易育之

隨著我國金融電子化建設(shè)的快速發(fā)展，計算機應(yīng)用已進入金融領(lǐng)域的各個層次。越來越多的關(guān)鍵業(yè)務(wù)必須通過計算機系統(tǒng)來實現(xiàn)，計算機信息安全與防范已成為金融機構(gòu)亟待解決的問題。面對日益猖獗的黑客攻擊，金融領(lǐng)域的計算機安全系統(tǒng)面臨著巨大挑戰(zhàn)。

一、金融信息安全分析

（一）安全威脅和表現(xiàn)形式

金融計算機網(wǎng)絡(luò)由于其自身的特點，如形式多樣、終端分布廣泛、網(wǎng)絡(luò)的開放性和互聯(lián)性，容易受到黑客、惡意軟件和病毒的攻擊。

安全威脅主要來自：1.網(wǎng)絡(luò)濫用：內(nèi)部和外部網(wǎng)絡(luò)的濫用，以及非法移動、設(shè)備和業(yè)務(wù)的濫用。2.信息披露：信息泄露給未經(jīng)授權(quán)的單位。3.完整性損壞：通過漏洞利用、授權(quán)違規(guī)、木馬病毒等方式。4.拒絕服務(wù)攻擊：拒絕用戶合法訪問信息或資源，或延遲與時間密切相關(guān)的操作。

安全威脅主要的表現(xiàn)是：1竊聽，通過監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)等技術(shù)手段，可以獲取重要的系統(tǒng)信息，導(dǎo)致金融網(wǎng)絡(luò)信息的泄漏。2.篡改，合法用戶之間的通信信息被入侵后，攻擊者將修改后的偽造信息發(fā)送給接收者。3.拒絕服務(wù)：攻擊者以某種方式植入惡意程序，以減慢甚至癱瘓系統(tǒng)響應(yīng)。4.病毒，攻擊者通過網(wǎng)絡(luò)傳播計算機病毒。

（二）犯罪的主要特征和常用手段

犯罪的特點：1.手段比較隱蔽，痕跡不明顯：大多數(shù)犯罪分子熟悉計算機技術(shù)和業(yè)務(wù)操作規(guī)則，犯罪時間短，痕跡少，不易發(fā)現(xiàn)。2.情節(jié)嚴(yán)重：金融計算機犯罪案件數(shù)不勝數(shù)，令人震驚。3.社會危害嚴(yán)重，由于金融的特殊地位及其在維護社會穩(wěn)定中的重要作用，金融案件將帶來社會不穩(wěn)定因素。

犯罪手段：簿記員犯罪，終端審核員使用計算機直接操作進行犯罪;系統(tǒng)管理員經(jīng)常使用管理系統(tǒng)的特殊權(quán)限進行犯罪;此外，還有軟硬件人員犯罪，內(nèi)外人員犯罪等。

（三）信息泄露方式

1.電磁輻射泄漏。犯罪分子在工作時使用高靈敏度的儀器接收計算機設(shè)備發(fā)出的電磁波，并能監(jiān)視計算機處理的信息。2.剩磁效應(yīng)泄密。當(dāng)計算機存儲介質(zhì)中的信息被刪除時，有時會留下可讀的信息跟蹤。犯罪分子可以非法利用光盤的剩磁效應(yīng)提取原始記錄信息。3.聯(lián)網(wǎng)泄密。局域網(wǎng)和互聯(lián)網(wǎng)之間缺乏完全的物理隔離可能會導(dǎo)致計算機受到黑客、病毒等攻擊。另外，登錄密碼不注意保密性，及時更換，超級用戶管理不好，信息傳輸不加密處理等，也會導(dǎo)致泄露。

