金融信息安全视角下业务风险防范探究
来源:用户上传
作者: 孟皓东 张晓锋
摘要:近年来,利用计算机进行智能犯罪导致信息系统瘫痪等事故时有发生,如何在金融信息化形势下,预防业务风险和违法违纪案件的发生是当务之急。一是加强组织领导,建立信息化风险管理保障机制。二是制定推进规划,建立信息化风险管理制度和技术防范机制。三是加强风险监测评估,建立信息化风险预警机制。四是健全完善应急预案,建立信息化风险应急处置机制。
关键词:金融信息;计算机安全;风险防范
文章编号:1003-4625(2009)04-0112-02 中图分类号:F832.31 文献标识码:A
近年来,利用计算机进行智能犯罪导致信息系统瘫痪等事故时有发生,如何在金融信息化形势下,预防业务风险和违法违纪案件的发生,是摆在各级银行和风险管理部门面前的一个新的课题,必须加以认真研究、探索,筑牢预防业务风险的防线,确保金融工作的稳定健康发展。本文从金融信息安全的角度来探讨基层央行业务风险的防范。
一、金融信息化形势下风险防范的特点
(一)金融风险的内涵和外延发生重大变化。金融风险已不仅仅是人、财、资金安全的范畴。正在向人、财、资金安全、实体资源安全、网络安全、信息安全、数据安全、信息保密、有害数据、病毒防护、黑客攻击、非法入侵、智能犯罪等全方位、立体化转化。传统的以重点保卫金库安全和防范资金风险的理念已经不能适应形势发展的需要。
(二)金融风险从有形向无形延伸。金融信息化使大部分的信息和数据通过计算机进行存储、加工处理,成为看得见摸不着的东西,更多地表现为网络银行、网络金融、信息金融、知识金融和数字金融,具有隐蔽性,一些风险和案件的发生不易被察觉,也给审计和监督带来新的挑战。
(三)金融风险的形式呈现多样化趋势。一是在金融信息化条件下,由于计算机信息有共享和易扩散等特性,在处理、存贮、传输和使用上很容易被干扰滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染;二是由于操作者的误操作引发操作风险;三是信息系统的安全面临多种威胁,主要有“黑客”攻击、程序化的侵入攻击、计算机病毒、利用系统隐蔽通道的攻击、拒绝服务攻击;四是办公自动化运转流程相应发生较大变化,文件传输保密、存贮介质的管理与传统方式有着截然的不同;五是资金清算系统存在被黑客攻击、网络盗窃、病毒破坏的风险;六是计算机网络系统有系统瘫痪、丢失数据等风险困扰;七是计算机智能犯罪。利用计算机系统实施金融诈骗、盗窃、挪用公款等,它具有专业性与业务性、犯罪手法的隐蔽性和多样性、犯罪后果的严重性等特点,犯罪分子有时只需在键盘上轻敲几下,就可能窃取巨额的款项。同时,还具有行为人的持续性、行为时与结果时的分离性、侦察和取证的困难性等特点。
金融信息化引发的巨大变化和风险特点,要求必须从以人防和制度管理为主向依法管理、制度建设和技术防范转变,从主要预防资金风险向资金、实体资源安全、数据安全转变,从事中或事后监管向事前监测、事中跟踪、事后监督转变。
二、基层央行业务风险点透析
(一)业务办理启动环节风险防范的“疏点”。一是道德风险引发业务操作风险失范。管理人员与操作人员对会计基础工作的重要性认识不足,防范风险的警惕性不高,内部的管理控制不到位。如操作人员不认真执行口令保密制度和操作规程,没有认真履行职责,审核不严、操作失误;管理层对制度执行情况检查不到位等。二是人力风险导致业务操作风险失控。大部分县支行只靠一人行使科技管理职能,休假或参加培训,往往造成科技维护空白。科技人员又兼任计算机安全员,监督者与被监督者同为一人,计算机安全管理无从谈起。
(二)业务办理转型环节风险防范的“空点”。外部转型包括宏观政策调整、市场供求急变、同业竞争加剧等变化;内部转型包括业务运行方式的转变、业务流程的再造、新系统上线等。这些变化都容易产生管理真空,给作案分子可乘之机。
