我国金融会计电子化工作开始于70年代末,经历了从微机单机应用到城市综合网络,从分散无组织的自由开发应用到统一领导规划、集中开发应用,从单一业务应用到综合会计业务系统,从单纯营业系统到业务处理和管理信息系统配套运用的发展过程。在这一过程中,计算机安全问题越来越对金融会计工作的正常开展、乃至整个金融业务的生存起着重要作用。
一、我国金融会计领域应用计算机的主要发展过程
(一)起步阶段:我国金融会计电子化工作最早起步于二十世纪70年代末,在80年代初期得到了初步发展。这一时期,计算机开始在会计制表、储蓄、对公核算业务方面得到初步应用,应用系统一般在DOS平台上单机运行,系统的开发、硬件的选型均不统一,软件系统的特点也只是模拟手工核算,目的只是为了减少劳动强度和工作量,缺乏操作规范和管理制度。
(二)发展阶段:到80年代中后期,金融电子化工作得到各行重视,各银行系统纷纷制定本行的电子化发展规划,人民银行对整个金融业的发展规划也做出了安排。在此期间金融会计电子化的应用领域和规模迅速扩大,区域性乃至全国性的清算网络开始建设。这一时期的另一特点是,一些银行开始了微机应用由单机向网络运行的过渡,如出现城市通存通兑网络、同城清算网络,业务应用领域也从单项业务发展向综合会计业务过渡,软件开发和硬件选型在一定范围内得到统一,操作规范和管理规章制度已经建立。人总行在这一时期牵头制定了金融电子化发展规划和远期目标设想,1989年人行全国电子联行清算网络系统开始启动,同年财政部颁布实施了《会计核算软件管理的几项规定试行》,以规范会计软件管理工作。
(三)规范再发展阶段:进入90年代,金融会计电子化规范管理工作得到有关部门重视,各行在此基础上逐渐建立起了本系统的全国异地电子联行清算系统如异地汇划系统、信用卡清算系统等,在90年代后期一些行会计核算在大中城市建立了集中清算中心,财政部也于1994年7月颁布实施了《会计电算化管理办法》、《商品化会计核算软件评审规则》和《会计核算软件基本功能规范》。这一时期会计电子化安全问题得到进一步的重视,网络安全问题逐渐成为安全防范的主要研究课题。
今后,伴随电子商务的发展,金融会计电子化工作向网络化发展,网络银行、电话银行出现,网络安全成为金融会计电子化安全工作的重点,电子化的规章制度和法规应运而生,会计电子化的安全日益关系到银行生存乃至整个社会的稳定。
二、目前我国金融会计电子化工作中存在的主要安全问题
回顾我国金融电子化的发展历程,我们认为目前我国金融会计电子化工作主要存在以下安全问题:
(一)软件设计、开发中技术安全措施少、安全级别低。现有会计应用软件系统在设计、开发阶段,普遍存在系统需求中安全需求少、软件设计重功能轻安全,软件设计选用语言和数据库考虑安全性能少,以至软件投入运行后暴露出诸多安全隐患,如数据库呈开放状态,易于打开,应用系统软件存在安全“BUG”等。这类现象在金融会计电子化起步、发展阶段开发的系统更为明显,并且这些软件系统在目前还未得到彻底更新换版。
(二)硬件自身安全性能低。这主要是在硬件选型上考虑安全性能的比较少,而主要侧重硬件功能和价格的考察,另外这与在硬件选型上不统一,缺乏金融系统的统一的硬件选型标准有关系。这样造成的结果是由于硬件的安全问题直接影响会计应用系统软件的正常运行。
(三)机房建设中存在安全隐患。尽管我们国家出台了《中华人民共和国计算机房、站、场地安全要求》,但这一要求在一些小的机房、场地建设中注意的较少,尤其在一些县支行机房建设中安全要求没有得到彻底落实,甚至有的地方没有专用的计算机房和场地,并且即使建立了专用计算机房,由于考虑资金等因素,许多安全设施并未配置齐全,如有的机房无避雷系统、不配备“UPS”系统、“UPS”损坏后不及时修理、机房管理不严密等。
(四)网络安全问题突出。由于我国计算机网络建设时间比较短,安全经验不足,暴露出的网络安全问题也比较多的。这主要表现在以下几方面:
一是网络传输载体本身安全性能不稳定。目前我国网络传输载体主要分有线和微波两种,可从我们应用会计电子化网络的实践看,这两种载体都或多或少地存在有安全问题。比如电信部门提供的传输线路传输质量不高,所用电话线路由于多为明线易损坏,而微波载体由于通讯发送、接收设备安全性能不高,一些外来自然因素影响了传输效果,甚至导致传输线路暂时中断。如目前人行电子联行系统就存在因雨、雪天气导致通讯中断的现象,就是X.25专线也多次发生过因电信部门线路被损坏影响数据传输的现象。
二是投入使用的网络软件安全技术措施少,尤其是地方性局域网络。首先由于目前对于地方建设的清算和会计信息传输网络的安全技术规范还不大明确,并且对于局域网络安全建设的认证、验收还没有一个技术规范和认证体系,使得局域网络建设缺少安全把关,使已建成网络在安全方面存在较多漏洞和隐患。
