淺談從國內外信息安全案件看央行資金系統信息安全防范

  　論文關(guān)鍵詞：信息化 中央 資金系統 信息安全

　　論文摘要：近期發(fā)生的幾起信息安全案件引起業(yè)內人士的高度關(guān)注。本文通過(guò)分析其共同的特點(diǎn)，指出央行資金系統安全防范的重要性，從內部和外部?jì)蓚�(gè)方面剖析了央行資金系統的安全隱患，并就今后的系統加固提出了針對性的措施

　　最近有關(guān)媒體披露的涉及信息安全的兩起案件引起業(yè)界人士的高度關(guān)注，一起是發(fā)生在廣東省的“深圳彩票案”(《南方日：~}2009年7月10日)，一起是發(fā)生在湖北省的“地下車(chē)管所案”(《楚天都市報)2009年8月25日)。這兩起案件的共同特點(diǎn)是犯罪嫌疑人通過(guò)侵入官方信息系統，添加、修改數據庫資料，使非法信息合法化，以達到其修改信息竊取資金的目的。兩起案件的犯罪嫌疑人都成功侵人系統并完成數據的修改，攻破了信息系統的安全防線(xiàn)，造成了惡劣的影響。由此想到2008年法囝興業(yè)銀行的“巨額對沖交易虧損案”，該行一名叫熱羅姆·凱維埃爾的低級交易員，由于其有過(guò)在后臺]作的經(jīng)歷，對銀行的信息系統和監控流程十分熟悉，通過(guò)侵入信息系統虛構對手交易，無(wú)限放大自己的交易權限，最終導致49億歐元的巨額損失。三起案件都暴露m信息系統安全防范措施、安全上的缺陷。我圍中央銀行擔負資金匯劃國家主干網(wǎng)的建設、維護和管理角色，每天有幾十萬(wàn)筆、總額數萬(wàn)億元的資金出入，不僅保證系統安全穩定運行十分重要，防范、防止各類(lèi)非法侵入，保障資金安全也是一項十分艱巨而又非常重要的任務(wù)。

　　一、中央銀行資金系統信息安全隱患剖析

　　央行資金系統信息安全是指中央銀行在使用的資金核算、結算系統巾，數據信息在存儲、傳遞和處理過(guò)程階段保持其完整、真實(shí)、可用和不被泄露的特性，即保密性、完整性、可用性、可控性和可審查性。當前中央銀行資金系統主要有：現代化支付系統、中央銀行核算系統、國庫核算系統以及各地自行開(kāi)發(fā)的支付系統，上述系統岡其服務(wù)對象的廣泛性導致安全防范的復雜性：系統接觸的對象不僅包括人民銀行的業(yè)務(wù)操作人員、系統管理人員，也包括各商業(yè)銀行直接參與的業(yè)務(wù)人員和技術(shù)人員，但防范的重點(diǎn)還是人民銀行丁作人員和相關(guān)人員。一方面因為商業(yè)銀行根據授權一般無(wú)法接觸核心數據庫，僅具有普通的操作權限，從技術(shù)上來(lái)講對核心數據庫進(jìn)行修改的可能性微乎其微；另一方面中央銀行可以通過(guò)防火墻、入侵檢測、訪(fǎng)問(wèn)控制、日志分析等技術(shù)手段來(lái)防范和追蹤來(lái)自商業(yè)銀行渠道的不法操作。因此，了解技術(shù)的犯罪分子不會(huì )選擇通過(guò)商業(yè)銀行的渠道來(lái)攻擊央行資金系統�！氨�壘最容易從內部攻破”這句名言，運用在央行資金系統安全管理上是十分恰當的。

