农村信用社计算机案防培训科技讲座_计算机知识培训讲座
农村信用社计算机案防培训科技讲座由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“计算机知识培训讲座”。
农村信用社计算机案防培训科技讲座
一、信息科技发展情况
一是全面建设了门柜业务网络系统
俗话说,要想富先修路。计算机通信网络是信息化建设的基础,是农村信用社的信息高速公路。省联社成立后,省中心按照省联社党委提出的科技兴社战略,先后新建、改造市级通信网络中心13个、县级通信网络中心74个,高标准建设了省联社数据中心。建成了省、市、县、社四级联网的业务通信网络系统,网络覆盖了全省所有城市和90%以上的乡镇。在此基础上,开发建设了全省综合业务处理系统,联网营业网点达4000多个。同时,以省联社中心机房一点接入的方式,实现了与人民银行、银监局、全国农信银中心、中国银联以及电力、财政、医保等单位的联网。到目前为止,在线运行的业务系统达二十八个。
1、核心业务系统
核心业务系统是由省联社自主开发的我省农村信用社核心业务软件系统,2005年正式上线,2011年进行了新会计准则改造。该系统采用全省数据大集中模式,功能涵盖了存款、贷款、结算、内部核算管理等各种传统业务,集成了祝祥卡业务、大小额支付系统、财税库系统、农民工银行卡特色服务、农信银系统等多种新业务系统,分别与人民银行、银联公司、农信银资金清算中心联网运行。
2、银行卡系统银行卡系统是省中心按照银联技术标准2.0版进行设计,于2006年5月开发的业务子系统。系统实现了卡存取款、转账清费、手机支付、固网支付(支付易)、烟草代扣、境外消费、境外汇款、互联网消费、信用卡还款、跨行转帐支付等业务功能。2006年开通了农民工银行卡特色服务(简称柜面通),客户持他行银行卡可在全省农村信用社所有联网网点柜台取款。2009年开发了福祥卡短信服务平台,实现账户余额变动即时短信通知。2010年开发了贷记卡业务,2011年1月22日,福祥贷记卡在浏阳农商行成功首发。
3、大小额支付系统
大小额支付系统是与人民银行现代化支付系统连接的支付清算系统,2006年上线。大额实时支付业务用于快速汇款,汇款只需60秒钟即可到帐。小额批量支付系统共通了普通贷记、普通借记、定期借记、定期贷记和信息服务等五类基本业务,实行7X24小时不间断运行。2007年,依托小额支付系统,在全省开通了支票影像与支票圈存业务和全国跨行储蓄通存通兑业务。
4、农信银业务系统
农信银业务系统是与农信银资金清算中心(北京)联网运行的业务系统,实现了我省农村信用社与全国农村信用社的联网,2007年开通了农信银电子汇兑、银行汇票和个人帐户全国通存通兑业务。2010年又开通了工行直汇业务,即通过农信银电子汇兑向全国工行直接汇款。
5、财税库系统(TIPS)
财税库系统即国库信息处理系统,简称TIPS,是与人民银行、税务机关实时联网的税款自动扣缴系统。通过由纳税人与税务机关和信用社网点签署三方协议,系统可以进行单笔实时扣税和定时批量扣税。系统于2006年2月15日上线。
二是开发建设了管理信息网络系统
按照省联社“先业务后管理”的信息化建设思路,在全省综合业务系统建成后,省中心又建设了管理系统网络平台,管理网络与业务网络相互隔离,覆盖全省农村信用社。目前在管理网上主要运行信贷管理系统、征信系统、1104报表系统和数据查询系统等管理系统。
1、信贷管理系统
信贷管理系统于2008年底开发完成,2009年4月在新邵试点成功。至2009年8月底,完成了全省121家县级联社3427个机构网点信贷管理系统上线。该系统采用全省数据大集中模式,信贷业务全流程纳入信贷管理系统。系统主要功能模块有:客户信息管理(包括客户资料管理、客户信用评级、授信、年审、客户关联信息等)、信贷业务管理(包括贷前、贷中、贷后等管理)、风险资产管理(包括五级分类、不良资产管理、抵质押品管理等)、查询统计、报表管理等。
2、企业和个人征信系统
