浅谈从国内外信息安全案件看央行资金系统信息安全防范

1、浅谈从国内外信息平安案件看央行资金系统信息平安防范论文关键词：金融信息化中央银行资金系统信息平安论文摘要：近期发生的几起信息平安案件引起业内人士的高度关注。本文通过分析其共同的特点，指出央行资金系统平安防范的重要性，从内部和外部两个方面剖析了央行资金系统的平安隐患，并就今后的系统加固提出了针对性的措施最近有关媒体披露的涉及信息平安的两起案件引起业界人士的高度关注，一起是发生在广东省的“深圳彩票案(?南方日：2022年7月10日)，一起是发生在湖北省的“地下车管所案(?楚天都市报)2022年8月25日)。这两起案件的共同特点是犯罪嫌疑人通过侵入官方信息系统，添加、修改数据库资料，使非法信息合法化

2、，以到达其修改信息窃取资金的目的。两起案件的犯罪嫌疑人都成功侵人系统并完成数据的修改，攻破了信息系统的平安防线，造成了恶劣的影响。由此想到2022年法囝兴业银行的“巨额对冲交易亏损案，该行一名叫热罗姆凯维埃尔的低级交易员，由于其有过在后台作的经历，对银行的计算机信息系统和监控流程非常熟悉，通过侵入信息系统虚构对手交易，无限放大自己的交易权限，最终导致49亿欧元的巨额损失。三起案件都暴露信息系统平安防范措施、平安管理上的缺陷。我围中央银行担负资金汇划国家主干网的建立、维护和管理角色，每天有几十万笔、总额数万亿元的资金出入，不仅保证系统平安稳定运行非常重要，防范、防止各类非法侵入，保障资金平安也是

3、一项非常艰巨而又非常重要的任务。一、中央银行资金系统信息平安隐患剖析央行资金系统信息平安是指中央银行在使用的资金核算、结算系统巾，数据信息在存储、传递和处理过程阶段保持其完好、真实、可用和不被泄露的特性，即保密性、完好性、可用性、可控性和可审查性。当前中央银行资金系统主要有：现代化支付系统、中央银行会计核算系统、国库核算系统以及各地自行开发的电子支付系统，上述系统冈其效劳对象的广泛性导致平安防范的复杂性：系统接触的对象不仅包括人民银行的业务操作人员、系统管理人员，也包括各商业银行直接参与的业务人员和技术人员，但防范的重点还是人民银行丁作人员和相关人员。一方面因为商业银行根据授权一般无法接触核心

4、数据库，仅具有普通的操作权限，从技术上来讲对核心数据库进展修改的可能性微乎其微；另一方面中央银行可以通过防火墙、入侵检测、访问控制、日志分析等技术手段来防范和追踪来自商业银行渠道的不法操作。因此，理解技术的犯罪分子不会选择通过商业银行的渠道来攻击央行资金系统。“堡垒最容易从内部攻破这句名言，运用在央行资金系统平安管理上是非常恰当的。从中央银行资金系统内部平安管理上看，也存在内部和外部两类平安隐患。所谓内部平安隐患，是指人民银行内部工作人员(包括聘用人员)利用其特殊身份，非法入侵系统，恶意篡改数据的行为；所谓外部平安隐患，是指围绕央行资金系统开发与维护的外部人员(主要是指外包人员)，依靠对系统的

5、熟悉、接触系统的便利和管理上的破绽，非法入侵系统，恶意篡改数据的行为。内部平安隐患主要表如今以下几个方面：一是操作人员违规在资金系统上使用外来挪动存储介质或是将挪动存储介质在内外网上串用，导致病毒感染和被挂上木马程序；二是资金系统网络隔离不彻底，技术防范不到位，无关人员可以通过局域网轻松访问资金系统核心数据库；三是业务管理上存在破绽，用户名、密码被别人盗用；四是业务人员与系统管理员兼岗、串岗或换岗，使互相制约的制度成为一纸空文：外部平安隐患主要表如今以下几个方面：一是系统开发完成后，开发方为程序维护方便留有后门，给不法分子通过远程操作侵入系统留下可乘之机；二是外包人员在系统维护时有意植入木马，

