隨著金融事業(yè)的發(fā)展�,無(wú)論是在儲(chǔ)蓄、對(duì)公還是在管理領(lǐng)域���,金融電子化已得到進(jìn)一步的推廣,計(jì)算機(jī)已成為我們?nèi)粘9ぷ鞯闹匾ぞ�����。由于金融部門地位的重要性和金融工作的特殊性�����,使金融計(jì)算機(jī)系統(tǒng)的安全問(wèn)題越來(lái)越突顯�。本文試圖從金融工作的特點(diǎn)上談一下對(duì)金融計(jì)算機(jī)系統(tǒng)安全保護(hù)體系問(wèn)題。
一���、金融計(jì)算機(jī)系統(tǒng)安全的涵義��。
金融計(jì)算機(jī)系統(tǒng)安全是指金融部門計(jì)算機(jī)信息系統(tǒng)的安全�。所謂計(jì)算機(jī)安全����,按國(guó)際標(biāo)準(zhǔn)化委員會(huì)的定義,即“為數(shù)據(jù)庫(kù)處理系統(tǒng)建立和采取的技術(shù)的和管理的安全保護(hù)����,保護(hù)計(jì)算機(jī)硬件��、軟件、數(shù)據(jù)�����,不因偶然的或惡意的原因而遭破壞��、更改����、顯露”。我國(guó)公安部計(jì)算機(jī)管理監(jiān)察司的定義是:“計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安全��,即計(jì)算機(jī)信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅與危害”��。
以上定義可以看出金融計(jì)算機(jī)系統(tǒng)安全所涉及的范圍是很廣泛的���,我們可以把它分為四個(gè)部分����,即:
�、逵(jì)算機(jī)硬件設(shè)備的安全���。包含主機(jī)、外設(shè)和相關(guān)設(shè)施����,涉及到環(huán)境、建筑設(shè)備�、電磁輻射、數(shù)據(jù)載體和自然災(zāi)害����。
㈡系統(tǒng)及應(yīng)用軟件的安全���。涉及系統(tǒng)選擇�����、應(yīng)用軟件的開發(fā)��、系統(tǒng)和應(yīng)用軟件的使用與維護(hù)�����。
�����、鐢(shù)據(jù)庫(kù)的安全�����。指系統(tǒng)擁有的和產(chǎn)生的數(shù)據(jù)和信息完整�、有效��、使用合法�、不被破壞和泄露,包括輸入輸出識(shí)別用戶�����、存取控制��、加密����、審計(jì)、備份和恢復(fù)等��。
�����、柽\(yùn)行使用的安全。包括機(jī)房出入管理�����、磁盤和打印數(shù)據(jù)的管理�、運(yùn)行使用管理等。
二��、妨礙金融計(jì)算機(jī)系統(tǒng)安全的幾個(gè)方面
���、潘枷肼楸����,重視不夠�����。在觀念上對(duì)計(jì)算機(jī)有迷信思想���,沒(méi)有看到計(jì)算機(jī)固有的脆弱性和潛在的危險(xiǎn)性����,對(duì)國(guó)內(nèi)外發(fā)生的大量的計(jì)算機(jī)泄密、計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等危害計(jì)算機(jī)系統(tǒng)和信息安全的事件存有僥幸心理��,在思想上���、制度上����、人員上沒(méi)有作好準(zhǔn)備��������!叭酪槐!敝幸埠苌偕婕坝(jì)算機(jī)安全保護(hù)�。
⑵設(shè)備老化����,跟不上技術(shù)進(jìn)步和業(yè)務(wù)要求。由于金融電子化開始的較早�,而計(jì)算機(jī)技術(shù)發(fā)展的很快,許多計(jì)算機(jī)設(shè)備已過(guò)時(shí)和老化,硬故障時(shí)有發(fā)生�,威脅了金融業(yè)務(wù)的正常開展。加之這幾年金融事業(yè)有了長(zhǎng)足的發(fā)展��,業(yè)務(wù)量的增加對(duì)計(jì)算機(jī)設(shè)備提出了更高的要求�����。
