首頁 >
				文章中心 >
				
				正文
			
          
		
          
		
		
          
			
          
				
				
				
          
					
          
						
          計算機犯罪信息安全探討
          
						
						
						
						
						
          
						
						
					
          					
					 
           
          前言:本站為你精心整理了計算機犯罪信息安全探討范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
           
          計算機犯罪信息安全探討
           
          論文摘要:隨著計算機互聯網技術的飛速發展,安全成為金融信息系統的生命。本文詳細闡述了常見的計算機網絡安全威脅、金融計算機犯罪的特點、計算機泄密的途徑,并提出防范金融犯罪的措施,以更好地防止金融計算機犯罪案件的發生。
           
          論文關鍵詞:金融信息化;信息安全;計算機犯罪
           
          隨著金融信息化的加速,金融信息系統的規模逐步擴大,金融信息資產的數量也急劇增加,如何對大量的信息資產進行有效的管理,使不同程度的信息資產都能得到不同級別的安全保護,將是金融信息系統安全管理面臨的大挑戰同時,金融信息化的加速,必然會使金融信息系統與國內外公共互聯網進互聯,那么,來自公共互聯網的各類攻擊將對金融信息系統的可用性帶來巨大的威脅和侵害:
           
          一、計算機網絡安全威脅及表現形式
           
          計算機網絡具有組成形式多樣性、終端分布廣泛性、網絡的開放性和互聯性等特征,這使得網絡容易受到來自黑客、惡意軟件、病毒等的攻擊
           
          (一)常見的計算機網絡安全威脅
           
          1.信息泄露:指信息被透漏給非授權的實體。它破壞了系統的保密性。能夠導致信息泄露的威脅有網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵弛、物理侵入、病毒、術馬、后門、流氓軟件、網絡釣魚等:
           
          2.完整性破壞。可以通過漏洞利用、物理侵犯、授權侵犯、病毒、木馬、漏洞等方式文現。
           
          3.拒絕服務攻擊:對信息或資源可以合法地訪問,卻被非法地拒絕或者推遲與時間密切相關的操作:
           
          4.網絡濫用:合法剛戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
           
          (二)常見的計算機網絡絡安全威脅的表現形式
           
          1.竊聽。攻擊者通過監視網絡數據的手段獲得重要的信息,從而導致網絡信息的泄密。
           
          2.重傳。攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
           
          3.篡改。攻擊者對合法用戶之間的通信信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
           
          4.拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
           
          5.行為否認。通信實體否認已經發生的行為。
           
          6.電子欺騙。通過假冒合法用戶的身份進行網絡攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的:
           
          7.非授權訪問。沒有預先經過同意,就使用網絡或計算機資源
           
          8.傳播病毒。通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范:
           
          二、金融計算機犯罪的特征和手段
           
          由于計算機網絡絡安全威脅的存存,不法分子通過其進行金融犯罪。金融計算機犯罪,已經引起我國立法部門的高度重視,在新《刑法》中已將金融計算機犯罪列為重點,第285,286,287條有明文規定。
           
          (一)銀行系統計算機犯罪的特征:
           
          1.涉案人多為內部人員。由于金融業務都是通過內部計算機網絡完成的,所以了解金融業務流程、熟悉計算機系統運行原理、對金融內部控制鏈上存在的漏洞和計算機程序設計上的缺陷比較清楚的內部職員,往往比其他人員更容易了解軟件的“硬傷”,更容易掌握犯罪的“竅門”以達到犯罪的目的。據有關部門統計,我國金融系統發生的計算機犯罪案件,九成以上是內部人員或內外勾結作案的。
           
          2.手段隱蔽,痕跡不明顯:計算機犯罪智能化程度高,大多數犯罪分子熟悉計算機技術,可運用正常的操作規程,利用合法的賬戶進入金融計算機網絡,篡改計算機源程序或數據。這種犯罪短時期內不易被發覺。同時,犯罪分子作案迅速,所留痕跡甚少,隱蔽時間較長,一時不易暴露。
           
          3.犯罪情節嚴重:犯罪分子突破計算機安全防護系統后,盜竊多少資金完全由犯罪分子任意輸人,動輒十幾萬、上百萬元,行為肆無忌憚,數目觸目驚心,導致了金融資金的巨大損失。
           
