- 相關推薦
銀行計算機網絡風險防范與對策研究
隨著中國入世對銀行業帶來的的巨大沖擊,我國各家銀行機構都在不斷的進行業務創新,從而極大的促進了計算機及網絡技術在銀行業務領域的廣泛應用,也使得各家銀行機構的電子化水平及服務水平都得到了不斷提高,不論是在服務層面或是管理層面都在逐步與世界接軌。我國銀行業已經普遍使用諸如商業銀行的門柜系統、信貸系統、統計管理系統、電子聯行,人民銀行的信貸咨詢管理系統等,使用的操作系統也有Windows98、WindowsNT、UNIX、OS/2等,隨著電子銀行、自動柜員系統、綜合業務系統等大量的投入使用,計算機及網絡風險防范問題日益突出。
一、銀行業計算機及網絡風險的表現形式
所謂銀行計算機及網絡風險是指銀行業在進行技術創新和實現銀行電子化過程中廣泛使用計算機技術、網絡通信技術,而計算機本身(包括硬件、軟件、操作系統等)和涉及計算機安全管理的制度缺乏有效的科學性、規范性和完善性,潛伏著許多不安全因素而造成的潛在的或已發生的風險。主要表現為計算機系統故障、安全事故和計算機犯罪。銀行計算機及網絡風險具有突發性強、范圍廣、影響大等特點。結合銀行業務的特點,銀行計算機及網絡風險可粗分為實體風險、硬件風險、軟件風險、信息管理風險和計算機犯罪五大類。
(一)實體風險。
實體風險是人為地對計算機中心及其設施、設備進行攻擊和破壞。銀行計算機系統存儲了大量金融和國民經濟活動的信息,對銀行組織的管理決策和整個國家宏觀調控起著重要作用。據媒體報道,在國外,曾發生多起攻擊計算機中心、炸毀計算機設備的案件。這就警示我們,對銀行信息中心計算機設備實體的安全和風險防范就應當引起足夠的重視。尤其是商業銀行基層計算機網點,有相當一部分機房設計簡陋,防護裝置達不到規定標準,人為助長了計算機實體風險。
(二)硬件風險。
硬件風險是指由于計算機及網絡設備因各種突發災害、運行環境或硬件本身及相關元器件的缺陷、故障導致系統不能正常工作而帶來的風險。
1、硬件在外風險。計算機房設計、安裝達不到國家規定的計算機安全運行環境的有關標準而造成的安全隱患;人為在計算上設置發射裝置、通過在高頻電波上增大發射功率,把電波傳送到外部的無線電接收機上,因電磁波安全風險造成信息泄漏;由于不可抗力,如火災、水災、地震、雷擊、電、磁、溫度等等難以預料的突發性災害對銀行計算機系統資源帶來的損害;供電系統不穩、后備電源不足或電信部門通訊故障造成的業務中斷而帶來的損害;計算機及網絡設計沒有可靠接地、缺乏防雷防塵設備而造成的計算機故障。
2、硬件內在風險。短路、斷線、接觸不良、設備老化、電腦超期服役、損壞性的使用計算機去做非法業務性活動,人為減少計算機運行壽命等由計算機本身及相關設備、部件或元件帶來的風險。
3、網絡風險。網絡作為一種構建在開放性技術協議基礎上的信息流通渠道,它的防衛能力和抗攻擊性較弱,網絡風險就是當電子信息在網絡上傳輸時,由于網絡設備的故障或沒有將內部網絡與國際互聯網進行物理隔斷導致遭受外界侵襲造成的風險。
(三)軟件風險。
軟件風險是指由于各種程序開發、使用過程中包含的潛在錯誤導致系統不能正常工作而帶來的風險。
1、軟件設計風險。由于應用軟件在研制過程中考慮不周或在編制程序時不夠嚴密導致應用軟件本身設計不完全,或未經全面測試就投入使用,導致出現應用系統在超級用戶下運行、文件權限設置不正確、業務數據以明碼形式存放、容錯能力差、自我防御能力差等缺陷,系統在運行過程中往往會出現賬務錯亂、數據信息受損,更有甚者導致整個系統崩潰。這種應用軟件如果一旦遭受病毒侵害,就更容易引發風險。