按照人行的统一部署,省中心于2007年完成了我省农村信用社企业征信系统的开发。信贷系统上线后,2010年上半年,省中心又基于信贷管理系统开发了个人征信系统,并重新开发了企业征信系统。2010年5月份两个征信系统正式上线,与人民银行联网运行,通过网络向人行报送企业和个人信用信息。
3、1104报表系统
根据银监会和人民银行的监管与统计要求,省中心于2007年采取合作开发的模式完成了农村合作金融数据报表系统(“1104”)的开发,并已在全省上线运行。系统满足中国人民银行金融统计监测管理信息系统、银监全“1104工程”非现场监管信息系统和省联社数据报表报送要求。
4、数据查询管理系统
数据查询管理系统是省联社专门针对基层联社对综合业务系统数据信息的查询和统计需求,于2009年自主开发的。该系统利用灾备系统资源,每日给各市州下发交易明细和报表等有关数据,各办事处、县级联社业务管理部门可以通过系统前台客户端进行数据查询和统计分析,本地科技人民也可以进行二次开发,以满足各地不同的个性代管理需求。
5、是反洗钱、反假币与公民身份核查系统
反洗钱系统是省联社根据人民银行反洗钱要求,于2006年开发的反洗钱监测分析系统。该系统通过分析综合业务系统交易数据,自动提取大额交易数据,将全省大额交易数据自动及时报送到中国反洗钱监测分析中心。公民身份信息核查系统是为全面落实个人存款账户实名制,省联社根据人民银行要求,于2007年开发上线,对开户、挂失、提前支取等交易强制进行身份信息核查。反假币系统也是与人民银行联网运行的信息系统,但与综合业务系统相互独立,于2010年上线,用于营业机构将收缴假币的统计信息通过网络直接报送人民银行。
三是逐步开发了各种特色新业务系统
1、新农保业务系统
新农保业务系统是省联社于2009年开发的新农村社会养老保险代理业务处理系统。该系统与省劳动与社会保障厅社保中心联网运行,代理全省新型农村社会保险费的缴纳和发放业务。2010年与省社保厅联名发行了新农保联名卡,首张联名卡于10月在长沙县联社成功发行。
2、银(信)保通系统
“银(信)保通”系统是由省联社在现行中间业务平台上和综合业务系统网络内自主开发的代理保险公司业务处理系统,目前已与中国人寿保险湖南公司、生命人寿保险湖南分公司、平安财产保险湖南公司等十多家保险公司实现网络联接、信息共享,客户在农信社机构柜台办理保险业务即可实时出单。
3、非税收入业务系统
非税收入业务系统是省联社根据财政厅非税部门的要求,基于综合业务系统网络平台开发建设的代理业务系统。该系统与财政部门联网运行,为各级机关代收行政事业性收费、罚没收入和其他政府非税收入。
4、地市特色业务
目前各地市开通的特色业务有:益阳代收电费业务、娄底代收水费业务、岳阳代收农村医保业务、张家界烟草收购支付和农电收费业务等。
四是开发建设了业务监督预警系统
业务监督预警系统是为加强综合业务监督管理而于2008年开发的业务风险实时监督预警系统,于2008年10月开始在益阳赫山区联社试点运行,2009年底在全省推广,实行市州(或县市)分别建立预警中心。该系统对预警信息进行分级管理,共分为红色预警、橙色预警、黄色预警、一般预警和一般监控五级,对贷款操作、现金管理、账务处理、凭证管理、柜员管理等各项业务进行实时监督和预警。
五是开发了办公自动化系统
办公自动化系统于2008年开发,2009年上半年在省联社机关投入试运行,2010年在常德市农村信用社试点应用。该系统实现了收文管理、发文管理、办公管理、档案管理等功能,建立了内部电子邮件系统和公文流转系统,实现了公文传输电子化。加快了公文流转速度。
六是建设了同城数据灾备系统
2007年在全国农信系统率先建立了同城数据灾备中心,实现了全省农村信用社业务数据的实时备份,保证了业务数据的安全性和完整性,系统恢复时间控制在2小时以内,为灾难事件后全省农村信用社业务的快速恢复提供了有力的保障。
一、信息化建设面临的压力很大
