浅谈电子化银行信息系统的特点及其安全对策,本文主要内容关键词为:信息系统论文,浅谈论文,电子化论文,对策论文,银行论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
电子化银行信息系统又称计算机银行管理信息系统,它是以电子计算机和现代化通讯技术为手段,以先进的系统管理理论为基础,对银行业务进行现代化管理的综合性人机信息系统。综合考虑金融电子化系统的系统目标和金融管理运行机制,从有利于系统建设出发,将银行电子化系统分为柜台业务处理与自动化服务系统、跨行业务与资金清算系统、金融信息服务系统三大系统。每个系统都在银行电子化系统的总体目标下,完成其特定的系统功能。
由于电子化银行信息系统是计算机技术、通讯和金融工程相结合的系统,与其他的信息系统相比,具有以下一些主要特点:
1、银行机构众多,但业务处理模式统一,使用软件品种不多,但数量大。我国各家银行虽然机构众多,但业务处理方式、会议核算方法和帐户间转帐结算制度,除去各行业务分工不同,特殊的经营、管理方法有所差别外,大都遵循比较统一的处理模式、银行各分支机构的差异,主要表现在业务所辖范围大小、客户数量、日营业笔数的不同。因此就决定了银行应用软件可以相互兼容。移植性较好的特点。
2、银行人员多、分工细,同一项目业务要分段进行处理,要求应用软件开发与使用分离。银行涉及金钱、货币,业务处理不仅要分段进行,而且要多人进行双方处理,以保证帐务准确和银行、客户双方权益不受损害。以计算机为核心的银行信息系统,为适应这个特点,一是应用软件要采用严密的处理算法,保证帐务纵横平衡;二是将应用软件系统的开发与应用严格分离。因此从事银行应用软件开发的科技人员必须同银行金融业务人员是两套人员。
3、大多数银行业务,必须实时处理。对应用软件质量要求高,专业柜台业务,大都要实时进行处理,对应用软件系统的正确性、可靠性要求极高。因此,银行系统开发必须要有严格的质量管理和考核控制方法。
4、银行信息系统维护工作艰巨,要求系统维护性好。银行信息系统开发,由于全要依靠银行计算机技术人员完成,开发工作管理相对集中;而系统使用人员,则遍及银行上下各个分支机构,因此系统维护工作量大,涉及的维护人员众多,这就要求银行信息系统必须具有优异的可维护性,在软件开发过程中,为未来软件维护、设计、编制多种维护说明的文档资料,以保证维护工作的顺利开展。
5、银行信息系统中使用的硬件设备种类众多,而且多为专用设备。除一般计算机终端、办公自动化设备外,系统中还要使用各类银行专用终端、金融自动服务设备、缩微胶片的阅读、磁性墨水阅读分类机、电子保安、印鉴与签名识别等设备作为基本硬件。
6、要求系统有严密的安全措施,严防计算机犯罪的发生。由于银行是与金钱紧密相关的经济部分,一些不法分子必然会抓住一切机会利用信息系统的各种缺陷进行犯罪和窃密活动。因此,系统的安全问题对银行信息系统尤为重要。
金融业务由手工处理逐步转化为电子化处理后,接触金融业务系统的人员已从行内逐渐扩大到社会各界,这就给金融业的经营管理带来了新的风险和手工处理时不曾遇到的新问题。如:错误数据进入系统后未得到校正,造成数据处理不准确,系统发生故障后不能及时修复,造成金融系统停顿;非法用户通过终端机、各种用户卡、通讯线路等途径进入系统,或用户超越权限使用系统,通过或者修改数据,对金融系统进行电子诈骗,与系统有关的人员,通过非法修改程序或修改操作步骤来侵害系统以谋取私利;各种各样的灾害对系统的破坏等等。因此,在电子化系统日益发展,金融业对它的依赖不断增加的同时,金融电子化系统的安全与保密的重要性也与日俱增。所以,我们应把金融电子化系统的安全与保密视同资金安全一样,看作金融机构的生命,加以高度重视和严密关注。
