浅析邮政计算机风险防范

1、浅析邮政计算机风险防范一、邮政金融讣算机风险的分析“绿卡工程自启动至今， 已取得了长足的开展。 邮政“绿卡以其全国联 网、 通存通兑的功能，给广阔储户提供了快捷、方便、灵活的效劳 , 提高了邮政储 蓄的经 营效益，然而邮储人员风险意识差、素质不一、管理存在漏洞以及电子化 平安系统软 硬件建设相对滞后等问题也同时暴露出来。 1 9 9 9 年全国邮政储蓄 发生计算机案件 2 0 起，涉及金额 6 0 9 万元，占全年案件总额的 1 5% o 邮政储 蓄已成为金融犯罪分子攻 击的目标之一，储汇资金平安已受到严重威胁。笔者认 为造成此类案件多发的主要原 因可归纳为以下三个方面。- 操作风险操作风险是

2、指在邮政金融电子化业务中，山于操作者自身业务素质不高或风 险意 识不强等原因所造成的操作过程中出现的风险。其主要表现是，前台工作人 员柜面把 关不严 , 凭证、存单折审查流于形式，办理支取手续不严谨; 对一些 异常行为，如当日频繁大额支取现金，存折一次性大额支现、销户或遗忘变更存折 密码等行为缺乏 必要的警觉性。这些都使犯罪分子有了可乘之机。二制度风险制度风险是指在邮政金融电子化业务中，山于稽核部门监督手段落后以及制 度制 定有漏洞或执行不到位所造成的潜在风险。主要表现为：1 . 内控制度执行不严。 内控制度执行不到位是滋生邮政金融计?算机犯罪的土壤。计算机内控制度的核心是权限制约，但在实际操

3、作过程中权限制约经常不 能得到有效 落实。一是权限设置不合理，过于集中，特别是网络中心的管理员与程 序员在不少单 位由一个人兼任 ; 二是相互间密码串用，甚至以“信任代替制度， 形成一人全过程 办理业务的状况 ; 三是密码设置简单甚至未设置，或保管不严，更 换不及时，被他人 窥视破译。2 . 检查监督力度不够，检查内容缺乏必要的深度和广度。检查监督人员仅 满足 于传统意义上的帐平表准，着重于对静态资料的审计，侧重于对本地业务的 监督, 忽 视对动态操作以及权限密码的制约检查，弱化了风险审计。在不3.邮储内部的稽核监督工作严重滞后于业务的开展。邮储业务网络化水平务本身，断提高，但是受传统观念的影

4、响，稽核部门监督检查的范圉仍局限于邮储业 而无视了整个邮储业务的技术支撑体系，即对计算机网络平安性的稽审 , 对不法分子 利用网络系统犯罪的隐蔽性、时效性缺少必要的防范措施。当前普遍 存在的一个问题 是，对于计算机网络处理的业务，通常只是对输入和输出数据进 行审核，把计 ?算机 网络视作接收数据输入和产生信息输出的“黑箱，形成一种 绕过计算机网络审核的 现象。三管理风险 管理风险是指山于对讣算机平安防范认识缺乏，以及在汁算机平安管理中科 技与 资金投入缺乏所造成的风险。主要表现在：1. 计算机平安管理体制不健全。多数支局所没有专门从事计算机平安管理 的机 构，科技人员单兵作战， 除了承当业务软

5、件的推广应用， 还要负责设备的维护 与管理， 往往是顾此失彼。各职能部门如保卫、稽核和纪检还没有将计算机平安 作为一项重要 工作来抓，计算机风险管理儿乎是一片空白。现行的计算机平安管 理制度难以适应邮 政金融计算机开展的需要，没有及时完善网络平安运行管理、 密码专人管理、操作员 管理、媒体存放管理等制度，并且在制度落实上，也是情况 堪忧。2. 计算机软硬件系统平安技术薄弱。一是电子数据、资料、程序管理不严 密， 数据磁盘随意带出，打印作废的有关储户存款等信息资料随意乱扔；二是数据 通信传 输未加密或加密方法简单， 使犯罪分子有可乘之机； 三是平安防范根底设 施配备缺乏， 如主机房和营业厅等重要

6、部门没有配备防火、防水、防盗设备，没有 安装监控报警设 备等。二、邮政金融汁算机风险的防范当前，金融电子化已成为一大开展方向， 为确保其在邮政金融的建设中稳步 开展， 防止计算机案件的发生，确保储汇资金的平安与完整, 切实将风险化解在基 层，化解在一线，建议做好以下三方面的风险防范工作。- 操作风险的防范1 . 严格划分权限， 加强内控制约。 一是要将操作员、 系统管理员、 程序员 的“三 权真正别离，三者之间决不允许相互兼任。程序员修改程序要经网络中 心负责人审 查同意，同时要将修改时间、修改内容、修改人员等惜况予以详细记 录，平时不得在超级用户状态下进行操作。二是应用系统的记帐、复核、会计

