【摘 要】 随着我国金融电子化建设的快速发展,计算机应用已经进入了金融领域的各个层面,越来越多的关键业务必须通过计算机系统进行,计算机信息安全与防范成为金融机构亟待解决的问题。面对日益猖獗的黑客攻击,金融领域计算机安全防范体系面临巨大的挑战。
【关键词】 金融 计算机 安全与防范
随着金融领域信息技术的快速发展,计算机应用于金融服务的规模在逐步扩大,金融信息资产的数量也在急剧增加,涉及金融的计算机犯罪案件也大幅提升,大量的信息资产需要进行有效的管控和保护,金融领域计算机信息安全管理面临越来越严峻的挑战。
1 金融信息安全分析
近年来,计算机网络犯罪在金融行业尤为突出,金融行业计算机网络犯罪案件发案比例占整个计算机犯罪比例高达60%以上。综合分析案例可归纳如下。
1.1 安全威胁及表现形式
金融计算机网络由于它自身具有的特性,如形式的多样性、终端分布的广泛性、网络的开放性和互联性等,使得网络极易受到来自黑客、恶意软件、病毒等的攻击。
安全威胁主要来自:(1)网络滥用:用户内、外网络滥用,以及非法移动、设备和业务滥用等。(2)信息泄露:信息被泄露给非授权的实体。(3)完整性破坏。通过漏洞利用、授权侵犯、木马病毒等方式。(4)拒绝服务攻击:拒绝用户合法地访问信息或资源,或者推迟与时间密切相关的操作。
安全威胁主要表现:(1)窃听。通过监视网络数据等技术手段,获得重要的系统信息,导致金融网络信息的泄密。(2)篡改。合法用户之间的通信信息被入侵后,攻击者将修改后的伪造信息发送给接收者。(3)拒绝服务:攻击者通过某种方法植入恶意程序使系统响应减慢甚至瘫痪。(4)非授权访问。未经同意使用指定的网络或计算机资源。(5)病毒。攻击者通过网络传播计算机病毒。
1.2 犯罪的主要特征和常用手段
犯罪的特征:(1)内部人员居多。了解和熟悉业务和内控的内部人员,更容易达到犯罪的目的。(2)手段较为隐蔽,痕迹不明显:犯罪分子大多熟悉计算机技术和业务操作规程,作案时间短,所留痕迹少,不易被侦破。(3)情节严重:金融计算机犯罪大案无数,令人触目惊心。(4)社会危害严重。由于金融的特殊地位和其在保持社会稳定方面所起的重要作用,金融案件会带来社会不稳定因素。
犯罪的手段:记账员作案和终端复核员利用直接操作计算机进行犯罪;系统管理员往往借助管理系统的特殊权限作案;另外还有软硬件人员作案、内部及外部人员作案等。
1.3 信息泄密途径
(1)电磁波辐射泄密。犯罪分子借助高灵敏的仪器设备接收计算机设备工作时辐射出的电磁波,可以监测到计算机正在处理的信息。(2)剩磁效应泄密。计算机存储介质中的信息被删除后有时仍会留下可读的信息痕迹,犯罪分子可以非法利用磁盘剩磁效应提取原记录的信息。(3)联网泄密。局域网和互联网没有做到完全的物理隔离可能使计算机遭到黑客、病毒等的攻击。另外,登陆口令不注意保密和及时更换,超级用户管理不善,信息传输不进行加密处理等,也会导致泄密。
1.4 犯罪的成因
(1)防范意识差,抵御能力低。管理者对计算机犯罪的危害性认识有限,防范意识薄弱,堵截能力差,同时,计算机安全组织不健全,对有关人员安全教育不到位,没有形成强有力的安全抵御防线。这些都是导致计算机犯罪案件发生的重要因素。(2)内部控制不完备,管理制度落实不力。金融主管部门对计算机安全检查、监督不力,不能及时发现和堵塞安全漏洞。(3)管理手段滞后,应急预案不到位。项目运行等环节没有一套完整、科学的安全防范体系,给犯罪分子利用计算机作案提供了可乘之机。应急预案缺乏演练,事故处理能力低。
2 金融信息安全防范措施
2.1 制度层面的保障
金融部门要参照有关的法规、条例,制定出比较全面的切实可行的安全管理制度。如:机房及工作场地、硬件设备、操作系统和数据库、计算机网络、应用系统软件、口令。
2.2 管理保障
首先要提高安全管理意识,加大安全管理力度。要充分认识到计算机犯罪对金融信誉和资金的危害,强化职工安全教育。第二要加大要害岗位人员的审查和管理,认真部署计算机安全防范工作,提高系统、网络的管理能力。第三加强对设备、存储介质的管理,对存储过涉密文件的存储介质,要明确标示密级、编号,统一登记管理,严格执行报废销毁制度。第四对涉密场所要设立相应的保密控制区,明确专人负责维护与保障。做到上网信息不涉密、涉密信息不上网,执行信息披露审批制度。
2.3 技术保障
(1)设置权限。分级设置内联网计算机管理权限、操作权限和维护权限,对不同的人员设置等级不同的权限。(2)严防电磁波辐射泄密。尽量选购、使用低辐射计算机设备。根据客观环境,对计算机机房或主机内部件加以屏蔽,或者安装微机视频保护机等设施,采取有效的技术措施,对计算机的辐射信号进行干扰,保护计算机辐射的秘密信息。(3)严格物理隔离措施。重要业务计算机信息系统与国际互联网或其他公共信息网络实行物理隔离。与互联网相连的计算机不得存储、处理和传递内部信息,在互联网上提取的信息也必须经杀毒处理后再接入内联网供内部使用。(4)规范存储介质的管理。严格按照国家相关保密规定,进行涉密信息、存储和销毁。使用移动存储介质要有严格的安全措施,防止病毒、木马等传入。(5)重视业务数据的加密。在软件开发过程中加大对加密软件的投入,对重点涉密的应用程序软件,加密设计要达到网络级水平,最大限度地保证信息的安全与保密。对涉密信息加密保存,计算机要设置开机密码、屏保密码等。
3 结语
总之,金融系统的计算机网络犯罪根本原因是网络自身的安全隐患无法根除,金融人员防范意识有待提高。只有建立完整的安全管理制度,明确各自的安全职责,加强信息交流和安全技术交流,制定科学的安全策略,采取有效措施和步骤,形成整体的防范力量,构建起强有力的金融信息安全体系,才能赢造金融信息系统更加稳健的运行环境,更好的为经济建设服务。
参考文献:
[1]陈进,崔金红.《电子金融服务》.浙江大学出版社,2010年.
[2](英)高尔曼.《计算机安全学(原书第二版)》.机械工业出版社,2008年.
[3]蒋睿,胡爱群等.《网络信息安全理论与技术》.华中科技大学出版社,2007年.
[4]江常青.《信息安全保障基础》.航空工业出版社,2009年.