从安全与保密的角度,电子化银行系统具有以下特点:
1、银行电子化系统直接与资金的迁移相联系,必将成为银行内外各种不法分子的攻击目标,因而系统需要很强的抗攻击能力。
2、银行电子化系统是由银行内部与外部多种用户参与,由信息处理与通信等多种设备组成的、分布广泛的、实时要求很高的、复杂的网络系统,且具有开放性,所以系统安全与保密的技术要求高、难度大。
3、银行电子化系统主要处理金融数据,不但数据处理量大,而且要求处理数据必须准确、完备,相互关系完全匹配,对数据完整要求很高。
4、金融行业采用电子化技术后,业务服务种类迅速增加,同业间的竞争迫使新技术、新手段不断涌现,因而安全与保密手段也须随之不断更新。
考虑到银行电子化系统的特点与风险,为在合理适度的投资范围内,最大限度地提高系统的安全与保密性,必须综合利用人事管理、规章制度管理,技术管理与控制等各种手段来完善和强化系统的安全与保密性能。因此,在系统安全受到侵害时,必须要有相应的对策来化解抗击侵害,使损失降低到最低。为此可以把银行电子化系统安全对策分为三类:
1、应急对策:即在系统受侵害时,用户对意外事件后果的确定,并在此基础上采取行动,为减少事件发生的机会以及事件所造成的损失而制定的方案。包括以下二项内容:
(1)、紧急响应:当水灾、火灾或其他自然灾害发生时,各级银行应有明确、完整的应急方案,以保护生命财产,减少损失和消除对数据处理的影响。
(2)、后备支援:在主要设备损坏后,要有保障必需的数据处理任务仍能继续执行的规程。如配备备用机、准备文档、程序、帐表、备用纸张等重要资源。在供电方面,除采用UPS电源外,还应采取双线供电,有条件的地方还应配有发电机。
(3)、快速恢复:在运行系统遭毁坏或数据意外丢失后,要有对数据进行快速恢复的规程。
2、设备安全对策:即为了保护计算机、附属设备及建筑免受事故、火灾等环境灾害的影响而采取的对策。具体包括:
(1)选择好机房环境,尽量使其不受环境灾害的侵扰。电气通信线路的架设和地线系统埋设要符合标准。还要配备灭火器等防护设备。
(2)机型选择与购置时,做到统筹兼顾,既要考虑机器的兼容性,又要顾及维护、维修时的互换性,同时还要兼顾到今后业务发展和联机联网的匹配性,尽量减少使用设备的种类,便于系统连接和软件的交流与培训。
(3)建立维修组织。经常对设备进行维护性督促与检查,预防和解决设备的故障、消除潜在的隐患。
3、预防计算机犯罪的对策:随着社会现代化程度的加深,高科技犯罪比重有日益上升之趋势,金融系统预防计算机犯罪成为一个严肃的课题。为此,必须从技术和管理两方面制定对策进行防范。
(1)技术对策:①将对外营业用的计算机,配备外接可装卸装置,硬盘只有在营业时才插入主机,营业结束后存入保险柜。②对电源进行有效控制,在计算机电源开关上加锁并由专人管理,对非营业时间实现全面断电保护。③利用特殊计算机工作台提供的电源加锁控制和健盘抽屉加锁功能。④严格管理密码盘或钥匙盘,操作人员因故离开岗位时应及时退出系统。⑤在技术上采取操作系统对一般非操作者的封闭的方法。
经过这些处理后,对一般操作员来说,计算机已成“废机”。这样就避免了在应用软件之外进行数据欺诈的危险。
(2)管理对策:即着眼于“人”的管理,主要有①加强对业务管理干部的培训;②加强对技术人员的管理;③加强监督与检查;④建立健全安全防范组织;⑤建立保障系统正常运行的综合管理制度,包括:日常运行制度,机房管理制度和机房人员值班制度,行政领导和业务领导定期检查监督制度,信息系统数据管理制度等。