淺析郵政金融計算機風(fēng)險防范

1、<p>　　淺析郵政金融計算機風(fēng)險防范</p><p>　　一、郵政金融計算機風(fēng)險的分析</p><p>　　“綠卡工程”自啟動至今，已取得了長足的發(fā)展。郵政“綠卡”以其全國聯(lián)網(wǎng)、通存通兌的功能，給廣大儲戶提供了快捷、方便、靈活的服務(wù)，提高了郵政儲蓄的經(jīng)營效益，然而郵儲人員風(fēng)險意識差、素質(zhì)不一、管理存在漏洞以及電子化安全系統(tǒng)軟硬件建設(shè)相對滯后等問題也同時暴露出來。1999年全國郵

2、政儲蓄發(fā)生計算機案件20起，涉及金額609萬元，占全年案件總額的15%.郵政儲蓄已成為金融犯罪分子攻擊的目標(biāo)之一，儲匯資金安全已受到嚴(yán)重威脅。筆者認為造成此類案件多發(fā)的主要原因可歸納為以下三個方面。</p><p><b>　?。ㄒ唬┎僮黠L(fēng)險</b></p><p>　　操作風(fēng)險是指在郵政金融電子化業(yè)務(wù)中，由于操作者自身業(yè)務(wù)素質(zhì)不高或風(fēng)險意識不強等原因所造成的操作過程

3、中出現(xiàn)的風(fēng)險。其主要表現(xiàn)是，前臺工作人員柜面把關(guān)不嚴(yán)，憑證、存單（折）審查流于形式，辦理支取手續(xù)不嚴(yán)謹；對一些異常行為，如當(dāng)日頻繁大額支取現(xiàn)金，存折一次性大額支現(xiàn)、銷戶或遺忘變更存折密碼等行為缺乏必要的警覺性。這些都使犯罪分子有了可乘之機。</p><p><b>　?。ǘ┲贫蕊L(fēng)險</b></p><p>　　制度風(fēng)險是指在郵政金融電子化業(yè)務(wù)中，由于稽核部門監(jiān)督手段

4、落后以及制度制定有漏洞或執(zhí)行不到位所造成的潛在風(fēng)險。主要表現(xiàn)為：</p><p>　　1.內(nèi)控制度執(zhí)行不嚴(yán)。內(nèi)控制度執(zhí)行不到位是滋生郵政金融計算機犯罪的土壤。計算機內(nèi)控制度的核心是權(quán)限制約，但在實際操作過程中權(quán)限制約經(jīng)常不能得到有效落實。一是權(quán)限設(shè)置不合理，過于集中，特別是網(wǎng)絡(luò)中心的管理員與程序員在不少單位由一個人兼任；二是相互間密碼串用，甚至以“信任代替制度”，形成一人全過程辦理業(yè)務(wù)的狀況；三是密碼設(shè)置簡單甚至

5、未設(shè)置，或保管不嚴(yán)，更換不及時，被他人窺視破譯。</p><p>　　2.檢查監(jiān)督力度不夠，檢查內(nèi)容缺乏必要的深度和廣度。檢查監(jiān)督人員僅滿足于傳統(tǒng)意義上的帳平表準(zhǔn)，著重于對靜態(tài)資料的審計，側(cè)重于對本地業(yè)務(wù)的監(jiān)督，忽視對動態(tài)操作以及權(quán)限密碼的制約檢查，弱化了風(fēng)險審計。</p><p>　　3.郵儲內(nèi)部的稽核監(jiān)督工作嚴(yán)重滯后于業(yè)務(wù)的發(fā)展。郵儲業(yè)務(wù)網(wǎng)絡(luò)化水平在不斷提高，但是受傳統(tǒng)觀念的影響，稽核

6、部門監(jiān)督檢查的范圍仍局限于郵儲業(yè)務(wù)本身，而忽視了整個郵儲業(yè)務(wù)的技術(shù)支撐體系，即對計算機網(wǎng)絡(luò)安全性的稽審，對不法分子利用網(wǎng)絡(luò)系統(tǒng)犯罪的隱蔽性、時效性缺少必要的防范措施。當(dāng)前普遍存在的一個問題是，對于計算機網(wǎng)絡(luò)處理的業(yè)務(wù)，通常只是對輸入和輸出數(shù)據(jù)進行審核，把計算機網(wǎng)絡(luò)視作接收數(shù)據(jù)輸入和產(chǎn)生信息輸出的“黑箱”，形成一種繞過計算機網(wǎng)絡(luò)審核的現(xiàn)象。</p><p><b>　?。ㄈ┕芾盹L(fēng)險</b>&

