警惕:银行计算机管理的安全隐患
众所周知,金融业的信息安全,对于国家安全、社会稳定、人民生命财产的保护等都具有十分重要的意见和作用。在当前金融信息化程度还较为有限的情况下,各种网上金融犯罪、银行卡诈骗等事件屡见不鲜。当电子银行、电子货币、网上银行、电子商务,以及无纸贸易等由信息化支持的金融支付、转移业务迅速发展的时候,如果不能加强防犯,很难想象将来会是何种局面。因此我们呼吁,不要等到网上银行出现重大问题时,才来考虑金融业的信息安全问题。
金融信息安全需要构建安全防御体系,信息安全是一个十分宽泛的概念。信息安全具有保密
、完整
、可用
(含可控
和抗抵赖)等安全特
表征。就像产品的数量与质量的关系一样,信息系统与信息安全是完全不可分割的整体。没有一点安全
的信息系统是不存在的,否则就失去了建立信息系统的意义。
近几年来,各银行加大了对计算机安全工作的重视程度,银行业计算机安全管理工作逐步走向规范,计算机安全管理水平有了较大的提高。但由于科技力量还较为薄弱,人员也较少等原因,不少基层银行计算机管理没有完全遵循网络信息系统安全管理规范,计算机管理工作存在不少安全隐患。
计算机安全工作多由一个人独立完成。按照安全管理原则,网络信息系统的安全管理应实行多人负责,每一项与安全有关的活动,都必须有两人或多人在场,他们应该签署工作情况记录以证明安全工作已得到保障。目前许多县市级银行机构一般只有一个计算机安全人员,所有与计算机安全有关的工作都由一个人完成。
计算机安全员任期过长,甚至无限期。为遵循安全管理任期有限的原则,计算机安全员应不定期地循环任职,实行强制休假,并进行轮
培训等,以免任期有限制度名存实亡。在有的县市,银行计算机安全员长期由一人担任,有的行设立该岗位以来从没有换过人,这个职务几乎是专有的或永久的。
计算机安全人员与计算机技术人员职责不离,甚至同一人同时担任两个职务。按照计算机安全管理原则,除非经主管领导批准,信息处理系统工作人员不要了解或参与职责以外的任何与安全有关的事情。出于安全的考虑,下面每组的两项信息处理工作应当分开:计算机操作与编程;机密资料的接送与传递;安全管理与系统管理;应用程序和系统程序的编制;访问证件的管理与其他工作;计算机操作与信息处理系统使用媒介的保管等。目前在不少县市,银行计算机安全员由计算机管理人员或科技人员兼任,监管者与被监管者同为一人,所有工作也一手清,计算机安全管理地从谈起。
近几年来,计算机犯罪中的相当一部分是内部人员作案,相当多的是从事信息系统工作的管理人员和操作人员,有的还是从事这种职业的骨干精英。为防范和杜绝各类计算机安全事故发生,需要切实加强计算机安全管理。一是要提升安全防范意识,牢固树立“安全第一”的思想,建立健全计算机安全工作制度;二是要加大对计算机安全员的培训力度,扩大科技人员、计算机知识的普及,银行计算机应用水平有了极大提高,掌握计算机知识的员工越来越多,这对扩大科技队伍、扩充计算机安全人员储备提供了保障;三是要规范岗位设置,明确职责分工。应明确划定各业务应用系统计算机管理人员、计算机安全员、技术服务人员及业务操作人员的职责,明确不能由一个兼任过多的现象;四是要加大对计算机管理人员及安全员的监督检查力度,严格对计算机安全员的资格审查,对科技人员、计算机机安全人员应采取适当的方式进行定期检查,对计算机安全员、科技人员、操作人员实行定期轮换制度。
M.XziXs.CoM