银行经营管理/栏目主持人李晓航
加强计算机应用的安全管理
◆建设银行安徽省分行杨学军
电脑自带数据库管理系统吗我行的计算机应用经历了从单用户到多用户,从微型机到小型机的发展过程,应用面已涉及到几乎各个部门。随着涉及国家机密的大量数据和营业网点的营业数据渐渐集中到计算机中,银行计算机系统越来越成为犯罪分子的注意目标,因此,加强我行计算机应用的安全管理,就成为我们的重要工作之一。
一、计算机应用的安全问题
从防范犯罪分子作案的角度,我行计算机应用的安全问题可归纳为数据安全、数据流安全和电磁波安全三个方面。
1.数据安全
数据共享是计算机信息系统的重要特点之一,但是计算机中存储的大量数据都有一定的使用权限。为解决共享与权限之间的矛盾,计算机操作系统和数据库都有数据保护机构,但这种保护机构目前还仅限于密码口令的检验,密码和口令只是由一些数字和字母组成的字符串,如不加强管理,则会失去安全性。另外,在程序中暗藏破坏程度或盗窃程序,都严重威胁数据安全。
目前我行计算机应用中存在操作和技术两个方面的安全性,操作员可通过软件密码口令进入帐务核算系统或信息系统进行操作。技术人员可通过操作系统数据库口令进入计算机系统对数据库进行修改操作或编写程序。
2.数据流安全
计算机网络系统,使大量的数据流在网络中传输,为计算机应用提供了极大的方便,但同时也带来了网络传输的安全性问题。对数据流的窃听,一般有两种方式:一种是单纯式窃听,它窃听传送的信息,但不改变信息内容;另一种为更改式窃听,它截收传递的信息,把一部分更改后再继续传递给对方。
我行的城市综合网络系统和电子清算系统,都以营业数据为核心的计算机网络系统,目前在信息传递上已作了一些技术加密处理。
3.电磁波安全
计算机系统的电磁问题有两个方面:一是空间电磁波干扰计算机的正常工作,二是计算机的电磁波辐射造成信息泄露。
计算机工作时电磁波向周围空间辐射,用无线电接收机很容易测到。当前,对这些信息泄露进行窃听,手段隐蔽,很难觉察。
二、安全对策
从以往计算机作案的犯罪手段看,犯罪分子可利用系统管理员、操作人员、管理人员,修改、盗机密数据或帐务数据,也可利用制度的不健全或管理不严,盗窃存有机密数据的载体。犯罪分子或者只是窃取机密数据,或者是修改计算机中存储的帐务数据,另外还可以冒充合法帐户进行非法存取,包括伪卡、折等。
为保证计算机应用系统的安全,必须从法律、技术和行政管理三个方面采取综合措施。
1.在法律上,对犯罪分子应依法严惩,决不姑息。
2.对技术上要采取物理保户和数据加密两种方法。
对重要的计算机系统如城市综合网络系统和清算系统应有如下措施:主机等应有电磁屏蔽,防止电磁波的辐射和干扰;划立安全区域,严格出入手续;将存有重要数据的媒体存放在能够防盗、防水、防
2/199.
