銀行計算機網路風險防範與對策研究

隨著中國入世對銀行業帶來的的巨大沖擊，我國各家銀行機構都在不斷的進行業務創新，從而極大的促進了計算機及網路技術在銀行業務領域的廣泛應用，也使得各家銀行機構的電子化水平及服務水平都得到了不斷提高，不論是在服務層面或是管理層面都在逐步與世界接軌。

我國銀行業已經普遍使用諸如商業銀行的門櫃系統、信貸系統、統計管理系統、電子聯行，人民銀行的信貸諮詢管理系統等，使用的作業系統也有Windows98、WindowsNT、UNIX、OS/2等，隨著電子銀行、自動櫃員系統、綜合業務系統等大量的投入使用，計算機及網路風險防範問題日益突出。

一、銀行業計算機及網路風險的表現形式

所謂銀行計算機及網路風險是指銀行業在進行技術創新和實現銀行電子化過程中廣泛使用計算機技術、網路通訊技術，而計算機本身（包括硬體、軟體、作業系統等）和涉及電腦保安管理的制度缺乏有效的科學性、規範性和完善性，潛伏著許多不安全因素而造成的潛在的或已發生的風險。主要表現為計算機系統故障、安全事故和計算機犯罪。銀行計算機及網路風險具有突發性強、範圍廣、影響大等特點。結合銀行業務的特點，銀行計算機及網路風險可粗分為實體風險、硬體風險、軟體風險、資訊管理風險和計算機犯罪五大類。

（一）實體風險。

實體風險是人為地對計算機中心及其設施、裝置進行攻擊和破壞。銀行計算機系統儲存了大量金融和國民經濟活動的資訊，對銀行組織的管理決策和整個國家巨集觀調控起著重要作用。據媒體報道，在國外，曾發生多起攻擊計算機中心、炸燬計算機裝置的案件。這就警示我們，對銀行資訊中心計算機裝置實體的安全和風險防範就應當引起足夠的重視。尤其是商業銀行基層計算機網點，有相當一部分機房設計簡陋，防護裝置達不到規定標準，人為助長了計算機實體風險。

（二）硬體風險。

硬體風險是指由於計算機及網路裝置因各種突發災害、執行環境或硬體本身及相關元器件的缺陷、故障導致系統不能正常工作而帶來的風險。

1、硬體在外風險。計算機房設計、安裝達不到國家規定的電腦保安執行環境的有關標準而造成的安全隱患；人為在計算上設定發射裝置、通過在高頻電波上增大發射功率，把電波傳送到外部的無線電接收機上，因電磁波安全風險造成資訊洩漏；由於不可抗力，如火災、水災、地震、雷擊、電、磁、溫度等等難以預料的突發性災害對銀行計算機系統資源帶來的損害；供電系統不穩、後備電源不足或電信部門通訊故障造成的業務中斷而帶來的損害；計算機及網路設計沒有可靠接地、缺乏防雷防塵裝置而造成的計算機故障。

2、硬體內在風險。短路、斷線、接觸不良、裝置老化、電腦超期服役、損壞性的使用計算機去做非法業務性活動，人為減少計算機執行壽命等由計算機本身及相關裝置、部件或元件帶來的風險。

3、網路風險。網路作為一種構建在開放性技術協議基礎上的資訊流通渠道，它的防衛能力和抗攻擊性較弱，網路風險就是當電子資訊在網路上傳輸時，由於網路裝置的故障或沒有將內部網路與國際網際網路進行物理隔斷導致遭受外界侵襲造成的風險。

（三）軟體風險。

軟體風險是指由於各種程式開發、使用過程中包含的潛在錯誤導致系統不能正常工作而帶來的風險。

1、軟體設計風險。由於應用軟體在研製過程會考慮不周或在編制程式時不夠嚴密導致應用軟體本身設計不完全，或未經全面測試就投入使用，導致出現應用系統在超級使用者下執行、檔案許可權設定不正確、業務資料以明碼形式存放、容錯能力差、自我防禦能力差等缺陷，系統在執行過程中往往會出現賬務錯亂、資料資訊受損，更有甚者導致整個系統崩潰。這種應用軟體如果一旦遭受病毒侵害，就更容易引發風險。

2、軟體操作風險。軟體操作風險指的是在銀行電子化業務中，由於某些業務操作人員素質跟不上調整發展的銀行電子化建設的步伐，對銀行推出的硬體裝置以及銀行電子化產品和服務功能不熟悉或風險意識不強等原因所造成的操作過程中出現的風險。其主要表現為：(1)業務人員操作許可權界定不清，密碼使用混亂，基本上處於透明狀態。在電腦保安管理中，許可權和密碼作為兩個非常重要的概念，都應該有嚴格的規定。但在實際業務操作中，系統管理員往往可以操作業務管理系統，而操作員之間代號混用，密碼沒有進行定期更換，甚至有的操作員以系統管理員的身份登入業務系統，這些現象的存在都導致風險的發生。(2)操作不當或操作失誤風險。業務人員操作結束或臨時離開櫃檯沒有退出操作畫面，給非法操作者提供可乘之機，使其很方便地進入業務系統進行非法操作，在計算機業務處理系統中修改資料或其他破壞性程式致計算機系統癱瘓，造成了不必要的經濟損失。(3)自然消失風險。也就是因磁儲存介質保管不當，使其儲存在其上的資訊丟失或者無法讀取造成的風險。這在基層行表現得尤其突出。基層行因缺少有效的資料備份或資料備份不及時，而資料備份則是故障恢復和賬務安全的重要保證；如果沒有有效、完整的備份資料，當資料庫一旦發生損壞則無法將所有資料完全恢復。

