李　刚

[摘要]金融电子化的迅猛发展，对国家经济建设起着极其重要的促进和保障作用，其安全管理的重要性也日益重要。通过对金融计算机业务中潜在的或已发生的风险分析，详细论述在计算机管理和安全技术方面应采取的有效防范措施及防范和化解金融科技风险、保障业务系统运行安全、促进金融业稳定发展的建议。

[关键词]金融机构 计算机安全 管理

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0510050－01

随着金融事业的发展，无论是在储蓄、对公还是在管理领域，金融电子化已得到进一步的推广，计算机已成为金融部门日常工作的重要工具。由于金融部门地位的重要性和金融工作的特殊性，使金融计算机系统的安全问题越来越突显。

一、金融计算机系统安全含义

金融计算机系统安全是指金融部门计算机信息系统的安全。我国公安部计算机管理监察司的定义是：“计算机安全是指计算机资产安全，即计算机信息系统和信息资源不受自然和人为有害因素的威胁与危害”。

二、妨碍金融计算机系统安全的几个方面

（一）思想麻痹，重视不够

在观念上对计算机有迷信思想，没有看到计算机固有的脆弱性和潜在的危险性，对国内外发生的大量的计算机泄密、计算机犯罪和计算机病毒等危害计算机系统和信息安全的事件存有侥幸心理，在思想上、制度上、人员上没有做好准备。“三防一保”中也很少涉及计算机安全保护。

（二）设备老化，技术落后

由于金融电子化开始的较早，而计算机技术发展的很快，许多计算机设备已过时和老化，硬故障时有发生，威胁了金融业务的正常开展。加之这几年金融事业有了长足的发展，业务量的增加对计算机设备提出了更高的要求。

（三）程序复杂，缺乏维护

金融系统应用软件大多自行开发，这几年各级部门开发了不少不同版本的软件在基层使用。这些软件由于没有经过正规的软件评测和调试，使用过程中发现的问题很难及时反映给开发者，所以兼容性、容错性较差，状态不稳定。加上软件没有通俗、完备的用户手册，职工培训也没有跟上，使基层单位对应用软件的功能理解不全面。在日常工作中由于操作失误不时出现死机和数据库丢失等故障，影响业务工作的正常进行。

（四）系统、应用程序和数据库抗非访问能力差

金融计算机系统遭到的破坏我们可以将它分为恶意破坏和“善意”破坏那些通过私自操作程序和修改数据库以达到贪污挪用公款的违法行为是恶意破坏。而有时由于工作人员在计算机上操作玩耍造成系统损坏的违规行为可视为“善意”破坏。但无论是“善意”破坏还是恶意破坏都暴露出系统、应用程序和数据库缺少保护外壳，不具备拒绝非法访问的能力，使人们能轻而易举地接触到要害部分。

三、对计算机安全管理的基本策略

根据以上计算机安全工作存在的六种风险，相应地制定出计算机安全管理工作的策略和管理措施。

（一）加强计算机安全制度的建设

首先，从管理层到技术人员、业务人员都要加强计算机风险意识，重视计算机安全管理。其次，各金融机构都要建立健全计算机安全制度和操作规程，做到有章可循，操作规程应具有科学性、超前性、可操作性。再次，要严格按制度和操作规程执行，做到有章必循。计算机安全管理的依据是：国务院各部门有关金融、信息科技、信息安全等方面的有关条例和规定；金融行业内部有关信息科技、信息安全等方面的条例、办法和规定；金融行业各部门制订的行业管理业务操作规范。

（二）加强计算机安全管理队伍的建设

计算机安全管理是一项专业性很强的工作，对从业人员的要求很高，计算机安全管理人员应具备与其从事工作相当的计算机知识、业务知识和专业技能，计算机安全管理人员自身要不断地学习和掌握专业技术知识，以提高自己的管理水平。

金融机构要设立专门的计算机安全机构，负责辖内计算机安全工作的有效实施，在机构上、人员上给予充分的保证，并为计算机安全管理人员提供充分的培训提高机会，以适应计算机技术的迅猛发展和安全工作的需要。

（三）确定计算机安全级别的划分及评价

根据对业务的影响程度，建议将计算机安全度分为高、中、低三级。

高风险：表示该项目没有得到妥善的处理，会使业务承受较高的风险，并对业务运作造成很大的影响。管理层应立即实施补救及改善措施，务求把风险降到合理的水平。如科技部门开发、维护、运行岗位不清，一人身兼多职；计算机人员和业务人员分工不合理相互交叉；操作系统超级用户口令管理不严；无完善的制度或对制度执行不严，缺乏规范的制约机制；管理层和技术层缺乏风险意识等。

中风险：表示按照现代处理该项目的方法，仍未能把业务风险降到合理水平。虽然这方面的急切性不及“高风险”项目，但管理层也应加强留意，务求把风险尽量降低，如对外来介质无防毒检查，柜员密码长期不做修改，也无强制修改措施等。

低风险：表示业务风险性不大或已降到可以接受的水平，但还有待管理层进一步完善风险管理。

如数据优盘、报表在交接时无签收手续，技术档案管理不规范。

以上三种风险度的划分，对于计算机的安全管理提出了明确的层次目标，在制定整改、制度、措施上划定了层次界线。

这里还要强调的是责任者的重要性，责任者是指所有涉及计算机系统的人。例如：计算机的任何使用都需要有超级用户给予授权，以便能掌控谁使用机器以及使用机器的目的。因此，每一台机器应有一个授权用户表记录。计算机安全的最基本方法是人的因素，必须花更多的时间提高工作人员的整体素质，提高他们的计算机安全意识，尤其是计算机人员，因为他们更接近犯罪、电子偷阅者、非法入侵系统者。在当前金融业国际竞争日趋激烈的形势下，我国银行业必须提高认识，采取切实可行的措施。要充分认识到现代银行业的发展与计算机技术是紧密联系的。

参考文献：

[1]陈卫军，企业建设容灾备份系统时应注意问题的探讨[J].广东通信技术，2004,(S1).

[2]李振乐，金融计算机犯罪的防范[J].信息网络安全 ，2004,(12).

[3]董新生、杨恒宇，银行计算机信息系统安全建设[J].安徽科技，2004,(11).