一是业务创新需求方面的压力。银行业竞争越来越激烈,满后就要挨打,落后就会被甩,被远远地甩到尾巴后面去。而我们和国有大行、股份制银行以及发达地区的兄弟省份农村信用社相比,在业务产品和经营管理方面确实还有较大的差距。这是一个不争的事实。这也是一场没有硝烟的战争。在这场战争中,在座的各位始终战斗在第一线的前沿阵地,可能比我们看得更清楚。也正因为大家都清楚地看到了这一点,所以各行各社都大力开展业务创新和管理创新,纷纷提出了各种各样的新业务需求。今年年初计划年内将有17个信息化建设项目需要建设,其中包括新会计准则改造、财务管理系统、二代支付系统、电子银行、自助终端等大型开发项目,加上信贷系统二期项目、银联境外汇款、农信银二代支付等计划外项目,预计今年开发任务达近30项。
二是系统安全方面的压力。在全省联网以前,某个联社或某个信用社的计算机系统出现问题,受影响的仅仅局限于本县或本社范围。门柜业务和信贷业务全省数据大集中以后,门柜业务和信贷业务的开展全部高度依赖于省联社网络中心,只要省中心一有问题,受影响的就是全省的业务运行,责任重大。所以,张理事长的态度非常明确,确保信息系统安全运行是技术保障部门第一位的工作。省中心的压力非常之大。举一个例子,大家可能不太理解,我有必要在这里说明一下。自从信代管理系统上线后,基层要求修改数据的情况越来越多,可能有的联社认为省中心的响应不够及时。但是我要和大家说,修改数据不是我们想象的那么简单。我们每修改一个数据,并不能仅仅简单地修改某一个地方,而是要全面考虑数据的相关性。综合业务系统和信贷系统都是非常庞大的系统,内部数据关系非常复杂,分户帐、代款登记溥、表内表外欠息登记簿、总帐、明细帐都必须衔接起来,而且综合业务系统和信贷系统是联网联动的,综合业务系统中的相关数据也必须与信贷系统相一致。因此数据修改起来非常复杂。为了控制风险,数据修改省中心都只有在晚上中心批处理完成以后才能进行,这是时候一般都是凌晨2-3点钟了,而且必须双人操作。为了避免频繁进入数据库修改数据,省中心规定每个月安排三次集中修改数据,省中心规定每个月安排三次集中修改数据,分别是11、18和25号晚上。这样一来,对于有些数据修改数据,就可能没有那么及时,恳请大家矛以理解和支持。因为系统安全运行是省中心首要的目标。没有安全运行,发展就是一句空话。所以这也给省中心提出了更高的要求。为了保障系统安全、持续、稳定运行,目前省中心正在北京建设导地应用级灾备系统,今年年底前就可以上线投入运行。系统投产后,省中心的灾难风险应对能力将会有一个质的提升。即使现在的生产中心遭遇重大火灾、地震等破坏性灾难,位于北京的应用灾备系统也能很快接管业务系统,保证全省农村信用社业务的连续正常运行。三是人力资源方面的压力。目前,省联社网络中心共28人。据我们了解,其他省级联社(农商行)科技部门人员配臵情况,江苏155人,安徽100人以上,上海200多人,连西部省份云南都有80多人,与其他省联社相比我省人员明显偏少,与省内同行相比,长沙银行只有100多个网点,仅开发人员就有21人,总人数90多人。而我们近年来业务发展迅猛,在2006年的时候,我省各类业务系统数量只有7个,目前已增加到28个,待开发的系统近30个,每个人都要承但几个项目的开发和维护。我们网络中心的科技人员都是经常加班加点,通宵达旦是家常便饭,就连我们省联社的陈主任也经常和我们一起鏖战通宵。特别是运行人员成年累月一年365天每天晚上通宵值班,没有周末,没有节假日,因为人手不够,连公休假都没办法休,开发与运维人力资源压力很大。
由于要面临这种种压力和困难,有时,省中心对基层的一些信息化需求难以及时研究开发,项目启动后也还需要一个开发测试的过程,在时间上难以满足基层要求,有时,业务部门对各地提出的业务需求的差异性难以兼顾,省中心根据业务部门提供的需求进行开发的系统可能难以上每一个行社都满意,所有这些都要请在座的各位多多理解和支持,同时省中心也将竭尽全力,努力做好我们的技术支持保障工作。我之所以在这里花较多的时间讲这些与今天案防主题看似不太相关的内容。是因为这些内容其实与计算机案防工作密切联系在一起。我们只有对我省农村信用社信息系统的架构和相关的内容作一个深入的了解,才能准确地找准它们的风险点,突出计算机案防的重点,有针对性地防范计算机案件。