(三)业务办理转换环节风险防范的“弱点”。《中央银行会计集中核算系统》和《大额支付系统》等的陆续成功上线,取消了县支行的会计核算主体资格,业务内容仅包括同城清算业务、发行库存取款业务和零星的支付往来业务。由此,大多数的县支行把工作重心转向财务管理与核算、账户审批等业务,而对会计基础核算工作则不再重点关注,与之相关的内控工作也随之松懈。
(四)业务办理衔接环节风险防范的“难点”。随着国库核算系统不断升级完善,国库数据集中,会计核算体系独立,国库部门走向资金清算的前台,高智能、高技术的作案手段也随之增加,加大了国库资金风险防范的难度。首先是计算机病毒问题。现在国库会计核算系统主要通过人行内部局域网传输数据。这种半开放的网络极易受到病毒攻击。其次是网络非法入侵问题。由于现在内联网未就重要部门实行专门的网络安全措施,只能依靠简单的口令密码进行控制,很容易被解密遭受网络远程攻击。再次是国库会计核算系统自身设计有缺陷。如国库会计核算程序中的权限分配机制不完善,表现为一级会计主管权限过大,一旦没有较好的制度约束和事后监督,就容易出现主管违规操作带来资金风险。
(五)业务办理收关环节风险防范的“盲点”。一是日终业务处理中风险防范“盲点”。每日下班前一小时,往往因下班时间在即,容易出现违规操作甚至“一手清”现象的发生。二是事后监督工作中风险防范“盲点”。目前事后监督人员主要依赖于手工计算、翻阅、勾对,体现的是一种纠错功能,难以及时防范计算机操作风险,对经办人员执行有关岗位责任制等规章制度不能适时有效监督,对支付系统有些业务处理不能起到把关堵口的作用,尤其是难以防范支付系统资金划拨风险。
三、金融信息化条件下业务风险防范对策
(一)加强组织领导,建立信息化风险管理保障机制。充分认识信息化风险防范的紧迫性、艰巨性、复杂性和长期性,实行风险、案件预防工作“一把手”负责制,成立相应的组织领导机构,贯彻“统筹兼顾、突出重点、积极预防、综合治理”的指导方针和安全教育与规章制度约束相结合、积极预防事件发生和有效的应急处理相结合、安全管理与风险监察相结合的原则,落实信息化安全责任制,打牢预防信息化风险的基础。
(二)制定推进规划,建立信息化风险管理制度和技术防范机制。在充分开展调查研究的基础上、认真规划论证,尽快建立一套包括风险防范机构、人员、岗位分工、岗位定期轮换、业务复查核对、计算机机房、数据、磁介质、计算机数据输入输出和存贮控制、保密安全监督、信息化风险监管的制度标准,规范内部人员操作行为和健全内部制约机制,做到有章可循。加强技术防范,一方面要采取加密措施,另一方面利用防火墙、系统安全监测、系统身份认证等技术安全手段,不断提高信息网络的坚固性、安全性和有效性,真正达到“四防”,即:“防泄密”、“防病毒”、“防黑客”、“防篡改”,做到防患于未然,增强信息化系统的可生存性、服务的连续性和行为的完整性。
(三)加强风险监测评估,建立信息化风险预警机制。加强对信息化系统经常性的稽核监督,全面落实风险评估制度,建立信息化风险监测体系,及时识别风险因素,排查隐患,彻查各类问题的根源,将风险控制关口前移,把风险管控贯穿于信息流动的整个过程,加强追踪控制。建立风险分类分级制度,实施重点监控。完善风险报告机制,建立清晰的内外部报告渠道,使信息化风险识别体系成为“体内循环”通畅、外部报告流畅、“整体触觉”灵敏的有机整体。
(四)健全完善应急预案,建立信息化风险应急处置机制。按照《突发事件应对法》的要求,研究制定信息化风险应急管理的中长期规划,稳步提高应急管理水平,加强硬件备份、信息备份、灾难恢复以及业务连续性的管理,定期进行各类应急预案的培训和演练,确保意外事件发生时,能够在最短的时间内按照既定方案有效处置,把风险控制在最小或可承受的范围内,为社会提供安全、持续的金融服务和保持金融稳定。
(责任编辑:张艳峰)
转载注明来源:https://www.xzbu.com/3/view-1416700.htm