论文摘要:随着计算机互联网技术的飞速发展,安全成为金融信息系统的生命。本文详细阐述了常见的计算机网络安全威胁、金融计算机犯罪的特点、计算机泄密的途径,并提出防范金融犯罪的措施,以更好地防止金融计算机犯罪案件的发生。
论文关键词:金融信息化;信息安全;计算机犯罪
随着金融信息化的加速,金融信息系统的规模逐步扩大,金融信息资产的数量也急剧增加,如何对大量的信息资产进行有效的管理,使不同程度的信息资产都能得到不同级别的安全保护,将是金融信息系统安全管理面临的大挑战同时,金融信息化的加速,必然会使金融信息系统与国内外公共互联网进行互联,那么,来自公共互联网的各类攻击将对金融信息系统的可用性带来巨大的威胁和侵害:
一、计算机网络安全威胁及表现形式
计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和互联性等特征,这使得网络容易受到来自黑客、恶意软件、病毒等的攻击
(一)常见的计算机网络安全威胁
1.信息泄露:指信息被透漏给非授权的实体。它破坏了系统的保密性。能够导致信息泄露的威胁有网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵弛、物理侵入、病毒、术马、后门、流氓软件、网络钓鱼等:
2.完整性破坏。可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式文现。
3.拒绝服务攻击:对信息或资源可以合法地访问,却被非法地拒绝或者推迟与时间密切相关的操作:
4.网络滥用:合法刚户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。WWw.133229.COm
(二)常见的计算机网络络安全威胁的表现形式
1.窃听。攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。
2.重传。攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
3.篡改。攻击者对合法用户之间的通信信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。
4.拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
5.行为否认。通信实体否认已经发生的行为。
6.电子欺骗。通过假冒合法用户的身份进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的:
7.非授权访问。没有预先经过同意,就使用网络或计算机资源
8.传播病毒。通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范:
二、金融计算机犯罪的特征和手段
由于计算机网络络安全威胁的存存,不法分子通过其进行金融犯罪。金融计算机犯罪,已经引起我国立法部门的高度重视,在新《刑法》中已将金融计算机犯罪列为重点,第285,286,287条有明文规定。
(一)银行系统计算机犯罪的特征:
1.涉案人多为内部人员。由于金融业务都是通过内部计算机网络完成的,所以了解金融业务流程、熟悉计算机系统运行原理、对金融内部控制链上存在的漏洞和计算机程序设计上的缺陷比较清楚的内部职员,往往比其他人员更容易了解软件的“硬伤”,更容易掌握犯罪的“窍门”以达到犯罪的目的。据有关部门统计,我国金融系统发生的计算机犯罪案件,九成以上是内部人员或内外勾结作案的。
2.手段隐蔽,痕迹不明显:计算机犯罪智能化程度高,大多数犯罪分子熟悉计算机技术,可运用正常的操作规程,利用合法的账户进入金融计算机网络,篡改计算机源程序或数据。这种犯罪短时期内不易被发觉。同时,犯罪分子作案迅速,所留痕迹甚少,隐蔽时间较长,一时不易暴露。
3.犯罪情节严重:犯罪分子突破计算机安全防护系统后,盗窃多少资金完全由犯罪分子任意输人,动辄十几万、上百万元,行为肆无忌惮,数目触目惊心,导致了金融资金的巨大损失。
4.社会危害严重。由于金融的特殊地位和其在保持社会稳定方面所起的审要作用,一旦发生计算机犯罪,会带来一系列的连锁反应,引起储户的不满,再加上舆论导向的渲染,有可能造成堪设想的后果。
(二)银行系统计箅机犯罪的手段
1.终端机记账员作案。记账员利用其直接在终端操作计算机,熟悉记账过程及账务处理过程的作方便,进行犯罪。
2.终端复核员(包括出纳员)作案。终端复核员利用与记账员一同办理终端业务的机会,进行犯罪。
3.系统管理员(包括主任、主机管理员)作案。系统管理员借助管理系统的特殊权限,利用系统正常命令、程序反向错误操作作案;自编程序进行作案;修改账务及数据资料作案;利用系统终端私自记账、复核作案;为犯罪分子提供方便。
4.软件人员作案:软件人员利用t作之便伪造干旱序及熟悉操作程序,进行作案
5.硬件人员作案硬件人员利用t作之便,进行犯罪作案。
6.行内其他人员作案。分理处、储蓄所的其他人员利用接近计算机业务柜的机会,伺机作案:
7.行外人员作案:利用银行管理中的某些漏洞作案;与行内人员相互勾结作案:
三、金融计算机信息泄密途径
金融行业是具备特有的高保密性的行业,然而随着信息技术的迅猛发展与广泛应用,窃密手段更加隐蔽,泄密的隐患增多,泄密所造成的危害程度加大,保密工作面临许多新情况、新问题。具体而言,金融汁箅机信息泄密的途径主要有以下几个方面。
(一)计算机电磁波辐射泄密
计算机设备工作时辐射出的电磁波,可以借助仪器设备在一定范围内收到,尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。因此,不法分子只要具有相应的接收设备,就可以将电磁波接收,从中窃取秘密信息。
(二)计算机剩磁效应泄密
