淺談從國內(nèi)外信息安全案件看央行資金系統(tǒng)信息安全防范
論文關(guān)鍵詞:金融信息化 中央銀行 資金系統(tǒng) 信息安全
論文摘要:近期發(fā)生的幾起信息安全案件引起業(yè)內(nèi)人士的高度關(guān)注。本文通過分析其共同的特點����,指出央行資金系統(tǒng)安全防范的重要性,從內(nèi)部和外部兩個方面剖析了央行資金系統(tǒng)的安全隱患���,并就今后的系統(tǒng)加固提出了針對性的措施
最近有關(guān)媒體披露的涉及信息安全的兩起案件引起業(yè)界人士的高度關(guān)注����,一起是發(fā)生在廣東省的“深圳彩票案”(《南方日:~}2009年7月10日)����,一起是發(fā)生在湖北省的“地下車管所案”(《楚天都市報)2009年8月25日)。這兩起案件的共同特點是犯罪嫌疑人通過侵入官方信息系統(tǒng)���,添加���、修改數(shù)據(jù)庫資料,使非法信息合法化���,以達(dá)到其修改信息竊取資金的目的����。兩起案件的犯罪嫌疑人都成功侵人系統(tǒng)并完成數(shù)據(jù)的修改�����,攻破了信息系統(tǒng)的安全防線���,造成了惡劣的影響�����。由此想到2008年法囝興業(yè)銀行的“巨額對沖交易虧損案”��,該行一名叫熱羅姆•凱維埃爾的低級交易員�����,由于其有過在后臺]作的經(jīng)歷��,對銀行的計算機(jī)信息系統(tǒng)和監(jiān)控流程十分熟悉��,通過侵入信息系統(tǒng)虛構(gòu)對手交易��,無限放大自己的交易權(quán)限�����,最終導(dǎo)致49億歐元的巨額損失��。三起案件都暴露m信息系統(tǒng)安全防范措施����、安全管理上的缺陷。我圍中央銀行擔(dān)負(fù)資金匯劃國家主干網(wǎng)的建設(shè)�����、維護(hù)和管理角色����,每天有幾十萬筆、總額數(shù)萬億元的資金出入��,不僅保證系統(tǒng)安全穩(wěn)定運(yùn)行十分重要���,防范�����、防止各類非法侵入���,保障資金安全也是一項十分艱巨而又非常重要的任務(wù)��。
一��、中央銀行資金系統(tǒng)信息安全隱患剖析
央行資金系統(tǒng)信息安全是指中央銀行在使用的資金核算、結(jié)算系統(tǒng)巾�����,數(shù)據(jù)信息在存儲���、傳遞和處理過程階段保持其完整�����、真實�、可用和不被泄露的特性��,即保密性�、完整性、可用性、可控性和可審查性��。當(dāng)前中央銀行資金系統(tǒng)主要有:現(xiàn)代化支付系統(tǒng)���、中央銀行會計核算系統(tǒng)����、國庫核算系統(tǒng)以及各地自行開發(fā)的電子支付系統(tǒng)�����,上述系統(tǒng)岡其服務(wù)對象的廣泛性導(dǎo)致安全防范的復(fù)雜性:系統(tǒng)接觸的對象不僅包括人民銀行的業(yè)務(wù)操作人員���、系統(tǒng)管理人員����,也包括各商業(yè)銀行直接參與的業(yè)務(wù)人員和技術(shù)人員���,但防范的重點還是人民銀行丁作人員和相關(guān)人員�。一方面因為商業(yè)銀行根據(jù)授權(quán)一般無法接觸核心數(shù)據(jù)庫����,僅具有普通的操作權(quán)限,從技術(shù)上來講對核心數(shù)據(jù)庫進(jìn)行修改的可能性微乎其微;另一方面中央銀行可以通過防火墻�����、入侵檢測����、訪問控制、日志分析等技術(shù)手段來防范和追蹤來自商業(yè)銀行渠道的不法操作�。因此,了解技術(shù)的犯罪分子不會選擇通過商業(yè)銀行的渠道來攻擊央行資金系統(tǒng)�。“堡壘最容易從內(nèi)部攻破”這句名言,運(yùn)用在央行資金系統(tǒng)安全管理上是十分恰當(dāng)?shù)摹?