7、lt;/p><p>　　管理風(fēng)險是指由于對計算機安全防范認識不足，以及在計算機安全管理中科技與資金投入不足所造成的風(fēng)險。主要表現(xiàn)在：</p><p>　　1.計算機安全管理體制不健全。多數(shù)支局所沒有專門從事計算機安全管理的機構(gòu)，科技人員單兵作戰(zhàn)，除了承擔(dān)業(yè)務(wù)軟件的推廣應(yīng)用，還要負責(zé)設(shè)備的維護與管理，往往是顧此失彼。各職能部門如保衛(wèi)、稽核和紀(jì)檢還沒有將計算機安全作為一項重要工作來抓，計算機風(fēng)險管

8、理幾乎是一片空白?，F(xiàn)行的計算機安全管理制度難以適應(yīng)郵政金融計算機發(fā)展的需要，沒有及時完善網(wǎng)絡(luò)安全運行管理、密碼專人管理、操作員管理、媒體存放管理等制度，并且在制度落實上，也是情況堪憂。</p><p>　　2.計算機軟硬件系統(tǒng)安全技術(shù)薄弱。一是電子數(shù)據(jù)、資料、程序管理不嚴(yán)密，數(shù)據(jù)磁盤隨意帶出，打印作廢的有關(guān)儲戶存款等信息資料隨意亂扔；二是數(shù)據(jù)通信傳輸未加密或加密方法簡單，使犯罪分子有可乘之機；三是安全防范基礎(chǔ)設(shè)施

9、配備不足，如主機房和營業(yè)廳等重要部門沒有配備防火、防水、防盜設(shè)備，沒有安裝監(jiān)控報警設(shè)備等。</p><p>　　二、郵政金融計算機風(fēng)險的防范</p><p>　　當(dāng)前，金融電子化已成為一大發(fā)展方向，為確保其在郵政金融的建設(shè)中穩(wěn)步發(fā)展，防止計算機案件的發(fā)生，確保儲匯資金的安全與完整，切實將風(fēng)險化解在基層，化解在一線，建議做好以下三方面的風(fēng)險防范工作。</p><p>

10、　?。ㄒ唬┎僮黠L(fēng)險的防范</p><p>　　1.嚴(yán)格劃分權(quán)限，加強內(nèi)控制約。一是要將操作員、系統(tǒng)管理員、程序員的“三權(quán)”真正分離，三者之間決不允許相互兼任。程序員修改程序要經(jīng)網(wǎng)絡(luò)中心負責(zé)人審查同意，同時要將修改時間、修改內(nèi)容、修改人員等情況予以詳細記錄，平時不得在超級用戶狀態(tài)下進行操作。二是應(yīng)用系統(tǒng)的記帳、復(fù)核、會計等操作權(quán)限也要分離制約，特別是前后臺的業(yè)務(wù)界限要劃分清楚，禁止職責(zé)交叉，混崗操作。三是嚴(yán)格操作員

11、密碼管理，一人一碼，一碼一密，定期不定期更換，嚴(yán)禁泄密、串用。四是嚴(yán)禁操作人員在未退到初始登錄狀態(tài)前中途離柜。</p><p>　　2.加強數(shù)據(jù)信息的保密工作和憑證的驗密管理。一是加強對程序盤、打印資料的管理。每天備份的數(shù)據(jù)盤要入庫入柜保管，動用備份數(shù)據(jù)盤必須經(jīng)業(yè)務(wù)主管簽字同意，相關(guān)情況在登記簿上予以詳細說明；打印的資料及時收集歸檔，作廢的有關(guān)打印資料要及時銷毀，不得流失在外，以免被犯罪分子利用。二是凡是用以辦理

12、通存通兌的存單（折）均需設(shè)置密碼，未設(shè)密碼的，各營業(yè)網(wǎng)點概不受理其通兌業(yè)務(wù)。三是密碼應(yīng)由儲戶用密碼小鍵盤自行輸入，支取時，儲戶提供的密碼與計算機應(yīng)用系統(tǒng)的隱形密碼自動核對，相符后方可辦理業(yè)務(wù)。四是儲戶密碼遺失時，一般操作員應(yīng)無權(quán)查詢，只有具有主管員權(quán)限的人員才能按照規(guī)定查詢訪問。</p><p>　　3.加強對郵政金融計算機系統(tǒng)安全的技術(shù)研究，使技術(shù)防范工作做到可靠、先進、超前。要在識別憑證真?zhèn)紊舷鹿Ψ?，對打印?/p>

