陽泉市農(nóng)村信用社信息化建設(shè)帶來的安全問題調(diào)查報(bào)告

1、陽泉市農(nóng)村信用社信息化建設(shè)帶來的安全問題調(diào)查報(bào)告發(fā)布時(shí)間：2019-11-29來源：調(diào)查報(bào)告隨著人類社會(huì)進(jìn)入信息時(shí)代，金融信息化進(jìn)程加快，因特網(wǎng)在信息全球化中扮演著非常重要的角色。通信、計(jì)算機(jī)技術(shù)等高科技手段在銀行業(yè)廣泛運(yùn)用。在金融信息系統(tǒng)日益發(fā)展，信息越來越向上集中，規(guī)模越來越大，金融業(yè)對它的依賴性不斷增加的同時(shí)，金融信息化系統(tǒng)安全的重要性也與日俱增。金融信息化是一個(gè)熱點(diǎn)話題，關(guān)系金融行業(yè)的穩(wěn)定性和發(fā)展。所謂金融信息化，是構(gòu)建在由通信網(wǎng)絡(luò)、計(jì)算機(jī)、信息資源和人力資源等四要素組成的國家信息基礎(chǔ)框架之上，由具有統(tǒng)一技術(shù)標(biāo)準(zhǔn)，能以不同速率傳送數(shù)據(jù)、語音、圖形圖像、視頻影像的綜合信息網(wǎng)絡(luò)，將具備智能

2、交換和增值服務(wù)的多種以計(jì)算機(jī)為主的金融信息系統(tǒng)互連在一起，創(chuàng)造金融經(jīng)營、管理、服務(wù)新模式的長期系統(tǒng)工程。當(dāng)今世界經(jīng)濟(jì)全球化趨勢日益明顯，經(jīng)濟(jì)全球化，首先是信息全球化，隨著人類社會(huì)進(jìn)入信息時(shí)代，金融信息化進(jìn)程加快，因特網(wǎng)在信息全球化中扮演著非常重要的角色。通信、計(jì)算機(jī)技術(shù)等高科技手段在銀行業(yè)廣泛運(yùn)用，外資銀行大舉進(jìn)入，網(wǎng)絡(luò)銀行迅速發(fā)展，給人們帶來方便的同時(shí)，利用信息網(wǎng)絡(luò)技術(shù)犯罪也在迅速增長。曾幾何時(shí)，銀行存折和信用卡明明在自己手里，銀行支票和印章明明鎖在保險(xiǎn)柜里，計(jì)算機(jī)操作密碼慎之又慎，賬戶上的存款卻不翼而飛。據(jù)cert統(tǒng)計(jì)，XX年中心接到的事件報(bào)告82094件，相比XX年度的52658件增加了

3、36%。這些事件包括了電腦病毒、網(wǎng)絡(luò)攻擊以及利用電腦系統(tǒng)或應(yīng)用軟件進(jìn)行的攻擊事件。XX年12月，日本瑞穗證券公司誤將客戶的以61萬日元賣出1股j-com公司股票指令輸入為以每股1日元賣出61萬股。東京股票交易所計(jì)算機(jī)系統(tǒng)對該公司取消下單的指令不能給予及時(shí)回應(yīng)導(dǎo)致錯(cuò)誤的訂單全部成交，導(dǎo)致瑞穗證券損失超過400億日元。XX年，花旗銀行日本分行出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃，或者交易后未做相應(yīng)記錄，造成花旗銀行在日本的重大聲譽(yù)損失。金融業(yè)尤其是銀行業(yè)，作為國民經(jīng)濟(jì)發(fā)展的核心與樞紐，涉及到社會(huì)生活的方方面面，它的信任臨界點(diǎn)很高，一旦有相關(guān)案件發(fā)生，將引發(fā)信用危機(jī)，造成社會(huì)

4、不穩(wěn)定。近年來，我國一些銀行機(jī)構(gòu)也相繼出現(xiàn)過系統(tǒng)宕機(jī)和網(wǎng)絡(luò)癱瘓，其中影響較大的是銀聯(lián)系統(tǒng)癱瘓事件。XX年4月，銀聯(lián)全國跨行交易系統(tǒng)癱瘓6小時(shí)，國內(nèi)大部分商戶的pos機(jī)無法刷卡，所有銀行的atm終端無法進(jìn)行跨行操作，停刷阻斷交易量246.6萬筆，金額1287.7億元，造成了重大的社會(huì)影響。中國金融認(rèn)證中心cfca發(fā)布的XX年中國網(wǎng)上銀行調(diào)查報(bào)告顯示，在XX年調(diào)查的10個(gè)經(jīng)濟(jì)發(fā)達(dá)城市中，使用網(wǎng)上銀行服務(wù)的個(gè)人僅37.8%，安全性是導(dǎo)致大家不敢使用網(wǎng)上銀行的主要原因。在那些沒有使用網(wǎng)上銀行的網(wǎng)民中，有71.7%的用戶認(rèn)為網(wǎng)上銀行的安全性偏低。XX年春，中國銀監(jiān)會(huì)副主席郭利根在銀行業(yè)信息科技風(fēng)險(xiǎn)奧運(yùn)專