從中央銀行資金系統(tǒng)內(nèi)部安全管理上看����,也存在內(nèi)部和外部兩類安全隱患�����。所謂內(nèi)部安全隱患�,是指人民銀行內(nèi)部工作人員(包括聘用人員)利用其特殊身份,非法入侵系統(tǒng)����,惡意篡改數(shù)據(jù)的行為;所謂外部安全隱患,是指圍繞央行資金系統(tǒng)開發(fā)與維護(hù)的外部人員(主要是指外包人員)�����,依靠對系統(tǒng)的熟悉����、接觸系統(tǒng)的便利和管理上的漏洞,非法入侵系統(tǒng)�,惡意篡改數(shù)據(jù)的行為。內(nèi)部安全隱患主要表現(xiàn)在以下幾個方面:一是操作人員違規(guī)在資金系統(tǒng)上使用外來移動存儲介質(zhì)或是將移動存儲介質(zhì)在內(nèi)外網(wǎng)上串用�����,導(dǎo)致病毒感染和被掛上木馬程序����;二是資金系統(tǒng)網(wǎng)絡(luò)隔離不徹底,技術(shù)防范不到位����,無關(guān)人員可以通過局域網(wǎng)輕松訪問資金系統(tǒng)核心數(shù)據(jù)庫;三是業(yè)務(wù)管理上存在漏洞�����,用戶名、密碼被他人盜用���;四是業(yè)務(wù)人員與系統(tǒng)管理員兼崗�、串崗或換崗�,使相互制約的制度成為一紙空文:外部安全隱患主要表現(xiàn)在以下幾個方面:一是系統(tǒng)開發(fā)完成后,開發(fā)方為程序維護(hù)方便留有后門��,給不法分子通過遠(yuǎn)程操作侵入系統(tǒng)留下可乘之機(jī)����;二是外包人員在系統(tǒng)維護(hù)時有意植入木馬,惡意修改系統(tǒng)數(shù)據(jù)����;三是賦予超級用戶過大的權(quán)限,使之同時具有業(yè)務(wù)操作與系統(tǒng)維護(hù)權(quán)限或是直接修改數(shù)據(jù)的權(quán)限�����。
二����、中央銀行資金系統(tǒng)信息安全隱患產(chǎn)生的原因
導(dǎo)致信息安全隱患產(chǎn)生的原因是多方面的�,一是技術(shù)力量薄弱���。央行獨立技術(shù)開發(fā)能力不足,重要的資金系統(tǒng)大部分通過外包建設(shè)�����,系統(tǒng)維護(hù)特別是基層央行的系統(tǒng)維護(hù)必須依靠上級行或外包公司�,遠(yuǎn)程維護(hù)往往給犯罪分子可乘之機(jī)。二是對資金系統(tǒng)的安全意識淡薄�����。相比金庫的安全防范�����,央行對于資金系統(tǒng)的安全保護(hù)意識上還有很大的差距��,而事實上一旦資金系統(tǒng)出現(xiàn)問題���,損失將遠(yuǎn)大于金庫的現(xiàn)金損失����。三是規(guī)章制度不落實�����。近幾年央行圍繞信息系統(tǒng)安全發(fā)布了一系列規(guī)章制度,一定程度上提高了系統(tǒng)安全防范水平����,但是有一部分規(guī)章制度特別是涉及到全員必須執(zhí)行的制度,如嚴(yán)禁在內(nèi)網(wǎng)上使用外來儲存介質(zhì)�、業(yè)務(wù)系統(tǒng)用戶名密碼必須專人專用等,執(zhí)行得不是很徹底����,在審計中往往發(fā)現(xiàn)落實不到位的問題,在極個別地方還因此導(dǎo)致了案件的發(fā)生�。四是重開發(fā),輕防范�。近幾年央行為支持經(jīng)濟(jì)發(fā)展推出了以大小額支付系統(tǒng)為代表的現(xiàn)代化支付系統(tǒng),有力地促進(jìn)了全社會的資金流轉(zhuǎn)��,提高了資金利用效率��,但是相應(yīng)的防護(hù)措施特別是對基層行維護(hù)人員的培訓(xùn)少之又少�。五是人手不足產(chǎn)生安全隱患��。當(dāng)前人民銀行能夠既懂業(yè)務(wù)又熟悉計算機(jī)的工作人員不多���,加上近來輪崗的要求����,導(dǎo)致業(yè)務(wù)人員和系統(tǒng)管理員的崗位就在僅有的幾個人之間換來換去,留下了安全隱患����。
