第一篇:電子政務信息安全風險分析與防范策略
電子政務信息安全風險分析與防范策略
2003-11-17 15:05
摘要
我國電子政務信息安全風險主要存在于觀念、技術、管理和法律方面。要強化電子政務環境下公務員的信息安全意識,建立電子政務信息安全管理機構,完善信息安全基礎設施和扶持國有信息安全產業的發展。
1電子政務信息安全的內涵
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。電子政務的建立將使政府成為一個更符合環保精神的政府,一個更開放透明的政府,一個更有效率的政府,一個更廉潔勤政的政府。然而,電子政務的職能與優勢得以實現的一個根本前提是信息安全的有效保障。因為電子政務信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。如果電子政務信息安全得不到保障,電子政務的便利與效率便無從保證,對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題。
電子政務的信息安全可以理解為:
(1)從信息的層次看,包括信息的完整性(保證信息的來源、去向、內容真實無誤)、保密性(保證信息不會被非法泄露擴散)、不可否認性(保證信息的發送和接收者無法否認自己所做過的操作行為)等。
(2)從網絡層次看,包括可靠性(保證網絡和信息系統隨時可用,運行過程中不出現故障,遇意外事故能夠盡量減少損失并盡早恢復正常)、可控性(保證營運者對網絡和信息系統有足夠的控制和管理能力)、互操作性(保證協議和系統能夠互相聯接)、可計算性(保證準確跟蹤實體運行達到審計和識別的目的)等。
(3)從設備層次看,包括質量保證、設備備份、物理安全等。
(4)從管理層次看,包括人員可靠、規章制度完整等。
2電子政務信息安全風險分析
現階段,我國電子政務信息安全系數比較低。公安部1998年8月在江蘇、上海、廣東等省(市)對169信息網進行檢測,發現其設防能力十分脆弱,難以抵御任何方式的電子攻擊。電子政務信息安全風險主要存在4個方面。
2.1觀念方面
著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發,提出應把信息系統安全建設提高到研制“兩彈一星”的高度去認識。1999年政府上網工程啟動以來,政府部門越來越重視網絡系統建設,看重網絡帶來的便利與高效,但是有些地方對信息安全工作未引起足夠重視。據估計,我國在網絡工程中網絡安全的投入費用不到2%,同國外的10%相比有較大差距。現階段,電子政務網絡的開放程度不高,一些機密信息目前還沒有上網,再加之公眾對計算機犯罪的態度較為“寬容”,認為并沒有造成直接的人員財產損失,這都使得公務員和普通大眾對信息安全問題關注不夠,信息安全意識淡薄。
2.2技術方面
(1)計算機系統本身的脆弱性,使得它無法抵御自然災害的破壞,也難以避免偶然無意造成的危害。如:洪水、火災、地震的破壞,系統所處環境的影響(溫濕度、磁場、碰撞、污染等),硬件設備故障,突然斷電或電壓不穩定及各種誤操作等。這些危害會損害操作系統設備,有時會丟失或破壞數據,甚至毀掉整個系統。
(2)網絡本身存在缺陷。首先,軟件本身缺乏安全性。操作系統的設計一般著重于提高信息處理的能力和效率,對于安全只是作為一項附帶的條件加以考慮。因此,操作系統中的安全缺陷相當多。其次,通信與網絡設備本身有弱點。絕大多數電子政務信息網絡運行的是TCP/IP,NetBEUI,IPX/SPX等網絡協議,而這些網絡協議并非專為安全通訊而設計。利用這些網絡進行服務,本身就可能存在多方面的威脅,加之使用者信息安全意識淡薄,管理者管理措施不力等原因,會造成一些常見的安全問題:對物理通路的干擾;網絡鏈路傳送的數據被竊聽;非授權用戶非法使用,信息被攔截或監聽;操作系統存在的網絡安全漏洞;應用平臺的安全,如數據庫服務器、電子郵件服務器等均存在大量的安全隱患,很容易受到病毒、黑客攻擊;直接面向用戶的應用系統存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次,目前世界上還缺乏統一的操作系統、計算機網絡系統和數據庫管理系統,缺乏統一的信息安全標準、密碼算法和協議,因而無法進行嚴格的安全確認。
(3)我國具有自主知識產權的信息設備、技術、產品較少,如計算機芯片、骨干路由器和微機主板等基本上從國外進口,且對引進技術和設備缺乏必要的技術改造,尤其是在系統安全和安全協議的研究和應用方面。而美歐等發達國家對我國限制和封鎖信息安全高密度產品,出口到我國的信息產品中留有安全隱患。例如,美國出口我國的計算機系統的安全系統只有C2級,是美國國防部規定的8個安全級別之中的倒數第三;在操作系統、數據庫管理系統或應用程序中預先安置從事情報收集、受控激發破壞的“特洛伊木馬”程序,一旦發生重大情況,那些隱藏在軟件中的“特洛伊木馬”就能夠在某種秘密指令下激活,造成我國電子政務關鍵軟件系統的癱瘓。
2.3管理方面
