|
加强和完善信息系统的安全管理
陈卫东
引言
金融业务信息化、网络化、全球化、社会化是金融行业发展的必然趋势,伴随我国今年末加入世界贸易组织(WTO),这种发展的步伐无疑在进一步加快。现代金融业是基于信息的、高度计算化的、分散的、相互依存的产业,因此,有人形象地把信息系统归结为银行的“核心资本”。基于高科技手段武装起来的信息系统给银行业带来先进生产力及低成本金融产品的同时,也带来了巨大的风险,这种风险的影响范围可以严重到引起一次全球金融危机,甚至一次经济毁灭。请看以下事例:
案例一、
美国NASDAQ事故
On
1 August 1994, the NASDAQ exchange failed when a squirrel burrowed through a
telephone cable near the network’s mainframe computer site in Trumbull,
Connecticut, the emergency power switch-over system failed, and NASDAQ, an
electronic equities market trading over 300 million shares daily, was completely
disabled for 34 minutes.
1994年8月1日,由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞,造成电源紧急控制系统损坏,NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。
案例二、美国纽约银行EFT损失
On 21
November 1985, a computer software error prevented the Bank of NEW York from
processing incoming payments form the Federal Reserve’s electronic funds
transfer system. Outgoing payments were made, however, and when the problem was
detected late that night, the Bank of New York’s daily account was 23 billion
dollars in imbalance.
1985年11月21日,由于计算机软件的错误,造成纽约银行与美联储电子结算系统收支失衡,发生了超额支付,而这个问题一直到晚上才被发现,纽约银行当日帐务轧差出现230亿短款。
案例三、花旗银行损失
1995年8月21日,一自称是前苏联克格勃人员通过计算机网络进入美国花旗银行。转走1160万元美金的巨款。
案例四、江苏扬州金融盗窃案
1998年9月,郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置,侵入银行电脑系统,非法存入72万元,取走26万元。这是被我国法学界称为98年中国十大罪案之一的全国首例利用计算机网络盗窃银行巨款的案件。
通过上述比较典型的案例,我们可以得出信息系统安全应包括:
1、信息系统设备的运行稳定可靠;
2、信息系统运行操作的稳定可靠;
3、依赖于计算机软件技术而开发的信息处理系统存在不合理的数学模型,与事实上的逻辑关系相孛,导致信息系统风险;
4、计算机软件设计存在缺陷,与业务需求不相吻合,造成计算机运行风险;
5、通过高技术手段,利用计算机系统存在的缺陷,对信息系统进行恶意的破坏或盗取资金,导致银行信息系统的瘫痪或资金的损失;
6、采用内外勾结的手段,犯罪分子利用合法的身份恶意盗窃银行资金,或利用银行内部管理不善,为犯罪分子作案提供了可趁之机,它们都有一个共同的特征,那
就是犯罪分子都是通过银行内部作案得逞的,因此可归结为一类。
国际ISO将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”,我们将一个完整的安全体系定义为由“实体安全”、“运行安全”和“信息安全”三部分组成。
一、信息系统安全管理是电子化发展的基础
