易育之

隨著我國(guó)金融電子化建設(shè)的快速發(fā)展，計(jì)算機(jī)應(yīng)用已進(jìn)入金融領(lǐng)域的各個(gè)層次。越來(lái)越多的關(guān)鍵業(yè)務(wù)必須通過(guò)計(jì)算機(jī)系統(tǒng)來(lái)實(shí)現(xiàn)，計(jì)算機(jī)信息安全與防范已成為金融機(jī)構(gòu)亟待解決的問(wèn)題。面對(duì)日益猖獗的黑客攻擊，金融領(lǐng)域的計(jì)算機(jī)安全系統(tǒng)面臨著巨大挑戰(zhàn)。

一、金融信息安全分析

（一）安全威脅和表現(xiàn)形式

金融計(jì)算機(jī)網(wǎng)絡(luò)由于其自身的特點(diǎn)，如形式多樣、終端分布廣泛、網(wǎng)絡(luò)的開(kāi)放性和互聯(lián)性，容易受到黑客、惡意軟件和病毒的攻擊。

安全威脅主要來(lái)自：1.網(wǎng)絡(luò)濫用：內(nèi)部和外部網(wǎng)絡(luò)的濫用，以及非法移動(dòng)、設(shè)備和業(yè)務(wù)的濫用。2.信息披露：信息泄露給未經(jīng)授權(quán)的單位。3.完整性損壞：通過(guò)漏洞利用、授權(quán)違規(guī)、木馬病毒等方式。4.拒絕服務(wù)攻擊：拒絕用戶(hù)合法訪(fǎng)問(wèn)信息或資源，或延遲與時(shí)間密切相關(guān)的操作。

安全威脅主要的表現(xiàn)是：1竊聽(tīng)，通過(guò)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)等技術(shù)手段，可以獲取重要的系統(tǒng)信息，導(dǎo)致金融網(wǎng)絡(luò)信息的泄漏。2.篡改，合法用戶(hù)之間的通信信息被入侵后，攻擊者將修改后的偽造信息發(fā)送給接收者。3.拒絕服務(wù)：攻擊者以某種方式植入惡意程序，以減慢甚至癱瘓系統(tǒng)響應(yīng)。4.病毒，攻擊者通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒。

（二）犯罪的主要特征和常用手段

犯罪的特點(diǎn)：1.手段比較隱蔽，痕跡不明顯：大多數(shù)犯罪分子熟悉計(jì)算機(jī)技術(shù)和業(yè)務(wù)操作規(guī)則，犯罪時(shí)間短，痕跡少，不易發(fā)現(xiàn)。2.情節(jié)嚴(yán)重：金融計(jì)算機(jī)犯罪案件數(shù)不勝數(shù)，令人震驚。3.社會(huì)危害嚴(yán)重，由于金融的特殊地位及其在維護(hù)社會(huì)穩(wěn)定中的重要作用，金融案件將帶來(lái)社會(huì)不穩(wěn)定因素。

犯罪手段：簿記員犯罪，終端審核員使用計(jì)算機(jī)直接操作進(jìn)行犯罪;系統(tǒng)管理員經(jīng)常使用管理系統(tǒng)的特殊權(quán)限進(jìn)行犯罪;此外，還有軟硬件人員犯罪，內(nèi)外人員犯罪等。

（三）信息泄露方式

1.電磁輻射泄漏。犯罪分子在工作時(shí)使用高靈敏度的儀器接收計(jì)算機(jī)設(shè)備發(fā)出的電磁波，并能監(jiān)視計(jì)算機(jī)處理的信息。2.剩磁效應(yīng)泄密。當(dāng)計(jì)算機(jī)存儲(chǔ)介質(zhì)中的信息被刪除時(shí)，有時(shí)會(huì)留下可讀的信息跟蹤。犯罪分子可以非法利用光盤(pán)的剩磁效應(yīng)提取原始記錄信息。3.聯(lián)網(wǎng)泄密。局域網(wǎng)和互聯(lián)網(wǎng)之間缺乏完全的物理隔離可能會(huì)導(dǎo)致計(jì)算機(jī)受到黑客、病毒等攻擊。另外，登錄密碼不注意保密性，及時(shí)更換，超級(jí)用戶(hù)管理不好，信息傳輸不加密處理等，也會(huì)導(dǎo)致泄露。

