“文璇凌”通过精心收集,向本站投稿了5篇探析银行信息系统安全问题,下面是小编给大家带来探析银行信息系统安全问题,一起来阅读吧,希望对您有所帮助。
篇1:探析银行信息系统安全问题
摘要:信息化在银行业的广泛而深入的应用使信息系统成为银行关键 业务正常运作的重要支撑平台,如果信息系统出现了故障,势必引起 业务中断、信息阻隔,可能导致一个银行的局部甚至整体瘫痪。信息系 统安全已经成为关系到银行业务能否顺利开展的重要因素.
关键词:银行信息 信息系统 安全问题
前言
银行信息系统的安全保障要以缜密的分析为前提,制定详细的对策, 充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用 社为例阐述银行信息安全问题.
1.信息安全分析 银行信息系统具有服务范围广泛,平台复杂多样,业务品种不断 更新的特点。因此银行信息系统庞大而复杂,信息安全涉及方面众多, 我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、日常运维五个方面进行分析.
1.1安全管理问题分析.
泰安农村信用社信息系统一贯重视系统安全,但对与系统安全的 管理仍处于比较传统的模式,即一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式;安全管理偏重对业务的保障,在内 部管理上相对比较松散;一些安全管理策略和制度规范比较宏观,在 可操作性和实效性上还值得进一步探讨与改进.
1.2信息资产与环境问题分析.
泰安农信信息系统依照相关的规定进行建设。目前还需要改进的 问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安 全的风险;对信息资产的保护缺乏信息资产分类体系,无法实现对设 备的购置、维修、报废等环节的实时管理.
1.3主机系统问题分析 信息中心的主机上存放大量的业务数据,对全辖提供数据服务及 技术支持,保证辖内计算机系统全年365天、全天24小时不间断运 行,因此主机采用高可用性和全冗余结构的主机系统,配置磁盘阵列 存储数据.
目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、硬件故障、数据库本身存在的安全漏洞等威胁.
1.4网络系统问题分析 现行银行计算机网络是银行计算机信息系统中最易受攻击又最 难以防范的薄弱环节,为了保障网络安全,目前采取的的措施有增加 防火墙,对连接科技中心主机全部做了限制,安装了IDS入侵检测系 统。还存在以下问题:主交换机虽然划分了VLAN,但划分VLAN数量 少,无法满足业务高速发展需要;办公网现在没有逻辑划分;在省市和 市县之间没有实施QOS策略,存在一定网络拥塞的风险.
1.5日常运维问题分析 目前日常运维工作繁重,日常运维只是通过已有的书面的操作流 程进行操作,无法记录操作结果,对日常运维缺乏审计性;机房主要依 靠人工巡查等手段进行监控,存在不能及时发现问题的隐患。对于登 陆信息系统的网点柜员身份验证停留在“用户名+密码”阶段,存在非 法入侵的安全隐患.
2.信息安全风险识别 通过对泰安农村信用社进行信息资产识别,逐项进行风险评估, 并制订风险控制措施.
2.1确定资产风险等级 全面了解泰安农信信息系统安全现状,采用定性与定量相结合的 方法,并依据标准要求充分考虑到资产的安全价值、威胁、薄弱点、威 胁发生的可能性、威胁造成的潜在响应等因素,将各个资产所面临的 众多威胁因素统一起来描述.
2.2明确风险控制方法 根据风险评估表,对该资产已经识别出的风险点,在现有的控制 措施之外,进一步提出解决该风险点的新方法或新措施,以使风险降 低到可接受的程度,并明确责任人,制定一个切实可行的风险处理计 划。3.信息安全问题解决 根据风险评估的结果及风险控制方案,依照安全管理体系的要求 对准备阶段中涉及的各类问题集中解决,使得在信息系统受到侵袭 时,确保业务持续开展并将损失降到最低程度.
3.1安全管理的安全实现 针对目前泰安农信信息系统在安全管理方面存在的问题,信息安 全人员仔细分析问题,提出问题解决方案如下.
3.1.1明确指出系统中每位员工的责权问题.
3.1.2建立较完善的信息科技制度体系,明确泰安农信信息系统 工作流程,避免管理混乱.
