出版日期：2002-02-25　总期号：1095　本年期号：12

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场

金融科技也要谨防风险 宋玉长 　　随着金融电子化水平的不断提高，金融行业对计算机的依赖程度日益加深，金融计算机系统的安全重要性也与日俱增。 　　加强金融计算机安全的管理工作，不仅是金融行业的大事，也是关系到国家安全和稳定的大事。 　　金融计算机风险 　　金融计算机风险，是指金融业在进行技术创新和实现金融电子化过程中广泛使用计算机技术、网络通信技术，而计算机本身（包括硬件、软件、操作系统等）和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性，潜伏着许多不安全因素而造成的潜在的或已发生的风险。从我国的现行情况来看，金融科技风险主要表现在以下几个方面： 　　1.对计算机安全认识不足。一是基层银行计算机管理工作薄弱，大多数县支行只配备了一名计算机专业人员，并且这些计算机专业人员定编不统一；二是有关内控制度执行不严，一些营业网点在计算机应用中不能够很好地落实分级授权原则，系统管理员、主管级操作员的口令掌握在记账员一人手中，此外，各营业网点计算机终端直接放在柜台上处理业务，一些营业网点安全管理不严格，工作人员安全意识淡薄，为社会上一些不法分子进行计算机犯罪提供了可能。 　　2.非法用户侵入带来的安全风险。某些“黑客”利用高科技手段，通过窃取银行合法用户密码、网址等信息，以合法身份联入金融计算机网络系统进行破坏活动。由于网络系统分散在各地，任何侵害行为的发生极不容易察觉，所以其造成的危害将更加严重。 　　3.电子设备所处的环境不良带来的安全风险。环境对电子化安全威胁主要表现在两个方面：一是运行环境中计算机病毒的侵害。二是计算机实体的物理环境不符合安全要求造成的风险。目前，省市地行计算机机房设置标准较好，物理环境的安全威胁不突出。而基层行处各营业网点的计算机设备安装环境较差，安全威胁较大。 　　4.软件问题带来的运行风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密，出现应用系统在超级用户下运行，文件权限设置不正确，业务数据以明码形式存放，容错能力差等现象，导致系统在运行过程中账务错乱，数据信息被破坏等，严重的导致系统崩溃，从而带来系统运行风险。 　　5.业务人员对使用不当引起的安全风险。基层网点业务人员素质跟不上高速发展的金融电子化建设的步伐，对银行推出的硬件设备以及金融电子化产品和服务功能不熟悉，使用不当而引发工作效率不高乃至造成系统故障，损坏现代银行形象。 　　6.银行科技支援服务部门对网点服务响应不及时、不周到或不恰当引起的安全风险。 　　7.意外事故引起的运行安全风险。如供电系统故障及地震、雷击等灾难引起的风险。 　　防范金融风险的建议 　　金融计算机风险，影响正常的业务处理，破坏金融机构的数据信息资料，严重影响着客户的利益和金融机构的资金安全。加强计算机安全管理，防范金融科技风险是金融部门一项长期的、系统的任务，不能仅靠某一部门搞单打，也不能只阶段性地抓一抓，要举全体之力，艰苦探索，长抓不懈。当前，我们认为金融部门应从以下几方面抓好落实： 　　1.加大计算机安全宣传力度，提高银行各级员工对计算机安全重要性的认识。 　　2.建立健全管理规章及制度。 　　3.提高银行应用系统的安全保障水平。银行不论是在开发或是购置应用软件时，都要把安全保障放在首要地位。银行自身开发软件要注意采取可靠的加密技术，对计算机数据进行加密。比如，采取现在比较先进的三级密钥管理体制（密钥、主密钥、交易密钥）确保计算机网络间数据的完整性和保密性；在柜台应用系统中，设计五级用户权限（操作员口令、复核员口令、业务主管口令、部门负责人口令、系统管理员口令），重要交易和操作实行分段分人控制，并且由系统硬性要求用户密码定期更换（一般30天）。 　　4.提供符合标准的硬件运行环境。 　　5.进一步完善内部安全管理机制，并抓好落实。 　　6.加强软件系统的管理，使其运行安全可靠。 　　（1）操作系统级别的防范：防止非法使用系统资源，指定专人进行系统操作，及时清理各种垃圾文件。对一切操作要有记录，以防误操作损坏软件系统或业务数据。应用系统的运行环境应封闭，防止一般用户非法闯入操作系统，尤其要限制应用终端进行系统操作。 　　（2）数据是银行计算机系统安全防范的核心，严格规定访问数据库的各级权限，实现权限等级管理，严禁越权操作，密码强制定期修改。涉及机密的数据信息首先要加密，然后再传输、存储。对数据库本身的安全脆弱问题，要作相应处理。对数据要进行多重备份。以便发生意外掉电这样不可预见性故障时能提供快速恢复手段，以保证数据信息的完整性。 　　（3）加强软件系统运行环境的安全管理，主要是防止计算机病毒的侵蚀，一是通过一定的技术措施和行政手段防止计算机病毒对计算机及网络系统的入侵和传染。二是完善检测病毒措施。就是经常通过一定的技术手段检测计算机或程序是否染上了病毒。一旦检测出病毒感染，就要做好及时的清毒处理，以防病毒的进一步感染与传播。 　　（4）加强计算机的稽核、监管职能，对账务和应用系统定期用稽核程序进行检查。对每台终端每个用户的每个操作情况进行现场记录，记载系统的运行情况，以便留下操作信息，进行操作信息的安全跟踪。建立正常的业务记录档案，记录业务的发生情况、时间、操作者。对转换业务数据这样的特殊情况更要详细记录以备查。 　　7.加大计算机网络的安全防范力度，防范黑客的侵入攻击。随着金融业对网络依性不断增强，安全任务也越来越艰巨，对网络应采取安全措施加以防范。 　　8.加大力度建立和完善银行计算机应用的各类考核激励机制。