　　從中央銀行資金系統內部安全管理上看，也存在內部和外部?jì)深?lèi)安全隱患。所謂內部安全隱患，是指人民銀行內部工作人員(包括聘用人員)利用其特殊身份，非法入侵系統，惡意篡改數據的行為；所謂外部安全隱患，是指圍繞央行資金系統開(kāi)發(fā)與維護的外部人員(主要是指外包人員)，依靠對系統的熟悉、接觸系統的便利和管理上的漏洞，非法入侵系統，惡意篡改數據的行為。內部安全隱患主要表現在以下幾個(gè)方面：一是操作人員違規在資金系統上使用外來(lái)移動(dòng)存儲介質(zhì)或是將移動(dòng)存儲介質(zhì)在內外網(wǎng)上串用，導致病毒感染和被掛上木馬程序；二是資金系統網(wǎng)絡(luò )隔離不徹底，技術(shù)防范不到位，無(wú)關(guān)人員可以通過(guò)局域網(wǎng)輕松訪(fǎng)問(wèn)資金系統核心數據庫；三是業(yè)務(wù)管理上存在漏洞，用戶(hù)名、密碼被他人盜用；四是業(yè)務(wù)人員與系統管理員兼崗、串崗或換崗，使相互制約的制度成為一紙空文：外部安全隱患主要表現在以下幾個(gè)方面：一是系統開(kāi)發(fā)完成后，開(kāi)發(fā)方為程序維護方便留有后門(mén)，給不法分子通過(guò)遠程操作侵入系統留下可乘之機；二是外包人員在系統維護時(shí)有意植入木馬，惡意修改系統數據；三是賦予超級用戶(hù)過(guò)大的權限，使之同時(shí)具有業(yè)務(wù)操作與系統維護權限或是直接修改數據的權限。

[1]   

　　二、中央資金系統信息安全隱患產(chǎn)生的原因

　　導致信息安全隱患產(chǎn)生的原因是多方面的，一是技術(shù)力量薄弱。央行獨立技術(shù)開(kāi)發(fā)能力不足，重要的資金系統大部分通過(guò)外包建設，系統維護特別是基層央行的系統維護必須依靠上級行或外包公司，遠程維護往往給犯罪分子可乘之機。二是對資金系統的安全意識淡薄。相比金庫的安全防范，央行對于資金系統的安全保護意識上還有很大的差距，而事實(shí)上一旦資金系統出現問(wèn)題，損失將遠大于金庫的現金損失。三是規章制度不落實(shí)。近幾年央行圍繞信息系統安全發(fā)布了一系列規章制度，一定程度上提高了系統安全防范水平，但是有一部分規章制度特別是涉及到全員必須執行的制度，如嚴禁在內網(wǎng)上使用外來(lái)儲存介質(zhì)、業(yè)務(wù)系統用戶(hù)名密碼必須專(zhuān)人專(zhuān)用等，執行得不是很徹底，在中往往發(fā)現落實(shí)不到位的問(wèn)題，在極個(gè)別地方還因此導致了案件的發(fā)生。四是重開(kāi)發(fā)，輕防范。近幾年央行為支持發(fā)展推出了以大小額支付系統為代表的現代化支付系統，有力地促進(jìn)了全的資金流轉，提高了資金利用效率，但是相應的防護措施特別是對基層行維護人員的培訓少之又少。五是人手不足產(chǎn)生安全隱患。當前人民銀行能夠既懂業(yè)務(wù)又熟悉的工作人員不多，加上近來(lái)輪崗的要求，導致業(yè)務(wù)人員和系統員的崗位就在僅有的幾個(gè)人之間換來(lái)?yè)Q去，留下了安全隱患。