我行根据“七五打基础、八五上规模、九五电子化”的发展思路,到九五末已经实现了工商银行的全面电子化,圆满完成了电子化建设任务,创造了工商银行科技发展史上的辉煌,基本实现了工商银行电子化建设的第一次飞跃。但是,由于资金、技术、管理经验、观念上的各种客观原因的局限,我们的电子化信息系统安全建设仍处于基础阶段,严重滞后于电子化建设的发展水平,这必然造成我行在以高科技为手段的经营活动中潜在不同程度的风险。计算机犯罪现象是伴随电子化的运用而产生的,并且随电子化范围日益广泛,计算机犯罪率有上升的趋势。且看几个报道过的关于我国金融系统内部计算机犯罪案例。
案例1 1987年中国工商银行大连市西岗办事处ASC-6800计算机系统管理员冷孝武利用职务之便,通过计算机系统,截留贪污应收利息11万余元。
案例2 1988年5月15日《经济日报》报道,成都市农业银行德盛街营业部的计算机操作员谢文东与外单位退职人员李某勾结,运用计算机处理程序,采用空头支票进帐的手法,先后多次将87万元巨款转到他事先分设的、在其它几家银行的帐户上进行贪污。
案例3 1993年6月24日中国工商银行哈尔滨河图支行储蓄所储蓄员,利用空存100万元,再通过通兑手段,贪污客户存款95。8万元。
案例4 1994年5月深圳国际投资基金部下的电脑部副经理通过虚设股东帐户和虚增资金帐户,参与股票操作并提取资金2万元。
以上案例说明电子化作案具有智能性、隐蔽性和危害性的共同特性。
银行计算机信息系统安全是一个涉及范围广、互连性强、动态性强的课题,而信息系统的实时性、不间断性、高可靠性、高可用性的要求使对计算机信息系统安全工作的要求更为苛刻,因此,决定了这项工作的复杂性。西方发达国家,经过了几十年的摸索,形成了现在比较完善的信息安全管理模式,我们完全可以加以学习和改造,为我所用,实现“十五”
规划信息安全的跨越式发展,这是我行电子化发展实现第二次飞跃的要求,也是我行融入世界商业银行大潮的客观要求。
二、我行计算机信息系统安全工作的发展及现状
早在1998年10月,针对当时出现的计算机犯罪现象,朱总理就批示:这是一个信号,我们的银行家要抓电脑技术,不能落在犯罪分子后面。根据朱总理的批示,中国人民银行下发了《金融机构计算机信息系统安全保护工作暂行规定》(公通字[1998]63号),明确规定了在金融系统内部要成立以“信息安全”为工作核心的计算机安全保护领导小组,这是金融系统正式涉足信息安全领域开创性的一步,标志着中国金融业为了适应高科技带来的影响,主动调整战略措施,向加强信息系统安全防范迈出的第一步。从1998年到2000年初,我行相继在各级分行成立了由分管科技的行长任组长的计算机安全保护领导小组,总行技术保障部成立了技术安全处,各一级分行技术保障处成立了计算机安全管理科,二级分行也设立了技术安全员,在组织结构上形成了一个比较完善的体系,为我行有效开展信息系统的安全防范工作提供了有效的保障。在机构建设完成以后,在总行技术保障部和技术安全处的统一领导下,明确了信息系统安全的岗位职责,加强对计算机安全防范知识和计算机安全技术的培训,建立健全了各项信息系统安全管理和防范制度,总行与分行先后制定了《大型计算机中心安全运行管理规范》、《中国工商银行计算机信息系统安全管理条例(试行)》《软件投产制度》、《机房管理制度》、《软件管理与电子化信息建档制度》、《应急维护制度》及《计算机内控管理制度》等行之有效的规定和办法,对指导和规范全行计算机安全管理工作,提高全行运行管理工作水平,化解运行风险,防范金融计算机犯罪起到了极大的推动和促进作用。为了提高我行计算机信息系统的安全防范水平,在各级分行计算机安全机构的通力协作下,实施了全行性的终端安全升级改造工程,一至四级网络数据加密改造工程,自动柜员机(ATM)录象监控安装改造工程等等一系列技术安全措施,从整体上提高了我行信息系统的安全防范能力,在信息安全领域进行了成功的探索和实践。总之,在我行“九五”规划完成以后,已经初步建立起了健全的组织机构,涉及面广、内容比较完善的管理制度,培养了一批有一定理论和实践经验的计算机安全管理员队伍,这是我行今后开展信息安全工作特别是在以高度的信息化为特征的新经济时代的信息安全工作的基石和有效的保证。
三、对我行“十五”计算机信息系统安全管理的建议