（四）資訊管理風險。

管理風險是指由於管理體制的偏差、管理制度的不完善導致具體管理過程中出現漏洞而給計算機及網路系統帶來的額外的風險。

1、體制風險。所謂體制風險，主要是指在管理上缺乏統一的組織和領導所引發的風險。在資訊管理方面往往只注重計算機在銀行電子化業務中的應用，過分強調科技的服務職能，而忽略了電腦保安管理工作，忽視金融科技監管。科技人員單兵作戰，除了承擔業務軟體的推廣應用，還要負責全行裝置的維護與管理，往往是顧此失彼。各業務職能部門還沒有將電腦保安作為一項重要工作來抓，計算機風險管理幾乎是一片空白。

2、制度風險。所謂制度風險，主要是指在銀行電子化業務中，由於制度制定有漏洞或執行不到位所造成的潛在風險。當前基層行建立的電腦保安管理制度難以適應銀行計算機及網路形勢發展的需要。網路安全執行管理、密碼專人管理、操作員管理、資料備份媒體存放管理等制度還有待於進一步完善。尤其是內控制度的落實情況更是各行銀行電子化建設中一項薄弱環節。隨著金融體制的改革逐步深入，各家銀行機構都在精簡機構、精簡網點人員，一人多網、一人持有多個操作員號的現象時有發生。形成了人員少、業務集中、基本內控制度難以執行的狀況。

3、人員素質風險。所謂人員素質風險，主要是指因人員素質參差不齊而引發計算機及網路系統的風險。當前我國銀行業普遍存在缺乏專業高素質人員，一般銀行從業人員尤其是基層行員工素質還不能與先進的管理手段、先進的管理工具的要求相適應；在具體的業務操作中更是無法有效的利用現有的資源。也正因此，人員素質的滯後對計算及網路的安全同樣是一個潛在的風險。（五）計算機及網路犯罪。

計算機及網路犯罪主要是指標對計算機及網路的犯罪或不正當使用計算機及網路的犯罪。其主要特徵是以有關計算機及網路技術知識作為必不可少的要素的犯罪。在銀行計算機及網路犯罪中，常見的有兩種情況：一是把計算機及網路作為詐騙、侵佔、盜竊資金工具使用而引起的犯罪；二是把計算機及網路本身作為犯罪的目標，如對資料、系統的有意破、消除和改變等。

二、銀行計算機及網路風險防範的對策

認真分析計算機及網路在實際應用過程中存在的諸多不安全因素，有效防範各類安全事故的發生，確保銀行資產的完整性，有針對性的提出電腦保安管理和風險防範的對策十分必要。圍繞銀行計算機網路風險表現形式，應從實體、硬體、軟體、管理四個層面採取措施：

（一）實體方面。

在銀行業安全經營中，強調最多的是金庫的守衛、庫款押運安全、營業網點安全防範等方面。而對計算機中心或機房的安全防衛卻相對薄弱。各銀行機構的安全保衛部門要把本行的計算機及網路的安全納入自己的視野，要像保衛金庫安全一樣保衛計算機中心或機房。各行對機房重地也要嚴格的進出制度，明確非本中心人員進出應履行批准手續，同時要對中心工作人員加強安全保密覺悟的教育，尤其是同本中心以外的人員接觸要嚴守中心及機房的安全佈局及執行情況的祕密。

（二）硬體方面。

1、改善硬體執行環境。機房建設要按照國家統一頒佈的標準進行建設、施工、裝修、安裝，並經公安、消防等部門檢驗驗收合格後投入使用。重點防止計算機機房靠近各種無線電發射臺或電視轉播發射點，避免計算機資訊傳遞出錯。尤其是總行和省、市分行的計算機中心，一定要測量機房周圍的磁場強度，裝置必要的電磁遮蔽設施。計算機房、配電室、空調間等計算機系統的重要基礎設施要視為要害部門嚴格管理，配備防盜、防火、防水、防雷、防磁、防鼠害等裝置，如果有條件可以安裝電視監控系統。定期與電力、電信等部門協調，爭取技術支援，保證良好的供電環境和暢通的網路環境。

2、做好裝置維護工作。建立對各種計算機及網路裝置定期檢修、維護制度，並做好檢修、維護記錄；對突發性的安全事故處理要有應急計劃，對主要伺服器和網路裝置，要指定專人負責，發生故障保證及時修復，從而確保所有裝置處於最佳執行狀態。