（四）犯罪原因

1.預(yù)防意識差，抵御能力低。管理人員對計算機犯罪的危害性認(rèn)識有限，防范意識不強，攔截能力差。同時，計算機安全組織不健全，相關(guān)人員安全教育不到位，沒有形成強有力的安全防線，這些都是導(dǎo)致計算機犯罪案件發(fā)生的重要因素。2.內(nèi)部控制不健全，管理制度未有效實施的。金融主管部門不能有效地檢查和監(jiān)督計算機安全，不能及時發(fā)現(xiàn)和堵塞安全漏洞。3.管理手段落后，應(yīng)急預(yù)案不到位。項目運行等環(huán)節(jié)缺乏完善、科學(xué)的安全保障體系，為犯罪分子利用計算機犯罪提供了良好的機會，應(yīng)急預(yù)案缺乏演練，事故處理能力低。

二、金融信息安全防范措施

（一）制度層面的保障

金融部應(yīng)參照有關(guān)法律法規(guī)，制定全面可行的安全管理制度。如：機房及工作場所、硬件設(shè)備、操作系統(tǒng)及數(shù)據(jù)庫、計算機網(wǎng)絡(luò)、應(yīng)用系統(tǒng)軟件、密碼等。

（二）管理保證

首先，要提高安全管理意識，加大安全管理力度。充分認(rèn)識計算機犯罪對金融聲譽和資本的危害，加強員工安全教育。二是加強重點崗位人員的考核管理，認(rèn)真部署計算機安全防范措施，提高系統(tǒng)和網(wǎng)絡(luò)的管理能力。三是加強設(shè)備和存儲介質(zhì)的管理，對于存放機密文件的存儲介質(zhì)，應(yīng)明確標(biāo)識分類級別和編號，統(tǒng)一登記管理，嚴(yán)格執(zhí)行報廢銷毀制度。第四，在涉密場所設(shè)立相關(guān)的保密控制區(qū)，并由專人負責(zé)維護和保護。不進行網(wǎng)上信息保密，不進行網(wǎng)上信息保密，實行信息披露審批制度。

（三）技術(shù)保證

1.設(shè)置權(quán)限。內(nèi)部網(wǎng)計算機的管理權(quán)限、操作權(quán)限和維護權(quán)限設(shè)置在不同的級別，不同的人員設(shè)置不同的權(quán)限級別。2.嚴(yán)格防止電磁輻射泄漏。盡量選用低輻射計算機設(shè)備。根據(jù)客觀環(huán)境，屏蔽機房或主機內(nèi)部，或安裝計算機視頻保護器等設(shè)施，采取有效的技術(shù)措施干擾計算機的輻射信號，保護計算機輻射的秘密信息。3.嚴(yán)格的物理隔離措施。重要的商業(yè)計算機信息系統(tǒng)在物理上與互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)隔離。連接到互聯(lián)網(wǎng)的計算機不得存儲、處理和傳輸內(nèi)部信息，在互聯(lián)網(wǎng)上提取的信息在連接到互聯(lián)網(wǎng)供內(nèi)部使用之前也必須進行消毒。4.規(guī)范存儲介質(zhì)的管理。保密信息應(yīng)當(dāng)嚴(yán)格按照國家有關(guān)保密規(guī)定儲存和銷毀，移動存儲介質(zhì)的使用要求嚴(yán)格的安全措施，防止病毒、木馬等的引入。

三、結(jié)語

綜上所述，金融系統(tǒng)計算機網(wǎng)絡(luò)犯罪的根本原因是網(wǎng)絡(luò)本身的隱患無法消除，金融人員防范網(wǎng)絡(luò)犯罪的意識有待提高。只有建立完善的安全管理體系，明確各自的安全責(zé)任，加強信息交流和安全技術(shù)交流，制定科學(xué)的安全戰(zhàn)略，采取有效措施和步驟，形成全面的防范力量，建設(shè)強大的金融信息安全保障體系，能夠為金融信息系統(tǒng)贏得一個更加穩(wěn)定的運行環(huán)境，更好地服務(wù)于經(jīng)濟建設(shè)。（作者單位：江西工程學(xué)院）