對現有的網絡攻擊和入侵事件的一項統計報告顯示:國外政府入侵的安全風險指數為21%,黑客入侵的安全風險指數為48%,競爭對手入侵的安全風險指數為72%,組織內部不滿雇員入侵的安全風險指數為89%。這說明,電子政務信息安全不是單純的技術問題。如果沒有從管理制度、人員和技術上建立相應的電子化業務安全防范機制,缺乏行之有效的安全檢查保護措施,再好的技術和設備都無法確保其信息安全。管理上的漏洞,例如,機房重地隨意進出,微機或工作站管理人員在開機狀態下擅離崗位,敏感信息臨時存放在本地的磁盤上,這些信息處于未保護狀態,都會為外部入侵,更為內部破壞埋下隱患。其中,來自內部的安全威脅可能會更大,因為內部人員了解內部的網絡、主機和應用系統的結構;能夠知道內部網絡和系統管理員的工作規律,甚至自己就是管理員;擁有系統的一定的訪問權限,可以輕易地繞過許多訪問控制機制;在內部系統進行網絡刺探、嘗試登錄、破解密碼等都相對容易。如果內部人員為了報復或銷毀某些記錄而突然發難,在系統中植入病毒或改變某些程序設置,就有可能造成損失。內部人員的破壞活動也并不局限于破壞計算機系統,還包括越權處理公務、竊取國家機密數據等。
2.4法律方面
黑客攻擊、病毒入侵等網絡犯罪的日益增多與網絡信息安全法制不健全和對網絡犯罪的懲治不力密不可分。一方面,我國已經出臺了一系列與網絡信息安全有關的法律法規,例如:《計算機軟件保護條例》(1992年)、《中華人民共和國計算機信息系統安全保護條例》(1994年)、《警察法》(1995年)、《公安部關于對國際聯網的計算機信息系統進行備案工作的通知》(1996年)、《中華人民共和國信息網絡國際聯網管理暫行規定》(1997年)、《計算機信息網絡國際聯網安全保護管理辦法》(1997年),《商用密碼管理條例》(1999年)、《計算機信息系統國際聯網保密管理規定》(2002年)等。此外,1997年3月頒布的新《刑法》第285條、第286條、第287條,對非法侵入計算機信息系統罪、破壞計算機信息系統罪,以及利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家機密等犯罪行為,作出了規定。盡管這些法律法規的出臺和實施對于我國網絡信息的安全起到相當積極的作用,但仍難以適應網絡發展的需要,信息安全立法還存在相當多的盲區。
另一方面,已頒布實施的法律法規不僅規定了出入口制度和市場準入制度,確定了網絡信息安全管理機構,闡明了安全責任,而且明確了法律責任,對于危害網絡信息安全的個人和單位,規定了經濟處罰、行政處罰和刑事處罰等三大類型。但是由于網絡犯罪的隱蔽性和高科技性,給偵破和審理帶來了極大困難,再加上其他原因,導致執法部門的打擊力度有限,在法律的執行上還有不到位之處,一些違法情況及當事人還未得到及時處理和制裁。
3電子政務信息安全的防范策略
3.1強化電子政務環境下公務員的信息安全意識
所謂的信息安全意識,是指公務員對電子政務中信息安全問題主要表現與危害以及保證政府信息安全的意義的正確認識,發現電子政務中影響信息安全的現象和行為的敏銳性,維護電子政務信息安全的主動性。強化公務員的信息安全意識就是要讓公務員認識到電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全甚至國家安全的重要前提,從而牢固樹立信息安全第一的思想。我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育。一是通過大眾傳播媒介,增強公務員信息安全意識,普及信息安全知識。二是積極組織各種專題講座和培訓班,培養信息安全人才,并確保防范手段和技術措施的先進性和主動性。三是要積極開展安全策略研究,明確安全責任,增強公務員的責任心。
3.2建立電子政務信息安全管理機構
首先,政府部門要嚴格按照《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡安全保護管理辦法》的規定,在國家安全部,國家保密局,國務院有關部門及各省、市、自治區公安廳(局),地(市)、縣(市)公安局負責計算機網絡信息系統安全保護的行政管理下,建立本單位、本部門、本系統的組織領導管理機構,明確領導及工作人員責任,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,并對破壞電子政務信息安全的事件進行調查和處理,確保網絡信息的安全。
其次,要完善“網上警察”隊伍建設,加大監視和打擊網絡犯罪活動的力度。我國于1983年成立了公安部計算機管理和監察局,1985年全國人大通過了《警察法》,其目的就是“監督計算機信息系統安全保護工作”。1998年又成立了公安部公共信息網絡安全監察局,并逐步形成了一支“網上警察”。當前,公安部門的首要任務是吸納高級信息安全人才充實到網上警察隊伍,提高網上警察的快速反應能力、偵察與追蹤水平等。
3.3完善我國信息安全基礎設施
當前迫切需要建立的國家信息安全基礎設施包括:國際出入口監控中心、安全產品評測認證中心、病毒檢測和防治中心、關鍵網絡系統災難恢復中心、系統攻擊和反攻擊中心、電子保密標簽監管中心、網絡安全緊急處置中心、電子交易證書授權中心、密鑰恢復監管中心、公鑰基礎設施與監管中心、信息戰防御研究中心等。
3.4傾力扶持國有信息安全產業的發展
