浅析邮政金融计算机风险防范
“绿卡工程”自启动至今,已取得了长足的发展。邮政“绿卡”以其全国联网、通存通兑的功能,给广大储户提供了快捷、方便、灵活的服务,提高了邮政储蓄的经营效益,然而邮储人员风险意识差、素质不一、管理存在漏洞以及电子化安全系统软硬件建设相对滞后等问题也同时暴露出来。1999年全国邮政储蓄发生计算机案件20起,涉及金额609万元,占全年案件总额的15%.邮政储蓄已成为金融犯罪分子攻击的目标之一,储汇资金安全已受到严重威胁。笔者认为造成此类案件多发的主要原因可归纳为以下三个方面。
(一)操作风险
操作风险是指在邮政金融电子化业务中,由于操作者自身业务素质不高或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现是,前台工作人员柜面把关不严,凭证、存单(折)审查流于形式,办理支取手续不严谨;对一些异常行为,如当日频繁大额支取现金,存折一次性大额支现、销户或遗忘变更存折密码等行为缺乏必要的警觉性。这些都使犯罪分子有了可乘之机。
(二)制度风险
制度风险是指在邮政金融电子化业务中,由于稽核部门监督手段落后以及制度制定有漏洞或执行不到位所造成的潜在风险。主要表现为:
1.内控制度执行不严。内控制度执行不到位是滋生邮政金融计算机犯罪的土壤。计算机内控制度的核心是权限制约,但在实际操作过程中权限制约经常不能得到有效落实。一是权限设置不合理,过于集中,特别是网络中心的管理员与程序员在不少单位由一个人兼任;二是相互间密码串用,甚至以“信任代替制度”,形成一人全过程办理业务的状况;三是密码设置简单甚至未设置,或保管不严,更换不及时,被他人窥视破译。
2.检查监督力度不够,检查内容缺乏必要的深度和广度。检查监督人员仅满足于传统意义上的.帐平表准,着重于对静态资料的审计,侧重于对本地业务的监督,忽视对动态操作以及权限密码的制约检查,弱化了风险审计。
3.邮储内部的稽核监督工作严重滞后于业务的发展。邮储业务网络化水平在不断提高,但是受传统观念的影响,稽核部门监督检查的范围仍局限于邮储业务本身,而忽视了整个邮储业务的技术支撑体系,即对计算机网络安全性的稽审,对不法分子利用网络系统犯罪的隐蔽性、时效性缺少必要的防范措施。当前普遍存在的一个问题是,对于计算机网络处理的业务,通常只是对输入和输出数据进行审核,把计算机网络视作接收数据输入和产生信息输出的“黑箱”,形成一种绕过计算机网络审核的现象。
(三)管理风险
管理风险是指由于对计算机安全防范认识不足,以及在计算机安全管理中科技与资金投入不足所造成的风险。主要表现在:
1.计算机安全管理体制不健全。多数支局所没有专门从事计算机安全管理的机构,科技人员单兵作战,除了承担业务软件的推广应用,还要负责设备的维护与管理,往往是顾此失彼。各职能部门如保卫、稽核和纪检还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。现行的计算机安全管理制度难以适应邮政金融计算机发展的需要,没有及时完善网络安全运行管理、密码专人管理、操作员管理、媒体存放管理等制度,并且在制度落实上,也是情况堪忧。
2.计算机软硬件系统安全技术薄弱。一是电子数据、资料、程序管理不严密,数据磁盘随意带出,打印作废的有关储户存款等信息资料随意乱扔;二是数据通信传输未加密或加密方法简单,使犯罪分子有可乘之机;三是安全防范基础设施配备不足,如主机房和营业厅等重要部门没有配备防火、防水、防盗设备,没有安装监控报警设备等。