3.1.3建立规范的信息系统风险防控和应急处置流程,逐步提高 突发事件的应急能力.
3.2信息资产与环境的安全实现 针对目前泰安农信信息系统在信息资产与环境方面存在的问题, 信息安全人员仔细分析问题,提出如下问题解决方案.
3.2.1引入“计算机设备管理系统”软件,规范设备管理。对设备的 购置、维修、报废等环节的管理的问题进行跟踪记录.
3.2.2对银行设备与物理环境进行容灾规划,实施容灾系统。对通 讯线路及硬件设备进行冗余备份;对重要数据制定完善的备份规则.
3.3主机系统的安全实现 针对目前泰安农信信息系统在主机系统方面存在的问题,信息安 全人员仔细分析问题,提出如下问题解决方案.
3.3.1开发备份配置软件,保存每次设置变更情况,使设置变更有 迹可循.
3.3.2为保证数据信息安全,采用双机热备、重要数据远程备份、异地存放等多种措施避免系统风险.
3.3.3应用“运维安全管理系统”对操作员的操作进行限制,杜绝 由于操作用户权限过大而造成的安全隐患.
3.4网络信息的安全实现 主要包括信用社内部数据传输线路的安全实现、第三方接入的安 全实现等。泰安农信采用SDH线路进行组网;通过端点隔离方式实现 业务和办公网络分离;通过整体路由规划和QOS规划实现对各业务 数据流的控制;内网配置了多套防火墙,实现对内网的通讯访问的控 制与隔离.
3.5日常运维的安全实现 针对目前泰安农信信息系统在日常运维方面存在的问题,信息安 全人员仔细分析问题,提出如下问题解决方案.
3.5.1建立网络化的运维机制。探索建立科技服务联动网.
3.5.2分析日常工作流程,开发“电子日志系统”,确保日常工作不 会遗漏,并记录操作员日常操作,保证操作过程的可审计性.
3.5.3建立机房自动监控系统,实时监控放置、设备的运行状态及 工作参数,发现部件故障或参数异常,及时报警,并可记录历史数据和 报警时间.
3.5.4对营业网点操作柜员加强身份验证,防范非法入侵.
4.结论 对于泰安农村信用社来说,虽然威胁到业务连续运营的各种风险 将永远存在,但是,只要清醒地评估分析这些风险,同时建立应对风险 的完善机制,全行上下形成业务连续性管理的企业文化,不断加强灾 备建设与应急演练,风险将被有效地分散与排除.
篇2:网络会计信息系统安全问题思考
一、网络会计信息安全系统的主要概念
网络会计信息安全系统主要是通过互联网络技术的现代企事业会计信息系统,采用联机实时操作,从而实现多元化报告,并能形成主动提供与主动获取相结合的人机交互信息使用综合体。
网络会计信息安全系统的发展能够为会计信息使用者提供实施经济管理与决策的有效准确信息。
而在网络会计时代,网络会计信息安全系统作为会计信息媒介,承载着会计信息的存储与传递功能,而网络会计信息安全系统的信息安全问题也成为网络会计信息数据的安全问题。
网络会计信息安全系统以互联网技术作为核心,也受到网络开放性与共享性的影响,网络系统的安全容易受到病毒、黑客的威胁,因此在网络会计信息安全系统的应用过程中,
应当明确认识到网络会计信息安全系统的信息安全隐患,将信息载体由纸介质转变为磁性介质,需要提升磁性介质的要求和载体信息的依赖性,在档案保存和信息存储过程中具有较高风险。
二、网络会计信息系统安全存在的问题
1.黑客安全隐患。
在全面开放的网络环境中,网络会计信息系统也存在多种安全隐患,病毒和黑客攻击的安全隐患,由于互联网的开放特征,网络会计信息系统通过互联网的计算机系统可以共享信息资源,也给非善意访问者提供了方便。
