浅析邮政金融计算机风险防范.docVIP

浅析邮政金融计算机风险防范 一、邮政金融计算机风险的分析“绿卡工程”自启动 至今，已取得了长足的发展。邮政“绿卡”以其全国联网、 通存通兑的功能，给广大储户提供了快捷、方便、灵活的 服务，提高了邮政储蓄的经营效益，然而邮储人员风险意 识差、素质不一、管理存在漏洞以及电子化安全系统软硬 件建设相对滞后等问题也同时暴露出来。1999年全国邮政 储蓄发生计算机案件20起，涉及金额609万元，占全年案 件总额的15%.邮政储蓄己成为金融犯罪分子攻击的目标之 一，储汇资金安全己受到严重威胁。笔者认为造成此类案 件多发的主要原因可归纳为以下三个方面。 （一） 操作风险 操作风险是指在邮政金融电子化业务中，由于操作者 自身业务素质不高或风险意识不强等原因所造成的操作过 程中出现的风险。其主要表现是，前台工作人员柜面把关 不严，凭证、存单（折）审查流于形式，办理支取手续不 严谨；对一些异常行为，如当日频繁大额支取现金，存折 一次性大额支现、销户或遗忘变更存折密码等行为缺乏必 要的警觉性。这些都使犯罪分子有了可乘之机。 （二） 制度风险 制度风险是指在邮政金融电子化业务中，由于稽核部 门监督手段落后以及制度制定有漏洞或执行不到位所造成 的潜在风险。主要表现为： 内控制度执行不严。内控制度执行不到位是滋生邮 政金融计算机犯罪的土壤。计算机内控制度的核心是权限 制约，但在实际操作过程中权限制约经常不能得到有效落 实。一是权限设置不合理，过于集中，特别是网络中心的 管理员与程序员在不少单位由一个人兼任；二是相互间密 码串用，甚至以“信任代替制度”，形成一人全过程办理业 务的状况；三是密码设置简单甚至未设置，或保管不严， 更换不及时，被他人窥视破译。 2 .检查监督力度不够，检查内容缺乏必要的深度和广 度。检查监督人员仅满足于传统意义上的帐平表准，着重 于对静态资料的审计，侧重于对本地业务的监督，忽视对 动态操作以及权限密码的制约检查，弱化了风险审计。 3.邮储内部的稽核监督工作严重滞后于业务的发展。 邮储业务网络化水平在不断提高，但是受传统观念的影响 稽核部门监督检查的范围仍局限于邮储业务本身，而忽视 了整个邮储业务的技术支撑体系，即对计算机网络安全性 的稽审，对不法分子利用网络系统犯罪的隐蔽性、时效性 缺少必要的防范措施。当前普遍存在的一个问题是，对于 计算机网络处理的业务，通常只是对输入和输出数据进行 审核，把计算机网络视作接收数据输入和产生信息输出的 “黑箱”，形成一种绕过计算机网络审核的现象。 （三）管理风险 管理风险是指由于对计算机安全防范认识不足，以及 在计算机安全管理中科技与资金投入不足所造成的风险。 主要表现在： 计算机安全管理体制不健全。多数支局所没有专门 从事计算机安全管理的机构，科技人员单兵作战，除了承 担业务软件的推广应用，还要负责设备的维护与管理，往 往是顾此失彼。各职能部门如保卫、稽核和纪检还没有将 计算机安全作为一项重要工作来抓，计算机风险管理几乎 是一片空白。现行的计算机安全管理制度难以适应邮政金 融计算机发展的需要，没有及时完善网络安全运行管理、 密码专人管理、操作员管理、媒体存放管理等制度，并且 在制度落实上，也是情况堪忧。 计算机软硬件系统安全技术薄弱。一是电子数据、 资料、程序管理不严密，数据磁盘随意带出，打印作废的 有关储户存款等信息资料随意乱扔；二是数据通信传输未 加密或加密方法简单，使犯罪分子有可乘之机；三是安全 防范基础设施配备不足，如主机房和营业厅等重要部门没 有配备防火、防水、防盗设备，没有安装监控报警设备等 二、邮政金融计算机风险的防范 当前，金融电子化已成为一大发展方向，为确保其在 邮政金融的建设中稳步发展，防止计算机案件的发生，确 保储汇资金的安全与完整，切实将风险化解在基层，化解 在一线，建议做好以下三方面的风险防范工作。 （一）操作风险的防范 严格划分权限，加强内控制约。一是要将操作员、 系统管理员、程序员的“三权”真正分离，三者之间决不 允许相互兼任。程序员修改程序要经网络中心负责人审查 同意，同时要将修改时间、修改内容、修改人员等情况予 以详细记录，平时不得在超级用户状态下进行操作。二是 应用系统的记帐、复核、会计等操作权限也要分离制约， 特别是前后台的业务界限要划分清楚，禁止职责交叉，混 岗操作。三是严格操作员密码管理，一人一码，一码一密 定期不定期更换，严禁泄密、串用。四是严禁操作人员在 未退到初始登录状态前中途离柜。 加强数据信息的保密工作和凭证的验密管理。一是 加强对程序盘、打印资料的管理。每天备份的数据盘要入 库入柜保管，动用备份数据盘必须经业务主管签字同意， 相关情况在登记簿上予以详细说明；打印的资料及时收集 归档，作废的有关打印资料要及时销毁，不得流失在外， 以免被犯罪