2、軟件操作風險。軟件操作風險指的是在銀行電子化業務中,由于某些業務操作人員素質跟不上調整發展的銀行電子化建設的步伐,對銀行推出的硬件設備以及銀行電子化產品和服務功能不熟悉或風險意識不強等原因所造成的操作過程中出現的風險。其主要表現為:(1)業務人員操作權限界定不清,密碼使用混亂,基本上處于透明狀態。在計算機安全管理中,權限和密碼作為兩個非常重要的概念,都應該有嚴格的規定。但在實際業務操作中,系統管理員往往可以操作業務管理系統,而操作員之間代號混用,密碼沒有進行定期更換,甚至有的操作員以系統管理員的身份登錄業務系統,這些現象的存在都導致風險的發生。(2)操作不當或操作失誤風險。業務人員操作結束或臨時離開柜臺沒有退出操作畫面,給非法操作者提供可乘之機,使其很方便地進入業務系統進行非法操作,在計算機業務處理系統中修改數據或其他破壞性程序致計算機系統癱瘓,造成了不必要的經濟損失。(3)自然消失風險。也就是因磁存儲介質保管不當,使其存儲在其上的信息丟失或者無法讀取造成的風險。這在基層行表現得尤其突出。基層行因缺少有效的數據備份或數據備份不及時,而數據備份則是故障恢復和賬務安全的重要保證;如果沒有有效、完整的備份數據,當數據庫一旦發生損壞則無法將所有數據完全恢復。
(四)信息管理風險。
管理風險是指由于管理體制的偏差、管理制度的不完善導致具體管理過程中出現漏洞而給計算機及網絡系統帶來的額外的風險。
1、體制風險。所謂體制風險,主要是指在管理上缺乏統一的組織和領導所引發的風險。在信息管理方面往往只注重計算機在銀行電子化業務中的應用,過分強調科技的服務職能,而忽略了計算機安全管理工作,忽視金融科技監管。科技人員單兵作戰,除了承擔業務軟件的推廣應用,還要負責全行設備的維護與管理,往往是顧此失彼。各業務職能部門還沒有將計算機安全作為一項重要工作來抓,計算機風險管理幾乎是一片空白。
2、制度風險。所謂制度風險,主要是指在銀行電子化業務中,由于制度制定有漏洞或執行不到位所造成的潛在風險。當前基層行建立的計算機安全管理制度難以適應銀行計算機及網絡形勢發展的需要。網絡安全運行管理、密碼專人管理、操作員管理、數據備份媒體存放管理等制度還有待于進一步完善。尤其是內控制度的落實情況更是各行銀行電子化建設中一項薄弱環節。隨著金融體制的改革逐步深入,各家銀行機構都在精簡機構、精簡網點人員,一人多網、一人持有多個操作員號的現象時有發生。形成了人員少、業務集中、基本內控制度難以執行的狀況。
3、人員素質風險。所謂人員素質風險,主要是指因人員素質參差不齊而引發計算機及網絡系統的風險。當前我國銀行業普遍存在缺乏專業高素質人員,一般銀行從業人員尤其是基層行員工素質還不能與先進的管理手段、先進的管理工具的要求相適應;在具體的業務操作中更是無法有效的利用現有的資源。也正因此,人員素質的滯后對計算及網絡的安全同樣是一個潛在的風險。
(五)計算機及網絡犯罪。
計算機及網絡犯罪主要是指針對計算機及網絡的犯罪或不正當使用計算機及網絡的犯罪。其主要特征是以有關計算機及網絡技術知識作為必不可少的要素的犯罪。在銀行計算機及網絡犯罪中,常見的有兩種情況:一是把計算機及網絡作為詐騙、侵占、盜竊資金工具使用而引起的犯罪;二是把計算機及網絡本身作為犯罪的目標,如對數據、系統的有意破、消除和改變等。
二、銀行計算機及網絡風險防
【銀行計算機網絡風險防范與對策研究】相關文章:
試析審計風險的成因、防范及對策12-08
工程項目機會主義風險及防范對策的研究03-24
商業銀行操作風險的成因及其對策研究03-19
關于企業并購風險防范研究03-19
施工企業財務風險的成因與防范對策研究03-21
效益審計風險的成因及對策研究03-24
供電企業營銷服務的主要風險及防范對策12-01
石油企業人力資源風險的防范對策03-24