黑客攻击是互联网系统的重要威胁,重要信息被盗取和网站的崩溃,都会对网络会计信息系统造成严重影响。
而计算机病毒也会给网络会计信息系统带来重大威胁,从原始的木马程序到后来的CIH等病毒的肆虐,病毒制造技术发展的同时,也使得病毒具备了更大的破坏力,网络软件自身程序的不稳定因素也会为网络系统带来众多隐患。
2.信息安全隐患。
随着网络技术的不断发展,整个社会的经济生产结构和劳动结构都受到网络技术的影响作用,在企事业管理模式方面,也由传统的的企事业管理模式和财务管理模式与网络技术相结合,
网络会计信息安全系统便是传统财务管理模式与网络技术的结合,通过互联网技术的开放性和共享性,实现在线财务管理、远程财务处理、网上财务查询和网上支付等功能,并最终实现企事业资金与信息的高度统一,
有利于企事业管理者实施经济管理与决策的有效准确信息。
财务信息是反映企事业财务经营成果和财务状况的重要依据,设计到企事业内部上机密的财务信息若是遭到泄露、破坏和意识,会对企事业财务管理造成严重影响,不利于企事业财务管理工作的正常运行。
3.档案安全隐患。
网络会计信息系统的财务实施需要依靠相应的财务软件才能完成,而这些财务软件主要包括单机版、局域网络版财务软件和硬件系统两个方面,而财务软件的全面升级,
篇3:网络会计信息系统安全问题思考
摘要:随着计算机网络技术的不断发展,企业对于网络会计的应用越来越广泛。
网络会计对会计的职能、目标和监督管理手段等或多或少带来了改善,但是网络技术带来的信息系统安全问题也越来越受到企业的重视,网络会计信息系统安全威胁可能对企业经营造成不可弥补的损失,是各企业需要重点研究的对象之一。
本文主要介绍了网络会计信息系统的相关概念及特点,并且提出了其可能存在的安全隐患,最后有针对性地提出了几点可供借鉴的安全策略。
关键词:网络会计;信息系统;安全隐患;安全策略
一、概述
(一)会计信息安全
所谓会计信息安全指的是会计信息作为信息的一种,必须具有一定的使用价值,信息的安全性决定了其价值能否得到保证。
会计信息关系到企业相关人的利益所在,同时也指引着企业能够更好地实现其经营目标。
信息学中往往将会计信息安全定义为长期持续地维护会计信息的完整性,保证其不被泄露并且可用。
会计信息的完整性指的是信息至始至终都是完整未受损的,即保证会计信息没有在半途被窃取、伪造或者篡改,是完整的;
保证会计信息不被泄露指的是会计信息在被传播的过程中应杜绝任何泄密的可能性,保证其在传播过程中能够得到安全保障;维护会计信息的可用性指的是用户在需要使用该会计信息时,能够顺利接触到信息而不受阻碍,
但是前提是接触到信息的用户是合法用户,其有资格合法接触会计信息。
(二)网络会计信息系统
网络会计信息系统指的是在网络条件下为企业所用的会计信息系统,主要服务于企业的日常会计业务。
网络会计信息系统是通过企业内部的计算机网络来实现联机操作,最终目的是向信息使用者及时、准确地提供决策有用的信息。
网络会计信息系统主要有以下特点:
1.具有综合性。
网络会计信息系统的综合性特点指的是其信息来源的渠道比较全面,系统会从多个角度去搜寻、记录与保存与企业日常经营相关的业务数据。
通常在网络会计信息系统提供的信息能够全面地反映企业供产销的各个环节。
2.具有实时性。
网络会计信息系统能够对企业发生的相关业务进行实时的处理,包括业务记录、查核等,使得其提供的信息能够实现动态跟进,而非一成不变。
3.具有广泛性。