二、农村信用社计算机案防工作
计算机案防工作,要避免几种模糊认识,一是计算机案件离我们很过远,二是计算机案件不可控,三是计算机案件防范是科技部门的事。
a)计算机案防及其目标
说到计算机案防,我认为首先有必要厘清一个概念,这是概念明确了,我们才能抓住重点,抓住主要矛盾。什么是计算机案件?我感觉现在我们有一种认识,就是只要在计算机上发生的案件就通通认为是计算机案件。我觉得这不太合理。比如说,某个柜员在正常上班时在综合业务系统中用1202无折存现交易向某个账户虚存了一笔现金,或者用6302转帐交易从某个单位情况,我认为就是一件普通的内控案件,毫无技术性可言,因此不能把它当做计算机案件。
关于金融计算机犯罪,2000年1月,人民银行在《关于加强银行计算机安全防范金融计算机犯罪若干问题的决定》中表述:金融计算机犯罪主要表现在两方面,一是非法侵入、破坏银行网络和信息系统;二是利用计算机实施金融诈骗、盗窃、贪污、挪用公款犯罪,应当是运用计算机信息技术手段所实施的犯罪,应排除那些经授权合法进入计算机业务处理系统操作界面进行常规的操作所实施的经济犯罪,因为此类犯罪既不针对计算机信息系统,也毫无技术含量可言,与普通的经济犯罪并无质的区别,因此,某些柜台操作人员盗取客户存款、虚存实取盗窃银行资金等案件就不宜列入计算机案件范畴。
厘清了计算机案件的概念以后,我们就可以明确计算机案防工作的主要目标和工作重点。《金融机构计算机信息系统安全保护工作暂行规定》第三条明确了金融机构计算机信息系统安全保护工作的基本任务,即预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动,预防、处理各种安全事故,提高金融机构计算机信息系统的整体安全水平,保障国家、集体和个人财产的安全。
结合农村信用社的实际,我认为,我省农村信用社计算机案防工作的主要目标和任务,即是提高计算机信息系统的安全水平,保障计算机及其相关的和配套的设备、设施(含网络)和运行环境不受非法侵害和破坏,保障计算机信息系统不被非法侵入,保障农村信用社计算机信息系统中的各种程序和数据等信息不被非法窃取、修改和破坏,保障信用社和客户的帐务信息和资金安全。
b)计算机案防形势
上世纪九十年代以来,我国的金融电子化取得了巨大成就,但金融计算机安全工作却不容乐观,实际运行中暴露出不少的问题,金融行业成为计算机犯罪的首要目标。根据权威部门2008年的统计,我国自1986年7月深圳蛇口某银行机构发生第一例计算机犯罪案件以来,我国金融计算机犯罪案件以每年30%的速度增长,金融计算机犯罪案件占整个计算机犯罪案件造成经济损失高达2100万元。1999年发生在江苏的郝氏兄弟侵入工商银行计算机网络系统盗窃银行资金案更是引起了时任国务院总理朱镕基的震怒。随着计算机网络技术的快速发展和不断普及,计算机黑客已经形成一个庞大的群体。他们正逐步瞄准金融机构计算机信息系统,而与他信息化水平较高的大行和股份制银行相比,作为信息安全水平相对较低的农村信用社信息系统必将首当其冲。
事实上,频繁发生的金融计算机案件已经表明,金融计算机犯罪并非离我们非常遥远,而是我们面临的残酷的现实,必须引起全省农村信用社各级领导和员工的高度重视。特别是近年来,我省农村信用社案发比频繁,其中很大一部分案件就是通过非法进入和非法操作综合业务系统进行作案得逞的。因此,我省农村信用社计算机案防工作形势相当严峻,不容乐观。
3、金融计算机案件的主要类型
随着金融电子化建设的不断推进,金融机构已全面实现传统业务网络化,绝大部分金融机构已建立或正在建立网上银行,不断推出新的电子银行业务。与此同时,金融领域计算机案件的形式也越来越多,目前主要可以归纳为有以下几种:
一是盗窃、贪污、挪用资金。这类犯罪的共同特征是犯罪人非法操作金融计算机系统,修改帐目转移资金,在具体案件中又表现为以下方式:利用计算机网络技术,非法侵入金融计算机系统盗窃银行或客户资金;金融机构计算机系统管理人员利用职权修改帐务,贪污或者挪用银行或客户资金;计算机信息系统开发人员故意在软件中设臵非法程序贪污盗窃资金等。如郝氏兄弟侵入工商银行盗窃案。