����、菓(yīng)用程序版本混雜,缺乏使用維護(hù)����。金融系統(tǒng)應(yīng)用軟件大多自行開發(fā),這幾年各級(jí)部門開發(fā)了不少不同版本的軟件在基層使用�。這些軟件由于沒(méi)有經(jīng)過(guò)正規(guī)的軟件評(píng)測(cè)和調(diào)試,使用過(guò)程中發(fā)現(xiàn)的問(wèn)題很難及時(shí)反映給開發(fā)者���,所以兼容性����、容錯(cuò)性較差�,狀態(tài)不穩(wěn)定��。加上軟件沒(méi)有通俗����、完備的用戶手冊(cè)���,職工培訓(xùn)也沒(méi)有跟上�����,使基層單位對(duì)應(yīng)用軟件的功能理解不全面���。在日常工作中由于操作失誤不時(shí)出現(xiàn)死機(jī)和數(shù)據(jù)庫(kù)丟失等故障,影響業(yè)務(wù)工作的正常進(jìn)行�����。
���、认到y(tǒng)、應(yīng)用程序和數(shù)據(jù)庫(kù)抗非法訪問(wèn)能力差��。金融計(jì)算機(jī)系統(tǒng)遭到的破壞我們可以將它分為惡意破壞和“善意”破壞��。那些通過(guò)私自操作程序和修改數(shù)據(jù)庫(kù)以達(dá)到貪污挪用公款的違法行為是惡意破壞。而有時(shí)由于工作人員在計(jì)算機(jī)上操作玩耍造成系統(tǒng)損壞的違規(guī)行為可視為“善意”破壞����。但無(wú)論是“善意”破壞還是惡意破壞都暴露出系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫(kù)缺少保護(hù)外殼�����,不具備拒絕非法訪問(wèn)的能力����,使人們能輕而易舉地接觸到要害部分。
這一缺陷隨著金融系統(tǒng)精通計(jì)算機(jī)知識(shí)的大中專生的不斷增多���,在DOS系統(tǒng)和DBASE/FOXBASE數(shù)據(jù)庫(kù)中表現(xiàn)的由其明顯�。而UNIX/XENIX系統(tǒng)雖然有用戶級(jí)別控制存取訪問(wèn)權(quán)限�,但由于沒(méi)有設(shè)超級(jí)用戶的密碼或密碼的半公開,使這一極好的保護(hù)機(jī)制形同虛設(shè)�。
⑸日常管理松懈���。計(jì)算機(jī)的使用已經(jīng)和金融業(yè)務(wù)緊密地結(jié)合起來(lái)了�,而對(duì)其的管理卻呈現(xiàn)“政出多門����,多頭管理”的狀況���。資金組織、會(huì)計(jì)����、計(jì)算機(jī)信息部門都在行使管理職能,然而在具體管理工作中卻相互推諉����。業(yè)務(wù)部門由于對(duì)計(jì)算機(jī)知之甚少,對(duì)新形勢(shì)下如何保證金融系統(tǒng)電子化的安全無(wú)所適從�����,安全保衛(wèi)部門幾乎不插手計(jì)算機(jī)系統(tǒng)的管理��,而技術(shù)部門人手不足加上對(duì)業(yè)務(wù)不熟悉��,使得問(wèn)題不能得到及時(shí)解決���。還有管理制度的制定和執(zhí)行的問(wèn)題。現(xiàn)行計(jì)算機(jī)管理制度多是八十年代制定的�����,不全面而且跟不上技術(shù)進(jìn)步和形勢(shì)發(fā)展。在執(zhí)行中又缺乏監(jiān)督機(jī)制����,制度的執(zhí)行力度也不夠,成為安全的隱患�����。
