- 相關推薦
淺談從國內外信息安全案件看央行資金系統(tǒng)信息安全防范
論文關鍵詞:信息化 中央 資金系統(tǒng) 信息安全
論文摘要:近期發(fā)生的幾起信息安全案件引起業(yè)內人士的高度關注。本文通過分析其共同的特點,指出央行資金系統(tǒng)安全防范的重要性,從內部和外部兩個方面剖析了央行資金系統(tǒng)的安全隱患,并就今后的系統(tǒng)加固提出了針對性的措施
最近有關媒體披露的涉及信息安全的兩起案件引起業(yè)界人士的高度關注,一起是發(fā)生在廣東省的“深圳彩票案”(《南方日:~}2009年7月10日),一起是發(fā)生在湖北省的“地下車管所案”(《楚天都市報)2009年8月25日)。這兩起案件的共同特點是犯罪嫌疑人通過侵入官方信息系統(tǒng),添加、修改數據庫資料,使非法信息合法化,以達到其修改信息竊取資金的目的。兩起案件的犯罪嫌疑人都成功侵人系統(tǒng)并完成數據的修改,攻破了信息系統(tǒng)的安全防線,造成了惡劣的影響。由此想到2008年法囝興業(yè)銀行的“巨額對沖交易虧損案”,該行一名叫熱羅姆·凱維埃爾的低級交易員,由于其有過在后臺]作的經歷,對銀行的信息系統(tǒng)和監(jiān)控流程十分熟悉,通過侵入信息系統(tǒng)虛構對手交易,無限放大自己的交易權限,最終導致49億歐元的巨額損失。三起案件都暴露m信息系統(tǒng)安全防范措施、安全上的缺陷。我圍中央銀行擔負資金匯劃國家主干網的建設、維護和管理角色,每天有幾十萬筆、總額數萬億元的資金出入,不僅保證系統(tǒng)安全穩(wěn)定運行十分重要,防范、防止各類非法侵入,保障資金安全也是一項十分艱巨而又非常重要的任務。
一、中央銀行資金系統(tǒng)信息安全隱患剖析
央行資金系統(tǒng)信息安全是指中央銀行在使用的資金核算、結算系統(tǒng)巾,數據信息在存儲、傳遞和處理過程階段保持其完整、真實、可用和不被泄露的特性,即保密性、完整性、可用性、可控性和可審查性。當前中央銀行資金系統(tǒng)主要有:現代化支付系統(tǒng)、中央銀行核算系統(tǒng)、國庫核算系統(tǒng)以及各地自行開發(fā)的支付系統(tǒng),上述系統(tǒng)岡其服務對象的廣泛性導致安全防范的復雜性:系統(tǒng)接觸的對象不僅包括人民銀行的業(yè)務操作人員、系統(tǒng)管理人員,也包括各商業(yè)銀行直接參與的業(yè)務人員和技術人員,但防范的重點還是人民銀行丁作人員和相關人員。一方面因為商業(yè)銀行根據授權一般無法接觸核心數據庫,僅具有普通的操作權限,從技術上來講對核心數據庫進行修改的可能性微乎其微;另一方面中央銀行可以通過防火墻、入侵檢測、訪問控制、日志分析等技術手段來防范和追蹤來自商業(yè)銀行渠道的不法操作。因此,了解技術的犯罪分子不會選擇通過商業(yè)銀行的渠道來攻擊央行資金系統(tǒng)。“堡壘最容易從內部攻破”這句名言,運用在央行資金系統(tǒng)安全管理上是十分恰當的。
從中央銀行資金系統(tǒng)內部安全管理上看,也存在內部和外部兩類安全隱患。所謂內部安全隱患,是指人民銀行內部工作人員(包括聘用人員)利用其特殊身份,非法入侵系統(tǒng),惡意篡改數據的行為;所謂外部安全隱患,是指圍繞央行資金系統(tǒng)開發(fā)與維護的外部人員(主要是指外包人員),依靠對系統(tǒng)的熟悉、接觸系統(tǒng)的便利和管理上的漏洞,非法入侵系統(tǒng),惡意篡改數據的行為。內部安全隱患主要表現在以下幾個方面:一是操作人員違規(guī)在資金系統(tǒng)上使用外來移動存儲介質或是將移動存儲介質在內外網上串用,導致病毒感染和被掛上木馬程序;二是資金系統(tǒng)網絡隔離不徹底,技術防范不到位,無關人員可以通過局域網輕松訪問資金系統(tǒng)核心數據庫;三是業(yè)務管理上存在漏洞,用戶名、密碼被他人盜用;四是業(yè)務人員與系統(tǒng)管理員兼崗、串崗或換崗,使相互制約的制度成為一紙空文:外部安全隱患主要表現在以下幾個方面:一是系統(tǒng)開發(fā)完成后,開發(fā)方為程序維護方便留有后門,給不法分子通過遠程操作侵入系統(tǒng)留下可乘之機;二是外包人員在系統(tǒng)維護時有意植入木馬,惡意修改系統(tǒng)數據;三是賦予超級用戶過大的權限,使之同時具有業(yè)務操作與系統(tǒng)維護權限或是直接修改數據的權限。
[1]
二、中央資金系統(tǒng)信息安全隱患產生的原因
