密碼或者口令,是銀行業計算機業務中最基本的安全措施之一,任何一項業務都設有多種或多層密碼,如操作員密碼、複核員密碼、核押人員密碼、事後核查密碼、主管密碼、系統管理員密碼、網路管理密碼等,形成了一張密碼安全屏障,以防止金融計算機犯罪。但是,如果管理不好這些密碼,丟失、洩密,這張密碼安全屏障就形同虛設,就不能提供任何安全了。
一、當前密碼管理中存在的問題.密碼取值問題:密碼作為一項安全措施,其取值應遵循嚴格的規定。但在實際工作中,有許多操作人員、管理人員,並不重視密碼取值,非常隨意,主要表現在:一是為了圖方便、省事,取一些簡單重複的數字;二是為了圖簡單、易記憶,用生日、電話號碼、名字的拼音字母等做密碼;三是為了圖快,密碼取值長度較短;四是怕忘記,密碼長期不變或將這些密碼記在本子裡;五是雖然有一套管理辦法,但很少嚴格按這些管理辦法操作,輕易將密碼交給其它人用,使密碼公開化,操作上一手清。同時,在輸入密碼時又不注意周圍有無其他人,不加掩飾地將密碼錄入。密碼變為擺設,成為多餘,銀行計算機業務的安全受到一定威脅。
人員變動所帶來的密碼問題:在銀行業,人員變動較為頻繁,人員的變動所帶來的密碼安全問題也較為突出。
操作人員變動後,其使用的密碼和代號往往沒有及時刪除,仍然保留在業務系統中,而新上崗的操作人員又建立了自己的密碼和代號,原本只有2到3人操作的計算機業務,卻有10多個密碼和代號,給業務系統安全帶來隱患。
銀行業一線人員較為緊張,都是一人一崗,操作人員I臨時休假後,綜合、事後核查、主管、部門負責等人員往往是I臨時代班員,代替一線人員上機操作。上機操作就要增加密碼和代號,就會出現一人多崗、多個操作代號、多個密碼,無形中發生業務交叉。而有些重要業務系統的最高許可權往往由主管或部門負責人掌握,他們有增加、刪除任何一級操作代號和密碼的許可權,若主管或部門負責人代班,密碼安全屏障就無從談起。
銀行業的科技人員承擔了大量的業務系統維護和網路系統管理,每個技術人員都要維護幾套業務系統,所掌握的密碼也較多,特別是縣級金融機構,只有一名科技人員,卻擔任了多個重要系統的系統管理員,掌管了每個系統高階級另U的操作維護口令。如人民銀行的電子聯行、核算系統、聯行對帳系統、國家金庫系統等,其系統維護口令可設定任何一級操作口令, 安全隱患的存在是不可忽視的。同時科技人員的調整,使長期使用的密碼可能被遺忘或者移交不完整,給日後維護工作帶來不利,間接地影響到業務系統的安全。3.資料備份和恢復所涉及的密碼問題: 為了保證銀行業務資料的安全,業務資料備份是銀行計算機業務必做的一項重要工作,許多重要業務軟體對資料備份提出了嚴格要求,在做業務資料備份的`同時,操作員、複核員以及日誌等重要資訊連同資料一同備份。但是,由於密碼管理制度不完善,沒有考慮到日後業務資料恢復所涉及當事人的密碼和代號重要性,不注意長期保管這些密碼和代號,給日後業務恢復的資料帶來諸多不便,甚至不能使用或不能查詢。
密碼程式操作不一致所帶來的密碼問題:
隨著銀行業資訊化建設的發展,幾乎所有手工業務都被計算機取代。但是,由於業務程式開發者不同或使用時間有早有晚,密碼和代號的操作要求不一致,有高有低,有嚴有鬆,有的要求有主管人員設定操作人員。有的卻沒有這方面的要求;有的還是用安全級別很底的FOX系列資料庫開發的程式。因此,給業務部門密碼管理帶來不便。
二、加強密碼安全管理的幾項措施.從認識上人手,重視密碼管理的重要性密碼和代號是銀行計算機業務安全的第一道防線,這道防線設計和管理的好壞,直接關係到銀行計算機業務的安全,許多安全事故和犯罪都是內部人員鑽了這道防線設計上的缺陷和管理上的漏洞。業務部門是銀行計算機業務使用者和管理者,應當充分認識密碼管理的重要性,有責任和義務管理好第一道防線,把密碼管理視同資金、重要憑證等一樣管理,防範計算機犯罪。
從制度上人手,嚴格密碼管理建立嚴格的密碼管理制度:一是從制度上規定密碼的取值,對長度、數值和字元組合做嚴格的規定。二是新增和更換後的密碼用信封封裝存檔登記,如同重要憑證一樣,長期保管。三是建立離崗離職密碼和代號交接制度,保證所使用的代號和密碼不交叉。
建立休假代班管理制度:業務管理部門應綜合考慮工作人員的休假和代班情況,建立相應的管理制度,從制度上明確可以代班的職員和不可以代班的職員,以及誰代班,代誰的班,明確代班員操作代號,要求代班人員必需用代班代號和密碼操作業務系統。同時,工作人員也可以根據代班管理制度安排自己的休假時間,從而規範業務系統因代班出現的密碼安全問題。
建立系統管理員密碼管理制度:銀行業的科技人員承擔著銀行計算機業務的系統管理和日常維護,掌握著大量的密碼。為了管理好這些密碼,確保密碼安全、不丟失,有必要從密碼的建立、保管、存檔等三個方面著手建立一套管理制度。同時還要明確科技人員不得上機操作業務,不得單獨上機維護,離崗時還要進行必要的離崗審計。
從技術上人手,完善密碼管理程式根據目前電腦保安工作的需要和業務系統密碼程式五花八門的情況,技術部門應從技術角度出發,為計算機業務系統提供一套統一的、完善的、適合各種業務系統的密碼管理程式,減輕管理者的壓力。
在設計代號管理子程式時,應合理控制操作代號的使用範圍,如操作員的代號範圍是100—、複核員的代號範圍是2130—299等等,用代號範圍控制操作許可權, 保證代號在計算機內部不交叉,一但發生交叉情況,系統能自動發出報警。並強行關閉業務系統。
在密碼程式中要充分考慮業務人員操作密碼的長度和型別定義,嚴格控制密碼的取值範圍,遮蔽重複數字或字元等簡單密碼。同時,建立密碼檔案管理資料庫,分使用、存檔管理操作密碼和代號,對新增或更改的密碼以及操作代號實現自動控制。
增加控制密碼使用期限功能,對超過使用期限的操作密碼和系統管理密碼以及操作代號等實現自動清除或限制使用。對系統管理密碼而言,常用的DOS、WIN9X作業系統不具備審計點,無法控制,而UNIX、WINDOWS NT系統,可以通過口令生命期,強制使用者定期更改系統密碼。