3、加強網路安全防範。增加網路安全的投資，特別是有關網路安全的硬體、軟體配備要到位，做好三級備份網路的建設，對網路的訊號傳輸標題進行遮蔽（靜電遮蔽、磁遮蔽和電磁遮蔽）處理。對連入內部網的計算機要安裝並及時更新防毒軟體版本，內部網路與國際網際網路絡要進行物理隔斷，以提高其物理安全性；如確需互連時，則需要採用防火牆技術，對進入內部網的資料包進行過濾，以防止銀行的有關資訊資料在網上被竊聽、篡改。

（三）軟體方面。

1、重視應用軟體的開發研製工作。在銀行各種應用軟體研發過程中，要積極搞好前期調研工作，多方徵求基層操作人員的意見，保證設計思路的縝密、周全；程式設計過程中要對重要資料採用可靠的加密技術，以確保計算機網路和資料傳遞的完整性和保密性；軟體正式投入推廣使用前要進行全面的測試，以及時發現並修正軟體設計過程中的缺陷。

2、操作風險應作為防範重點來抓。加強操作人員許可權和密碼管理。對訪問資料庫的所有使用者要科學的分配許可權，實現許可權等級管理，嚴禁越權操作，密碼強制定期修改，資料輸入檢查嚴密，儘量減少人工操作機會；防止非法使用系統資源，指定專人進行系統操作，及時清除各種垃圾檔案，對一切操作要有記錄，以防誤操作損壞軟體系統或業務資料；應用系統的執行環境應封閉，防止一般使用者非法闖入作業系統，尤其要限制應用終端進行系統操作。做好資料備份，確保資料安全。對執行主要業務系統的伺服器及網路裝置要做到雙機備份，雙機備份要求主機型號必須相同，每套系統控制外設的能力要一致，通訊控制裝置最好能通過電子開關實現自動切換，以減少系統中斷執行時間；資料傳輸、儲存過程中對涉及機密的資料資訊首先要加密，然後再傳輸、儲存；對資料庫本身的安全脆弱問題，更要作相應處理，對資料要進行多重備份、異地異處存放，以便發生類似意外掉電這類不可預見性故障時能提供快速恢復手段，以保證資料資訊的完整性。

（四）資訊管理方面。

1、建立計算機風險防範組織體系。各級行政領導要重視電腦保安工作，將計算機風險防範納入行長的工作日程。成立電腦保安領導小組，明確權利責任，做好對安全執行領導、檢查和監督工作。定期召開安全分析會議，研究安全防範技術，找出易發問題的部位和環節，進行重點管理和監督。各相關職能部門要形成合力加大對計算機風險管理力度，並從領導到職工簽定層層負責的安全責任狀，營造出“科技安全，人人有責"的良好氛圍。

2、整章建制，落實內控制度。對現有的電腦保安制度進行全面清理，建立健全各項電腦保安管理和防範制度，完善業務的操作規程；加強要害崗位管理，建立和不斷補充完善要害崗位人員管理制度；加強內控制度的落實，嚴禁系統管理人員、網路技術人員、程式開發人員和前臺操作人員混崗、代崗或一人多崗，各操作人員必須定期更換密碼；業務與非業務用機實行嚴格分離管理，做到專機專用、專人專管、各負其責，並由專人負責保管上機操作記錄（操作日誌）。

3、解決人員素質對計算機及網路風險的影響。對科技人員要及時“充電、加油"提高其處理計算機及網路故障、防範計算機及網路風險的能力；對業務操作人員要重點抓好計算機知識的普及培訓工作，建立各種形式的崗位培訓和定期輪訓制度，提高職工的政治素質、法制觀念、敬業精神、計算機業務操作水平和安全防範綜合能力。在工作實踐中，既要重視專業人員的素質，又要重視計算機管理領導人的素質。做到各類人員人數要有合適的比例；各類人員職責分明不扯皮；建立專業人員與領導者良好的協作關係。在具體的工作中，尤其要克服領導者不能借口技術不懂而不承擔相應的責任，也不允許技術人員藉口領導者不懂具體某種技術而抵制領導的監督管理。

（五）計算機及網路犯罪方面。

防止銀行業計算機犯罪已是一個刻不容緩的任務。近幾年來，銀行業利用計算機及網路技術犯罪呈上升趨勢，而我國目前的法律條款尚不能準確全面的對其量罪定刑。在司法實踐中，往往以不正當獲得資金和情報的性質而定罪，相應的法規已經嚴重滯後於計算機及網路的發展。在目前資訊立法滯後的情況下，銀行業防止計算犯罪應重點從以下幾方面入手：一是要嚴格內控制度建設，在管理上不給犯罪分以可乘之機；二是強化技術上的安全措施，在系統計算的安全性、先進性和加密的不易破解性上下功夫；三是從國家技術資訊保安的戰略高度，促進國家加快相關資訊立法，以法律保護計算機及網路使風險降到最小限度。