计算机的存储器分为内存储器和外存储器两种。存储介质中的信息被删除后有时仍会留下可读信息的痕迹,存有秘密信息的磁盘被重新使用时,很可能被犯罪分子非法利用磁盘剩磁效应提取原记录的信息。比如,计算机出故障时,存有秘密信息的硬盘不经处理或无人监督就带修殚,就会造成泄密。此外,在有些信息系统中,删除文件仅仅只删掉文件名,原文还原封不动地保留在存储介质中,一旦被利用,就会造成泄密。
(三)计算机联网泄密
计算机网络化使我们可以充分地享受网上的信息资源,然而联网后,计算机泄密的渠道和范围大大增加,主机与用户之间、用户与用户之间通过线路联络,使其存在许多泄密漏洞。窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可以获得整个网络输送的信息。如果在计算机操作中,入网口令不注意保密和及时更换,入网权限不严密,超级用户无人舱管,信息传输不进行加密处理,局域网和互联网没有做到完全的物理隔离,等等,都有可能使计算机遭到黑客、病毒等的攻击,导致严重的泄密事件发生。
四、金融计算机网络犯罪的成因
(一)防范意识和能力差
不少计算机主管领导和系统管理人员对计算机犯罪的严重危害性认识不足,防范意识低,堵截能力差,同时,计算机安全组织不健全,安全教育不到位,没有彤成强有力的安全抵御防线。这些是导致计算机犯罪案件发生的重要原因:
(二)内控机制不完善,管理制度不落实
主管部门对计算机安全检查不到位,监督检查不力,不能及时发现和堵塞安全漏洞;不少单位在系统开发运行过程中,缺乏有效的内部制约机制。
(三)现代管理手段滞后
金融电子化项目从立项、开发,到验收、运行等各环节没有形成一套完整、科学的安全防范体系,从而使犯罪分子有机会利用计算机进行作案。
(四)密级不分,人人都是“千手观音”
通过案发后,案件侦破时,案发单位员工都是怀疑对象这点,更反映出金融系统计算机管理的薄弱环节。只要是工作人员,都能轻车熟路进入计算机系统进行操作。而且使用的密码和程序简单易猜,造成人人都能使用,致使现问题后不能锁定固定知情人。
五、金融计算机犯罪的防范措施
(一)制度保障
一定要根据本单位的实际情况和所采用的技术条件,参照有关的法规、条例和其他单位的版本,制定出切实可行又比较全面的各类安全管理制度,主要包括操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机网络安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。
制度的建立切忌流于形式,重要的是落实和监督。尤其是在一些细小的环节上更要注意,如系统管理员应定期及时审查系统日志和记录;重要岗位人员调离时,应进行注销,并更换业务系统的口令和密钥,移交全部技术资料,但不少人往往忽视执行这一措施的及时性;又如防病毒制度规定,要使用国家有关主管部门批准的正版查毒杀毒软件适时查毒杀毒,而不少人仍使用盗版杀毒软件,使计算机查杀病毒时又染上了其他病毒。
(二)技术保障
1.减少辐射:为了防止电磁波辐射泄密,在选购计算机产品时,要使用低辐射计算机设备。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,在专用的计算机上安装微机视频保护机等设施,并采取一定的技术措施,对计算机的辐射信号进行十扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。
2.物理隔离:涉及国家秘密的计算机信息系统,不得直接或间接地与围际互联网或其他公共信息网络相连接,必须实行物理隔离。与外部网相连的计算机不得存储、处理和传递内部信息,在互联网上提取的信息也必须经杀毒处理后再接入局域网内供内部使用。
3.加强存储介质管理。对涉密信息进行清除处理时所采用的信息清除技术、设备和措施,应符合国家相关保密规定。使用u盘时应注意修改计算机系统中的注册表,将系统各个磁盘的自动运行功能禁止;使用u盘进行数据文件存储和拷贝时,打开计算机系统巾防病毒软件的“实时监控”功能,避免病毒文件入侵感染,同时打开“文件夹”选项中“隐藏受保护的操作系统文件”选项,并选择“显示所有文件和文件夹”选项,以便u盘被感染后能及时发现病毒;外来u盘接人计算机系统时,切勿双击打开,一定要先经过杀毒处理,或是采用具有u盘病毒免疫功能的杀毒软件查杀后,再接入计算机系统,同时关闭“自动播放”功能。
4.数据加密。在软件方面,应加大在开发过程中加密软件的开发投入,对重点涉密的应用软件,加密设计要达到网络级水平,从而最大限度地保证信息的全与保密。对涉密信息要做到加密保存,对存储有涉密信息的计算机要设置开机密码、屏保密码等。
5.设置权限。将内部计算机维护权限与操作权限、数据权限分开,对不同的操作人员设置等级不同的权限,根据实际权限来分配查阅、修改文件内容等业务范围。
(三)管理保障
1.提高安全管理意识。一是要加强对“物”的管理。对录有秘密文件的硬盘、软盘,要明确标示密级标志和编号,执行统一的登记和销毁制度;对涉密较多的场所如打字室、机要室要设立相应的保密控制区,明确专人负责维护与保障;严格执行“上网信息不涉密、涉密信息不上网”的规定,明确专人负责信息发布的审查与审核。二是要加强对人的管理。要抓好涉密人员的选配和日常的考察,做到不合格的人员坚决不用;对有问题的人员要及时处理,严明纪律。
2.加大安全管理力度。金融系统各级领导要充分认识到计算机犯罪对金融信誉和资金的危害,认真部署计算机安全防范工作,提高系统、网络的管理能力;强化系统开发、管理、操作人员的政治思想和安全教育,严格要害岗位人员的审查和管理。
六、结束语
在网络信息化时代,金融系统的计算机网络犯罪已越来越受人们的关注。虽然现在出台了各种安全措施,但是罪犯们仍然有机可乘,对社会造成了严重的危害,其根本原因是网络自身的安全隐患无法根除,金融人员防范意识不强。随着网络安全技术日趋完善,减少黑客人侵的可能性增加,但人是最主要的因素。如何提高人们的安全保密意识,完善管理制度,加强监督,增强各部门单位间的合作,将不法分子可乘之机降至最低,这将是金融系统员工的目标。