陽泉市農(nóng)村信用社信息化建設(shè)帶來的安全問題調(diào)查報(bào)告

1、陽泉市農(nóng)村信用社信息化建設(shè)帶來的安全問題調(diào)查報(bào)告 隨著人類.進(jìn)入信息時(shí)代，金融信息化進(jìn)程加快，因特網(wǎng)在信息全球化中扮演著非常重要的角色。通信、計(jì)算機(jī)技術(shù)等高科技手段在銀行業(yè)廣泛運(yùn)用。在金融信息系統(tǒng)日益發(fā)展，信息越來越向上集中，規(guī)模越來越大，金融業(yè)對(duì)它的依賴性不斷增加的同時(shí)，金融信息化系統(tǒng)安全的重要性也與日俱增。 金融信息化是一個(gè)熱點(diǎn)話題，關(guān)系金融行業(yè)的穩(wěn)定性和發(fā)展。所謂"金融信息化'，是構(gòu)建在由通信網(wǎng)絡(luò)、計(jì)算機(jī)、信息資源和人力資源等四要素組成的國(guó)家信息基礎(chǔ)框架之上，由具有統(tǒng)一技術(shù)標(biāo)準(zhǔn)，能以不同速率傳送數(shù)據(jù)、語音、圖形圖像、視頻影像的綜合信息網(wǎng)絡(luò)，將具備智能交換和增值服務(wù)的多種

2、以計(jì)算機(jī)為主的金融信息系統(tǒng)互連在一起，創(chuàng)造金融經(jīng)營(yíng)、管理、服務(wù)新模式的長(zhǎng)期系統(tǒng)工程。 當(dāng)今世界經(jīng)濟(jì)全球化趨勢(shì)日益明顯，經(jīng)濟(jì)全球化，首先是信息全球化，隨著人類.進(jìn)入信息時(shí)代，金融信息化進(jìn)程加快，因特網(wǎng)在信息全球化中扮演著非常重要的角色。通信、計(jì)算機(jī)技術(shù)等高科技手段在銀行業(yè)廣泛運(yùn)用，外資銀行大舉進(jìn)入，網(wǎng)絡(luò)銀行迅速發(fā)展，給人們帶來方便的同時(shí)，利用信息網(wǎng)絡(luò)技術(shù)犯罪也在迅速增長(zhǎng)。曾幾何時(shí)，銀行存折和信用卡明明在自己手里，銀行支票和印章明明鎖在保險(xiǎn)柜里，計(jì)算機(jī)操作密碼慎之又慎，賬戶上的存款卻不翼而飛。 據(jù)cert統(tǒng)計(jì)，XX年中心接到的事件報(bào)告82094件，相比XX年度的52658件增加了36%。這些事件包

3、括了電腦病毒、網(wǎng)絡(luò)攻擊以及利用電腦系統(tǒng)或應(yīng)用軟件進(jìn)行的攻擊事件。XX年12月，日本瑞穗證券公司誤將客戶的"以61萬日元賣出1股j-com公司股票'指令輸入為"以每股1日元賣出61萬股'。東京股票交易所計(jì)算機(jī)系統(tǒng)對(duì)該公司取消下單的指令不能給予及時(shí)回應(yīng)導(dǎo)致錯(cuò)誤的訂單全部成交，導(dǎo)致瑞穗證券損失超過400億日元。XX年，花旗銀行日本分行出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃，或者交易后未做相應(yīng)記錄，造成花旗銀行在日本的重大聲譽(yù)損失。金融業(yè)尤其是銀行業(yè)，作為國(guó)民經(jīng)濟(jì)發(fā)展的核心與樞紐，涉及到.生活的方方面面，它的信任臨界點(diǎn)很高，一旦有相關(guān)案件發(fā)生，

4、將引發(fā)信用危機(jī)，造成.不穩(wěn)定。 近年來，我國(guó)一些銀行機(jī)構(gòu)也相繼出現(xiàn)過系統(tǒng)宕機(jī)和網(wǎng)絡(luò)癱瘓，其中影響較大的是銀聯(lián)系統(tǒng)癱瘓事件。XX年4月，銀聯(lián)全國(guó)跨行交易系統(tǒng)癱瘓6小時(shí)，國(guó)內(nèi)大部分商戶的pos機(jī)無法刷卡，所有銀行的atm終端無法進(jìn)行跨行操作，"停刷'阻斷交易量246.6萬筆，金額1287.7億元，造成了重大的.影響。中國(guó)金融認(rèn)證中心cfca發(fā)布的XX年中國(guó)網(wǎng)上銀行調(diào)查報(bào)告顯示，在XX年調(diào)查的10個(gè)經(jīng)濟(jì)發(fā)達(dá)城市中，使用網(wǎng)上銀行服務(wù)的個(gè)人僅37.8%，安全性是導(dǎo)致大家不敢使用網(wǎng)上銀行的主要原因。在那些沒有使用網(wǎng)上銀行的網(wǎng)民中，有71.7%的用戶認(rèn)為網(wǎng)上銀行的安全性偏低。XX年春，中國(guó)

