|
随着计算机及网络技术在金融系统应用的普及和不断深入,计算机及网络系统在安全方面的脆弱性也逐渐显露出来,给各项金融业务带来了隐患,形成了现代金融风险。特别是我们信用社近几年才刚刚使用计算机,教育培训、人员的素质等各方面的因素都比较落后,怎样才能安全有效使用计算机成为我们现在面临的课题。我们认为应该主要从中心机房人员的权
限、各网点人员的控制、加大稽核检查的力度等几方面着手,才能保证农村信用社电子计算机业务的规范化、制度化、标准化管理,保障系统安全正常运转,准确、及时、真实的运行,防止差错和案件的发生。
一、计算机犯罪的特点
金融计算机犯罪现象是伴随计算机的运用而产生的,并且随电子化范围日益广泛,计算机犯罪率有上升的趋势。金融,由于其在国家经济中的特殊地位和作用,被人们形象地喻为国家“血脉”。近年来,受社会环境的影响,金融系统的经济犯罪大幅度增加。在媒体曝光的案件中,涉案金额数万、数百万元的案件越来越多,让人振聋发聩。金融计算机犯罪是一种新的社会犯罪现象,这种新犯罪现象与传统犯罪相比,有许多崭新的特点:
第一是智能性。
1、大多数计算机犯罪分子具有较高的计算机技术知识和娴熟的计算机操作技能。他们要么是计算机程序设计人员,要么是计算机管理、操作、维护人员,有使用和接触电子机具的条件。
2、作案者多采用高科技手段,有时也辅以其它多种方法。例如有时直接或通过他人向计算机系统输入非法指令从而贪污、盗窃、诈骗钱款,犯罪过程由计算机系统在物理上自动完成;有时借助电话、微波、因特网等通讯系统传输,以遥控手段进行活动;有时伪造他人信用卡、存折等支付工具来冒用。
3、犯罪分子作案前一般经过周密的预谋和精心准备,选择适当的犯罪时机和地点。
第二是隐蔽性。
1、犯罪大多通过程序和数据这些电子信息的操作来实现,其作案直接目的就是这些电子数据,因为这些数据代表着货币资金。
2、犯罪后对机器硬件和信息载体不造成损坏或很少损坏,作案后可以不留痕迹。
3、作案时间短,计算机执行一条犯罪指令仅在挥手之间。
4、作案范围不受时间和空间限制。在全球联网的情况下,更可以在任何时间和任何地点进行作案。
5、现实的计算机犯罪不易识别,不易被发现和侦破。
第三是危害性。
在金融电子化的今天,计算机在金融领域的应用已经相当广泛和深入,金融计算机应用系统日益在社会生产和社会生活中发挥着巨大的作用。金融行业经营的是货币,其电子化系统中存储和处理的大量数据和信息,代表着社会生产和社会生活中的钱、财、物及各种业务往来记录,这是人类社会的重要信息资源。可以讲金融电子化系统的安全运行将直接影响着社会的稳定和经济的正常运转。一旦不法分子“以计算机为工具或以计算机资产为对象实施犯罪行为”,其后果造成的经济危害和社会危害将是严重的,触目惊心的。
二、安全防范管理分析
所谓安全防范,就是指防范可能出现问题部位,对他们实施的控制。其目的是使系统运行过程按标准进行,以取得正确的运行结果。同时内部控制也具有预防作用,通过这种控制,可以及时采取纠正措施,阻止和消除错误、偏差的发生,保证系统的运行处于正常状态。
就金融电子化系统而言,为使电子化系统安全运行,防范不法分子利用金融电子化系统进行犯罪,必须建立健全的内部控制系统。这一内部控制系统的内容包括:
1、健全的组织方式,例如中心机房人员不得兼任业务操作人员;
2、健全的人事工作,例如对业务操作人员可一般确定,而对系统管理员、特权业务经办人必须进行考察、选择和监督;
3、健全的内部控制制度,例如业务审核权限与电子化系统操作权限应成反比;
4、重要物品的保护,例如机房是整个电子系统的核心必须着力保护,业务数据的备份是系统进行恢复的基础,必须与机器异地存放;
5、经常性的检查。其中最主要的是健全的内部控制制度,因为几乎所有的业务内容和运行过程都可以制度的形式规定下来。
三、安全防范的对策
根据以上分析,为在金融电子化环境下确保电子化系统的安全运行,防范经济案件的发生,首先要对被稽查单位的内部控制系统进行测度评价,按计算机犯罪的途径,找出其内部控制系统的弱点,确定可能的犯罪手段,然后有针对性地实施技术性和管理性的防范措施。
依照计算机犯罪分子侵入电子化系统的手法,可以将计算机犯罪的预防从健全内控制度和日常监督检查相结合的办法来进行。
首先,建立健全内控制度。
1.明确职责分工,对不相容职责进行适当的分工。如数据输入与审核不能
由同一个人担任。
2.完善接触控制。如有的计算机系统不能有效地防止未经授权的人接触和使用计算机,或进入程序系统的口令大家都公开了,必须加强管理,注意保密。
3.严格操作权限控制,程序系统在设计时没有根据需处理的数据的重要程度设置不同等级的权限;
将操作员分级管理,每个级别的操作员所办理的业务不同。如:级别低的柜员只能办理一定金额以下的业务,级别高的柜员只能授权,不办理业务等。
4.