(五)应用系统操作和使用过程中存在的安全问题。金融会计电子化工作在应用会计微机系统方面存在的主要安全问题就是操作和管理人员安全意识淡薄,当然具体管理工作薄弱也是一个不可忽视的一点。首先,在操作人员方面,主要表现为操作密码管理不严格,存在密码口令使用周期过长、密码泄密、操作用户离岗不签退应用系统、窃密等问题,这主要源于操作人员安全意识淡薄;其次,业务部门管理人员安全意识淡薄,对于一些安全管理制度检查落实不到位,尤其对安全操作与方便业务处理两者之间的关系处理不妥当,在管理中突出表现就是违背安全规定设置和配备操作岗位和操作人员,出现违规操作、违规兼岗现象,对计算机房疏于管理;第三,系统管理人员安全职责履行不到位。系统管理员的两项重要职责就是保证自己操作的安全和会计应用系统运行的安全。目前有的系统管理员对以上两项职责履行不到位,存在重视自身操作安全忽视对用户操作安全的检查,有的疏于对计算机电源、硬件设备的定期安全检查、检修,对会计应用系统的操作和运行状况不能做到定期检查。第四,在具体安全管理方面,手段比较少,对软、硬件的安全检查更少。银行会计部门每年都要搞安全检查,但往往只是注重业务操作管理制度落实情况的检查,很少联合科技部门对会计应用系统软硬件的安全状况进行检查。即使对业务操作安全方面的检查,由于只是对操作现场简单了解一下,也很难发现日常存在的一些安全问题。
(六)制度和法规建设滞后,直接降低了会计应用系统的运行安全性能。比如人总行组织开发推广的“中央银行会计核算系统”我们在1993年就开始了推广应用工作,1996年已推广到系统内多数营业机构,而真正的管理办法《中央银行会计核算系统》到1997年方出台,这在当时为许多行管理此系统安全形成许多不便。另外,法律制度的滞后也使一些机构无所适从,比如目前印鉴技术已发展到电子印鉴逐渐取代传统印鉴阶段,电子印鉴的安全系数不断得到提高,但是现在的法律不认可电子印鉴。还有伴随金融电子联行的普及和异地汇划网络的建设,异地汇兑处理手续也发生了变化,《支付结算会计核算处理手续》有的环节已不适应电子化形势,但至今未做出改变,这使得一些电子联行处理手续合理不合法。另外,即使有的行及时制定了有关的操作规程和管理办法,但由于基层行没有制定切实可行的安全实施细则,加之操作和管理人员安全意识的淡薄,现有制度没有落实到位的还很多。比如人民银行电子联行“管理制度”明确规定了核查制度,可在基层卫星小站和县支行很少将此规定落到实处。
三、解决金融会计电子化安全问题的几点建议
为防范和解决金融会计电子化工作中的安全问题,确保会计工作在电子化条件下安全、高效地开展,笔者特建议如下:
(一)程序设计、开发阶段加强系统安全技术措施的运用。首先,要求业务部门谋划系统业务需求时,要充分考虑到诸多安全因素,对系统安全提出明确、具体的业务需求,一改过去重功能轻安全的做法;其次,在软件系统设计开发阶段,软件编辑人员应选用安全性能高的数据库、运用严密的编程语言开发软件,尽量减少程序上的安全“BUG”;再次,在硬件选型时,要尽量采用安全性能高、运行质量好的设备,减少硬件安全隐患;四是建议有关部门,尽快制定出金融系统软件开发规范和硬件选型标准,尤其明确安全规范。
(二)会计计算机系统应用阶段安全防范。
1.建议各银行对会计系统内计算机房建设情况进行一次安全大检查,对于不符合《中华人民共和国计算机房、站、场地安全要求》的责令立即进行整改。
2.各家银行有必要对自家先投入使用的会计计算机系统进行一次自我分析,目的是发现和解决系统设计、开发阶段遗留的安全隐患,并在此基础上对旧版本软件进行换版升级。
3.加强计算机安全教育,提高操作人员和管理人员的计算机安全意识。金融会计电子化的安全防范措施最基本的还是人的因素。因此,需要尽更大的努力去提高人们对计算机安全的认识,尤其对会计系统安全的认识,各级教育部门和业务管理部门在这方面应做更多的教育工作。
4.将金融会计网络安全作为今后研究和防范的重点。目前金融计算机网络已走进我们身边,无论是集中结算体系的运转、电子联行通汇还是新兴的银行卡清算系统、网上银行和其他网上会计服务项目的开通,都离不开网络,而金融会计电子化安全也逐渐以网络的安全防范为重点,因为网络的安全直接关系到整个金融业的稳定,关系到国家和社会经济的安全。我们认为目前列入会计网络安全工作议事日程的就是尽快制定出金融会计系统网络建设规范,并逐级成立管理机构,负责网络工程项目的安全性能验收和负责日常网络安全工作,如定期的安全检查,提出安全管理建议和修改网络规范的建议等。在今年3月召开的“全国银行系统第一届安全信息交流会”上,人民银行聘请包括多名院士在内的计算机安全专家作为人民银行计算机安全顾问的做法,值得基层银行借鉴。
(三)加快金融会计电子化的制度和法规建设,改变制度和法规滞后电子化发展的现状。我们认为,有关管理部门首先应认真分析目前金融会计电子化工作中存在诸多法规问题,要在征求有关计算机专家意见,并认真分析借鉴国外金融会计电子化发展经验的基础上,对今后一定时期内可能出现的金融会计系统法规性问题做出预测,从而尽快制定出切实可行的金融会计计算机安全规范和有关法规。其次,我们今后在利用计算机开发新的会计业务种类时,采取“试点—规范—推广”的模式制定金融会计领域的计算机安全规章,这样可以最大限度地避免制度的滞后现象。事实证明此种做法是成功的,比如我国积极吸取欧洲等国外银行在IC卡业务发展的经验教训,在IC卡试用初期,就由人民银行牵头有组织地搞IC卡应用规范和IC卡机具规范,并推动联合发展,为我国IC卡业务的安全、规范发展起到了重要作用。再次,我们要善于根据我国金融会计电子化发展的不同阶段状况,及时完善和修改已有的会计电子化法规。