自主的信息產業或信息產品國產化是保證電子政務信息安全的根本。信息安全技術、產品受制于他國是對國家安全利益的極大威脅。國家應對國有信息安全產業的發展予以充分的政策和財政支持。當前,應在以下3種技術上求得突破:一是能逐步改善信息安全狀況、帶有普遍性的關鍵技術,如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等;二是創新性強、可發揮杠桿作用的突破性技術,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術和TEMPEST技術等;三是能形成“撒手锏”的戰略性技術,如操作系統、密碼專用芯片和安全處理器等。還要狠抓技術及系統的綜合集成,以確保電子政務信息系統的安全可靠。令人可喜的是,2002年8月19日由我國自主開發的高性能通用芯片“龍芯1”運行成功,這是我國信息安全產業發展史上具有里程碑意義的事件。
3.5健全法律,嚴格執法
法律是保障電子政務信息安全的最有力手段,發達國家已經在政府信息安全立法方面積累了成功經驗,如美國的《情報自由法》和《陽光下的政府法》、英國的《官方信息保護法》、俄羅斯的《聯邦信息、信息化和信息保護法》等。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布個人隱私保護法、數據庫振興法、信息網絡安全性法規、預防和打擊計算機犯罪法規、數字簽名認證法、電子憑證(票據)法、網上知識產權法等,以完善我國的網絡信息安全法律體系,使電子政務信息安全管理走上法制化軌道。另外,執法部門還要進一步嚴格執法,提高執法水平,確保各項法律法規落到實處。對于各種違法犯罪情況要嚴加追究,絕不姑息,對于各種隱患要及時加以預防和制止。
參考文獻
黃志澄.電子政務的內涵及發展.中國信息導報,2002(4)
楊義先,林曉東,邢育森.信息安全綜論.電信科學,1997(12)
3,5,7,馮杰,李會欣.我國電子政府安全運行分析.新視野,2002(5)
4,8
崔麗,沈昌祥.國家安全概念:對信息系統的安全應從“兩彈一星”的高度去認識.中國青年報,1999-06-18
尹秀蓮,于躍武.電子政務與網絡信息安全.內蒙古科技與經濟,2002(2)
9,10
湯志偉.電子政府的信息網絡安全及防范對策.電子科技大學學報(社科版),2002(1)
婁策群.保障電子政府信息安全的政策選擇.情報科學,2002(5)
楊海平.網絡信息安全研究.情報科學,2000(10)
蔣坡.國際信息政策法律比較.北京:法律出版社,2001
作者:武漢大學信息管理學院2001級碩士研究生
王歡喜
第二篇:電子銀行業務風險與防范
課 程 提 綱
賴立峰
課程名稱:電子銀行業務風險與防范
課程時長:120分鐘
課程簡介:我國的電子銀行業務始于20世紀90年代后期,目前已初步建成一套較為完整的包括網上銀行、電話銀行、手機銀行、自助銀行等渠道在內的電子銀行服務體系。雖然目前我國電子銀行業務得到了迅速發展,但電子銀行在產品特色、經營理念及管理水平上都還存在參差不齊的現狀。尤其隨著我國加入WTO,外資銀行全面進軍國內市場,在經營地域、業務范圍和客戶市場上將與中資銀行開展全面競爭,國內各銀行風險的把握是極其必要的。因此,對電子銀行業務進行風險評估與管理就成為國內商業銀行把握機遇,降低風險的必要步驟。課程內容:
一、電子銀行業務風險分類標準
1、《電子銀行風險管理原則》(Risk Management Principle for Electronic Banking);
2、按中國銀監會標準劃分。
二、電子銀行業務風險分析
1、傳統風險:★信用(基礎)、流動性、市場、利率等;
2、特殊風險:技術、★操作(差別較大)、★法律(差別較大)、戰略、聲譽、外包、跨境等。
三、風險的管理和控制
1、操作風險管理
2、信用風險管理
3、流動性、利率、市場風險管理
4、聲譽風險管理
5、法律風險管理
四、其他措施和輔助手段:包括稽核和系統檢測。
第三篇:政府電子政務信息安全問題與應對策略
政府電子政務信息安全問題與應對策略
[摘要]在信息技術高速發展的今天,互聯網用戶對于信息安全方面越來越重視。為方便群眾的生產生活,我國絕大多數地方政府都開放了政府電子政務平臺,由于電子政務逐漸凸顯出在政府實務工作中的優勢特性,所以面對安全問題我們更需要保障和提高政府辦公電子政務的相關信息不被竊取泄露。文章對政府電子政務信息安全中出現的問題進行探討并提出一些應對策略。
[關鍵詞]政府;電子政務;信息安全;策略
[DOI]10.13939/j.cnki.zgsc.2017.15.313
由于我國近幾年電子商業產業發展勢頭十分迅猛,政府辦公政務處理工作也越來越依賴于電子政務處理,由于電子政務具備行政透明性、辦事效率更高、節約政府行政成本等優勢,因此現如今各地市政府都致力于建立完善的電子政務機制,尤其需要注意電子政務的安全性問題,我們要致力于利用構建安全性比較強的電子政務處理系統提升政府處理公務能力。接下來,筆者將談一談在進行電子政務建設的過程中出現的一些問題,并且針對出現的問題提出相應改進策略。政府電子政務信息安全問題
1.1 電子政務網站漏洞,造成信息安全問題
在進行政府電子政務網站架構的過程中,由于互聯網技術起步比較晚,在很多技術層面還存在著問題,相比較于外國先進國家的電子政務網站還具備相當的差距,在電子政務辦公網站有一些容易被攻擊的漏洞存在,盡管一些政府辦公的網站采用內外網隔離的方式以及專用網和因特網互相隔離等安全防范措施,在一定程度上消除了網站被攻擊的漏洞,但是依然是有跡可循的。
