的一個發(fā)展方向是金融電子化���,金融計算機系統(tǒng)的安全是金融電子化的保證。領導和全體干部職工思想上的重視至關重要���。而重視的表現(xiàn)就在于對計算機安全系統(tǒng)的投入�����,包括教育投入和設備投入��。要舍得花錢�����,不斷更新舊設備��,購置新設備��。如為系統(tǒng)主機和關鍵設備建專用機房��,減少運行環(huán)境對系統(tǒng)的影響��;添置防病毒軟件��,預防電腦病毒的侵入���。
�、浦匾曑浖_發(fā)與統(tǒng)一�,完善軟件使用維護。軟件的開發(fā)是計算機使用的第一步和計算機系統(tǒng)安全的重要環(huán)節(jié)�。無論是開發(fā)金融計算機應用系統(tǒng),還是金融計算機管理系統(tǒng)都應該把計算機安全擺在重要的位置上���。在軟件應用的過程中���,計算機信息部門要不斷的跟蹤應用情況,及時了解和修改軟件的缺陷�����。另外���,使用統(tǒng)一的軟件有利于軟件的管理和完善�����。
��、峭晟乒芾眢w制�����,加強牽制制度���,嚴格執(zhí)行密碼制度和限權存取�!叭旨夹g,七分管理”����,計算機技術無法做到十全十美,計算機安全主要還靠管理����。金融計算機系統(tǒng)安全的管理是一個綜合管理,要求業(yè)務部門�、技術部門和安保部門共同參與、協(xié)作一致����。因此就有必要明確各部門的管理職責�����,各施其責��,共同確保計算機系統(tǒng)的安全��。而隨著計算機技術的不斷發(fā)展���,計算機安全防范技術和反計算機安全技術都得到發(fā)展。保衛(wèi)計算機系統(tǒng)安全最有效的還是相互牽制制度和事后監(jiān)督制度��,在管理過程中應加以體現(xiàn)�。
⑷培訓全體職工��,建立考核制度��。在金融現(xiàn)代化的今天�����,增加干部職工的計算機知識不僅是業(yè)務發(fā)展的需要����,也是金融計算機安全的要求。應建立計算機水平考核制度���,象珠算等級考試一樣�����。經(jīng)過培訓和考核�����,普及計算機知識��,使廣大干部職工克服對計算機的神秘感�,合理地使用計算機����。
