浅谈从国内外信息安全案件看央行资金系统信息

  　关键词：信息化 中央 资金系统 信息安全

　　论文摘要：近期发生的几起信息安全案件引起业内人士的高度关注。本文通过分析其共同的特点，指出央行资金系统安全防范的重要性，从内部和外部两个方面剖析了央行资金系统的安全隐患，并就今后的系统加固提出了针对性的措施

　　最近有关媒体披露的涉及信息安全的两起案件引起业界人士的高度关注，一起是发生在广东省的“深圳彩票案”(《南方日：~}2009年7月10日)，一起是发生在湖北省的“地下车管所案”(《楚天都市报)2009年8月25日)。这两起案件的共同特点是犯罪嫌疑人通过侵入官方信息系统，添加、修改数据库资料，使非法信息合法化，以达到其修改信息窃取资金的目的。两起案件的犯罪嫌疑人都成功侵人系统并完成数据的修改，攻破了信息系统的安全防线，造成了恶劣的影响。由此想到2008年法囝兴业银行的“巨额对冲交易亏损案”，该行一名叫热罗姆·凯维埃尔的低级交易员，由于其有过在后台]作的经历，对银行的信息系统和监控流程十分熟悉，通过侵入信息系统虚构对手交易，无限放大自己的交易权限，最终导致49亿欧元的巨额损失。三起案件都暴露m信息系统安全防范措施、安全上的缺陷。我围中央银行担负资金汇划主干网的建设、维护和管理角色，每天有几十万笔、总额数万亿元的资金出入，不仅保证系统安全稳定运行十分重要，防范、防止各类非法侵入，保障资金安全也是一项十分艰巨而又非常重要的任务。

　　一、中央银行资金系统信息安全隐患剖析

　　央行资金系统信息安全是指中央银行在使用的资金核算、结算系统巾，数据信息在存储、传递和处理过程阶段保持其完整、真实、可用和不被泄露的特性，即保密性、完整性、可用性、可控性和可审查性。当前中央银行资金系统主要有：现代化支付系统、中央银行核算系统、国库核算系统以及各地自行开发的支付系统，上述系统冈其服务对象的广泛性导致安全防范的复杂性：系统接触的对象不仅包括人民银行的业务操作人员、系统管理人员，也包括各商业银行直接参与的业务人员和技术人员，但防范的重点还是人民银行丁作人员和相关人员。一方面因为商业银行根据授权一般无法接触核心数据库，仅具有普通的操作权限，从技术上来讲对核心数据库进行修改的可能性微乎其微；另一方面中央银行可以通过防火墙、入侵检测、访问控制、日志分析等技术手段来防范和追踪来自商业银行渠道的不法操作。因此，了解技术的犯罪分子不会选择通过商业银行的渠道来攻击央行资金系统。“堡垒最容易从内部攻破”这句名言，运用在央行资金系统安全管理上是十分恰当的。

　　从中央银行资金系统内部安全管理上看，也存在内部和外部两类安全隐患。所谓内部安全隐患，是指人民银行内部工作人员(包括聘用人员)利用其特殊身份，非法入侵系统，恶意篡改数据的行为；所谓外部安全隐患，是指围绕央行资金系统开发与维护的外部人员(主要是指外包人员)，依靠对系统的熟悉、接触系统的便利和管理上的漏洞，非法入侵系统，恶意篡改数据的行为。内部安全隐患主要表现在以下几个方面：一是操作人员违规在资金系统上使用外来移动存储介质或是将移动存储介质在内外网上串用，导致病毒感染和被挂上木马程序；二是资金系统网络隔离不彻底，技术防范不到位，无关人员可以通过局域网轻松访问资金系统核心数据库；三是业务管理上存在漏洞，用户名、密码被他人盗用；四是业务人员与系统管理员兼岗、串岗或换岗，使相互制约的制度成为一纸空文：外部安全隐患主要表现在以下几个方面：一是系统开发完成后，开发方为程序维护方便留有后门，给不法分子通过远程操作侵入系统留下可乘之机；二是外包人员在系统维护时有意植入木马，恶意修改系统数据；三是赋予超级用户过大的权限，使之同时具有业务操作与系统维护权限或是直接修改数据的权限。

[1]