由于網絡通信的形式本身就具備一定的漏洞,很多的網絡通信信息都是通過電磁波的形式來傳播,如果人們能捕捉到包含通信信息的電磁波,再利用特殊的破解手段,就能盜取到客戶的信息。部分黑客們利用SQL注入攻擊的手段,將SQL攻擊命令注入Web的表格中,再通過欺騙性域名、字符串來達到攻擊網站服務器的目的。還有一些黑客會利用跨站點腳本的手段來查找到網站中存在的漏洞,在網站中插入一些自己設定的鏈接來偷取瀏覽網站的用戶的信息。其中還有一種比較常見的攻擊網站方式為DDos攻擊方式,這種攻擊方式往往比較隱蔽,不容易被信息安全維護員發現,其主要是通過一些合乎網站服務器的命令進行反復占用網絡資源,讓服務器超載,從而在進行其他網絡游客命令要求的時候不能及時進行響應,也就是我們常見的服務器卡頓現象。
1.2 電子政務管理漏洞,造成信息安全問題
由于我國互聯網產業發展過快,人們對于互聯網的認識速度還沒有跟上互聯網發展的步伐,在進行電子政務相關建設工作的時候,對于從事政府事務處理的人員的管理方面有一定的漏洞,我國現在缺乏一個具備最高管理權威的相關信息安全規劃機構去管理相關的信息安全事務,而且在地方上的政府電子政務環境下,內部管理也比較薄弱,對于內部人員的監控力度不到位甚至是沒有監控措施,很多操作都沒有阻斷措施,導致一些黑客有機可乘,利用管理漏洞偷取用戶信息,造成信息安全隱患,甚至是一些政府人員也利用職務之便進行用戶信息的偷取。
1.3 電子政務法律漏洞,造成信息安全問題
由于我國電子政務相關體系仍然在建設之中,不僅僅是電子政務方面的信息管理法律法規,甚至于整個互聯網行業的法律法規體系也不夠完善,僅僅是近些年出臺的網絡信息相關法律還是遠遠不夠的,其適用范圍仍然不夠廣泛,不能全面應用于電子政務運作中,就給了黑客們犯罪打“擦邊球”的機會,而且往往由于網絡管理秩序混亂,不能給黑客及時的懲罰。政府電子政務信息安全問題應對策略
2.1 加強網絡安全防護,提升信息安全
政府在進行電子政務網站構建的時候就需要加大網站完善力度,要重視網站安全級別,對于網站響應的服務器和操作系統,甚至所用的通信網絡都進行及時的更新與升級,不斷加固網站安全級別,鼓勵各個安全部門加大對于網站防護系統的開發,致力于開發出響應國家電子政務推動號召的新型安全系統。這也需要國家加大對于電子政務方面信息安全開發的投入,積極鼓勵相應人才研發出適合中國本土的核心技術,多多應用我國自主開發的源代碼相關信息安全產品。
在電子政務實施中,要注意提升計算機安全技術相應的平臺作為支撐,設置相對應的網訪問權限,讓參與電子政務的工作人員建立相對封閉的網絡訪問途徑,提升網絡安全防護能力。
2.2 加強信息保護政策,提升信息安全
面對我國信息安全管理方面的薄弱問題,我們要嚴格實施人員管理制度,制定相關的比較嚴格的監督政策,定期進行數據備份,避免由于管理疏忽導致黑客成功入侵破壞數據的情況,并且在各個部門之間都要設置權限和監督,面對涉及的重要機密問題,使用內部網絡訪問的管理辦法限制信息獲取人員的數量,進而減少信息泄露的概率。我們還可以通過在信息訪問過程中添加網絡域訪問控制、人員身份識別等加密方式,盡可能地進行信息保護。另外,我們還需要提升政府人員對于信息保密的認識,給員工們進行定期的相關信息安全知識培訓,從潛移默化中保證工作人員重視信息安全問題,讓從事電子政務的人員能具備比較強的安全意識。給各個部門不同的訪問權限,讓各個部門人員各司其職,控制數據文件的操作能力,并能在每一次數據操作后都能留下記錄。政府也需要從高校中大量招收專業技術過硬的人才,進行信息安全專業人員的補充,從主觀層面上提升電子政務安全級別。
2.3 健全法律體系框架,提升信息安全
要不斷健全相關電子政務法律體系,加速計算機相關法律的完善速度,修補電子政務推進中的漏洞,保證電子政務流暢順利地進行。通過法律的強制性保護來提升電子政務信息的安全。政府可以通過加強網警專業知識培訓,提高網絡安全人員的素質,從而提高網絡犯罪追查力度和效率。對發現的安全漏洞進行迅速修復,并根據攻擊記錄尋找源頭,迅速打擊各類網絡犯罪,對一些通過網絡進行重大犯罪的黑客加大處罰力度。通過大量的宣傳來加強全民網絡意識,讓人民達成共識,遵紀守法。
我們可以模仿國外的一些國家制定比較完善的信息安全法律法規,按照《官方信息安全保護法》等保護信息安全的法律法規,來加強對信息安全法律的保護能力,通過加強立法層次的形式來統一相關的法律處罰標準。在現有的信息安全法律法規中添加對于個人用戶隱私保護法、數字媒體法等法律法規,盡量與國際信息安全保護標準接軌,根據我國現有國情,構建符合我國國情的信息安全相關法律法規,保障我國計算機網絡用戶的合法權益,明確信息安全問題責任判決問題,加大對于從事相關電子政務人員的約束力和管理。創建良好、優越的電子政務發展環境。
結論
總之,隨著互聯網技術的不斷發展,在電子政務不斷完善的過程中首先要完成的是對于信息安全保護方面框架的建設。只有在電子政務系統中保持信息的安全,才能讓政府辦公的時候進一步提升辦公透明度以及事務處理效率。這對于從事電子政務信息安全問題的人才來說是一個很大的機遇和挑戰,相關人員只有不斷提升自我專業能力,把電子政務處理系統的網絡方面、信息漏洞方面進行不斷完善和加固,才能促進政府辦公網絡化的進一步發展。
參考文獻:
[1]侯亞杰.電子政務信息安全問題的研究[J].辦公自動化:學術版,2015(6):42-44,48.[2]?x先江.電子政務外網安全平臺建設基本問題初探[J].電子政務,2015(8):115.[3]謝先江.省級電子政務外網平臺網絡安全措施實證研究[J].情報科學,2014(11):72-73.