          4.社會危害嚴重。由于金融的特殊地位和其在保持社會穩定方面所起的審要作用,一旦發生計算機犯罪,會帶來一系列的連鎖反應,引起儲戶的不滿,再加上輿論導向的渲染,有可能造成堪設想的后果。
           
          (二)銀行系統計箅機犯罪的手段
           
          1.終端機記賬員作案。記賬員利用其直接在終端操作計算機,熟悉記賬過程及賬務處理過程的作方便,進行犯罪。
           
          2.終端復核員(包括出納員)作案。終端復核員利用與記賬員一同辦理終端業務的機會,進行犯罪。
           
          3.系統管理員(包括主任、主機管理員)作案。系統管理員借助管理系統的特殊權限,利用系統正常命令、程序反向錯誤操作作案;自編程序進行作案;修改賬務及數據資料作案;利用系統終端私自記賬、復核作案;為犯罪分子提供方便。
           
          4.軟件人員作案:軟件人員利用T作之便偽造干旱序及熟悉操作程序,進行作案
           
          5.硬件人員作案硬件人員利用T作之便,進行犯罪作案。
           
          6.行內其他人員作案。分理處、儲蓄所的其他人員利用接近計算機業務柜的機會,伺機作案:
           
          7.行外人員作案:利用銀行管理中的某些漏洞作案;與行內人員相互勾結作案:
           
          三、金融計算機信息泄密途徑
           
          金融行業是具備特有的高保密性的行業,然而隨著信息技術的迅猛發展與廣泛應用,竊密手段更加隱蔽,泄密的隱患增多,泄密所造成的危害程度加大,保密工作面臨許多新情況、新問題。具體而言,金融汁箅機信息泄密的途徑主要有以下幾個方面。
           
          (一)計算機電磁波輻射泄密
           
          計算機設備工作時輻射出的電磁波,可以借助儀器設備在一定范圍內收到,尤其是利用高靈敏度的儀器可以穩定、清晰地看到計算機正在處理的信息。因此,不法分子只要具有相應的接收設備,就可以將電磁波接收,從中竊取秘密信息。
           
          (二)計算機剩磁效應泄密
           
          計算機的存儲器分為內存儲器和外存儲器兩種。存儲介質中的信息被刪除后有時仍會留下可讀信息的痕跡,存有秘密信息的磁盤被重新使用時,很可能被犯罪分子非法利用磁盤剩磁效應提取原記錄的信息。比如,計算機出故障時,存有秘密信息的硬盤不經處理或無人監督就帶修殫,就會造成泄密。此外,在有些信息系統中,刪除文件僅僅只刪掉文件名,原文還原封不動地保留在存儲介質中,一旦被利用,就會造成泄密。
           
          (三)計算機聯網泄密
           
          計算機網絡化使我們可以充分地享受網上的信息資源,然而聯網后,計算機泄密的渠道和范圍大大增加,主機與用戶之間、用戶與用戶之間通過線路聯絡,使其存在許多泄密漏洞。竊密者只要在網絡中任意一條分支信道上或某一個節點、終端進行截取,就可以獲得整個網絡輸送的信息。如果在計算機操作中,入網口令不注意保密和及時更換,入網權限不嚴密,超級用戶無人艙管,信息傳輸不進行加密處理,局域網和互聯網沒有做到完全的物理隔離,等等,都有可能使計算機遭到黑客、病毒等的攻擊,導致嚴重的泄密事件發生。
           
          四、金融計算機網絡犯罪的成因
           
          (一)防范意識和能力差
           
          不少計算機主管領導和系統管理人員對計算機犯罪的嚴重危害性認識不足,防范意識低,堵截能力差,同時,計算機安全組織不健全,安全教育不到位,沒有彤成強有力的安全抵御防線。這些是導致計算機犯罪案件發生的重要原因:
           
          (二)內控機制不完善,管理制度不落實
           
          主管部門對計算機安全檢查不到位,監督檢查不力,不能及時發現和堵塞安全漏洞;不少單位在系統開發運行過程中,缺乏有效的內部制約機制。
           
          (三)現代管理手段滯后
           
          金融電子化項目從立項、開發,到驗收、運行等各環節沒有形成一套完整、科學的安全防范體系,從而使犯罪分子有機會利用計算機進行作案。
           
          (四)密級不分,人人都是“千手觀音”
           
          通過案發后,案件偵破時,案發單位員工都是懷疑對象這點,更反映出金融系統計算機管理的薄弱環節。只要是工作人員,都能輕車熟路進入計算機系統進行操作。而且使用的密碼和程序簡單易猜,造成人人都能使用,致使現問題后不能鎖定固定知情人。
           