13、單要加技術(shù)控制，防止套打空白存單，積極推廣使用先進的防偽技術(shù)，確保有效識別假冒存單（折）、支票等結(jié)算憑證。</p><p>　　（二）制度風(fēng)險的防范</p><p>　　為提高稽核檢查的成效，必須改革原有傳統(tǒng)稽核檢查模式，建立起一套適應(yīng)當(dāng)前業(yè)務(wù)發(fā)展需要的全新思維模式和審計制度，從計算機軟硬件管理、人員配備、動態(tài)操作、帳務(wù)管理等方面進行全方位的審計監(jiān)控，以風(fēng)險防范為目的，堵塞漏洞，不留死角。

14、</p><p>　　1.加強人事管理。根據(jù)接觸系統(tǒng)和操作的密級選擇適當(dāng)人選；對相關(guān)人員的技術(shù)水平、工作態(tài)度、工作表現(xiàn)要進行定期考評，適時進行崗位輪換。</p><p>　　2.加強規(guī)章制度建設(shè)。針對軟件開發(fā)人員、系統(tǒng)維護人員、業(yè)務(wù)操作人員的工作職責(zé)，分別建立一套職責(zé)明確的管理制度，以便分清職責(zé)、互相監(jiān)督；建立密碼管理制度，重要的密碼要由不同人員分段掌握，密碼要定期更換并嚴(yán)格控制密碼的擴散

15、范圍；對應(yīng)用軟件要安排專人管理，未經(jīng)有關(guān)負責(zé)人的批準(zhǔn)不得隨意修改軟件，確因業(yè)務(wù)需要而必須修改的軟件，在修改完成后要及時入庫登記，同時附軟件修改說明書和測試報告，嚴(yán)禁將應(yīng)用軟件外流、外泄；建立并嚴(yán)格執(zhí)行機房管理制度，切忌用信任代替制度，機房要有專人管理，劃分禁區(qū)等級，分職責(zé)進入。</p><p>　　3.加強計算機稽核和監(jiān)管。對帳務(wù)和應(yīng)用系統(tǒng)使用稽核軟件分別進行實時和定期檢查；對每臺終端、每個用戶的操作進行記錄，以

16、便保留原始操作信息，進行操作信息的安全跟蹤。</p><p>　　4.加大內(nèi)部稽審力度。內(nèi)部稽查審計部門應(yīng)合理配備技術(shù)和專業(yè)人員，積極參與軟件開發(fā)和研制過程，使其從軟件需求設(shè)計的起始階段，即實行有效的監(jiān)督和管理；另一方面，利用現(xiàn)有郵儲網(wǎng)絡(luò)系統(tǒng)優(yōu)勢，盡快研制網(wǎng)上隨機監(jiān)測軟件，逐步建立起能夠主動監(jiān)測，有效防范金融計算機犯罪的安全系統(tǒng)，把風(fēng)險隱患消滅在萌芽狀態(tài)。</p><p>　?。ㄈ┕芾盹L(fēng)

17、險的防范</p><p>　　1.建立計算機安全及風(fēng)險防范領(lǐng)導(dǎo)組織體系。各級領(lǐng)導(dǎo)要重視計算機安全工作，將計算機風(fēng)險防范納入工作日程，要盡快成立“計算機安全領(lǐng)導(dǎo)小組”，各相關(guān)職能部門要形成合力加大對計算機風(fēng)險管理的力度，并從領(lǐng)導(dǎo)到職工層層簽訂安全責(zé)任狀，營造出“科技安全，人人有責(zé)”的良好氛圍?！鞍踩I(lǐng)導(dǎo)小組”要對容易出現(xiàn)問題的環(huán)節(jié)開展經(jīng)常性檢查，防止事故發(fā)生，并定期通報計算機安全運行情況及各部門落實制度情況。有條件

18、的部門可在“計算機安全領(lǐng)導(dǎo)小組”下設(shè)立“安全技術(shù)應(yīng)急反應(yīng)中心”，對網(wǎng)絡(luò)中出現(xiàn)的安全問題提供技術(shù)支援和解決方案，定期公布網(wǎng)絡(luò)中出現(xiàn)的安全問題及解決措施，預(yù)告提示網(wǎng)絡(luò)中可能出現(xiàn)的安全問題及解決措施。</p><p>　　2.各級主管領(lǐng)導(dǎo)應(yīng)重視并加大科技投入，加強基礎(chǔ)設(shè)施安全防范工作，對機房等重要設(shè)施要作為要害部門嚴(yán)格管理，配備防火、防水、防盜及閉路電視監(jiān)控設(shè)備，安裝的監(jiān)控報警設(shè)施必須同公安機關(guān)“110”報警系統(tǒng)聯(lián)網(wǎng)。