网络会计信息在搜集、处理相关信息时,往往来源较为丰富,会计信息系统并不是一个孤立的职能系统,而是需要跟其他模块相辅相成、彼此实现信息沟通,所以网络会计信息系统涉及到企业业务处理的各个环节。
二、网络会计信息系统的安全隐患
网络会计信息系统要提供为企业决策经营所用的信息,最关键的是要维护该系统自身的安全稳定运行。
由于网络具有开放、共享的特征,所以网络系统较容易受到信息安全的威胁,尤其是网络系统存在着安全性威胁,更加突出信息安全存在隐患。
网络会计信息系统容易受到非人为因素或者认为因素的双重影响,导致系统提供的信息出现失真等后果,情况严重时甚至直接威胁到企业的稳定运营。
网络会计信息系统主要存在着以下几个方面的安全隐患:
(一)系统硬件上可能存在安全隐患
系统硬件上的安全隐患即指硬件的安全隐患,主要是由计算机设备、线路、系统本身等实体性质的物体出现问题,导致实体产生问题的原因可能是由人为因素导致的也有可能是系统本身存在问题导致的。
尤其是人为因素产生影响时,较容易产生预谋性质的破坏,此时的损害性会更强。
实体性物质的损坏,必然会破坏相关的会计数据,使得原有保存的数据丢失或者遭到破损无法被使用,也有可能直接导致数据导出时出现错误。
非人为的影响因素主要指的是不可抗力的出现,例如火灾、地震等引起的实体性系统损坏。
(二)网络原因导致存在的安全隐患
网络原因会引起会计信息系统中的数据和信息安全存在隐患,主要是指在数据的存储和传输过程中出现的安全威胁。
通常网络原因导致存在的安全隐患可以通过以下几种情况表现出来:未被授权的人员非法接触、获取甚至篡改会计数据;会计数据在传输过程中受到黑客的攻击,使得数据被盗取或被泄露;计算机网路被病毒入侵,系统运行出现异常,数据被泄露或者损坏等等。
例如为大家所熟悉的特洛伊木马病毒,具有十分强劲的网路攻击性,可以伪造系统的登陆页面来骗取系统管理人员的登陆信息,截取账号和密码。
除了以上几种常见的情况外,网络会计信息系统还可能因为遭受到恶意数据的直接攻击,而出现系统瘫痪,无法正常工作的后果。
(三)人员道德风险带来的安全威胁
目前网络办公的最大风险依然是来源于组织内部人员在未经正当授权的情况下私自接触、篡改、泄露或者删除数据与信息,因此,企业内部控制已经从仅仅对会计机构内部工作人员进行控制扩大到对整个企业内部人员的工作进行控制。
除此之外,网络会计信息系统的关联方也可能带来一定的安全威胁。
现在越来越多的企业在政府制定的信息披露平台被要求强制或者自愿地披露与自身经营有关的信息,而正是网络会计信息系统与社会有关部门的相联结,引发了新的安全风险。
举例说明,企业在缴纳关税时相关的利益相关者包括合作伙伴、客户、供应商和软件供应商等,同时还包括具体事务处理时的关联方,如银行、审计机构和税务部门等。
为了维系自身的正常运营同时遵守政府规定的相关规定,企业要不断地与这些利益相关者进行信息的沟通与往来。
正是这种连贯的信息沟通关系,使得企业与其利息相关机构之间可能存在一定的道德风险。
三、网络会计信息系统的安全措施
(一)从硬件系统的角度改善网络会计信息系统安全性
企业在购买硬件设备之后,应要求专门的计算机管理人员对收到的硬件设施进行全面检查,同时管理人员应注意要尽量避免周围环境中出现电磁干扰等情况,避免非专业人员人为破坏硬件设备系统。
在系统调试完成后,由企业管理人员进行试运行,检查设备是否能够正常运作。
为了保证出现人为的破坏情况,企业应就硬件设备的使用拟定相关的操作手册,引导工作人员进行正确操作,避免错误操作对硬件系统可能产生的损害。