導致信息安全隱患產生的原因是多方面的,一是技術力量薄弱。央行獨立技術開發(fā)能力不足,重要的資金系統(tǒng)大部分通過外包建設,系統(tǒng)維護特別是基層央行的系統(tǒng)維護必須依靠上級行或外包公司,遠程維護往往給犯罪分子可乘之機。二是對資金系統(tǒng)的安全意識淡薄。相比金庫的安全防范,央行對于資金系統(tǒng)的安全保護意識上還有很大的差距,而事實上一旦資金系統(tǒng)出現問題,損失將遠大于金庫的現金損失。三是規(guī)章制度不落實。近幾年央行圍繞信息系統(tǒng)安全發(fā)布了一系列規(guī)章制度,一定程度上提高了系統(tǒng)安全防范水平,但是有一部分規(guī)章制度特別是涉及到全員必須執(zhí)行的制度,如嚴禁在內網上使用外來儲存介質、業(yè)務系統(tǒng)用戶名密碼必須專人專用等,執(zhí)行得不是很徹底,在中往往發(fā)現落實不到位的問題,在極個別地方還因此導致了案件的發(fā)生。四是重開發(fā),輕防范。近幾年央行為支持發(fā)展推出了以大小額支付系統(tǒng)為代表的現代化支付系統(tǒng),有力地促進了全的資金流轉,提高了資金利用效率,但是相應的防護措施特別是對基層行維護人員的培訓少之又少。五是人手不足產生安全隱患。當前人民銀行能夠既懂業(yè)務又熟悉的工作人員不多,加上近來輪崗的要求,導致業(yè)務人員和系統(tǒng)員的崗位就在僅有的幾個人之間換來換去,留下了安全隱患。
三、強化中央銀行資金系統(tǒng)安全防范的措施
提高資金系統(tǒng)安全防范的根本出路在于提高自我技術開發(fā)與運維能力,盡量避免外包開發(fā)和維護。上述國內外三起案件,外包人員犯罪占了兩起。在當前技術能力無法達到完全自主開發(fā)維護的情況下,加強對外包的管理就顯得尤為重要。一是對外包業(yè)務實行分類管理,將資金系統(tǒng)與一般信息系統(tǒng)分開,對資金系統(tǒng)開發(fā)時應避免外包,如確需外包,驗收時必須經過權威部門的安全評估檢測。維護上要立足于人民銀行內部員工維護,即使維護外包也要做到以我為主,并做到每一次外包維護時都要有內部人員全程監(jiān)督,做好維護處理過程的登記。二是對于資金系統(tǒng)的維護嚴禁遠程操作,關閉一切遠程操作權限。在當前資金系統(tǒng)數據大集中的背景下,個別基層央行苦于技術力量不足,經常需要得到上級行的支持,為圖簡便有時對內開放遠程維護權限,不僅造成權責不明,也留下了安全隱患,對此要高度重視,嚴格禁止。三是對超級用戶實行嚴格的動態(tài)管理,定期對超級用戶進行篩選,及時剔除不用的用戶,對新用戶要更新用戶名和密碼。
對于內部人員的管理,應采取以下措施。一是嚴格執(zhí)行制度,提高執(zhí)行力。主要是要加強學習和完善,通過實踐不斷提高規(guī)章制度的可操作性,使之人腦、人心、融入實際工作中。二是嚴格執(zhí)行輪崗回避制度。對于擔任過同一系統(tǒng)的操作員、系統(tǒng)管理員的,不得相互輪崗和兼崗,明確操作員與系統(tǒng)管理員間的權限劃分,并對操作員實行額度控制。三是強化對賬系統(tǒng)建設,提高對賬頻率,擴大對賬范圍。不僅人民銀行與商業(yè)銀行間要做到每日對賬,人民銀行往來機構間也要定期對賬,特別是今后數據大集中后,總行與各地分支機構必須做到按日對賬。四是提高全員科技素養(yǎng),提升科技人員的技術技能。當前,我們已經進入“沒有信息化,就沒有現代”的時代,掌握信息技術基本技能應成為每個央行人的必備條件,只有全員科技素養(yǎng)提高了,整個央行的信息安全T作才有基礎,對于科技人員應當加大技術培訓尤其是有針對性的核心系統(tǒng)的維護培訓,使之掌握針對資金系統(tǒng)開展的Et常維護的技能,同時在新招錄的人員中科技人員要保持一定的比例。五是要注重科技人員的思想工作,引導科技人員建立正確的人生觀、價值觀和事業(yè)觀,防范風險。具體講就是從工作上、生活上關心科技人員的成長,對于承擔核心業(yè)務系統(tǒng)維護、付出了艱辛的勞動并有技術特長的人員,應該在物質待遇上予以傾斜,在干部的提任上優(yōu)先考慮,使科技骨干對人民銀行的工作有“歸屬感”,從而防止科技人員的流失。
[2]
【淺談從國內外信息安全案件看央行資金系統(tǒng)信息安全防范】相關文章:
網絡信息安全與防范論文05-23
[熱]網絡信息安全與防范論文05-25
淺談電子商務信息安全及安全技術11-28
簡述電力系統(tǒng)信息安全03-11
淺談信息系統(tǒng)的軟件項目管理03-25
網絡信息安全與防范論文15篇【集合】05-25
談企業(yè)信息安全概述及防范03-18
淺議企業(yè)信息安全概述及防范11-22