          五、金融計算機犯罪的防范措施
           
          (一)制度保障
           
          一定要根據本單位的實際情況和所采用的技術條件,參照有關的法規、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度,主要包括操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。
           
          制度的建立切忌流于形式,重要的是落實和監督。尤其是在一些細小的環節上更要注意,如系統管理員應定期及時審查系統日志和記錄;重要崗位人員調離時,應進行注銷,并更換業務系統的口令和密鑰,移交全部技術資料,但不少人往往忽視執行這一措施的及時性;又如防病毒制度規定,要使用國家有關主管部門批準的正版查毒殺毒軟件適時查毒殺毒,而不少人仍使用盜版殺毒軟件,使計算機查殺病毒時又染上了其他病毒。
           
          (二)技術保障
           
          1.減少輻射:為了防止電磁波輻射泄密,在選購計算機產品時,要使用低輻射計算機設備。根據輻射量的大小和客觀環境,對計算機機房或主機內部件加以屏蔽,在專用的計算機上安裝微機視頻保護機等設施,并采取一定的技術措施,對計算機的輻射信號進行十擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。
           
          2.物理隔離:涉及國家秘密的計算機信息系統,不得直接或間接地與圍際互聯網或其他公共信息網絡相連接,必須實行物理隔離。與外部網相連的計算機不得存儲、處理和傳遞內部信息,在互聯網上提取的信息也必須經殺毒處理后再接入局域網內供內部使用。
           
          3.加強存儲介質管理。對涉密信息進行清除處理時所采用的信息清除技術、設備和措施,應符合國家相關保密規定。使用U盤時應注意修改計算機系統中的注冊表,將系統各個磁盤的自動運行功能禁止;使用U盤進行數據文件存儲和拷貝時,打開計算機系統巾防病毒軟件的“實時監控”功能,避免病毒文件入侵感染,同時打開“文件夾”選項中“隱藏受保護的操作系統文件”選項,并選擇“顯示所有文件和文件夾”選項,以便U盤被感染后能及時發現病毒;外來U盤接人計算機系統時,切勿雙擊打開,一定要先經過殺毒處理,或是采用具有U盤病毒免疫功能的殺毒軟件查殺后,再接入計算機系統,同時關閉“自動播放”功能。
           
          4.數據加密。在軟件方面,應加大在開發過程中加密軟件的開發投入,對重點涉密的應用軟件,加密設計要達到網絡級水平,從而最大限度地保證信息的全與保密。對涉密信息要做到加密保存,對存儲有涉密信息的計算機要設置開機密碼、屏保密碼等。
           
          5.設置權限。將內部計算機維護權限與操作權限、數據權限分開,對不同的操作人員設置等級不同的權限,根據實際權限來分配查閱、修改文件內容等業務范圍。
           
          (三)管理保障
           
          1.提高安全管理意識。一是要加強對“物”的管理。對錄有秘密文件的硬盤、軟盤,要明確標示密級標志和編號,執行統一的登記和銷毀制度;對涉密較多的場所如打字室、機要室要設立相應的保密控制區,明確專人負責維護與保障;嚴格執行“上網信息不涉密、涉密信息不上網”的規定,明確專人負責信息的審查與審核。二是要加強對人的管理。要抓好涉密人員的選配和日常的考察,做到不合格的人員堅決不用;對有問題的人員要及時處理,嚴明紀律。
           
          2.加大安全管理力度。金融系統各級領導要充分認識到計算機犯罪對金融信譽和資金的危害,認真部署計算機安全防范工作,提高系統、網絡的管理能力;強化系統開發、管理、操作人員的政治思想和安全教育,嚴格要害崗位人員的審查和管理。
           
          六、結束語
           
          在網絡信息化時代,金融系統的計算機網絡犯罪已越來越受人們的關注。雖然現在出臺了各種安全措施,但是罪犯們仍然有機可乘,對社會造成了嚴重的危害,其根本原因是網絡自身的安全隱患無法根除,金融人員防范意識不強。隨著網絡安全技術日趨完善,減少黑客人侵的可能性增加,但人是最主要的因素。如何提高人們的安全保密意識,完善管理制度,加強監督,增強各部門單位間的合作,將不法分子可乘之機降至最低,這將是金融系統員工的目標。