科技风险分析和对策.pdfVIP

科技风险预警提示及分析

2008年我单位成功加入省综合业务系统，实现了全省的通存通兑。

由此计算机及网络技术在业务领域的广泛应用，也使得我单位的各家

机构的电子化水平及服务水平都得到了不断提高，伴随着业务的发

展，科技风险也逐步加大。

现普遍使用的综合业务系统、信贷管理系统、统计管理系统、电

子联行，人民银行的信贷咨询管理系统、农信银管理系统等，使用的

操作系统也有WindowsXP、win2000等，随着电子银行、自动柜员系

统、办公业务系统等大量的投入使用，计算机及网络风险防范问题日

益突出。

一、计算机及网络风险的表现形式

所谓计算机及网络风险是指银行业在进行技术创新和实现银行

电子化过程中广泛使用计算机技术、网络通信技术，而计算机本身（包

括硬件、软件、操作系统等）和涉及计算机安全管理的制度缺乏有效

的科学性、规范性和完善性，潜伏着许多不安全因素而造成的潜在的

或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯

罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。

结合我联社业务的特点，计算机及网络风险可粗分为实体风险、硬件

风险、软件风险、信息管理风险和计算机犯罪五大类。

（一）实体风险。

实体风险是人为地对计算机中心机房及其设施、设备进行攻击和

破坏。支中心机房将基层网点的数据进行交换传输，安全传中心机房，

如果被破坏，将得不到当地的相关数据，造成数据的丢失。这就警示

我们，中心机房计算机设备实体的安全和风险防范就应当引起足够的

重视。尤其是基层计算机网点，人员少，管理不到位，防护装置达不

到规定标准，人为助长了计算机实体风险。

（二）硬件风险。

硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境

或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来

的风险。

1、硬件在外风险。计算机房设计、安装达不到国家规定的计算

机安全运行环境的有关标准而造成的安全隐患；人为在计算上设置发

射装置、通过在高频电波上增大发射功率，把电波传送到外部的无线

电接收机上，因电磁波安全风险造成信息泄漏；由于不可抗力，如火

灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对

我联社计算机系统资源带来的损害；供电系统不稳、后备电源不足或

电信部门通讯故障造成的业务中断而带来的损害；计算机及网络设计

没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。

2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超

期服役、损坏性的使用计算机去做非法业务性活动，人为减少计算机

运行寿命等由计算机本身及相关设备、部件或元件带来的风险。

3、网络风险。网络作为一种构建在开放性技术协议基础上的信

息流通渠道，它的防卫能力和抗攻击性较弱，网络风险就是当电子信

息在网络上传输时，由于网络设备的故障或没有将内部网络与国际互

联网进行物理隔断导致遭受外界侵袭造成的风险。

（三）软件风险。

软件风险是指由于各种程序开发、使用过程中包含的潜在错误导

致系统不能正常工作而带来的风险。

1、软件设计风险。由于应用软件在研制过程中考虑不周或在编

制程序时不够严密导致应用软件本身设计不完全，或未经全面测试就

投入使用，导致出现应用系统在超级用户下运行、文件权限设置不正

确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷，

系统在运行过程中往往会出现账务错乱、数据信息受损，更有甚者导

致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害，就更容易引

发风险。

2、软件操作风险。软件操作风险指的是在电子化业务中，由于

某些业务操作人员素质跟不上调整发展的电子化建设的步伐，对联社

推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识

不强等原因所造成的操作过程中出现的风险。其主要表现为：（1）业

务人员操作权限界定不清，密码使用混乱，基本上处于透明状态。在

计算机安全管理中，权限和密码作为两个非常重要的概念，都应该有

严格的规定。但在实际业务操作中，系统管理员往往可以操作业务管

理系统，而操作员之间代号混用，密码没有进行定期更换，甚至有的

操作员以系统管理员的身份登录业务系统，这些现象的存在都导致风

险的发生。（2）操作不当或操作失误风险。业务人员操作结束或临时

离开柜台没有退出操作画面，给非法操作者提供可乘之机，使其很方

便地进入业务系统进行非法操作，在计算机业务处理系统中修改数据

或其他破坏性程序致计