◆

摘要：随着金融向电子化、数字化、网络化的发展，各银行对计算机应用的重视程度越来越高。银行既要保障有强大稳固的银行内部业务网络，又要利用互联网、无线网等途径尽可能地扩展业务。银行经营的集约化和数据的集中化趋势，一方面顺应了银行业务发展的要求，避免了业务分散导致的风险，但是另一方面不可避免地带来了信息安全风险的集中。

　　关键词：银行业，信息系统，风险

一、银行计算机信息系统的安全风险分析

　　(一)自然灾害。计算机信息系统仅仅是一个智能的机器，易受自然灾害及环境(温度、湿度、振动、冲击、污染、电磁)的影响。5.12四川汶川地震时，震中区域电力、交通、通讯全部中断，当地金融机构受到严重冲击，计算机系统全线瘫痪，金融服务全面停滞。

　　(二)软件或系统缺陷。银行的计算机系统是一个庞大而非常复杂的系统，包含硬件、软件、网络等诸多子系统和要素。由于软件或某一系统缺陷造成的计算机信息风险也屡见不鲜。2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近4个小时，所有营业网点无法正常开展业务。2007年10月18日，正值十七大召开期间，建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行，事故持续了2个小时，在证券交易收盘后才恢复正常。2008年元旦刚过，北京银行就因主干专线的入户接入设备发生故障，造成在京的117家支行所属网点柜台交易缓慢，业务无法正常进行，故障持续1个多小时之后才得以解决。

　　(三)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈。他们通常采用非法侵入重要信息系统，窃听、获取、攻击侵入网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。

　　(四)计算机病毒。90年代，出现了曾引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，损失难以估计。它像灰色的幽灵将自己附在其他程序上，在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后，轻则使系统工作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等硬件的损坏。

　　(五)间谍软件、流氓软件。与计算机病毒不同，间谍软件、流氓软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息。间谍软件、流氓软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能不同程度地影响系统性能。

　　(六)人为的无意失误和共享软件。互联网的飞速普及，信息资源丰富，提供下载功能的网站很多。目前流行的几个点对点下载软件，如迅雷、BT、电驴等软件，在提供快速下载服务的同时，也将本机硬盘上的相关信息搜索并共享给整个网络使用，由于上述软件并没有公告会被搜索共享这一功能，这样容易因为认识上的错误而导致将本机上的一些重要或涉密信息呈现在别人面前。(七)计算机犯罪。计算机犯罪，通常是利用窃取口令等手段非法侵入计算机信息系统，传播有害信息，恶意破坏计算机系统，实施贪污、盗窃、诈骗和金融犯罪等活动。网络上形形色色的冒充网上银行的“钓鱼”网站—就是计算机网络犯罪的主要形式之一。

二、银行计算机信息系统安全风险的控制策略

　　(一)加强物理安全防范。加强银行的物理安全防范的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。同时，银行金融机构的计算机机房在防震、防火、防水、避雷、防电磁泄漏或干扰等方面应采取有效措施，接地系统也要考虑周到。计算机、复印机等信息设备需要维修时，要将带有涉密信息的计算机和复印机硬盘拆卸后，送维修店进行维修。由于硬盘的固有特性，即使把硬盘碟片消磁或烧毁，硬盘上的信息仍然保存在硬盘上，只要通过专门的维修工具，就可以恢复过来，只有将硬盘碟片熔化或碎成碎片，才能保证信息不被复原。建议少用磁盘，改用优盘或DVD-RAM等易处理的移动设备，同时对储蓄介质的使用和处理应制定严格的维修程序和使用制度。

　　(二)架设防火墙。防火墙是网络安全的屏障。配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。首先，通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次，对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次，防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低局部重点或敏感网络安全问题对全局网络造成的影响。

　　(三)对数据加密与用户授权访问控制。银行推出网上银行、手机银行后，其内部网络也随之成为更加开放的网络环境。而与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对内部网络静态信息的保护，需要系统级别的支持，一般在操作系统中实现。设定强的登录密码，定期对信息数据进行备份，加强对优盘、移动硬盘等移动存储设备的管理，对外来移动存储设备的接入，要先进行病毒查杀处理。同时也要对计算机使用进行保密检查，严格执行计算机信息保密制度。由于操作系统稳定性问题，建议重要的文件信息不要存放在C盘，以防系统崩溃时方便系统恢复；磁盘分区时选用NTFS格式。

　　(四)架设入侵检测设备。入侵检测系统(IDS)是从多种计算机系统及网络系统中收集信息，再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。IDS设备对于银行来说尤为重要，因为这样可以尽量做到早发现、早处置。

　　(五)安装防病毒软件。随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对银行金融机构的计算机信息系统构成了极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。要及时对杀毒软件进行升级和对计算机进行杀毒检测。为减少被病毒和黑客入侵的机会，建议安装网络版的杀毒软件，如瑞星、金山毒霸、卡巴斯基等，还要及时更新。

　　(六)强安全管理队伍建设。在计算机网络系统中，没有绝对的安全。建立健全安全管理体制是银行机构计算机网络安全的重要保证，通过网络管理人员与使用人员的共同努力，将不安全因素降到最低。要不断加强计算机信息网络的规范化管理力度，加大制度落实情况的检查力度。大力加强安全技防建设，根据形势需要适时对计算机信息系统进行维护。加强对管理人员和使用人员的培训教育，提高使用人员和管理人员的安全防范意识和防范技能。

责任编辑：紫藤