您的位置:正保会计网校 301 Moved Permanently

301 Moved Permanently


nginx
 > 正文

浅析邮政金融计算机风险防范

2006-03-11 00:00 来源:

  一、邮政金融计算机风险的分析

  “绿卡工程”自启动至今,已取得了长足的发展。邮政“绿卡”以其全国联网、通存通兑的功能,给广大储户提供了快捷、方便、灵活的服务,提高了邮政储蓄的经营效益,然而邮储人员风险意识差、素质不一、管理存在漏洞以及电子化安全系统软硬件建设相对滞后等问题也同时暴露出来。1999年全国邮政储蓄发生计算机案件20起,涉及金额609万元,占全年案件总额的15%.邮政储蓄已成为金融犯罪分子攻击的目标之一,储汇资金安全已受到严重威胁。笔者认为造成此类案件多发的主要原因可归纳为以下三个方面。

  (一)操作风险

  操作风险是指在邮政金融电子化业务中,由于操作者自身业务素质不高或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现是,前台工作人员柜面把关不严,凭证、存单(折)审查流于形式,办理支取手续不严谨;对一些异常行为,如当日频繁大额支取现金,存折一次性大额支现、销户或遗忘变更存折密码等行为缺乏必要的警觉性。这些都使犯罪分子有了可乘之机。

  (二)制度风险

  制度风险是指在邮政金融电子化业务中,由于稽核部门监督手段落后以及制度制定有漏洞或执行不到位所造成的潜在风险。主要表现为:

  1.内控制度执行不严。内控制度执行不到位是滋生邮政金融计算机犯罪的土壤。计算机内控制度的核心是权限制约,但在实际操作过程中权限制约经常不能得到有效落实。一是权限设置不合理,过于集中,特别是网络中心的管理员与程序员在不少单位由一个人兼任;二是相互间密码串用,甚至以“信任代替制度”,形成一人全过程办理业务的状况;三是密码设置简单甚至未设置,或保管不严,更换不及时,被他人窥视破译。

  2.检查监督力度不够,检查内容缺乏必要的深度和广度。检查监督人员仅满足于传统意义上的帐平表准,着重于对静态资料的审计,侧重于对本地业务的监督,忽视对动态操作以及权限密码的制约检查,弱化了风险审计。

  3.邮储内部的稽核监督工作严重滞后于业务的发展。邮储业务网络化水平在不断提高,但是受传统观念的影响,稽核部门监督检查的范围仍局限于邮储业务本身,而忽视了整个邮储业务的技术支撑体系,即对计算机网络安全性的稽审,对不法分子利用网络系统犯罪的隐蔽性、时效性缺少必要的防范措施。当前普遍存在的一个问题是,对于计算机网络处理的业务,通常只是对输入和输出数据进行审核,把计算机网络视作接收数据输入和产生信息输出的“黑箱”,形成一种绕过计算机网络审核的现象。

  (三)管理风险

  管理风险是指由于对计算机安全防范认识不足,以及在计算机安全管理中科技与资金投入不足所造成的风险。主要表现在:

  1.计算机安全管理体制不健全。多数支局所没有专门从事计算机安全管理的机构,科技人员单兵作战,除了承担业务软件的推广应用,还要负责设备的维护与管理,往往是顾此失彼。各职能部门如保卫、稽核和纪检还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。现行的计算机安全管理制度难以适应邮政金融计算机发展的需要,没有及时完善网络安全运行管理、密码专人管理、操作员管理、媒体存放管理等制度,并且在制度落实上,也是情况堪忧。

  2.计算机软硬件系统安全技术薄弱。一是电子数据、资料、程序管理不严密,数据磁盘随意带出,打印作废的有关储户存款等信息资料随意乱扔;二是数据通信传输未加密或加密方法简单,使犯罪分子有可乘之机;三是安全防范基础设施配备不足,如主机房和营业厅等重要部门没有配备防火、防水、防盗设备,没有安装监控报警设备等。

  二、邮政金融计算机风险的防范

  当前,金融电子化已成为一大发展方向,为确保其在邮政金融的建设中稳步发展,防止计算机案件的发生,确保储汇资金的安全与完整,切实将风险化解在基层,化解在一线,建议做好以下三方面的风险防范工作。