第四篇:電子政務信息安全及防范對策 馬淑英
淺析我國電子政務信息安全的防范對策
摘要:信息安全關系到經濟發展,國家安全和社會穩定,關系到政府工作的正常運轉。電子政務信息安全防范是電子政府建設的關鍵。加強電子政務建設是建設服務型政府的組成部分。在電子政務建設與體系發展整體駛入快車道,以服務為導向的電子政府建設工作不斷推進的同時,信息安全意識、網絡漏洞、信息安全法律體系方面都凸現了現階段我國電子政務信息安全存在風險。要著重從人才培養、安全技術和產品的選擇使用、法律保障體系建設的呢過環節加以防范,切實保障電子政務信息安全。本文從電子政務信息安全的視覺,淺析仙子政務信息安全存在的風險問題,提出一些防范對策和建議。關鍵詞:電子政務信息安全;網絡安全;安茜技術;防范對策 電子政務的實施使得政府提高了辦公效率,提升了政府形象,但同時,也會受到來自外部或內部的各種攻擊,包括黑雞組織、犯罪集團或信息戰時起信息對抗等國家行為的攻擊,這就使得政府信息系統的安全問題更加突出和嚴重。因此,分析當前電子政府信息安全存在的問題,采取有效措施進行綜合性安全防范,對建設和發展電子政務具有重要的意義。
1、信息安全的含義及其內容要求
一、電子政務信息安全目標
電子政務信息安全涵蓋了信息環境、信息網絡和通信基礎設施、每題、數據、信息內容和信息應用等對多個方面的安全需要,包括信息不收威脅,信息系統、信息數據的安全以及信息內容的安全等。電子政務的安全目標就是保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小風險和獲取最大安全利益,使電子政務的信息基礎設施,具有保密性、完整性、真實性、可用性、不可抵賴性和可靠性的能力。
二、電子政務信息安全存在的風險
1、信息安全意識薄弱
一是工作人員安全意識不高。目前,在電子政務系統建設過程中還普遍存在“重技術輕管理,重業務、輕安全”的思想,很多工作人員認為安裝了殺毒軟件和防火墻就可以抵御所有的外來侵襲。二是安全制度和安全流程的執行力不強。電子政務系統自啟動運用以來,開放程度還不是很高,重要的、機密文件還沒有通過網絡來處理,使得公務員和普通大眾對信息安全問題關注不夠,信息安全意識淡薄,一些安全制度和安全流程也只是流于形式。三是領導重視程度有待進一步提高。部門領導重視工作流程的暢通性,忽略了信息安全的防范措施,在加強信息安全的重要環節上思想意識有待加強。
2、IT產品及通信網絡漏洞導致風險
一方面,IT產品單一性帶來安全隱患。由于政府統一采購IT產品,造成信息系統中軟硬件產品單一性,如同一版本的操作系統、數據庫軟件等攻擊過程的自動化,從而導致大規模網絡安全時間的發生。另一方面,通信網絡存在多方面的威脅。電子政務網絡絕大多數是基于TCP/IP、NetBEUI,IPX/SPX等網絡協議的通信網絡,并非專為安全通訊而設計,本身就可能存在多方面的威脅,因而會造成物理通道被干擾,數據信息被攔截和竊聽,數據庫服務器和電子郵件服務器等很容易受到病毒和黑客的攻擊,以及信息被泄露,篡改、抵賴、假冒等問題。
3、信息安全法律體系不健全。要發展電子政務,安全技術是基礎平臺,法律保障和創新管理則是必備的后臺支撐。雖然我國電子政務從2000年開始正逐步走向法制化,但相比電子政務本身的發展要要求,法制法規明顯滯后與技術發展。如電子政務的法律地位不明確、現有的相關法律規范立法層次不高、立法理念和技術相對滯后、很多需要法律去規范的事項沒有響應的法律出臺、己出臺的法律法規很多不迎合電子政務發展要求等。
三、電子政務信息安全防范對策及建議
通過對電子政務安全風險的分析,結合電子政務現狀與特點,應該采取多層次、多方面的安全管理方法來保障電子政務系統安全。
(一)增強信息安全意思,加快信息安全人才的培養
在諸多的安全環節中,人是最重要的因素,安全提高工作人員的信息安全意思是網絡信息安全與保密的重要保證。應該進一步加強信息安全的培訓工作,舉辦不同類型的培訓班,對政府領導、一般工資人員、網絡管理人員等,進行分層次有針對性的培訓,從而提高管理人員的信息安全意識
第五篇:電子銀行操作風險與防范
電子銀行操作風險與防范
一、內部控制風險
風險點1:操作人員崗位配備沒有落實到位。
主要表現:一是網銀內管系統錄入員、審核員與實際操作人員不符,崗位變動后沒有及時更新系統操作員信息,仍使用原崗位人員用戶名;二是營業網點人員變動未及時辦理交接登記手續
風險提示:沒有按照崗位設臵要求配備操作人員,或操作人員配備流于形式,導致內部制約環節難以落實到位,存在著內部管理風險隱患。
防控措施:
1.各級會計管理部門應設臵會計錄入崗、會計審核崗,負責業務參數設臵、機構管理、柜員管理等工作;
2.各級電子銀行業務管理部門應設臵業務管理崗、業務審核崗,負責留言管理、公告管理、業務統計等工作;
3.各營業網點應設臵業務錄入崗、業務審核崗,負責簽約、數字證書管理等業務操作。(企業網銀)
風險點2:非客戶本人簽約電子銀行業務。
風險提示:如果網點柜員對客戶(個人和企業)身份審核和驗證不嚴格,一旦有不法分子惡意使用他人身份證件(或企業資料)簽約電子銀行業務,掌握客戶銀行賬戶賬號和密碼,就有可 能發生盜取客戶資金案件。
嚴格把好客戶簽約注冊關 防控措施:
