陽泉市農村信用社信息化建設帶來的安全問題調查報告

隨着人類社會進入信息時代，金融信息化進程加快，因特網在信息全球化中扮演着非常重要的角色。通信、計算機技術等高科技手段在銀行業廣泛運用。在金融信息系統日益發展，信息越來越向上集中，規模越來越大，金融業對它的依賴性不斷增加的同時，金融信息化系統安全的重要性也與日俱增。

金融信息化是一個熱點話題，關係金融行業的穩定性和發展。所謂“金融信息化”，是構建在由通信網絡、計算機、信息資源和人力資源等四要素組成的國家信息基礎框架之上，由具有統一技術標準，能以不同速率傳送數據、語音、圖形圖像、視頻影像的綜合信息網絡，將具備智能交換和增值服務的多種以計算機爲主的金融信息系統互連在一起，創造金融經營、管理、服務新模式的長期系統工程。

當今世界經濟全球化趨勢日益明顯，經濟全球化，首先是信息全球化，隨着人類社會進入信息時代，金融信息化進程加快，因特網在信息全球化中扮演着非常重要的角色。通信、計算機技術等高科技手段在銀行業廣泛運用，外資銀行大舉進入，網絡銀行迅速發展，給人們帶來方便的同時，利用信息網絡技術犯罪也在迅速增長。曾幾何時，銀行存摺和信用卡明明在自己手裏，銀行支票和印章明明鎖在保險櫃裏，計算機操作密碼慎之又慎，賬戶上的存款卻不翼而飛。

據cert統計，XX年中心接到的事件報告82094件，相比XX年度的52658件增加了36%。這些事件包括了電腦病毒、網絡攻擊以及利用電腦系統或應用軟件進行的攻擊事件。XX年12月，日本瑞穗證券公司誤將客戶的“以61萬日元賣出1股j-com公司股票”指令輸入爲“以每股1日元賣出61萬股”。東京股票交易所計算機系統對該公司取消下單的指令不能給予及時迴應導致錯誤的訂單全部成交，導致瑞穗證券損失超過400億日元。XX年，花旗銀行日本分行出現交易系統故障，5天內約27.5萬筆公用事業繳費遭重複扣劃，或者交易後未做相應記錄，造成花旗銀行在日本的重大聲譽損失。金融業尤其是銀行業，作爲國民經濟發展的核心與樞紐，涉及到社會生活的方方面面，它的信任臨界點很高，一旦有相關案件發生，將引發信用危機，造成社會不穩定。

近年來，我國一些銀行機構也相繼出現過系統宕機和網絡癱瘓，其中影響較大的是銀聯繫統癱瘓事件。XX年4月，銀聯全國跨行交易系統癱瘓6小時，國內大部分商戶的pos機無法刷卡，所有銀行的atm終端無法進行跨行操作，“停刷”阻斷交易量246.6萬筆，金額1287.7億元，造成了重大的社會影響。中國金融認證中心cfca發佈的《XX年中國網上銀行調查報告》顯示，在XX年調查的10個經濟發達城市中，使用網上銀行服務的個人僅37.8%，安全性是導致大家不敢使用網上銀行的主要原因。在那些沒有使用網上銀行的網民中，有71.7%的用戶認爲網上銀行的安全性偏低。XX年春，中國銀監會副主席郭利根在銀行業信息科技風險奧運專項自查工作部署會上，通報了XX年以來銀行業金融機構發生的信息科技風險事件：XX年3月21日，交通銀行因主機監控軟件存在缺陷，導致業務交易阻塞，系統癱瘓近四個小時，所有營網點無法正常開展業務。XX年8月15日，工商銀行對計算機系統進行升級，但由於沒有避開業務高峯期，導致個人業務系統運行不暢，在持續五個半小時之後，系統才逐步恢復正常。XX年1月7日，北京銀行因主幹專線的入戶接入設備發生故障，造成在京的117家支行所屬網點櫃檯交易緩慢，業務無法正常進行，故障持續一個多小時。

安全是金融信息系統的生命。在金融信息系統日益發展，信息越來越向上集中，規模越來越大，金融業對它的依賴性不斷增加的同時，金融信息化系統安全的重要性也與日俱增。它關係到金融機構的生存和經營的成敗，所以，應把金融信息化系統的安全視同資金的安全一樣作是金融機構的生命。金融信息系統的安全不僅是金融行業本身的問題，它與我國的經濟安全、社會安全和國家安全緊密相連，是保障金融業穩定發展、增強競爭力和生存能力的重要組成部分，金融信息系統的安全已成爲我國金融信息化建設中具有戰略意義的關鍵問題。

鑑於金融信息化安全的重要性，對陽泉市農村信用社信息化建設進行了初步調查，發現存在以下幾方面的安全問題：

(1)內網與外網沒有安全隔離。

目前，我們的業務網絡與外網沒有完全隔離，並未採取有效的安全措施、運行業務系統的計算機在沒有相應安全措施的情況下與外網進行連接。

(2)一些拓展服務沒有相應的安全保障措施。

我們的一些拓展服務，沒有相應的安全措施。如網上對賬系統，服務器運行於外網環境中，沒有相應的安全措施，那麼可能造成客戶信息的泄密;對賬系統運行於http協議下，此協議不具備數據加密等要求，同樣在數據傳輸中可能造成客戶信息的泄密。

(3)員工信息化安全意識淡薄。

員工對業務系統、計算機密碼的設置、保管、更換沒有引起高度的重視。很多人的密碼較簡單，還有很多人的密碼爲系統預設密碼。

(4)計算機外設的使用沒有安全保障措施。

對於大多數的計算機外設的使用，我們沒有相應的安全制度和措施。外設的隨意使用，可能造成我們信息的泄密，如：移動硬盤。

針對以上問題，經過分析研究，覺得以下幾方面的措施，可以有力的保障信息安全：

(1) 內網與外網進行有效隔離。

針對內網與外網有效隔離，可以採取運行內網業務計算機上安裝殺毒軟件、防火牆，並及時更新病毒庫、定時查殺;對計算機進行定期掃描系統及應用漏洞;避免安裝未知軟件，軟件均由內網ftp服務器下載;外網出口架設硬件防火牆，並配置訪問控制列表，防止計算機被攻擊、下馬。

(2) 拓展業務採取安全保障措施。

對於拓展業務採取相應的安全保障措施。接入外網的服務器，安裝殺毒軟件、防火牆，並及時更新病毒庫、定時查殺;進行定期掃描系統及應用漏洞;禁止安裝非業務相關軟件;外網出口架設硬件防火牆，並配置訪問控制列表，除業務應用外所有端口封閉;web應用採用安全的傳輸模式，如https，製作訪問證書，並對相應客戶頒發相應的訪問證書，否則無法訪問到業務服務器，並對證書進行定期撤銷、更新;修改應用及數據庫常用端口、避免端口被掃描及攻擊;web應用的用戶名密碼採取md5方式加密，該加密方式爲不可逆，防止客戶用戶名與密碼被竊取;

(3)加強員工信息安全培訓。

分批、分級對員工進行信息安全培訓，加強員工對信息安全的重視程度、培養信息安全方面的基礎知識。

(4)制定計算機外設使用制度。

制定計算機外設使用制度，規定外設使用的計算機及使用人，可建立登記薄，有效監控;配置使用外設計算機，防止自動播放外設內容，防止病毒傳播;殺毒後方可使用外設;使用外設後計算機進行掃描後方可接入內網，防止病毒在內網中傳播。