3投资理论与实践66
编读往来
银行经营管理/栏目主持人李晓航编者按:
协助编辑揭发一稿多投
近来我们连续收到几封读者来信,反映一
些作者一稿两投或多投的问题,为此,我们只能
向读者致歉。
为了保证刊物的质量,我们曾多次向投稿者呼
吁,稿件切勿一稿多投,以浪费读者的宝贵时间和刊物的有限篇幅。我们曾在刊物上一再要求投稿者须在稿件上注明“专投”字样,遗憾的是,在其它刊物重复刊登的稿件仍时有发现。就在本刊第4期上一篇题为《1996,中国房地产有啥新气象?》的文章,就在江苏《投资经济》第2期上登出。我们认为,作者的一稿多投行为不仅给读者产生了不良影响,也给我们的编辑工作造成了一定困难。
避免在刊物上登出重复稿件,光靠编辑的把关是不够的。一是编辑不可能在短时间阅读大量报刊,二是刊物周期较报纸长,一稿多投者可以利用时间差重复投稿。为此,我们希望广大热心读者能协助我们将自己发现的重复刊登稿予以揭发,我们将不给一稿多投者开稿酬,也不给他们赠样刊,并将两年内不采
用其稿件。我们珲要象社会上打击假冒伪劣商品一样,让其曝光,让那些善于钻空子的一稿多投者无立足之地。
本刊编辑部
中华人民共和国著作权法
第三十二条著作权人向报社、杂志社投稿的,自稿件发出之日起十五日内未收到报社通知决定刊登的,或者自稿件发出之日起三十日未收到杂志社通知决定刊登的,可以将同一作品向其他报社、杂志社投稿。双方另有约定的除外。
(全国人大常委会1990年9月7日通过。1991年6月1日起施行)
火、防外界电磁干扰的房间内。
对于计算机技术人员,应积极研制新的数据和通讯加密工具,对系统数据进行严格加密。
3.在行政上应加强内部管理
(1)严格执行保密制度。
对我行使用的各类应用软件的程度代码及技术文档资料,应视为机密,未经许可,不得流入建行系统以外,否则应追查责任。在建行内部,也应划分职责使用。程序源代码及技术手册等有关文档不应给操作人员使用,建立健全程序、资料的保管和借用制度。同时,未经许可,严禁外来软件进入我行计算机系统。
(2)严格执行操作权限
对存有机密数据尤其是帐务数据的计算机系统,应划分安全区域,对于无关人员或无维护权限的人,不应随意进出。对我行城市综合网络系统和清算系统的主机房,应指定专门的系统维护人员并严格执行登记制度,即进入主机房人员应说明原因并登记进出时间及操作过程,事后计算机部门主管应有审查。维护人员更改数据库存数据或编写程序须事先征得计算机部门负责人同意。对于营业网点微机,操作人员不得进行直接数据库的修改操作,技术人员进行维护操作时,也应说明原因,并有网点主管人员在场。
(3)严格密码口令管理。
我行的计算机应用系统都有密码口令权限,密码口令分为网点操作人员密码口令和技术人员用操作系统、数据库密码口令(含密码盘)。各行使用的主机(微机、小型机等)的操作系统和数据库的各环节,能设密码口令的都必须设置,操作人员的各操作环节也必须设置密码口令。各行事先应对密码口令按职责合理分配,掌握密码口令人员须严格执行保密制度,未经许可不得将密码口令传给他人。无论操作人员还
是技术人员都应定期更换密码口令。
特别须指出的是,对于能够悠储户卡密码口令的程序及其使用口令须由计算机部门负责人或卡部(筹资科)部门负责人掌握。
(4)严格卡制作管理。
各行应对打卡机、写磁机等制卡设备严格管理,指定专门人员负责制作工作。制卡时应严格按照工作程序进行,不得泄露储户卡密码,也不得泄露有关机密数据和资料。
(5)加强审计。
计算机作案都是犯罪分子利用了管理上各个环节的松驰,如以上所述各个环节未能严格管理,或营业网点的重要章、证、押等保管混乱等。一般来说犯罪分子利用一个环节难以达到犯罪目的,往往是利用了几个环节的漏洞或伙同有关环节人员而达到犯罪目的。这就需要有关部门负责人加强检查和监督,特别要加强事后稽核和审计。
手工事后稽核。出发点是把计算机作为一种记帐的工具,即将原始凭证输入计算机,由计算机自动产生各种帐、表、册等。因此稽核人员应严把凭证、输入数据及计算机输出数据三道关口,严格审查复核,特别注意自制凭证、内部往来证、帐和现金证、帐等环节。
计算机审计。利用计算机审计软件进行计算机自动审计,使审计工作深入到计算机处理的全过程,并审计有无非法软件运行。
199./
66投资理论与实践33
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论