1.簽約個人網銀、手機銀行、網上支付、電話銀行、短信通,需遵循“本人辦理、本人簽字、本人簽收”原則,由客戶本人攜帶銀行卡及有效身份證件到柜面簽約。柜員在辦理簽約業務時,須核實開戶人本人及所持身份證件與公民身份聯網核查系統中公安部門原錄入身份證照片是否一致,驗證身份證件是否真實有效,以確保客戶本人簽約。
2.簽約企業網銀,應重點審核客戶提交的營業執照副本等證件是否真實有效;通過公民身份聯網核查系統驗證法定代表人、授權代理人的身份證件是否真實有效,對有疑點的客戶及時電話聯系企業負責人,核實經辦人員身份;通過折角驗印等方式核對客戶預留印鑒,確保各項資料審核無誤。
風險點3:代客戶保管USBKEY、手機銀行貼膜芯片、動態令牌等。
風險提示:如果員工持有客戶USBKEY、手機銀行貼膜芯片、動態令牌等,存在員工違規劃撥客戶資金的風險。
按重要空白憑證的要求規范化管理 防控措施:
1.加強USBKEY、手機銀行貼膜芯片、動態令牌等重要空白 憑證的管理,規范其領用、出庫、入庫、調撥和日常使用管理。每日營業終了,營業網點要按照會計部門關于重要空白憑證管理的要求進行賬實核對。
2.嚴格落實內部控制制約機制,要求員工及時將USBKEY、貼膜芯片、動態令牌等發放到客戶手中,禁止代客戶保管。
風險點4:客戶資料審核環節把關不嚴。
風險提示:如果柜員辦理簽約、變更、注銷等業務時,沒有認真審核客戶資料的完整性和真實性,一旦發生經濟糾紛和案件,就無法對相應操作免責,將會給農村信用社帶來法律風險。
嚴格按照操作規程辦理 防控措施:
1.柜員應認真審核客戶提供資料的完整性、授權委托書的規范性(使用財務會計部確定的格式憑證),以及填寫的各項要素是否完整、各類簽章是否齊全。
2.在辦理個人網銀業務時,應核對客戶提供的賬戶信息與系統登記的客戶身份信息是否相符,銀行卡狀態是否正常。
3.在辦理企業網銀業務時,應審核客戶提供的單位活期存款賬戶是否符合簽約企業網銀的條件,核對客戶提供的企業相關信息與核心業務系統登記信息是否相符。
4.辦理企業網銀簽約業務要堅持雙人操作,嚴格執行業務審核制度,避免擅自為企業客戶開通網銀的行為,以免造成客戶資 金風險。
風險點5:開通網上銀行、手機銀行(WAP)沒有按照操作規程要求進行操作。
風險提示:沒有按照流程操作,浪費操作時間,影響其他客戶辦理業務,甚至導致客戶不滿或投訴。
主要表現:先出售USBKEY或動態令牌,導致已簽約客戶無法進行簽約,這時必須對出售的USBKEY或動態令牌進行沖正,并將工本費返還給客戶。
規范操作可以有效避免此類問題的發生
防控措施:客戶申請開通網上銀行或手機銀行(WAP)時,柜員須按照“先簽約,后出售USBKEY或動態令牌,最后綁定客戶數字證書或動態令牌”的流程辦理,嚴禁在未簽約狀態下出售USBKEY或動態令牌給客戶。
風險點6:沒有在客戶簽約電子銀行時進行必要的安全提示。風險提示:在辦理開通電子銀行業務時,應重點提醒客戶防范欺詐風險,防止在不知情的情況下,被犯罪分子欺騙簽約電子銀行,進而造成客戶資金損失。
主動提示 盡職免責
防控措施:對主動要求簽約電子銀行的客戶,柜員首先詢問客戶開通電子銀行的用途,判斷客戶是否有被詐騙的可能。對有 被詐騙嫌疑且經提醒,客戶仍執意辦理電子銀行業務的,柜員應向客戶進行風險提示,履行風險告知義務,提醒客戶切勿按照陌生人提示簽約電子銀行或通過電子銀行辦理相關業務,對接收到的陌生郵件及短信提高警惕,不要輕易相信各種套取客戶資料的信息,以防上當受騙。
風險點7:客戶安全操作提示不到位。
風險提示:如果客戶操作提示不到位,不僅影響客戶正常使用,而且有可能給客戶帶來經濟損失。
防控措施:
1.提示客戶通過正確網址登陸,防范各種欺詐。應提示客戶直接登錄山東省聯社官方網址(www.tmdps.cn或www.tmdps.cn)或手機銀行(WAP)網址(https://wap.sdrcu.com),切勿通過其他網站鏈接方式登錄。
2.提示客戶在登錄網銀或手機銀行(WAP)系統后,及時核對自己設定的“預留信息”,切實防范“釣魚網站”等欺詐。3.提示客戶設臵安全性較高的密碼,不要采用生日、電話號碼、身份證號碼中的連續幾位以及簡單規則排列的數字等作為網銀或手機銀行(WAP)的登錄密碼。
4.提示客戶修改USBKEY初始密碼,具備條件的營業網點應由大堂經理指導客戶完成初始密碼修改工作。
5.提醒客戶妥善保管身份證件、銀行卡、USBKEY及動態令 牌等重要物品;勿將賬戶信息、證件號碼及密碼信息等透漏、告知包括自稱銀行工作人員在內的任何人。
6.提醒客戶不要在網吧等公共場所使用網上銀行。
7.提醒客戶使用USBKEY完成業務操作后,退出網銀系統并拔下USBKEY,不要在本人離開的情況下,長時間將USBKEY插在計算機上。
風險點8:新簽約電子銀行客戶,沒有引導其通過網銀體驗機進行首次使用操作。
風險提示:客戶沒有對我們的電子銀行首次登錄或初始密碼修改等進行操作,加大了客戶操作失敗的次數,客戶體驗較差。
防控措施:
1.營業網點要明確網銀體驗機的日常維護和管理職責,定期對網銀體驗機進行巡檢,確保機具正常使用。
2.安裝指定的殺毒軟件,防止使用人員非法安裝木馬程序,采取技術措施限制客戶只能登陸網銀系統相關頁面,并定期進行系統升級。
3.營業網點要安排相關人員通過網銀體驗機,教會客戶首次登錄網銀進行相關密碼變更、使用網銀、安全退出等操作,有效防范資金風險。