企业应安排相应的计算机管理人员,对计算机进行日常的维护,严格要求工作人员在使用计算机期间不可随意插拔各种连接设备,以免给设备造成损害,同时避免插拔过程中出现数据丢失。
在硬件设备的具体日常维护方面,计算机管理人员应遵照严格的计算机硬件管理制度来开展工作,确保设备是在合适的湿度、温度并且不受电磁干扰的情况下运转,对于某些需要设立较高安全级别的硬件管理制度,企业应事先设立明令禁止不相关人员出入设备操作室。
为了保证网络会计信息系统的硬件设施运行平稳有序,有必要制定相应的紧急应对措施,尤其是在出现一些停电、大雨、火灾等不可控的紧急情况时,能够进行及时地补救,以免造成更大的'损失。
(二)网络系统的角度改善网络会计信息系统安全性
通常我们可以从网络控制的几个具体的角度来改善网络会计信息系统的安全性:
1.严格控制网络的访问权限。
该方法意味着用户要访问会计信息系统或者使用某些特定功能必须要获得一定的授权。
最常见的工具是由系统开发员事先设置一个“访问控制”功能,限制不符合要求的用户对指定的文件、服务器或者相关数据的使用。
“访问控制”除了能够限制非合法用户访问受保护资源外,还能够保护合法的用户使用的资源是受到保护的,同时防止其对非授权的资源进行访问。
2.对入侵行为进行检测。
所谓入侵行为检测是指在其他网络上对入侵行为进行检测,这种技术方式主要是对计算机系统中出现的反常现象进行监控,使得在出现违法规范的操作行为时,企业能够及时地发现并对其进行控制,防止风险的进一步扩大。
入侵检测主要是通过比较实际产生的工作日志与正常行为下应该产生的工作日志来发现异常操作,系统在判定出现异常操作时就会记录具体的入侵时间,同时以电子邮件或者是显示屏提示的形式来提醒管理人员该异常操作的存在,并且会报告其影响的严重程度,有助于管理员作出恰当的反映。
当企业计算机管理员或者其他人员发现系统存在严重入侵情况时,应及时切断网路,阻止攻击者进一步通过网络对主机产生侵害。
(三)通过内部牵制改善网络会计信息系统安全性
本文提到的内部牵制主要指的是企业在设置网络会计信息系统相关岗位时应该在人员配置上进行严格的内部牵制,为信息系统的有序运行提供安全保证。
内部牵制的另一种说法是不相容职务相互分离,对于一些彼此互不相容的岗位必须要求由两个或或者两个以上的人员参与负责,这样有利于在各人员之间相互牵制、相互监督,避免部分工作人员滥用权力,在岗位上徇私,保证网络会计信息系统提供的信息是客观、全面、有效的。
另外,企业应适当建立业务操作岗与监督管理岗之间的相互牵制机制,如在发生某项业务时,不仅业务处理人员要进行相关备份,企业监督岗人员也要进行相关备份,以便于事后进行核对,再比如会计人员的账务处理结果应被同步记录在监控人员的档案中,并且定期进行审核检查,这样可以有效加强会计人员的业务操作能力,避免其在具体工作中出现舞弊或伪造行为。
综上所述,随着计算机网络技术的不断发展与进步,网络环境之下的会计信息系统在给企业日常业务处理带来巨大便利的同时也带来了信息安全的隐患,并且这些安全隐患带来的风险有时候往往是致命的。
因此企业有必要认真研究会计信息系统的安全性问题,最大程度预防由于安全隐患的存在可能给企业造成的损失。
参考文献:
[1]刘润龙.网络环境下会计信息系统安全研究.中国商论,(08).
[2]马一鸣.浅谈网络时代对会计发展的影响.科技经济市场,2015(05).
[3]黄丽.大数据时代下的会计信息系统安全研究.新经济,2015(11).