二是破坏金融计算机系统,犯罪人出于泄愤报复动机,或者销毁不利证据等目的,利用计算机系统的特性,利用计算机网络技术非法侵入,或者内部人员非法操作金融计算机信息系统,删除、修改、增加、干扰系统的功能,或者删除、修改、增加系统中存储、处理或者传输的数据和应用程序;或者从实体上坏甚至摧毁计算机信息系统,致使系统不能正常工作,造成严重的后果,如太平洋保险公司郑州分公司信息系统破坏案。
三是非法侵入金融计算机系统盗窃秘密。金融计算机信息系统中不仅有重要的商业秘密数据,而且还可能有国家秘密数据。如系统中存储的大量客户信息、帐户与银行卡信息以及各种密钥信息,这些秘密的失密可能造成金融企业巨大的经济损失,甚至给国家经济带来灾难性的后果。犯罪人的作案方式有多种,如利用计算机网络技术非法侵入,或者利用特殊装臵非法截获秘密信息,或者内部人员非授权操作金融计算机信息系统,阅读或者复制其中的重要秘密数据等。如国外信用卡客户资料被盗案。
四是故意使用有害程序感染金融计算机系统。有害程序按照其是否可以复制自己可以分为计算机病毒和其他有害程序。它们根据犯罪人设计目的的不同,对计算机信息系统的危害程度有大有小,有的只是窃取电子资金,有的窃取商业秘密,有的可以造成计算机信息系统的完全崩溃和数据完全丢失。金融系统内部员工可以在使用金融计算机信息系统时传播有害程序,非内部员工也可以通过盗接金融专用线路,向金融计算机信息系统传播有害程序。
4、金融计算机案件特点
与传统的犯罪形式相比,金融计算机犯罪具有鲜明的特点。一是作案手段智能化、隐蔽性强。大多数的计算机犯罪,都是行为人经过狡诈而周密的安排,运用计算机专业知识,所从事的智力犯罪行为。进行这种犯罪行为时,犯罪分子只需要向计算机输入指令,作案时间短,且对计算机硬件和信息载体不会造成任何损害,作案不留痕迹,使一般人很难觉察到计算机内部软件上发生的变化。另外,有些计算机犯罪,经过一段时间之后,犯罪行为才能发生作用而达犯罪目的。如计算机“逻辑炸弹”,行为人可设计犯罪程序在数月甚至数年后才发生破坏作用。也就是行为时与结果时是分离的,这对作案人起了一定的掩护作用,使计算机犯罪手段更趋向于隐蔽。
二是具有职务犯罪和共同犯罪的特征。作案人主要是单位内部的计算机操作、复核和系统管理人员。这些犯罪人往往受到较好的计算机技术、金融行业专业知识的教育或者培训,而且是金融系统内部具有一定管理人员。另外,也有一部分内部管理人员勾结单位外部人员,共同实施犯罪。
三是犯罪动机目的以非法获利为主。这类犯罪的目的主要是获取非法利益,犯罪人往往自认为有能力突破计算机安全管理措施逃避法律的追究,意图循捷径获取巨大利益。其次,一部分犯罪人是由于工作、生活、人际关系等方面的原因产生报复动机而破坏计算机信息系统。还有一部分犯罪人出于追求刺激和炫耀的动机,而尝试破解和入侵安全性高的金融计算机信息系统。
四是犯罪方式以虚存实取为主,约占案件总数70%左右。犯罪人通常会利用虚假的身份信息预先在异地开立银行账户,再伺机在本地计算机系统中向这些账户中虚存资金,然后再堂而皇之地到异地银行柜台或ATM取款。
五是犯罪成本低。与传统犯罪相比,计算机犯罪所冒风险小而获益大,作案者只要轻敲几下键盘,就能使受害者遭受巨大损失,而使自己获得巨大的经济利益,或获得巨大的心理满足,经济成本很低。
5、计算机案防主要风险点
农村信用社计算机案防工作主要面临以下风险:
一是内部人员作案。内部工作人员利用职务之便,运用自身掌握的计算机技术和相关信息系统密码、密钥等秘密,对计算机信息系统中的客户帐户信息或程序进行非法修改、删除、增加、拷贝等操作,以达到非法获利或报复的目的。二是外部入侵攻击。计算机黑客以盗窃、诈骗或者报复破坏等为目的,通过寻找和利用计算机信息网络系统本身的脆弱性,剌探窃取计算机系统密码口令、身份识别标志,绕过计算机系统删除客户帐户信息,或删除、破坏计算机信息系统程序,或针对内部计算机信息系统制造和释放病毒。