7、等 操作权限也要别离制 约，特别是前后台的业务界限要划分清楚 , 禁止职责交义，混 岗操作。三是严格操作 员密码管理，一人一码，一码一密，定期不定期更换, 严禁泄 密、串用。四是严禁操作人员在未退到初始登录状态前中途离柜。2. 加强数据信息的保密工作和凭证的验密管理。一是加强对程序盘、打印资料的管理。每天备份的数据盘要入库入柜保管， 动用备份数据盘必须经业务主 管签字同意， 相关情况在登记簿上予以详细说明；打印的资料及时收集归档，作废 的有关打印资料 要及时销毁，不得流失在外，以免被犯罪分子利用。二是但凡用以 办理通存通兑的存 单折均需设置密码，未设密码的，各营业网点概不受理其通 兑业务。三是

8、密码应 山储户用密码小键盘自行输入，支取时 , 储户提供的密码与计 算机应用系统的隐形密 码自动核对，相符前方可办理业务。四是储户密码遗失时， 一般操作员应无权查询， 只有具有主管员权限的人员才能按照规定查询访问。3 . 加强对邮政金融汁算机系统平安的技术研究 , 使技术防范工作做到可靠、 先进、 超前。要在识别凭证真伪上下功夫，对打印存单要加技术控制，防止套打空 口存单， 积极推广使用先进的防伪技术，确保有效识别假冒存单折、支票等结 算凭证。二制度风险的防范 为提高稽核检查的成效，必须改革原有传统稽核检查模式，建立起一套适应当前业务开展需要的全新思维模式和审汁制度，从汁算机软硬件管理、人员配

9、备、动态操作、帐务管理等方面进行全方位的审计监控，以风险防范为 U 的，堵塞漏洞 , 不留 死角。1 . 加强人事管理。根据接触系统和操作的密级选择适当人选 ; 对相关人员 的技术 水平、工作态度、工作表现要进行定期考评 , 适时进行岗位轮换。2. 加强规章制度建设。针对软件开发人员、系统维护人员、业务操作人员的工作职责，分别建立一套职责明确的管理制度，以便分清职责、互相监督；建立 密码管理 制度，重要的密码要山不同人员分段掌握，密码要定期更换并严格控制 密码的扩散范 圉；对应用软件要安排专人管理，未经有关负责人的批准不得随意 修改软件，确因业 务需要而必须修改的软件，在修改完成后要及时入库登

10、记，同时 附软件修改说明书和 测试报告，严禁将应用软件外流、外泄 ;建立并严格执行机房 管理制度 ,切忌用信任代 替制度，机房要有专人管理，划分禁区等级 , 分职责进入。3. 加强计算机稽核和监管。对帐务和应用系统使用稽核软件分别进行实时 和定 期检查; 对每台终端、每个用户的操作进行记录，以便保存原始操作信息，进 行操作 信息的平安跟踪。4 .加大内部稽审力度。内部稽查审计部门应合理配备技术和专业人员，积 极参 与软件开发和研制过程，使其从软件需求设计的起始阶段，即实行有效的监督和管理； 另一方面，利用现有邮储网络系统优势，尽快研制网上随机监测软件， 逐步建立起能 够主动监测，有效防范金融计

11、算机犯罪的平安系统，把风险隐患消 灭在萌芽状态。三管理风险的防范1.建立计算机平安及风险防范领导组织体系。各级领导要重视计算机平安工作，将计算机风险防范纳入工作日程，要尽快成立“计算机平安领导小组，各 相关职能 部门要形成合力加大对计算机风险管理的力度， 并从领导到职工层层签 订平安责任状， 营造出“科技平安，人人有责的良好气氛。“平安领导小组要 对容易出现问题的 环节开展经常性检查，防止事故发生，并定期通报计算机平安 运行悄况及各部门落实 制度惜况。有条件的部门可在“计算机平安领导小组下 设立“平安技术应急反响中 心，对网络中出现的平安问题提供技术支援和解决 方案，定期公布网络中出现的安 全问题及解决措施，预告提示网络中可能出现的 平安问题及解决措施。2 .各级主管领导应重视并加大科技投入 , 加强根底设施平安防范工作，对机 房等 重要设施要作为要害部门严格管理，配备防火、防水、防盗及闭路电视监控 设备，安 装的监控报