篇4:电子银行迅猛发展安全问题受关注
近年来,颠覆了传统营销模式的电子银行业务发展迅猛,不仅推动了银行服务渠道的创新,也促进了银行业务模式和产品创新,并已成为商业银行金融产品创新的聚集地,提供转账、汇款、缴费、网络购物支付、基金交易、外汇买卖、银行卡还款等服务。
据中国银行业协会专职副会长杨再平介绍,截至年底,全国银行业金融机构网上银行个人客户约有1.5亿户,网上银行企业客户达到400多万户,电子银行在交易金额为301万亿元,包括手续费收入等达到22亿元。
“如此巨大的金融业务量,必须要有一个好的安全体系的保障。” 中国工商银行软件开发中心北京研发部副总经理李秀生说,“电子银行在发展过程中面临的一个重要课题,就是安全方面的问题。调查显示,没有使用网上银行的客户,一个重要原因就是在安全方面有顾虑。”
中国社会科学院金融研究所曹红辉博士认为,提高安全性是新型支付方式与传统现金支付竞争的关键,也是电子银行服务市场面临的首要问题。
网银安全受威胁 技术创新保安全
李秀生介绍,影响网上银行安全的主要问题,从技术层面说来,包括关键信息泄露、数据窜改、“中间人”的攻击(通过某种措施加入到客户和银行网站之间,截取客户敏感信息)、远程控制(客户的电脑被不法分子控制)、钓鱼网站(钓取客户个人信息)等,
“针对网上银行面临的偷、骗、暴力攻击等行为,银行进行技术创新,采取相应的控制机制以保证网银使用安全。”李秀生说。
银行业内人士指出,目前网上银行最大的问题是关键信息泄露问题,能直接导致客户金融资产的流失。对此,银行在输入方式、数据加密传输都进行了技术创新。关于数据窜改的问题,银行方面多采用信息重新交验,通过短信、数字证书等方式予以规避。为防止网上银行系统被某种恶意行为攻击,银行采用验证码等方式解决。而对于钓鱼网站(假冒网站),银行方面采取了开发“防钓软件”等措施。
适应电子银行发展脚步 加快规章制度建设
中国光大银行电子银行部总经理助理周伊丽说,银行既要满足使用电子银行的客户享受服务的'便捷性,也要保证交易的安全性。解决安全与便捷这对具有矛盾性的问题,“不仅需要银行不断进行安全技术创新,还需要各方合作,推进全社会的诚信建设,同时完善立法、加强监管”。
全国人大财经委法案室主任朱少平认为,近年来电子银行业务发展迅速,一些法规已不适应当前电子银行业务的发展。相信有关监管部门根据情况变化及技术发展,会对现行的规章制度做出进一步调研、充实,以及增加一些新的规定。
曹红辉认为,对于快速发展的电子银行业务,相关部门应建立一个多层次的法律结构,一方面制定综合性的法规,规定风险管理、市场的参与主体以及监管等部门的分工,规范各主体的行为;另一方面制定一些专业性法规,进一步对各项业务流程、职责、义务和风险管理的条件进行细化。
“规章的出台不能闭门造车,需要业界广泛参与和讨论。”曹红辉说。
篇5:登录网络银行要注意哪些安全问题WEB安全
近日,有关“使用工行网银系统资金被盗”的事件经一些媒体报道后,令工行网上银行近2000万用户倍加关心网上银行安全问题,为此,工总行相关负责人就用户资金缘何被盗、网银安全等问题接受了记者采访。
工行“网银”用户资金被盗是什么原因造成的?工总行相关负责人说,事件发生后,工行网银专家就用户资金被盗的成因进行了分析。专家分析认为,媒体报道的网银受害者联盟资金被盗的情况各不相同,但每例的事实都特别清楚,主要是由于客户账号、密码等个人重要信息保管不善导致的资金损失。对此,工行非常能理解用户的心情,但同时也应该厘清银行与用户应该承担的责任。
为确保“网银”使用安全,客户自身需要注意哪些问题?这位负责人认为,维护网上银行的安全,用户也同样有义务有责任。作为网银客户,应当有足够的网上安全意识,应该养成良好的网上银行使用习惯,
我们建议客户使用工行网上银行时,应注意以下几点:
第一,登录正确网址。访问工行网站时请直接输入网址登录,建议将工行网站地址添加到浏览器的“收藏夹”中,不要采用超级链接方式间接访问工行网站(http//www.icbc.com.cn)。
第二,保护账号密码。在任何时候任何情况下,不要将个人的账号、密码告诉别人,为个人的网上银行设置专门的密码,区别于在其他场合中(例如:其他网上服务、ATM、存折和银行卡等)使用的用户名和密码,避免因某项密码的丢失而造成其他密码的泄露,不要相信任何通过电子邮件、短信、电话等方式索要 的行为。
第三,注意计算机安全。下载并安装由工行提供的用于保护客户端安全的控件,定期下载安装最新的操作系统和浏览器安全程序或补丁,安装并及时更新杀毒软件,不要开启来历不明的电子邮件。