三是关联道德风险。与我社计算机信息系统相关联的企业,包括三方联网单位、系统开发运维服务商等企业,这些企业的不法人员可能利用某些便利条件,非法侵入我社信息系统,以窃取、篡改、破坏信息系统及客户账务数据信息,进而达到非法获利等目的。
四是软件缺陷利用。计算机软件通常不可避免地存在缺陷和漏洞,即使是技术力量最为雄厚的软件业霸主微软公司推出的WINDOWS及其他软件也不例外。操作人同可能利用计算机应用系统的某些功能缺陷进行非法操作,实施金融诈骗等犯罪行为。
五是内外勾结作案。内外人员色结共谋,由内部人员利用职务之便,向外部不法分子非法提供计算机信息系统有关秘密信息或程序或其他帮助,外部不法分子非法进入计算机信息系统进行业务操作,实施资金汇划或虚增存款等犯罪行为。
6、计算机案件风险防范
为了保障计算机系统的正常运行,必须综合采取技术性和非技术性安全措施。技术性措施是用硬件与软件来保证计算机系统的安全,如硬件的可靠性、软件的正确性、数据的保密性等;非技术发生 措施主要有管理的、物理的和法律的手段。
7、全面落实计算机安全管理制度
在计算机案件风险防范措施中,管理方面的安全措施占全部安全措施的50%左右。大量事实表明,在计算机系统受到的危害中,绝大多数是由于管理不善或控制不严造成的。严格的安全管理对防范计算机案件尤其是内部案件,往往是最行之有效的措施。某些先进技术如防火墙等,对防范网络内部攻击却无能为力。所以,控制计算机案件风险,首先应当不断完善和全面落实计算机安全管理制度。
一是加强对计算机安全工作的组织领导。根据人民银行和省联社有关规定,各县级联社必须成立计算机信息系统安全保护领导小组,负责本单位内各部门计算机信息系统安全管理和检查,由分管领导任组长,并确定专职部门负责日常的计算机信息系统安全保护工作。各市(州)农村信用社联合社、县(市、区)农村信用社联合社、农村合用银行均应配备专职计算机安全管理员,农村信用社应配备专职或兼职计算机安全管理员。对于这些规定,全省农村信用社各级领导要从事关农村信用社生存和发展的高度来认识,落实到位,为计算机安全工作提供大的组织保障。
二是完善计算机安全管理制度体系。计算机技术在快速发展,农村信用社的信息化建设在快速推进,在全省信息化建设和运行过程中,不可避免地会出现各种新情况新问题。因此,全省农村信用社要坚持与时俱进,对现有的计算机安全制度进行全面清理,根据计算机技术的发展和信息化建设与运行情况,按照“最小授权、分权制约”的原则,建立健全各项计算机安全管理制度;完善业务操作规程;加强要害岗位管理,健全内部制约机制。
三是落实要害岗位人员安全制度。计算机安全案防工作必须坚持以人为本,通过严格要害岗位人员管理,防范各类计算机内部案件。应当加强主要岗位工作人员的录用、考核制度,不适宜的人员必须及时调离。涉及银行业务核心部分开发的技术人员调离本系统时,应当确认对本系统安全不会造成危害后方可调离。计算机系统管理员不能兼任柜面及事后稽核等工作,不得参与相关软件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。同时要加强外包人员管理,所有外包项目的开发维护技术人员必须签署保密协议,不得掌握任何生产系统密码,不得复制和保留、带走任何项目的源程序代码。
四是落实密码密钥保密制度。计算机信息系统的各种用户账号及其密码是信息系统的主要保护屏障。密码一旦泄露,就极有可能给不法分子以可乘之机。因此,落实密码密钥保密制度尤为重要。不仅应当建立操作人员密码制度,分清各自责任,而且密码应当定期更换,不得泄露。计算机工作人员调离时,必须移交全部技术手册及有关资料,有关系统管理人员应立即更换计算机的有关口令和密钥。同时,口令密码编制应具有一定的复杂性,系统管理人员的密码不能用纯字母或纯数字作为密码,密码长度至少设臵8位,柜员的操作密码至少6位,不能设臵为6个1,或6个8,或112233、123123等简单的密码。