可以建立员工轮岗制度,防止一人在同岗位上长期做案的可能性。
5.
应做到人机分管。人机分管指电脑操作人员不得掌握电脑的开机密码,由复核人员保管,防止一人开机操作,一人做案可能性。
6.使用的口令,几天就应更换,口令使用最长不超过一个月;二是录入口令时请周围人员回避;三是口令只记在自己脑中,不书写在任何地方;四是有同事调离时,为互相不惹麻烦,应及时更改口令。
7.机房管理。严格按制度运行,认真登记日志,人员变动做好交接记录等。
8.软件管理。一是软件统一制作和配发;二是软件备份归档;三是软件资料保密;四是数据、参数、密码的保密等。
9.监督检查管理。系统运行分析检查;操作密码、口令的更换管理;设置各级网络站点的安全管理方法;关注运行状况,分析检查攻击行为;检查内存保护、文件保护、访问控制、用户认证等;检查系统操作安全原则;网络状况;数据库系统安全;病毒防杀等。
10.人事安全管理。是指人员审查、关键岗位人选、人员培训、人员考核、签定保密契约、人员调离等。
其次,加强日常稽核监督检查。
农村信用社在健全内控制度管理的同时,做好检查监督工作,是有效防范职务犯罪的安全保障。稽核监督检查必须注意的是,会计稽核不能局限于作为事后监督的一种方法,而必须同时作为事前监督和事中监督的有效手段。稽核工作中,应做到“四个结合”:一是人工稽核和电脑稽核相结合;二是事前稽核、事后稽核和实时稽核相结合,实时稽核是指稽核人员还可以通过计算机网络对当日业务甚至正在处理中的业务进行稽核,提高稽核的时效性;三是现场稽核和非现场稽核相结合;四是常规稽核和专项稽核相结合。
计算机稽核的具体要求:
1、
计算机会计外围稽核。计算机业务系统中
脱离计算机的原始凭证、帐簿、报表、登记簿等会计资料进行稽核。
2、计算机内部稽核。对计算机系统中存放于计算机内部的业务流水、分户帐明细、总帐簿、报表、登记簿等电子化会计资料进行稽核。
3、
计算机综合稽核。在外围稽核和内部稽核
的基础上,对计算机业务系统中计算机内外各种形式的凭证、资料、报表、登记簿等会计资料进行交叉核对。
4、计算机业务稽核。对原始凭证与业务流水等进行检查核对,保证交易活动的真实性、正确性、合法性。对计算机业务应用中的各式空白重要凭证使用情况,库存现金数、应付利息额、联行往来帐等进行检查核对。保证帐务数据的正确性、完整性、一致性,作到帐帐、帐款、帐证、帐实、帐表、内外帐务六相符。
农村信用社网络系统的安全性不仅与硬件、网络、系统等技术方面有关,还与它的管理和使用有着极为密切的关系。诸多不安全的漏洞和隐患,恰恰是由于计算机网络管理和使用人员没有严格遵守有关的规章制度造成的。因此,要从根本上杜绝计算机网络系统安全隐患,除了从技术方面入手加强防范外,同时还必须建立一套与之相适应的规章制度并严格执行,从而建立起真正意义的完备的银行网络安全体系。
中金网 福建省建瓯市农村信用合作社联合社
张小平 林华兵
|