　　三、強化中央銀行資金系統安全防范的措施

　　提高資金系統安全防范的根本出路在于提高自我技術(shù)開(kāi)發(fā)與運維能力，盡量避免外包開(kāi)發(fā)和維護。上述國內外三起案件，外包人員犯罪占了兩起。在當前技術(shù)能力無(wú)法達到完全自主開(kāi)發(fā)維護的情況下，加強對外包的管理就顯得尤為重要。一是對外包業(yè)務(wù)實(shí)行分類(lèi)管理，將資金系統與一般信息系統分開(kāi)，對資金系統開(kāi)發(fā)時(shí)應避免外包，如確需外包，驗收時(shí)必須經(jīng)過(guò)權威部門(mén)的安全評估檢測。維護上要立足于人民銀行內部員工維護，即使維護外包也要做到以我為主，并做到每一次外包維護時(shí)都要有內部人員全程監督，做好維護處理過(guò)程的登記。二是對于資金系統的維護嚴禁遠程操作，關(guān)閉一切遠程操作權限。在當前資金系統數據大集中的背景下，個(gè)別基層央行苦于技術(shù)力量不足，經(jīng)常需要得到上級行的支持，為圖簡(jiǎn)便有時(shí)對內開(kāi)放遠程維護權限，不僅造成權責不明，也留下了安全隱患，對此要高度重視，嚴格禁止。三是對超級用戶(hù)實(shí)行嚴格的動(dòng)態(tài)管理，定期對超級用戶(hù)進(jìn)行篩選，及時(shí)剔除不用的用戶(hù)，對新用戶(hù)要更新用戶(hù)名和密碼。

　　對于內部人員的管理，應采取以下措施。一是嚴格執行制度，提高執行力。主要是要加強學(xué)習和完善，通過(guò)實(shí)踐不斷提高規章制度的可操作性，使之人腦、人心、融入實(shí)際工作中。二是嚴格執行輪崗回避制度。對于擔任過(guò)同一系統的操作員、系統管理員的，不得相互輪崗和兼崗，明確操作員與系統管理員間的權限劃分，并對操作員實(shí)行額度控制。三是強化對賬系統建設，提高對賬頻率，擴大對賬范圍。不僅人民銀行與商業(yè)銀行間要做到每日對賬，人民銀行往來(lái)機構間也要定期對賬，特別是今后數據大集中后，總行與各地分支機構必須做到按日對賬。四是提高全員科技素養，提升科技人員的技術(shù)技能。當前，我們已經(jīng)進(jìn)入“沒(méi)有信息化，就沒(méi)有現代”的時(shí)代，掌握信息技術(shù)基本技能應成為每個(gè)央行人的必備條件，只有全員科技素養提高了，整個(gè)央行的信息安全T作才有基礎，對于科技人員應當加大技術(shù)培訓尤其是有針對性的核心系統的維護培訓，使之掌握針對資金系統開(kāi)展的Et常維護的技能，同時(shí)在新招錄的人員中科技人員要保持一定的比例。五是要注重科技人員的思想工作，引導科技人員建立正確的人生觀(guān)、價(jià)值觀(guān)和事業(yè)觀(guān)，防范風(fēng)險。具體講就是從工作上、生活上關(guān)心科技人員的成長(cháng)，對于承擔核心業(yè)務(wù)系統維護、付出了艱辛的勞動(dòng)并有技術(shù)特長(cháng)的人員，應該在物質(zhì)待遇上予以?xún)A斜，在干部的提任上優(yōu)先考慮，使科技骨干對人民銀行的工作有“歸屬感”，從而防止科技人員的流失。

   [2] 

【淺談從國內外信息安全案件看央行資金系統信息安全防范】相關(guān)文章：

網(wǎng)絡(luò )信息安全與防范論文05-23

[熱]網(wǎng)絡(luò )信息安全與防范論文05-25

淺談電子商務(wù)信息安全及安全技術(shù)11-28

簡(jiǎn)述電力系統信息安全03-11

淺談信息系統的軟件項目管理03-25

網(wǎng)絡(luò )信息安全與防范論文15篇【集合】05-25

談企業(yè)信息安全概述及防范03-18

淺議企業(yè)信息安全概述及防范11-22

【優(yōu)選】網(wǎng)絡(luò )信息安全與防范論文15篇05-24