（四）犯罪原因

1.預(yù)防意識(shí)差，抵御能力低。管理人員對(duì)計(jì)算機(jī)犯罪的危害性認(rèn)識(shí)有限，防范意識(shí)不強(qiáng)，攔截能力差。同時(shí)，計(jì)算機(jī)安全組織不健全，相關(guān)人員安全教育不到位，沒(méi)有形成強(qiáng)有力的安全防線(xiàn)，這些都是導(dǎo)致計(jì)算機(jī)犯罪案件發(fā)生的重要因素。2.內(nèi)部控制不健全，管理制度未有效實(shí)施的。金融主管部門(mén)不能有效地檢查和監(jiān)督計(jì)算機(jī)安全，不能及時(shí)發(fā)現(xiàn)和堵塞安全漏洞。3.管理手段落后，應(yīng)急預(yù)案不到位。項(xiàng)目運(yùn)行等環(huán)節(jié)缺乏完善、科學(xué)的安全保障體系，為犯罪分子利用計(jì)算機(jī)犯罪提供了良好的機(jī)會(huì)，應(yīng)急預(yù)案缺乏演練，事故處理能力低。

二、金融信息安全防范措施

（一）制度層面的保障

金融部應(yīng)參照有關(guān)法律法規(guī)，制定全面可行的安全管理制度。如：機(jī)房及工作場(chǎng)所、硬件設(shè)備、操作系統(tǒng)及數(shù)據(jù)庫(kù)、計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)軟件、密碼等。

（二）管理保證

首先，要提高安全管理意識(shí)，加大安全管理力度。充分認(rèn)識(shí)計(jì)算機(jī)犯罪對(duì)金融聲譽(yù)和資本的危害，加強(qiáng)員工安全教育。二是加強(qiáng)重點(diǎn)崗位人員的考核管理，認(rèn)真部署計(jì)算機(jī)安全防范措施，提高系統(tǒng)和網(wǎng)絡(luò)的管理能力。三是加強(qiáng)設(shè)備和存儲(chǔ)介質(zhì)的管理，對(duì)于存放機(jī)密文件的存儲(chǔ)介質(zhì)，應(yīng)明確標(biāo)識(shí)分類(lèi)級(jí)別和編號(hào)，統(tǒng)一登記管理，嚴(yán)格執(zhí)行報(bào)廢銷(xiāo)毀制度。第四，在涉密場(chǎng)所設(shè)立相關(guān)的保密控制區(qū)，并由專(zhuān)人負(fù)責(zé)維護(hù)和保護(hù)。不進(jìn)行網(wǎng)上信息保密，不進(jìn)行網(wǎng)上信息保密，實(shí)行信息披露審批制度。

（三）技術(shù)保證

1.設(shè)置權(quán)限。內(nèi)部網(wǎng)計(jì)算機(jī)的管理權(quán)限、操作權(quán)限和維護(hù)權(quán)限設(shè)置在不同的級(jí)別，不同的人員設(shè)置不同的權(quán)限級(jí)別。2.嚴(yán)格防止電磁輻射泄漏。盡量選用低輻射計(jì)算機(jī)設(shè)備。根據(jù)客觀環(huán)境，屏蔽機(jī)房或主機(jī)內(nèi)部，或安裝計(jì)算機(jī)視頻保護(hù)器等設(shè)施，采取有效的技術(shù)措施干擾計(jì)算機(jī)的輻射信號(hào)，保護(hù)計(jì)算機(jī)輻射的秘密信息。3.嚴(yán)格的物理隔離措施。重要的商業(yè)計(jì)算機(jī)信息系統(tǒng)在物理上與互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)隔離。連接到互聯(lián)網(wǎng)的計(jì)算機(jī)不得存儲(chǔ)、處理和傳輸內(nèi)部信息，在互聯(lián)網(wǎng)上提取的信息在連接到互聯(lián)網(wǎng)供內(nèi)部使用之前也必須進(jìn)行消毒。4.規(guī)范存儲(chǔ)介質(zhì)的管理。保密信息應(yīng)當(dāng)嚴(yán)格按照國(guó)家有關(guān)保密規(guī)定儲(chǔ)存和銷(xiāo)毀，移動(dòng)存儲(chǔ)介質(zhì)的使用要求嚴(yán)格的安全措施，防止病毒、木馬等的引入。

三、結(jié)語(yǔ)

綜上所述，金融系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)犯罪的根本原因是網(wǎng)絡(luò)本身的隱患無(wú)法消除，金融人員防范網(wǎng)絡(luò)犯罪的意識(shí)有待提高。只有建立完善的安全管理體系，明確各自的安全責(zé)任，加強(qiáng)信息交流和安全技術(shù)交流，制定科學(xué)的安全戰(zhàn)略，采取有效措施和步驟，形成全面的防范力量，建設(shè)強(qiáng)大的金融信息安全保障體系，能夠?yàn)榻鹑谛畔⑾到y(tǒng)贏得一個(gè)更加穩(wěn)定的運(yùn)行環(huán)境，更好地服務(wù)于經(jīng)濟(jì)建設(shè)。（作者單位：江西工程學(xué)院）