浅析国库业务系统的风险因素及防范措施

随着国库集中核算系统（TBS）的推广应用以及大小额支付系统的并入，国库资金的安全性受到更大的挑战，国库计算机和网络系统的安全保护显得尤为重要。如何保障国库业务计算机应用系统及国库资金清算网络的安全、可靠、稳定运行，是一个值得探讨的课题。

（一）影响国库业务系统的风险因素

1.硬件系统。

（1）操作不当。计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏，从而危害系统的安全。不正确的操作主要是指操作人员不按规定程序使用硬件设备，例如不按规定开、关机，有可能损坏计算机的硬盘，从而造成数据的丢失或破坏。

（2）人为破坏。有意破坏系统硬件设备者可能是系统内部操作人员，也可能是系统外部人员。破坏者出于某种目的(如发泄私愤)而破坏计算机硬件，致使系统运行中断。

（3）不可预测的灾害。不可预测的灾害虽然发生的概率非常小，但对系统硬件的破坏性极大，所以必须引起足够的重视。例如火灾或元件的突然损坏，可能造成整个系统的崩溃。

2.软件系统。

（1）操作人员有意破坏。计算机系统的操作人员可以通过非法改动数据库篡改数据文件，或者通过非法操作即操作员或其他人不按操作规程或不经允许上机操作，破坏软件系统安全。

（2）计算机病毒。计算机病毒实际上是一段小程序，它具有自我复制功能，常驻留于内存、磁盘的引导扇区或磁盘文件中，在计算机系统之间传播，常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。以前计算机病毒主要靠磁盘或光盘传播，随着网络的发展，计算机病毒开始通过网络传播。由于病毒具有隐蔽性强、传播范围广、破坏力大等特点，对国库业务系统的安全构成了极大的威胁。

（3）数据库安全。国库业务系统大都采用具有一定保密机制的Sybase数据库，密码管理不善或密码安全级别不够也可能导致安全问题。目前较为突出的风险是国库会计核算系统(2．0版)统一安装过程中建立的ttpsdba和ttpsuser用户口令没有及时更改，致使远程登录者容易钻空子。

（4）通信软件安全。中心支库与县支库的内部往来业务采用TH―MT中间件，若该软件配置过于简单或口令疏于管理，以及计算机操作员不按规定操作或误操作也容易引起网络不通，导致安全问题。

3.系统管理。

（1）由于科技与国库部门的工作脱节、工作重心不同或配合不够等原因，造成国库部门未把计算机及网络安全问题纳入重要工作日程，部分国库部门几乎没有系统的防范计算机及网络风险的措施。

（2）安全管理方面的投入较少。虽然目前国库核算系统已实现CA认证，加强了对用户身份进行认证的安全性措施，但一些先进的安全管理设备及措施还没有引用，如国库中心机房没有设立门禁系统，电子监控、电源的多路供电等技术也基本没有采用。

（3）系统管理员没有接受过专业的安全培训，缺乏计算机及网络风险防范知识，应对计算机及网络攻击的防范技能尚有欠缺。如部分国库部门没有设置或按要求更改服务器的开机口令、Sybase用户口令、通信软件口令等。

（4）国库核算系统软件及各种补丁可以通过互联网下载与各级人行要求内外网严格分离并严格监控的要求相背离，这也是导致风险问题的潜在因素。

（二）国库核算系统安全风险的防范策略

1.严格按用户权限分级授权操作。

坚决按照国库核算系统的要求设定各系统上机操作岗位，明确岗位职责和权限，并切实为每个用户进行系统功能的授权，落实其责任和权限。结合密码管理措施，用户只知道自己的用户名和口令，进入系统之后也只能执行自己权限范围内的功能，防止非法操作。同时，严格执行岗位分离制度，如，系统维护人员不得上机处理日常国库会计业务，国库会计业务处理人员不能进行系统维护，会计主管不能进入系统操作核算业务等。

2.做好备份工作。

对关键服务器及网络设备，除了进行实时全双工热备份外，还应备有备份设备以供应急之用，并采取更为安全的措施加以防护，如采取计算机双路电源模块供电、重要设备双路UPS供电等。鉴于国库数据的延续性和重要性，不但要做好本地的磁盘双备份，如建立磁盘阵列或异机备份，有条件还要做好计算机数据的远程备份工作。

3.保证数据安全。

数据加密是计算机安全的重要组成部分，计算机口令必须保密，重要文件也应加密。密码设置应具备一定的复杂性，如字母与数字的混合使用，并且定期更换封存。设立不同网段，严格分离办公网和业务网。避免安装和使用来历不明或与业务无关的程序。

4.建立网络防火墙。

一般来说，网络接入点越多，遭遇非法入侵的可能性就越大，应在内部网络和外部网络之间建立专用的防火墙，禁止外部网络用户访问内部网络，防火墙是防止外部入侵的非常有效的方法。

5.设立严格档案管理制度。

首先，系统投入使用之后，原系统的所有程序文件，软、硬件技术资料应作为档案进行保管，并应由专人负责，同时严格限制无权用户、有权用户非正常时间对程序的不正常接触；调用档案也必须经系统主管和程序保管员共同批准，并对使用人、程序名称、调出时间、使用原因和目的以及归还时间等进行详细的登记，以便日后核查。

其次，所有国库会计数据文件应做档案保管并严格限制无权用户、有权用户非正常时间的不正常接触；制定相关应急措施，如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。

6.进行计算机及网络安全技术普及教育。

计算机系统安全技术的普及教育可以促进操作人员或用户更好地保护自己的计算机和网络系统的完整性。同时，熟练掌握国库业务系统的原理和技能，还可避免核算时的技术性差错。计算机及网络安全技术的普及教育的形式可以是多种多样的，其目的是促进国库人员对科技知识的了解与掌握，提高对各种科技风险防范的意识，增强主人翁意识和责任感，使工作人员克服麻痹思想，做到对影响国库资金安全的操作实行层层把关、互控互防。

7.提高系统使用人员的业务素质和思想修养。

要使系统使用人员能够自觉遵守各种规章制度和操作规程，减少实际工作中的差错。培养知识结构全面的系统管理人员，使其能够及时发现系统的安全风险隐患并及时排除。