过去一提到银行安全,总是让人想到劫匪持刀蒙面,呼啸而来,呼啸而去,在防范手段上也多强调“三铁”,即铁帐、铁算盘、铁制度。而在信息化高速发展,货币电子化已是大势所趋的今天,银行安全又增加了新的内容—网络安全。
近年来,国内各大银行为了适应金融业发展的需要争相投资建网,银行网络系统的建立,大大改善了整个银行业的经营环境,增强了金融信息的可靠性,提高了管理水平,促成了许多新业务的开展,使金融服务于社会的手段更趋现代化。尤其网上银行的诞生使人们“坐在家里理财”这一由来已久的愿望变为现实。网上银行的优势在于它不仅缩短了交易时间,降低了交易成本,而且大大增强了交易的灵活性。但是,在我们享受银行网络所带来的便利服务的同时也必须清醒的看到,由于技术、规范等各种因素的制约,银行网络系统的安全体系很不完善,安全措施也很不完备,存在严重的安全漏洞和安全隐患,来自银行网络内部和外部的攻击都时刻在威胁着银行的安全。
我国银行网络系统安全的现状的确令人担忧。银行网络目前的安全措施大部分仅是保密,极少采用数字签名,认证机制也不健全,所有这些都严重不适应现代金融信息系统的安全需求。具体表现在以下几个方面:1.只求发展速度,不重视网络安全。对安全问题投入不够,也没有固定的安全维护人员,缺乏对网络安全正常、配套、协调的建设。2.对网络建设缺乏深入、细致、具体的安全体系研究,更缺乏建立安全体系的迫切性。3.尽管制定了网络安全的制度、措施和标准,但没有得到切实的贯彻执行,再加上疏于宣传教育,因此网络安全的意识根本没有树立起来。
银行网络安全包括网络自身的系统安全威胁和各种主动攻击手段所带来的安全问题两个层面,对于现代金融信息系统而言,后者威胁更为严重。
据《星期日泰晤士报》报道:1999年9月,电脑黑客曾侵入英国多家银行及金融机构的电脑保安系统,并向其勒索数以百万英镑计的赎金,扬言否则就会破坏银行电脑系统及公开所盗取的客户资料。有可靠消息证明,至少有两家伦敦银行向黑客交付了不少于一百万英镑的赎金,其余银行则不得而知。
上述事件的发生并非偶然,也绝非个案,一项调查发现,在全球50家最大规模的银行中,超过一半的的电脑网络在1998年中曾经受到过一次以上的电脑黑客入侵。怀有不同目的的黑客在侵入银行电脑系统后,或勒索银行巨额赎金,或转移客户资金,或破坏电脑网络,这些手段所带来的风险都是系统性的、全局性的,对于以信用为生命线的银行而言,它将会严重打击客户对于银行的信心,并可能会给银行带来严重的,甚至毁灭性的灾难,因此网络安全对于银行的重要性怎么估计都不过分。
网络安全的防范目的在于保证数据的完整性、权威性和可靠性,并防止由于欺诈行为和系统运行失误以及非法侵入所造成的损失。具体措施主要可从技术、人事、规范三个层面来进行。
在技术层面上,主要采用抗入侵设备、密码技术、在线授权等安全性措施对网络安全进行预防、监测和牵制(参见王鲁滨、周虹《电子货币与金融风险防范》载《中国金融》1999年第6期)。
在人事层面上,首先应引导银行及其员工转变金融安全观念,树立网络安全意识。其次,根据接触系统和操作的密级选择适当、可靠的人选。近年来,金融系统中的泄密案件屡有发生,网络技术人员以及其他银行职员因职务需要,有机会接触网络系统数据资料,一旦泄密将会给网络安全带来重大隐患;其次,要配备高、精、尖水平的网络技术人员,从硬件和软件两方面维护网络的安全运行,防止黑客入侵和系统失灵;最后,对相关人员的技术水平、工作态度、工作表现要进行定期考评,适时进行岗位调整,搞好内控。在已经破获的黑客入侵的所有案例中,银行内部人员参与作案的比例令人震惊,监守自盗的案件也屡见不鲜。在网络出现故障时,技术维护人员会临时掌握操作员密码,这样就会留下事后盗用密码套取现金的隐患。由此可见,在网络安全问题上,内控的重要性丝毫不亚于外防。
在规范层面上,必须完善相关制度建设:1.针对软件开发人员、系统维护人员、业务操作人员的工作职责,分别建立一套职责明确的管理制度,以便分清职责,互相监管。2.建立密码管理制度。重要的密码要由不同人员分段掌握,密码要定期更换并严格控制密码的扩散范围。3.加强应用软件管理,应用软件要安排专人管理,未经有关负责人的批准不得随意修改软件,确因业务需要而必须修改的软件,在修改完后要及时入库登记,同时附软件修改说明书和测试报告,严禁将应用软件外流、外泄。4.建立并严格执行机房管理制度。机房要由专人管理,切忌用信任代替制度,划分禁区等级,非合格人员不得入内。5.集中存放业务数据,降低因数据分散存放产生的风险。6.法律应明确规定,对于行为人因故意或过失对网络安全造成危害的,应当承担相应的民事或刑事责任。修改后的我国刑法规定了破坏计算机信息系统罪以及利用计算机实施金融诈骗、盗窃或其他犯罪的刑事责任,对于威慑企图破坏银行网络和利用其进行犯罪的不稳定分子,保护网络安全,无疑会起到重要作用。
1999 > 1999年总第29辑