6、恶意修改系统数据；三是赋予超级用户过大的权限，使之同时具有业务操作与系统维护权限或是直接修改数据的权限。二、中央银行资金系统信息平安隐患产生的原因导致信息平安隐患产生的原因是多方面的，一是技术力量薄弱。央行独立技术开发才能缺乏，重要的资金系统大部分通过外包建立，系统维护特别是基层央行的系统维护必须依靠上级行或外包公司，远程维护往往给犯罪分子可乘之机。二是对资金系统的平安意识淡保相比金库的平安防范，央行对于资金系统的平安保护意识上还有很大的差距，而事实上一旦资金系统出现问题，损失将远大于金库的现金损失。三是规章制度不落实。近几年央行围绕信息系统平安发布了一系列规章制度，一定程度上进步了系统平安防

7、范程度，但是有一部分规章制度特别是涉及到全员必须执行的制度，如严禁在内网上使用外来储存介质、业务系统用户名密码必须专人专用等，执行得不是很彻底，在审计中往往发现落实不到位的问题，在极个别地方还因此导致了案件的发生。四是重开发，轻防范。近几年央行为支持经济开展推出了以大小额支付系统为代表的现代化支付系统，有力地促进了全社会的资金流转，进步了资金利用效率，但是相应的防护措施特别是对基层行维护人员的培训少之又少。五是人手缺乏产生平安隐患。当前人民银行可以既懂业务又熟悉计算机的工作人员不多，加上近来轮岗的要求，导致业务人员和系统管理员的岗位就在仅有的几个人之间换来换去，留下了平安隐患。三、强化中央银行

8、资金系统平安防范的措施进步资金系统平安防范的根本出路在于进步自我技术开发与运维才能，尽量防止外包开发和维护。上述国内外三起案件，外包人员犯罪占了两起。在当前技术才能无法到达完全自主开发维护的情况下，加强对外包的管理就显得尤为重要。一是对外包业务实行分类管理，将资金系统与一般信息系统分开，对资金系统开发时应防止外包，如确需外包，验收时必须经过权威部门的平安评估检测。维护上要立足于人民银行内部员工维护，即使维护外包也要做到以我为主，并做到每一次外包维护时都要有内部人员全程监视，做好维护处理过程的登记。二是对于资金系统的维护严禁远程操作，关闭一切远程操作权限。在当前资金系统数据大集中的背景下，个别基

9、层央行苦于技术力量缺乏，经常需要得到上级行的支持，为图简便有时对内开放远程维护权限，不仅造成权责不明，也留下了平安隐患，对此要高度重视，严格制止。三是对超级用户实行严格的动态管理，定期对超级用户进展挑选，及时剔除不用的用户，对新用户要更新用户名和密码。对于内部人员的管理，应采取以下措施。一是严格执行制度，进步执行力。主要是要加强学习和完善，通过理论不断进步规章制度的可操作性，使之人脑、人心、融入实际工作中。二是严格执行轮岗回避制度。对于担任过同一系统的操作员、系统管理员的，不得互相轮岗和兼岗，明确操作员与系统管理员间的权限划分，并对操作员实行额度控制。三是强化对账系统建立，进步对账频率，扩大对账范围。不仅人民银行与商业银行间要做到每日对账，人民银行往来机构间也要定期对账，特别是今后数据大集中后，总行与各地分支机构必须做到按日对账。四是进步全员科技素养，提升科技人员的技术技能。当前，我们已经进入“没有信息化，就没有现代金融的时代，掌握信息技术根本技能应成为每个央行人的必备条件，只有全员科技素养进步了，整个央行的信息平安t作才有根底，对于科技人员应当加大技术培训尤其是有针对性的核心系统的维护培训，使之掌握针对资金系统开展的et常维护的技能，同时在新招录的人员中科技人员要保持一定的比例。五是