風險點9:營業網點在客戶提供的電子回單上加蓋印章。風險提示:客戶提供的電子回單,不符合操作規范,不作為客戶的入賬依據。
防控措施:按照相關操作規程要求,通過網銀或手機銀行內管系統查詢出客戶交易信息后,為其打印客戶回單并加蓋業務公章。
風險點10:企業年服務費扣繳,沒有按照企業操作員領用的USBKEY分別扣繳。
風險提示:企業客戶到柜臺主動繳納年服務費時,柜員沒有對該企業全部操作員領用的USBKEY分別扣繳年服務費,導致其中一個操作員不能操作,或者其中一個USBKEY扣繳了兩年的年服務費,容易造成糾紛。
防控措施:按照相關操作規程要求,對于存在一個以上操作員的企業用戶要分別扣繳每個USBKEY的年服務費。
風險點11:網銀注銷時沒有按照操作流程直接做注銷操作,而是先對USBKEY解綁后再進行網銀解約。
風險提示:網銀解約流程不符合操作規范,導致客戶數字證書沒有進行吊銷,存在一定的風險隱患。
嚴格按照操作規程辦理 防控措施:
1.按照電子銀行注銷操作流程規范操作。2.做好對電子銀行客戶注銷時提供資料的審核。
3.客戶電子銀行注銷后,提示客戶及時銷毀USBKEY或動態令牌。
二、客戶操作風險
風險點12:客戶電子銀行業務自助注冊風險
風險提示:網銀、手機銀行、電話銀行等電子銀行業務有其便利性,同時也伴隨著風險性,客戶自助注冊電子支付前要具備一定的電子支付和計算機操作技能,具備一定的風險防范意識,并主動實施。
防控措施:
1.認真閱讀電子銀行簽約協議和風險提示,對于不明鏈接或短信提示要提高警惕;
2.對于人行“超級網銀”業務中“跨行收款”、“跨行賬戶信息查詢”和“第三方貸記”業務功能,不要輕易授權他人使用。3.網上有風險,操作需謹慎。
風險點13:客戶賬號及密碼資料被盜。
風險提示:客戶將存款賬戶賬號、密碼存入電腦,有可能被木馬病毒侵害,泄露賬號及密碼。
防控措施:銀行卡賬戶、密碼不能保存于接入互聯網的電腦中;對于不熟悉的網站,填寫個人信息要謹慎;客戶應設臵更高級別的單獨密碼,使用“數字+字母+符號”組合的高安全級別密 碼;網上銀行和手機銀行登錄密碼、USBKEY密碼、動態令牌開機密碼、銀行卡交易密碼應設臵為不同的密碼,且不定期修改
風險點14:客戶電腦中木馬病毒。
風險提示:客戶要定期查殺病毒,保證在一個干凈、安全的電腦里使用電子銀行。
防控措施:
1.陌生人發來的鏈接或者郵件,不要輕易接收甚至打開;對一些后綴名為exe的安裝文件,或者不常見后綴名,更要加以留心。
2.有些鏈接點一下,原本很清爽簡單的文字會變成很長一串,而且亂七八糟,這種網頁要馬上關閉。
3.假如對方要發圖片給你看,不要采取接收文件的形式。如果圖片數量很大,可讓對方上傳到QQ空間或者博客里。4.養成良好的安全上網習慣,不要打開垃圾網站或可疑網站,關閉或刪除系統中不需要的服務,及時給系統打補丁,安裝專業防毒軟件實時監控。
5.推薦使用二代USBKEY。客戶數字證書本身不存在安全風險,但由于網絡黑客、木馬病毒的存在,加之客戶操作不規范(USBKEY長時間放到電腦上)使之安全性受到威脅,建議采用二代USBKEY。由于USBKEY在客戶手中,不法分子不能進行按鍵確認,可以有效避免資金損失 風險點15:網上消費時,打開來源不明的郵件或異常鏈接。
風險提示:不明賣家發送的鏈接或電子郵件有可能攜帶木馬病毒,隨意進入可能會遭木馬攻擊,從而泄露支付賬號和密碼。
防控措施:網上購物時,要登錄正確的網址,按照購物流程直接在平臺內支付,不要輕易點擊賣家發送的不明鏈接,不要輕易接受來源不明的電子郵件。
風險點16:沒有辨別“釣魚網站”。
風險提示:不法分子通過設臵“釣魚網站”、以假亂真等手段,達到騙取客戶錢財的目的,要引起網購客戶的警惕。
防控措施:
1.網上購物應保持警惕,看網站是否具有合法的ICP證及工商部門頒發的營業執照,看網站有沒有公布詳細的經營地址和電話號碼。
2.網上購物時不能貪圖便宜,更要留意其支付方式,對不接受貨到付款或匯款的支付一定要慎重。
3.向賣家索要收據、發票或者其他憑證,妥善保管匯款單據等,同時保留與賣家的往來郵件,交易訂單的網頁等,以備不時之需。
風險點17:USBKEY、動態令牌或手機丟失。
風險提示:客戶USBKEY、動態令牌或手機等設備丟失,要 在第一時間撥打客服電話(96668)進行相關簽約、綁定賬戶的口頭掛失,首先確保賬戶資金安全,然后到營業網點辦理相關業務的具體處理工作。
防控措施:
1.USBKEY或動態令牌丟失后,客戶應憑有效身份證件到簽約網點辦理USBKEY或動態令牌掛失手續,并領取新的USBKEY或動態令牌。
2.手機如有遺失或被盜,客戶要及向運營商時報停機,憑有效身份證件到簽約網點辦理手機銀行掛失手續,并領取新的手機銀行貼膜芯片。
3.手機號碼更換后,客戶要及時更新短信通簽約手機號碼及網上銀行、手機銀行客戶信息資料,避免賬戶信息泄露。
風險點18:企業網銀客戶代發工資操作不當帶來的資金風險。
風險提示:客戶對企業網銀代發工資業務處理機制不了解,不清楚其入賬時間,多次提交,在賬戶余額充足的情況下造成重復發放工資。企業員工一旦離職,重復發放的工資難以追回。
防控措施:
1.客戶辦理簽約代發工資業務時,應告知客戶代發工資業務的入賬時間為日終系統批量后次日,避免客戶重復提交業務。2.若出現代發工資失敗的情況,企業操作人員要及時撥打客服中心(96668)或到營業網點咨詢。