三、強(qiáng)化中央銀行資金系統(tǒng)安全防范的措施
提高資金系統(tǒng)安全防范的根本出路在于提高自我技術(shù)開發(fā)與運(yùn)維能力�,盡量避免外包開發(fā)和維護(hù)。上述國內(nèi)外三起案件����,外包人員犯罪占了兩起。在當(dāng)前技術(shù)能力無法達(dá)到完全自主開發(fā)維護(hù)的情況下����,加強(qiáng)對外包的管理就顯得尤為重要。一是對外包業(yè)務(wù)實行分類管理�,將資金系統(tǒng)與一般信息系統(tǒng)分開,對資金系統(tǒng)開發(fā)時應(yīng)避免外包��,如確需外包�,驗收時必須經(jīng)過權(quán)威部門的安全評估檢測。維護(hù)上要立足于人民銀行內(nèi)部員工維護(hù)����,即使維護(hù)外包也要做到以我為主��,并做到每一次外包維護(hù)時都要有內(nèi)部人員全程監(jiān)督����,做好維護(hù)處理過程的登記����。二是對于資金系統(tǒng)的維護(hù)嚴(yán)禁遠(yuǎn)程操作,關(guān)閉一切遠(yuǎn)程操作權(quán)限����。在當(dāng)前資金系統(tǒng)數(shù)據(jù)大集中的背景下,個別基層央行苦于技術(shù)力量不足����,經(jīng)常需要得到上級行的支持,為圖簡便有時對內(nèi)開放遠(yuǎn)程維護(hù)權(quán)限�,不僅造成權(quán)責(zé)不明,也留下了安全隱患�,對此要高度重視,嚴(yán)格禁止�����。三是對超級用戶實行嚴(yán)格的動態(tài)管理���,定期對超級用戶進(jìn)行篩選����,及時剔除不用的用戶���,對新用戶要更新用戶名和密碼��。
對于內(nèi)部人員的管理����,應(yīng)采取以下措施�����。一是嚴(yán)格執(zhí)行制度����,提高執(zhí)行力。主要是要加強(qiáng)學(xué)習(xí)和完善����,通過實踐不斷提高規(guī)章制度的可操作性�����,使之人腦��、人心���、融入實際工作中。二是嚴(yán)格執(zhí)行輪崗回避制度�。對于擔(dān)任過同一系統(tǒng)的操作員、系統(tǒng)管理員的�,不得相互輪崗和兼崗,明確操作員與系統(tǒng)管理員間的權(quán)限劃分���,并對操作員實行額度控制����。三是強(qiáng)化對賬系統(tǒng)建設(shè)�,提高對賬頻率,擴(kuò)大對賬范圍��。不僅人民銀行與商業(yè)銀行間要做到每日對賬��,人民銀行往來機(jī)構(gòu)間也要定期對賬,特別是今后數(shù)據(jù)大集中后�����,總行與各地分支機(jī)構(gòu)必須做到按日對賬����。四是提高全員科技素養(yǎng)�,提升科技人員的技術(shù)技能。當(dāng)前�����,我們已經(jīng)進(jìn)入“沒有信息化�,就沒有現(xiàn)代金融”的時代,掌握信息技術(shù)基本技能應(yīng)成為每個央行人的必備條件����,只有全員科技素養(yǎng)提高了,整個央行的信息安全T作才有基礎(chǔ)��,對于科技人員應(yīng)當(dāng)加大技術(shù)培訓(xùn)尤其是有針對性的核心系統(tǒng)的維護(hù)培訓(xùn)�,使之掌握針對資金系統(tǒng)開展的Et常維護(hù)的技能,同時在新招錄的人員中科技人員要保持一定的比例����。五是要注重科技人員的思想政治工作���,引導(dǎo)科技人員建立正確的人生觀、價值觀和事業(yè)觀��,防范道德風(fēng)險��。具體講就是從工作上���、生活上關(guān)心科技人員的成長����,對于承擔(dān)核心業(yè)務(wù)系統(tǒng)維護(hù)�����、付出了艱辛的勞動并有技術(shù)特長的人員����,應(yīng)該在物質(zhì)待遇上予以傾斜,在干部的提任上優(yōu)先考慮���,使科技骨干對人民銀行的工作有“歸屬感”�,從而防止科技人員的流失。