  (一)操作风险的防范

  1.严格划分权限,加强内控制约。一是要将操作员、系统管理员、程序员的“三权”真正分离,三者之间决不允许相互兼任。程序员修改程序要经网络中心负责人审查同意,同时要将修改时间、修改内容、修改人员等情况予以详细记录,平时不得在超级用户状态下进行操作。二是应用系统的记帐、复核、会计等操作权限也要分离制约,特别是前后台的业务界限要划分清楚,禁止职责交叉,混岗操作。三是严格操作员密码管理,一人一码,一码一密,定期不定期更换,严禁泄密、串用。四是严禁操作人员在未退到初始登录状态前中途离柜。

  2.加强数据信息的保密工作和凭证的验密管理。一是加强对程序盘、打印资料的管理。每天备份的数据盘要入库入柜保管,动用备份数据盘必须经业务主管签字同意,相关情况在登记簿上予以详细说明;打印的资料及时收集归档,作废的有关打印资料要及时销毁,不得流失在外,以免被犯罪分子利用。二是凡是用以办理通存通兑的存单(折)均需设置密码,未设密码的,各营业网点概不受理其通兑业务。三是密码应由储户用密码小键盘自行输入,支取时,储户提供的密码与计算机应用系统的隐形密码自动核对,相符后方可办理业务。四是储户密码遗失时,一般操作员应无权查询,只有具有主管员权限的人员才能按照规定查询访问。

  3.加强对邮政金融计算机系统安全的技术研究,使技术防范工作做到可靠、先进、超前。要在识别凭证真伪上下功夫,对打印存单要加技术控制,防止套打空白存单,积极推广使用先进的防伪技术,确保有效识别假冒存单(折)、支票等结算凭证。

  (二)制度风险的防范

  为提高稽核检查的成效,必须改革原有传统稽核检查模式,建立起一套适应当前业务发展需要的全新思维模式和审计制度,从计算机软硬件管理、人员配备、动态操作、帐务管理等方面进行全方位的审计监控,以风险防范为目的,堵塞漏洞,不留死角。

  1.加强人事管理。根据接触系统和操作的密级选择适当人选;对相关人员的技术水平、工作态度、工作表现要进行定期考评,适时进行岗位轮换。

  2.加强规章制度建设。针对软件开发人员、系统维护人员、业务操作人员的工作职责,分别建立一套职责明确的管理制度,以便分清职责、互相监督;建立密码管理制度,重要的密码要由不同人员分段掌握,密码要定期更换并严格控制密码的扩散范围;对应用软件要安排专人管理,未经有关负责人的批准不得随意修改软件,确因业务需要而必须修改的软件,在修改完成后要及时入库登记,同时附软件修改说明书和测试报告,严禁将应用软件外流、外泄;建立并严格执行机房管理制度,切忌用信任代替制度,机房要有专人管理,划分禁区等级,分职责进入。

  3.加强计算机稽核和监管。对帐务和应用系统使用稽核软件分别进行实时和定期检查;对每台终端、每个用户的操作进行记录,以便保留原始操作信息,进行操作信息的安全跟踪。

  4.加大内部稽审力度。内部稽查审计部门应合理配备技术和专业人员,积极参与软件开发和研制过程,使其从软件需求设计的起始阶段,即实行有效的监督和管理;另一方面,利用现有邮储网络系统优势,尽快研制网上随机监测软件,逐步建立起能够主动监测,有效防范金融计算机犯罪的安全系统,把风险隐患消灭在萌芽状态。

  (三)管理风险的防范

  1.建立计算机安全及风险防范领导组织体系。各级领导要重视计算机安全工作,将计算机风险防范纳入工作日程,要尽快成立“计算机安全领导小组”,各相关职能部门要形成合力加大对计算机风险管理的力度,并从领导到职工层层签订安全责任状,营造出“科技安全,人人有责”的良好氛围。“安全领导小组”要对容易出现问题的环节开展经常性检查,防止事故发生,并定期通报计算机安全运行情况及各部门落实制度情况。有条件的部门可在“计算机安全领导小组”下设立“安全技术应急反应中心”,对网络中出现的安全问题提供技术支援和解决方案,定期公布网络中出现的安全问题及解决措施,预告提示网络中可能出现的安全问题及解决措施。

  2.各级主管领导应重视并加大科技投入,加强基础设施安全防范工作,对机房等重要设施要作为要害部门严格管理,配备防火、防水、防盗及闭路电视监控设备,安装的监控报警设施必须同公安机关“110”报警系统联网。

  此外,还应加强邮政金融从业人员的法制教育和计算机安全教育,增强他们对金融计算机犯罪的风险防范意识和有效识别能力;努力提高科技人员管理计算机、处理计算机故障、防范计算机风险的能力;抓好计算机知识的普及和培训,提高职工的科技素质,从根本上实现计算机的安全与稳定运行,为邮政金融事业的发展服务。