風險點19:客戶未在網銀或手機銀行(WAP)中設臵預留信息。
風險提示:個人及企業客戶在網銀或手機銀行(WAP)中設臵預留信息,每次登錄時,首先驗證預留信息的正確性,可有效規避誤入釣魚網站。
防控措施:客戶開通網銀或手機銀行(WAP)業務后,應及時設臵并定期修改預留信息,且每次登錄時首先核對預留信息的正確性,避免進入釣魚網站,辦理完畢業務后應安全退出系統操縱界面。
風險點20:網上支付資金賬戶存放資金較多。
風險提示:由于網上支付方便快捷,個人身份認證環節相對寬松,客戶在網上支付綁定賬戶應盡量少存放資金,以免給自己帶來資金損失。
防控措施:網上支付綁定資金賬戶中不要存入過多資金,最好隨用隨轉。采用雙賬戶管理網上銀行支付交易,在直接支付賬戶中不留或少留資金,在進行支付交易時,方可將資金轉到支付賬戶中進行交易。風險點21:客戶未及時掌握網上支付賬戶資金變動情況。
風險提示:客戶要及時掌握自己賬戶資金變動,在賬戶被盜的情況下,能最大限度避免經濟損失。
防控措施:
1.客戶應經常關注網銀、手機銀行及網上支付相關加掛賬戶內資金變化和登錄次數,發現賬戶被他人操作、登錄密碼泄露或其他可疑情況,立即修改密碼。
2.網上銀行、手機銀行及網上支付客戶應開通短信通業務,以便及時掌握賬戶資金變動。手機號碼變更時,應及時維護個人短信通客戶信息,以防個人信息資料被他人盜取。
風險點22:客戶未設臵交易限額
風險提示:客戶要按照自身資金往來實際,及時合理設臵網銀、手機銀行等電子銀行渠道單筆和日累計交易限額,有效防范資金風險。
防控措施:
1.網上銀行、手機銀行、電話銀行簽約時,可在營業網點由柜員進行相關交易限額的設臵。
2.對于已簽約的網銀、手機銀行客戶,可登錄相關系統,自行設臵交易限額。
3.若由于臨時大額資金劃撥等原因,導致客戶當日單筆或累計交易限額超過自己設定的交易限額(在銀行控制的交易限額之 內),客戶可更改相關設定后再辦理相關資金劃撥。資金劃撥后,可再將交易限額調整至原設定值。
風險點23:企業客戶沒有按照企業網銀的交易規則,設臵操作員和交易審核機制。
風險提示:部分企業客戶風險意識不強,為了業務操作方便,將兩個USBKEY交由一個操作員使用和管理,企業內部業務審核環節形同虛設,不能發揮應有的作用。一旦企業操作員盜竊或惡意侵占企業資金,很容易通過網上銀行非法轉移企業資金,案件偵破難度也會大大增加。
防控措施:企業客戶應加強網銀操作員的管理,加強操作員應用管理,嚴格落實網銀內部審核流程,防止資金被惡意侵占。
風險點24:客戶不重視電話銀行操作風險。
風險提示:在辦理電話銀行業務時,客戶應采取切實有效措施,切實保護賬戶、密碼等個人關鍵信息,嚴格防止賬戶資金被盜情況的發生。
防控措施:
1.最好不要使用公用電話或他人手機撥打客服電話,以防賬戶信息、密碼等個人資料泄露。
2.嚴格核對客服電話號碼,以防誤撥與客戶電話相似的電話號碼,防范客戶賬戶信息、密碼等資料泄露。3.使用電話銀行時,不要開啟電話的免提功能。
三、系統安全風險
風險點25:業務差錯處臵不及時,如果涉及客戶交易手續費沒有及時進行沖正。
風險提示:因系統故障造成的業務差錯,若得不到及時處理,可能給客戶帶來經濟損失,甚至引發客戶投訴。由于客戶自身原因造成業務差錯,若不能及時協助客戶查明賬務差錯原因,有可能貽誤客戶追索資金的時機。
防控措施:
1.由于系統故障原因造成的錯記、重記、漏記、或少記客戶賬務差錯,要嚴格按照會計核算有關規定及時進行調賬,涉及手續費、資金匯劃費的同時進行沖正。
2.對客戶自身原因造成的業務差錯,要積極協助客戶查明原因,并向客戶解釋清楚;需要追索款項的,相關部門要盡量給客戶提供幫助,做好協調工作。
風險點26:系統服務中斷處臵不及時。
風險提示:系統服務中斷影響客戶正常辦理業務,如果不能及時處臵,影響客戶對我們的滿意度,甚至可能給客戶帶來經濟損失;一旦引發客戶投訴,可能帶來聲譽風險,損害農村信用社的信譽和服務形象。防控措施:
1.對于客戶反映的系統服務中斷事件,受理機構人員應立即排查原因,經確認,屬非客戶原因服務中斷導致客戶無法辦理網銀業務的,應立即向上級主管部門報告。
2.由于不可抗外力因素、系統程序缺陷等各種原因導致網銀系統服務中斷,省聯社相關部門應立即排查系統中斷原因,迅速啟動應急處臵預案,采取有效處臵措施,使網上銀行系統盡快恢復對外服務。
風險點27:電子銀行安全事件處臵不及時。
風險提示:如果電子銀行安全事件處臵不及時,造成客戶資金損失,勢必會引發客戶投訴;一旦被新聞媒體曝光,就會帶來聲譽風險,造成難以挽回的損失。
防控措施:
1.客戶反映賬戶或資金被異常使用時,受理機構人員要認真聽取并記錄有關情況,幫助客戶查詢、核對業務交易情況,認真查找分析原因,并及時向上級主管部門報告。
2.指導客戶立即辦理賬戶掛失或止付手續,及時修改相關登錄密碼、USBKEY密碼、動態令牌開機密碼,以及賬戶交易密碼等個人信息。
3.對交易確屬可疑的,要及時向省聯社報告,并詳細說明事件情況,主要包括:客戶姓名、賬號、事件經過、是否報案、采 取的措施等內容。
4.安全事件較為嚴重或有繼續發展趨勢的,需向公安機關報案的,要及時向公安機關報案并提供線索,配合公安部門偵破案件。