事实上,在柜员卡应用中,由于员工的安全意识不强,有些柜员将个人感情和对同事的信任凌驾于制度之上。虽然有严格的管理制度,但制度并未完全执行到位。有些网点的授权柜员为图方便,将柜员卡交给柜台人员保管使用,密码设臵为通用密码;有的柜员随意放臵柜员卡导致柜员卡被盗用。这些现象时有发生,导致在一定程度上柜员卡和柜员密码形同虚设,授权流于形式,容易引发员工的道德风险。目前有的联社已经应用了更加先进的身份识别技术,如指纹身份识别技术。这也是目前最成熟的一种生物识别技术,已经在公安、银行、社会保险等各行业得到了广泛的应用,效果很好,值得全省推广。
9、持续开展计算机安全教育培训
因计算机犯罪既富于刺激和挑战性而又有利可图,对犯罪人员具有巨大的诱惑。无论是技术防范还是法律制裁都很难从根本上控制此类高技术犯罪。因此,要坚持以人为本,提高全员计算机案防意识,使农村信用社各级领导和广大干部职工提高对加强计算机安全案防工作。要充分重视员工的政治思想、职业道德、合规文化和安全保护意识等综合素质教育,把持续全面开展计算机安全教育培训工作,作为建立计算机案防工作长效机制的重要措施,消除计算机案件赖以发生的土壤和温床。通过教育培训,一方面,帮助全体员工树立正确的世观、人生观、自觉抵制拜金主义、享乐主义和极端个人主义、遵纪守法,严格自律,最大限度地减少甚至消除内部人员计算机案件;另一方面,帮助全体员
21
工树立主人翁责任感,提高计算机安全保护意识和安全技术水平,自觉保守计算机系统有关秘密,开发人员严格按照计算机安全管理的要求进行开发设计,管理和操作人员严格按照相关管理与操作规程使用操作计算机信息系统,不给外部人员任何可乘之机,积极防范外部人员计算机案件。
10、网络中心案防实践
为切实做好计算机案防工作,保障我省农村信用社信息系统安全运行,保障农村信用社及其客户的资金与信息安全,省中心做了大量的工作。我在这里给大家通报一下有关情况,希望能够起到一个传导和抛砖引玉的作用。
一是建立了网络安全管理平台和网络防病毒系统,应用防火墙隔离各安全区域,部署了IPS入侵防御系统阻止各种恶意流量和无关流量,有效防止黑客入侵系统。在机关办公电脑、“1104”报表上报电脑等电脑上安装了趋势防病毒软件,有效控制了网络病毒的入侵和传播,保证了综合业务系统网络和机关办公网络的安全运行。
二是建立了一整套内控制度,切实防范内部人员风险。如省中心系统管理制度、密码管理制度等制度办法,数据修改必须实现双人操作,系统和数据库的重要密码都必须由两人分管,每人只掌握密码的一部分,两人同时到场才能进行系统。
三是应用了动态密码、数据加密和电磁屏蔽等技术。省联社网络中心的系统访问控制系统。使用动态密码技术,密码每分钟
22
变化一次,登陆系统者必须使用一个硬件动态密码终端(也就是动态密码卡),使用动态密码才能成功登陆。对于非制空权的内部工作人员或外部入侵者,由于未持有动态密码卡,就无法登陆系统。而且由于密码很快失效,使得任何密码破解手段都参议会以奏效。同时,对省中心机房进行了电磁屏蔽,对关键数据实行加密存储,对数据通信实行加密传输。通过信号屏蔽和加密,使不法分子难以截获数据信息,即使截获了信号,也只能得到加密后的密文数据。
四是正在大力推广科技文化建设,用先进的企业文化武装科技队伍,用正确的人生观、世界观为科技人员提供强大的力量源泉和精神支柱,积极防范内部人员道德风险。
五是正在建设数据库操作留痕审计系统,目前系统已经进入测试阶段。该系统能对所有进入数据库的查询、修改、删除、插入等操作进行留痕记录,以便省中心进行操作审计。
六是正在分阶段开展计算机信息安全检查和安全保护等级定级工作,第一阶段宣传发动,第二阶段摸底自查初步定级,第三阶段统一检查、定级审核,第四阶段定级备案、问题整改。按照省联社文件要求,第二阶段应在8月20日之前完成,并向省联社提交有关报告。
七是正在建设全省农信社科技信息互动交流平台,充分利用现有的网络和硬件资源,运用点对点通讯、互联网社区、WEB2.0等互联网先进技术,打造一个能够囊括省、市、县三级科技部门,
23
功能强大、高效、安全的科技信息交流互动平台。
八是正在开展对事后监督系统和集中授权系统的前期调研,为运用科技手段防范内控案提供技术支持。
同时,省中心将根据业务部门的要求,进一步完善业务系统,充分利用现代信息技术程序化、精确化、集约化、刚性化的特点和优势,实现制度软件化,实施刚性控制,增强科技硬约束,防范各种内控案件发生。我个人认为,对综合业务系统中流程控制不严的业务交易要加以改进,增强业务制度约束的刚性。凡是可以用软件程序控制的,尽可能实现程序控制,能够用程序检查的,应用计算机进行检查。当然,这最终还需要业务部门拿出需求,省中心才能根据需求进行改造。
最后,我们还将逐步开展应用系统安全审计。在我们目前的应用系统开发设计中,通常的流程是,先由业务部门提出需求,科技部门按照业务需求组织实施开发,具体的开发工作许多是由合作开发商来承担的,开发完成后再由业务部门进行测试和验收。在整个系统开发过程中,风险管理和审计部门极少介入,以至于有的系统投入运行后,一直到暴露出问题,甚至发生了相关的案件,才由监管部门首先发现系统存在的安全隐患。因此,为切实做好计算机案防工作,在信息系统开发应用中,我们将逐步开展系统安全审计,并贯穿业务需求和系统设计全过程,如审查有关业务的复核与授权等安全机制是否得全面实现等,确保应用系统各功能模块和各交易符合信用社业务安全准则减少甚至杜
24
绝系统安全缺陷,最大限度降低案防风险。
25