五是落实系统与网络管理制度。开发系统应当和业务系统分离,程序员只能在开发系统上工作。业务生产用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。系统管理人员应屏蔽与应用系统无关的所有网络通信功能,防止非法用户的侵入。内网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联的物理隔离。
市(州)、县网络中心需要与第三方进行网络连接时,必须先上报省网络管理中心审批后,采购由省网络管理中心认可的网络安全产品,按规范安装、调试,由省网络管理中心进行安全验收合格后,才能接入生产网络投入使用。
这里特别要注意的是,所有业务用计算机必须设臵开机密码、超级用户密码和业务用户密码。尤其应当对前台客户机的安全管理给予足够的重视,切不可因为网点电脑中没有账务数据而有任何麻痹思想。各种密码不仅要按要求设臵,而且应定期更换。要坚决防止不法分子从营业网点打开网络缺口。
8、广泛应用计算机安全技术
为有效防范计算机安全,在建立健全管理制度体系的同时,还应建立牢固的计算机信息系统案防技术堡垒。
一是强化计算机实体安全技术措施。计算机的实体安全案防风险主要是人为的对计算机中心及其设施、设备进行盗窃、攻击和破坏。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对信息中心计算机设备实体的安全和风险防范就应用引起足够的重视。在计算机机房的关键出入口应设立多层次的电子保安门锁;在主机房、柜面、自助银行等要害部位安装防盗监控设备,落实值班监视制度。
二是科学配臵网络安全管理平台。各级网络中心要对省联社统一建设的网络安全管理平台进行科学合理的配臵,确保管理平台既能充分发挥其应有的安全防护作用,又不影响业务的正常运行。同时,各级农村信用应当配备必要的计算机病毒防治工具,对易受病毒攻击的计算机信息系统,定期进行病毒检查。用介质交换信息要按规定手续管理,并进行病毒预检,防止病毒对系统和数据的破坏。今后,全省所有WINDOWS系统PC机必须按要求安装省中心统一采购的网络版防病毒软件,各级办事处、联社、网点的PC工作站病毒的防治由各办事处、联社指定专人负责,定期查毒,并对杀毒软件进行在线升级。
三是应用先进的身份识别认证技术。综合业务系统建设之初,系统采用的柜员身份识别技术是柜员和柜员密码。但由于柜员号是公开的,柜员只要知道了他人的密码就可以假冒身份进入系统办理业务,或复核自己的业务,或为自己授权,存在较大风险隐患。从2006年起,采用柜员卡和密码组合的柜员身份识别技术,系统安全性在一定程度上得到了提高。但由于柜员卡是一张物理卡片,本身存在先天不足,可以转借,容易丢失或被盗。事实上,在柜员卡应用中,由于员工的安全意识不强,有些柜员将个人感情和对同事的信任凌驾于制度之上。虽然有严格的管理制度,但制度并未完全执行到位。有些网点的授权柜员为图方便,将柜员卡交给柜台人员保管使用,密码设臵为通用密码;有的柜员随意放臵柜员卡导致柜员卡被盗用。这些现象时有发生,导致在一定程度上柜员卡和柜员密码形同虚设,授权流于形式,容易引发员工的道德风险。目前有的联社已经应用了更加先进的身份识别技术,如指纹身份识别技术。这也是目前最成熟的一种生物识别技术,已经在公安、银行、社会保险等各行业得到了广泛的应用,效果很好,值得全省推广。
9、持续开展计算机安全教育培训
因计算机犯罪既富于刺激和挑战性而又有利可图,对犯罪人员具有巨大的诱惑。无论是技术防范还是法律制裁都很难从根本上控制此类高技术犯罪。因此,要坚持以人为本,提高全员计算机案防意识,使农村信用社各级领导和广大干部职工提高对加强计算机安全案防工作。要充分重视员工的政治思想、职业道德、合规文化和安全保护意识等综合素质教育,把持续全面开展计算机安全教育培训工作,作为建立计算机案防工作长效机制的重要措施,消除计算机案件赖以发生的土壤和温床。通过教育培训,一方面,帮助全体员工树立正确的世观、人生观、自觉抵制拜金主义、享乐主义和极端个人主义、遵纪守法,严格自律,最大限度地减少甚至消除内部人员计算机案件;另一方面,帮助全体员工树立主人翁责任感,提高计算机安全保护意识和安全技术水平,自觉保守计算机系统有关秘密,开发人员严格按照计算机安全管理的要求进行开发设计,管理和操作人员严格按照相关管理与操作规程使用操作计算机信息系统,不给外部人员任何可乘之机,积极防范外部人员计算机案件。
