浅谈从国内外信息安全案件看央行资金系统信息安全防范的论文.docVIP

　　浅谈从国内外信息安全案件看央行资金系统信息安全防范的论文 　论文关键词：金融信息化中央银行资金系统信息安全 　　论文摘要：近期发生的几起信息安全案件引起业内人士的高度关注。本文通过分析其共同的特点，指出央行资金系统安全防范的重要性，从内部和外部两个方面剖析了央行资金系统的安全隐患，并就今后的系统加固提出了针对性的措施 　　最近有关媒体披露的涉及信息安全的两起案件引起业界人士的高度关注，一起是发生在广东省的“深圳彩票案”(《南方日：~}2009年7月10日)，一起是发生在湖北省的“地下车管所案”(《楚天都市报)2009年8月25日)。这两起案件的共同特点是犯罪嫌疑人通过侵入官方信息系统，添加、修改数据库资料，使非法信息合法化，以达到其修改信息窃取资金的目的。两起案件的犯罪嫌疑人都成功侵人系统并完成数据的修改，攻破了信息系统的安全防线，造成了恶劣的影响。由此想到2008年法囝兴业银行的“巨额对冲交易亏损案”，该行一名叫热罗姆·凯维埃尔的低级交易员，由于其有过在后台]作的经历，对银行的计算机信息系统和监控流程十分熟悉，通过侵入信息系统虚构对手交易，无限放大自己的交易权限，最终导致49亿欧元的巨额损失。三起案件都暴露m信息系统安全防范措施、安全管理上的缺陷。我围中央银行担负资金汇划国家主干网的建设、维护和管理角色，每天有几十万笔、总额数万亿元的资金出入，不仅保证系统安全稳定运行十分重要，防范、防止各类非法侵入，保障资金安全也是一项十分艰巨而又非常重要的任务。 　　一、中央银行资金系统信息安全隐患剖析 　　央行资金系统信息安全是指中央银行在使用的资金核算、结算系统巾，数据信息在存储、传递和处理过程阶段保持其完整、真实、可用和不被泄露的特性，即保密性、完整性、可用性、可控性和可审查性。.当前中央银行资金系统主要有：现代化支付系统、中央银行会计核算系统、国库核算系统以及各地自行开发的电子支付系统，上述系统冈其服务对象的广泛性导致安全防范的复杂性：系统接触的对象不仅包括人民银行的业务操作人员、系统管理人员，也??括各商业银行直接参与的业务人员和技术人员，但防范的重点还是人民银行丁作人员和相关人员。一方面因为商业银行根据授权一般无法接触核心数据库，仅具有普通的操作权限，从技术上来讲对核心数据库进行修改的可能性微乎其微；另一方面中央银行可以通过防火墙、入侵检测、访问控制、日志分析等技术手段来防范和追踪来自商业银行渠道的不法操作。因此，了解技术的犯罪分子不会选择通过商业银行的渠道来攻击央行资金系统。“堡垒最容易从内部攻破”这句名言，运用在央行资金系统安全管理上是十分恰当的。 　　从中央银行资金系统内部安全管理上看，也存在内部和外部两类安全隐患。所谓内部安全隐患，是指人民银行内部工作人员(包括聘用人员)利用其特殊身份，非法入侵系统，恶意篡改数据的行为；所谓外部安全隐患，是指围绕央行资金系统开发与维护的外部人员(主要是指外包人员)，依靠对系统的熟悉、接触系统的便利和管理上的漏洞，非法入侵系统，恶意篡改数据的行为。内部安全隐患主要表现在以下几个方面：一是操作人员违规在资金系统上使用外来移动存储介质或是将移动存储介质在内外网上串用，导致病毒感染和被挂上木马程序；二是资金系统网络隔离不彻底，技术防范不到位，无关人员可以通过局域网轻松访问资金系统核心数据库；三是业务管理上存在漏洞，用户名、密码被他人盗用；四是业务人员与系统管理员兼岗、串岗或换岗，使相互制约的制度成为一纸空文：外部安全隐患主要表现在以下几个方面：一是系统开发完成后，开发方为程序维护方便留有后门，给不法分子通过远程操作侵入系统留下可乘之机；二是外包人员在系统维护时有意植入木马，恶意修改系统数据；三是赋予超级用户过大的权限，使之同时具有业务操作与系统维护权限或是直接修改数据的权限。 　　二、中央银行资金系统信息安全隐患产生的原因 　　导致信息安全隐患产生的原因是多方面的，一是技术力量薄弱。央行独立技术开发能力不足，重要的资金系统大部分通过外包建设，系统维护特别是基层央行的系统维护必须依靠上级行或外包公司，远程维护往往给犯罪分子可乘之机。二是对资金系统的安全意识淡薄。相比金库的安全防范，央行对于资金系统的安全保护意识上还有很大的差距，而事实上一旦资金系统出现问题，损失将远大于金库的现金损失。三是规章制度不落实。近几年央行围绕信息系统安全发布了一系列规章制度，一定程度上提高了系统安全防范水平，但是有一部分规章制度特别是涉及到全员必须执行的制度，如严禁在内网上使用外来储存介质、业务系统用户名密码必须专人专用等，执行得不是很彻底，在审计中往往发现落实不到位的问题，在极个别地方还因此导致了案件的发生。四是重开发，轻防范。近几年央行为支持经济发展推出了以大小额支付系统为代表的现代化支付系统