5、項(xiàng)自查工作部署會(huì)上，通報(bào)了XX年以來銀行業(yè)金融機(jī)構(gòu)發(fā)生的信息科技風(fēng)險(xiǎn)事件：XX年3月21日，交通銀行因主機(jī)監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近四個(gè)小時(shí)，所有營網(wǎng)點(diǎn)無法正常開展業(yè)務(wù)。XX年8月15日，工商銀行對計(jì)算機(jī)系統(tǒng)進(jìn)行升級，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個(gè)人業(yè)務(wù)系統(tǒng)運(yùn)行不暢，在持續(xù)五個(gè)半小時(shí)之后，系統(tǒng)才逐步恢復(fù)正常。XX年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京的117家支行所屬網(wǎng)點(diǎn)柜臺(tái)交易緩慢，業(yè)務(wù)無法正常進(jìn)行，故障持續(xù)一個(gè)多小時(shí)。安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展，信息越來越向上集中，規(guī)模越來越大，金融業(yè)對它的依賴性不斷增加的同時(shí)，金融信息化

6、系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機(jī)構(gòu)的生存和經(jīng)營的成敗，所以，應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣作是金融機(jī)構(gòu)的生命。金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問題，它與我國的經(jīng)濟(jì)安全、社會(huì)安全和國家安全緊密相連，是保障金融業(yè)穩(wěn)定發(fā)展、增強(qiáng)競爭力和生存能力的重要組成部分，金融信息系統(tǒng)的安全已成為我國金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。鑒于金融信息化安全的重要性，對陽泉市農(nóng)村信用社信息化建設(shè)進(jìn)行了初步調(diào)查，發(fā)現(xiàn)存在以下幾方面的安全問題：(1) 內(nèi)網(wǎng)與外網(wǎng)沒有安全隔離。目前，我們的業(yè)務(wù)網(wǎng)絡(luò)與外網(wǎng)沒有完全隔離，并未采取有效的安全措施、運(yùn)行業(yè)務(wù)系統(tǒng)的計(jì)算機(jī)在沒有相應(yīng)安全措施的情況下與外網(wǎng)

7、進(jìn)行連接。(2) 一些拓展服務(wù)沒有相應(yīng)的安全保障措施。我們的一些拓展服務(wù)，沒有相應(yīng)的安全措施。如網(wǎng)上對賬系統(tǒng)，服務(wù)器運(yùn)行于外網(wǎng)環(huán)境中，沒有相應(yīng)的安全措施，那么可能造成客戶信息的泄密;對賬系統(tǒng)運(yùn)行于http協(xié)議下，此協(xié)議不具備數(shù)據(jù)加密等要求，同樣在數(shù)據(jù)傳輸中可能造成客戶信息的泄密。(3) 員工信息化安全意識淡薄。員工對業(yè)務(wù)系統(tǒng)、計(jì)算機(jī)密碼的設(shè)置、保管、更換沒有引起高度的重視。很多人的密碼較簡單，還有很多人的密碼為系統(tǒng)預(yù)設(shè)密碼。(4) 計(jì)算機(jī)外設(shè)的使用沒有安全保障措施。對于大多數(shù)的計(jì)算機(jī)外設(shè)的使用，我們沒有相應(yīng)的安全制度和措施。外設(shè)的隨意使用，可能造成我們信息的泄密，如：移動(dòng)硬盤針對以上問題，經(jīng)過

8、分析研究，覺得以下幾方面的措施，可以有力的保障信息安全：(1) 內(nèi)網(wǎng)與外網(wǎng)進(jìn)行有效隔離。針對內(nèi)網(wǎng)與外網(wǎng)有效隔離，可以采取運(yùn)行內(nèi)網(wǎng)業(yè)務(wù)計(jì)算機(jī)上安裝殺毒軟件、防火墻，并及時(shí)更新病毒庫、定時(shí)查殺;對計(jì)算機(jī)進(jìn)行定期掃描系統(tǒng)及應(yīng)用漏洞;避免安裝未知軟件，軟件均由內(nèi)網(wǎng)ftp服務(wù)器下載;外網(wǎng)出口架設(shè)硬件防火墻，并配置訪問控制列表，防止計(jì)算機(jī)被攻擊、下馬。(2) 拓展業(yè)務(wù)采取安全保障措施。對于拓展業(yè)務(wù)采取相應(yīng)的安全保障措施。接入外網(wǎng)的服務(wù)器，安裝殺毒軟件、防火墻，并及時(shí)更新病毒庫、定時(shí)查殺;進(jìn)行定期掃描系統(tǒng)及應(yīng)用漏洞;禁止安裝非業(yè)務(wù)相關(guān)軟件;外網(wǎng)出口架設(shè)硬件防火墻，并配置訪問控制列表，除業(yè)務(wù)應(yīng)用外所有端口封閉;web應(yīng)用采用安全的傳輸模式，如https，制作訪問證書，并對相應(yīng)客戶頒發(fā)相應(yīng)的訪問證書，否則無法訪問到業(yè)務(wù)服務(wù)器，并對證書進(jìn)行定期撤銷、更新;修改應(yīng)用及數(shù)據(jù)庫常用端口、避免端口被掃描及攻擊;web應(yīng)用的用戶名密碼采取md5方式加密，該加密方式為不可逆，防止客戶用戶名與密碼被竊取;(3) 加強(qiáng)員工信息安全培訓(xùn)。分批、分級對員工進(jìn)行信息安全培訓(xùn)，加強(qiáng)員工對信息安全的重視程度、培養(yǎng)