10、网络中心案防实践
为切实做好计算机案防工作,保障我省农村信用社信息系统安全运行,保障农村信用社及其客户的资金与信息安全,省中心做了大量的工作。我在这里给大家通报一下有关情况,希望能够起到一个传导和抛砖引玉的作用。
一是建立了网络安全管理平台和网络防病毒系统,应用防火墙隔离各安全区域,部署了IPS入侵防御系统阻止各种恶意流量和无关流量,有效防止黑客入侵系统。在机关办公电脑、“1104”报表上报电脑等电脑上安装了趋势防病毒软件,有效控制了网络病毒的入侵和传播,保证了综合业务系统网络和机关办公网络的安全运行。
二是建立了一整套内控制度,切实防范内部人员风险。如省中心系统管理制度、密码管理制度等制度办法,数据修改必须实现双人操作,系统和数据库的重要密码都必须由两人分管,每人只掌握密码的一部分,两人同时到场才能进行系统。
三是应用了动态密码、数据加密和电磁屏蔽等技术。省联社网络中心的系统访问控制系统。使用动态密码技术,密码每分钟变化一次,登陆系统者必须使用一个硬件动态密码终端(也就是动态密码卡),使用动态密码才能成功登陆。对于非制空权的内部工作人员或外部入侵者,由于未持有动态密码卡,就无法登陆系统。而且由于密码很快失效,使得任何密码破解手段都参议会以奏效。同时,对省中心机房进行了电磁屏蔽,对关键数据实行加密存储,对数据通信实行加密传输。通过信号屏蔽和加密,使不法分子难以截获数据信息,即使截获了信号,也只能得到加密后的密文数据。
四是正在大力推广科技文化建设,用先进的企业文化武装科技队伍,用正确的人生观、世界观为科技人员提供强大的力量源泉和精神支柱,积极防范内部人员道德风险。
五是正在建设数据库操作留痕审计系统,目前系统已经进入测试阶段。该系统能对所有进入数据库的查询、修改、删除、插入等操作进行留痕记录,以便省中心进行操作审计。
六是正在分阶段开展计算机信息安全检查和安全保护等级定级工作,第一阶段宣传发动,第二阶段摸底自查初步定级,第三阶段统一检查、定级审核,第四阶段定级备案、问题整改。按照省联社文件要求,第二阶段应在8月20日之前完成,并向省联社提交有关报告。
七是正在建设全省农信社科技信息互动交流平台,充分利用现有的网络和硬件资源,运用点对点通讯、互联网社区、WEB2.0等互联网先进技术,打造一个能够囊括省、市、县三级科技部门,功能强大、高效、安全的科技信息交流互动平台。
八是正在开展对事后监督系统和集中授权系统的前期调研,为运用科技手段防范内控案提供技术支持。
同时,省中心将根据业务部门的要求,进一步完善业务系统,充分利用现代信息技术程序化、精确化、集约化、刚性化的特点和优势,实现制度软件化,实施刚性控制,增强科技硬约束,防范各种内控案件发生。我个人认为,对综合业务系统中流程控制不严的业务交易要加以改进,增强业务制度约束的刚性。凡是可以用软件程序控制的,尽可能实现程序控制,能够用程序检查的,应用计算机进行检查。当然,这最终还需要业务部门拿出需求,省中心才能根据需求进行改造。
最后,我们还将逐步开展应用系统安全审计。在我们目前的应用系统开发设计中,通常的流程是,先由业务部门提出需求,科技部门按照业务需求组织实施开发,具体的开发工作许多是由合作开发商来承担的,开发完成后再由业务部门进行测试和验收。在整个系统开发过程中,风险管理和审计部门极少介入,以至于有的系统投入运行后,一直到暴露出问题,甚至发生了相关的案件,才由监管部门首先发现系统存在的安全隐患。因此,为切实做好计算机案防工作,在信息系统开发应用中,我们将逐步开展系统安全审计,并贯穿业务需求和系统设计全过程,如审查有关业务的复核与授权等安全机制是否得全面实现等,确保应用系统各功能模块和各交易符合信用社业务安全准则减少甚至杜绝系统安全缺陷,最大限度降低案防风险。