“十五”期间,总行提出了“以强化计算机安全管理为前提,以计算机安全体系建设为基础,以安全运行、防范风险为重点,采用先进的安全技术,保障工商银行各项业务的健康发展”的计算机信息系统安全工作构架。这对我们信息系统安全工作者来说提出了更高和更明确的工作目标,首次引入了“计算机安全体系建设”的概念,这是非常符合现代信息社会发展客观要求的。计算机信息系统安全是一项系统工程,它涉及应用计算机系统的各个领域。信息系统的安全是靠管理监督和责任到位实现的。早期TCSEC(橘皮书)所建立的安全测评标准已经被现代的安全理念(IEC15408)所建立的以管理为核心的PDR模型所替代,安全不是以系统的漏洞大小界定,强调安全是动态的。任何系统都会存在漏洞,只有在建立防范的基础上,加强检测,强调放映,才能使系统安全维持在一个较高的水平之上。以下是笔者对我行信息系统安全管理工作的粗浅认识和建议,由于工作范围的局限和本人学识水平的浅薄,有些问题只停留在表象,无法作深入的剖析,因此,希望起到抛砖引玉的作用,引起有关部门对我行信息系统安全管理工作展开讨论,有效防范金融电子化给我行带来的风险。
1、
明确责任和义务,切实发挥信息系统安全管理的重要作用
计算机信息系统的安全并不只是计算机本身的安全,而是信息系统的安全,是一个综合性的概念,一项系统工程。在实际工作中,谈到计算机安全往往人们认为是技术部门的事,其实这是一种误区。我行已经实现了业务手段的电子化,电子化业务渗透了我行的各个角落,信息系统应用安全的外延大大扩大了,实现信息系统安全单靠技术部门显然不能发挥应有的作用,由于定位不准,造成了目前责任不清、权限不明、管理不到位的状况,各级行计算机安全保护领导小组也由于种种原因,很难起到应有的作用,其中有认识上的主观因素,也有客观因素,一年中很难召集在一起对信息系统安全展开讨论,研究和部署这方面的工作,削弱了对信息安全工作的指导和协调。
2、研究了解西方发达国家的先进管理经验,结合我行的实际,引进控制论的方法,实现信息系统的安全管理
西方信息安全理论认为,信息系统的安全可以利用控制论的方法进行控制的。根据控制论原理,控制的过程分为三个步骤:第一步是确定标准,用以衡量可控系统过去、现在、将来的运行;第二步是用标准对运行的结果进行测度和评价,发现运行中出现的错误和偏差;第三步是纠正错误和偏差。其中,对标准的制订是控制论的核心内容和关键所在,我行的计算机安全体系应是建立在这个标准之上的。这个标准依据行业的不同,各行业中电子化应用水平的不平衡以及各行业中管理体制的不同存在很大的差异,因此,我们只有在充分了解西方国家管理经验的基础上,制定本行的信息系统安全管理标准,才能适应我行电子化发展的需要。
3、提高全员信息安全意识,有效保障信息系统的安全
从这几年金融系统计算机犯罪案件分析,有绝大部分是由于员工计算机安全意识不强,给犯罪分子留有可乘之机,而这些问题完全可以通过加强员工信息安全知识培训加以解决的。因此,必须花大力气统一编写与我行业务发展相适应的信息安全教育培训教材,各级行计算机安全管理工作者应配合作好普及和教育工作,广泛宣讲管理制度和安全理念,使一线员工真正了解遵守安全管理制度的必要性和违反制度带来的后果,从而自觉把遵守规章制度贯彻到实际工作中去。近些年,我行电子化事业发展迅猛,作为电子化应用直接操作者的一线员工一直在适应变化中的储蓄、对公、信用卡、各项代收费、综合柜员等等业务和业务处理模式,对员工的素质提出了更高的要求,信息安全知识的了解就是员工综合素质的一项重要内容,因此,有必要在一线员工中全面开展信息安全基础知识的普及培训工作,使之成为我行基层员工必备的素质,在整体上提高我行信息安全的防范能力。
4、集中高科技人力资源优势,提高信息系统的技术防范能力
我行正在着手实施以北京、上海为数据处理中心的“9991”工程,这为我行跟踪先进的信息安全防范技术,集中人才资源,在这一领域做多方位、多层次的深入研究提供了条件。计算机系统大集中的特点,可以通过对计算机系统进行了认真、科学的分析,制定统一的安全策略,明确计算机系统安全保护工作的范畴。银行计算机信息系统安全包括两个层次的含义,一是信息系统数据与信息的安全与保密;
二是计算机信息系统本身的安全与保护。针对我行大机集中处理、网络结构庞大的特定条件,可以对“实体安全”、“运行安全”和“信息安全”三部分分课题进行研究,提出防范策略,从安全技术上提高我行的科学防范水平。
高科技在工商银行的广泛应用和不断扩展,推动了我行各项业务的发展和创新,高科技在给业务带来巨大方便、高效的同时,也给我们带来了巨大的风险。我行只有充分认识到加强信息系统安全保护的重要性和紧迫性,才能在电子化发展的道路上不断完善信息系统的安全管理,适应新经济时代的挑战。
|
