浅论金融计算机系统安全.docVIP

浅论金融计算机系统安全 随着 金融 事业的 发展 , 无论是在储蓄、对公还是在管理领域，金融 电子 化已得到进一 步的推广， 计算 机已成为我们日常工作的重要工具。由于金融部门地位的重要性和金融工 作的特殊性，使金融计算机系统的安全 问题 越来越突显。本文试图从金融工作的特点上谈 一下对金融计算机系统安全保护体系问题。 一、金融计算机系统安全的涵义。 金融计算机系统安全是指金融部门计算机信息系统的安全。所谓计算机安全，按国际 标准化委员会的定义，即“为数据库处理系统建立和采取的技术的和管理的安全保护，保 护计算机硬件、软件、数据，不因偶然的或恶意的原因而遭破坏、更改、显露”。我国公 安部计算机管理监察司的定义是: “计算机安全是指计算机资产安全，即计算机信息系统 和信息资源不受 自然 和人为有害因素的威胁与危害”。　　 以上定义可以看出金融计算机系统安全所涉及的范围是很广泛的，我们可以把它分为 四个部分，即: ㈠ 计算机硬件设备的安全。包含主机、外设和相关设施，涉及到环境、建筑设备、 电磁辐射、数据载体和自然灾害。 ㈡ 系统及 应用 软件的安全。涉及系统选择、应用软件的开发、系统和应用软件的使 用与维护。 ㈢ 数据库的安全。指系统拥有的和产生的数据和信息完整、有效、使用合法、不被 破坏和泄露,包括输入输出识别用户、存取控制、加密、审计、备份和恢复等。 ㈣ 运行使用的安全。包括机房出入管理、磁盘和打印数据的管理、运行使用管理等。 二、妨碍金融计算机系统安全的几个方面 思想麻痹，重视不够。在观念上对计算机有迷信思想，没有看到计算机固有的脆 弱性和潜在的危险性，对国内外发生的大量的计算机泄密、计算机犯罪和计算机病毒等危 害计算机系统和信息安全的事件存有侥幸心理，在思想上、制度上、人员上没有作好准备。 “三防一保”中也很少涉及计算机安全保护。 设备老化，跟不上技术进步和业务要求。由于金融电子化开始的较早，而计算机 技术发展的很快，许多计算机设备已过时和老化，硬故障时有发生，威胁了金融业务的正 常开展。加之这几年金融事业有了长足的发展，业务量的增加对计算机设备提出了更高的 要求。 应用程序版本混杂，缺乏使用维护。金融系统应用软件大多自行开发，这几年各 级部门开发了不少不同版本的软件在基层使用。这些软件由于没有经过正规的软件评测和 调试，使用过程中发现的问题很难及时反映给开发者，所以兼容性、容错性较差，状态不 稳定。加上软件没有通俗、完备的用户手册，职工培训也没有跟上，使基层单位对应用软 件的功能理解不全面。在日常工作中由于操作失误不时出现死机和数据库丢失等故障，影 响业务工作的正常进行。 系统、应用程序和数据库抗非法访问能力差。金融计算机系统遭到的破坏我们可 以将它分为恶意破坏和“善意”破坏。那些通过私自操作程序和修改数据库以达到贪污挪 用公款的违法行为是恶意破坏。而有时由于工作人员在计算机上操作玩耍造成系统损坏的 违规行为可视为“善意”破坏。但无论是“善意”破坏还是恶意破坏都暴露出系统、应用 程序和数据库缺少保护外壳，不具备拒绝非法访问的能力，使人们能轻而易举地接触到要 害部分。 这一缺陷随着 金融 系统精通 计算 机知识的大中专生的不断增多，在DOS系统和DBASE ／FOXBASE数据库中表现的由其明显。而UNIX／XENIX系统虽然有用户级别控制存取访问 权限，但由于没有设超级用户的密码或密码的半公开，使这一极好的保护机制形同虚设。 日常管理松懈。计算机的使用已经和金融业务紧密地结合起来了，而对其的管理 却呈现“政出多门，多头管理”的状况。资金组织、 会计 、计算机信息部门都在行使管理 职能，然而在具体管理工作中却相互推诿。业务部门由于对计算机知之甚少，对新形势下 如何保证金融系统 电子 化的安全无所适从，安全保卫部门几乎不插手计算机系统的管理， 而技术部门人手不足加上对业务不熟悉，使得 问题 不能得到及时解决。 还有管理制度的制定和执行的问题。现行计算机管理制度多是八十年代制定的，不全 面而且跟不上技术进步和形势 发展 。在执行中又缺乏监督机制，制度的执行力度也不够， 成为安全的隐患。 运行环境不规范。虽然现在的计算机技术已不是八十年代的ＰＣ机可比，但计算 机对温度、湿度、通风量、清洁度等要求还是很高，防火、防水也不可忽视。这几年金融 电子化发展十分迅速，对计算机运行环境也不象以前那么重视了，加上业务开展过程中产 生的污染(如点钞产生的大量尘埃等)，使运行环境造成的硬故障对计算机系统安全已构 成威胁。 三、加强金融计算机安全保护体系的建设 思想重视，加大投入。 现代 金融的一个发展方向是金融电子化，金融计算机系统 的安全是金融电子化的保