����、蔬\(yùn)行環(huán)境不規(guī)范。雖然現(xiàn)在的計(jì)算機(jī)技術(shù)已不是八十年代的PC機(jī)可比����,但計(jì)算機(jī)對(duì)溫度、濕度��、通風(fēng)量���、清潔度等要求還是很高����,防火、防水也不可忽視����。這幾年金融電子化發(fā)展十分迅速,對(duì)計(jì)算機(jī)運(yùn)行環(huán)境也不象以前那么重視了���,加上業(yè)務(wù)開展過(guò)程中產(chǎn)生的污染(如點(diǎn)鈔產(chǎn)生的大量塵埃等)���,使運(yùn)行環(huán)境造成的硬故障對(duì)計(jì)算機(jī)系統(tǒng)安全已構(gòu)成威脅。
三��、加強(qiáng)金融計(jì)算機(jī)安全保護(hù)體系的建設(shè)
��、潘枷胫匾����,加大投入。現(xiàn)代金融的一個(gè)發(fā)展方向是金融電子化����,金融計(jì)算機(jī)系統(tǒng)的安全是金融電子化的保證。領(lǐng)導(dǎo)和全體干部職工思想上的重視至關(guān)重要���。而重視的表現(xiàn)就在于對(duì)計(jì)算機(jī)安全系統(tǒng)的投入�,包括教育投入和設(shè)備投入����。要舍得花錢,不斷更新舊設(shè)備����,購(gòu)置新設(shè)備。如為系統(tǒng)主機(jī)和關(guān)鍵設(shè)備建專用機(jī)房�,減少運(yùn)行環(huán)境對(duì)系統(tǒng)的影響;添置防病毒軟件�����,預(yù)防電腦病毒的侵入����。
⑵重視軟件開發(fā)與統(tǒng)一�����,完善軟件使用維護(hù)���。軟件的開發(fā)是計(jì)算機(jī)使用的第一步和計(jì)算機(jī)系統(tǒng)安全的重要環(huán)節(jié)��。無(wú)論是開發(fā)金融計(jì)算機(jī)應(yīng)用系統(tǒng)��,還是金融計(jì)算機(jī)管理系統(tǒng)都應(yīng)該把計(jì)算機(jī)安全擺在重要的位置上�。在軟件應(yīng)用的過(guò)程中,計(jì)算機(jī)信息部門要不斷的跟蹤應(yīng)用情況��,及時(shí)了解和修改軟件的缺陷�����。另外����,使用統(tǒng)一的軟件有利于軟件的管理和完善。
�、峭晟乒芾眢w制,加強(qiáng)牽制制度�����,嚴(yán)格執(zhí)行密碼制度和限權(quán)存取����。“三分技術(shù),七分管理”���,計(jì)算機(jī)技術(shù)無(wú)法做到十全十美�,計(jì)算機(jī)安全主要還靠管理��。金融計(jì)算機(jī)系統(tǒng)安全的管理是一個(gè)綜合管理���,要求業(yè)務(wù)部門、技術(shù)部門和安保部門共同參與�、協(xié)作一致。因此就有必要明確各部門的管理職責(zé)��,各施其責(zé)��,共同確保計(jì)算機(jī)系統(tǒng)的安全��。而隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展�,計(jì)算機(jī)安全防范技術(shù)和反計(jì)算機(jī)安全技術(shù)都得到發(fā)展。保衛(wèi)計(jì)算機(jī)系統(tǒng)安全最有效的還是相互牽制制度和事后監(jiān)督制度��,在管理過(guò)程中應(yīng)加以體現(xiàn)���。
���、扰嘤(xùn)全體職工�����,建立考核制度����。在金融現(xiàn)代化的今天����,增加干部職工的計(jì)算機(jī)知識(shí)不僅是業(yè)務(wù)發(fā)展的需要,也是金融計(jì)算機(jī)安全的要求�����。應(yīng)建立計(jì)算機(jī)水平考核制度���,象珠算等級(jí)考試一樣��。經(jīng)過(guò)培訓(xùn)和考核���,普及計(jì)算機(jī)知識(shí),使廣大干部職工克服對(duì)計(jì)算機(jī)的神秘感����,合理地使用計(jì)算機(jī)����。