5、銀監(jiān)會(huì)副.郭利根在銀行業(yè)信息科技風(fēng)險(xiǎn)奧運(yùn)專項(xiàng)自查工作部署會(huì)上，通報(bào)了XX年以來銀行業(yè)金融機(jī)構(gòu)發(fā)生的信息科技風(fēng)險(xiǎn)事件：XX年3月21日，交通銀行因主機(jī)監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近四個(gè)小時(shí)，所有營(yíng)網(wǎng)點(diǎn)無法正常開展業(yè)務(wù)。XX年8月15日，工商銀行對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行升級(jí)，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個(gè)人業(yè)務(wù)系統(tǒng)運(yùn)行不暢，在持續(xù)五個(gè)半小時(shí)之后，系統(tǒng)才逐步恢復(fù)正常。XX年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京的117家支行所屬網(wǎng)點(diǎn)柜臺(tái)交易緩慢，業(yè)務(wù)無法正常進(jìn)行，故障持續(xù)一個(gè)多小時(shí)。 安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展，信息越來越向上集中，規(guī)模越來越大，

6、金融業(yè)對(duì)它的依賴性不斷增加的同時(shí)，金融信息化系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機(jī)構(gòu)的生存和經(jīng)營(yíng)的成敗，所以，應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣作是金融機(jī)構(gòu)的生命。金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問題，它與我國(guó)的經(jīng)濟(jì)安全、.安全和國(guó)家安全緊密相連，是保障金融業(yè)穩(wěn)定發(fā)展、增強(qiáng)競(jìng)爭(zhēng)力和生存能力的重要組成部分，金融信息系統(tǒng)的安全已成為我國(guó)金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。 鑒于金融信息化安全的重要性，對(duì)陽泉市農(nóng)村信用社信息化建設(shè)進(jìn)行了初步調(diào)查，發(fā)現(xiàn)存在以下幾方面的安全問題： (1)內(nèi)網(wǎng)與外網(wǎng)沒有安全隔離。 目前，我們的業(yè)務(wù)網(wǎng)絡(luò)與外網(wǎng)沒有完全隔離，并未采取有效的安全措施、運(yùn)行業(yè)

7、務(wù)系統(tǒng)的計(jì)算機(jī)在沒有相應(yīng)安全措施的情況下與外網(wǎng)進(jìn)行連接。 (2)一些拓展服務(wù)沒有相應(yīng)的安全保障措施。 我們的一些拓展服務(wù)，沒有相應(yīng)的安全措施。如網(wǎng)上對(duì)賬系統(tǒng)，服務(wù)器運(yùn)行于外網(wǎng)環(huán)境中，沒有相應(yīng)的安全措施，那么可能造成客戶信息的泄密;對(duì)賬系統(tǒng)運(yùn)行于http協(xié)議下，此協(xié)議不具備數(shù)據(jù)加密等要求，同樣在數(shù)據(jù)傳輸中可能造成客戶信息的泄密。 (3)員工信息化安全意識(shí)淡薄。 員工對(duì)業(yè)務(wù)系統(tǒng)、計(jì)算機(jī)密碼的設(shè)置、保管、更換沒有引起高度的重視。很多人的密碼較簡(jiǎn)單，還有很多人的密碼為系統(tǒng)預(yù)設(shè)密碼。 (4)計(jì)算機(jī)外設(shè)的使用沒有安全保障措施。 對(duì)于大多數(shù)的計(jì)算機(jī)外設(shè)的使用，我們沒有相應(yīng)的安全制度和措施。外設(shè)的隨意使用，可

8、能造成我們信息的泄密，如：移動(dòng)硬盤。 針對(duì)以上問題，經(jīng)過分析研究，覺得以下幾方面的措施，可以有力的保障信息安全： (1) 內(nèi)網(wǎng)與外網(wǎng)進(jìn)行有效隔離。 針對(duì)內(nèi)網(wǎng)與外網(wǎng)有效隔離，可以采取運(yùn)行內(nèi)網(wǎng)業(yè)務(wù)計(jì)算機(jī)上安裝殺毒軟件、防火墻，并及時(shí)更新病毒庫(kù)、定時(shí)查殺;對(duì)計(jì)算機(jī)進(jìn)行定期掃描系統(tǒng)及應(yīng)用漏洞;避免安裝未知軟件，軟件均由內(nèi)網(wǎng)ftp服務(wù)器下載;外網(wǎng)出口架設(shè)硬件防火墻，并配置訪問控制列表，防止計(jì)算機(jī)被攻擊、下馬。 (2) 拓展業(yè)務(wù)采取安全保障措施。 對(duì)于拓展業(yè)務(wù)采取相應(yīng)的安全保障措施。接入外網(wǎng)的服務(wù)器，安裝殺毒軟件、防火墻，并及時(shí)更新病毒庫(kù)、定時(shí)查殺;進(jìn)行定期掃描系統(tǒng)及應(yīng)用漏洞;禁止安裝非業(yè)務(wù)相關(guān)軟件;外網(wǎng)出口架設(shè)硬件防火墻，并配置訪問控制列表，除業(yè)務(wù)應(yīng)用外所有端口封閉;web應(yīng)用采用安全的傳輸模式，如https，制作訪問證書，并對(duì)相應(yīng)客戶頒發(fā)相應(yīng)的訪問證書，否則無法訪問到業(yè)務(wù)服務(wù)器，并對(duì)證書進(jìn)行定期撤銷、更新;修改應(yīng)用及數(shù)據(jù)庫(kù)常用端口、避免端口被掃描及攻擊;web應(yīng)用的用戶名密碼采取md5方式加密，該加密方式為不可逆，防止客戶用戶名與密碼被竊取; (3)加強(qiáng)員工信息安全培訓(xùn)。 分批、分級(jí)對(duì)員工進(jìn)行信息安全培訓(xùn)，加強(qiáng)員工對(duì)信息安全的重視程度、培養(yǎng)