摘要:在信息化高度发展的今天,人民银行电子化建设驶入快车道,诸多重要业务系统的上线运行,在资源整合、数据集中步伐加快、信息化应用水平不断提高,信息系统带来更高效能、便捷服务的同时,也使信息系统面临着较大的安全风险,本文在剖析基层央行计算机信息安全隐患的基础上,提出相关建议。
关键词:基层央行;信息安全
中图分类号:F830.5 文献标识码:B 文章编号:1674-0017-2013(3)-0094-03
随着计算机技术的快速发展,人民银行基层行的各项业务处理中,大部分业务系统已逐步实现资源整合、数据集中、资源共享。与此同时,对其管理者及员工的信息技术应用能力及管理方式也提出了更高、更科学的要求。
一、目前基层央行计算机信息安全存在的隐患
基层央行信息安全是指在人民银行信息化项目立项、建设、运行、维护、废止等过程中保障计算机及其相关系统、环境、网络和操作安全的一系列管理活动。目前基层央行的重要信息系统主要分为业务处理系统(即会计集中核算、国库会计核算、国库收支统计、货币发行信息管理、金融统计、信贷登记咨询等系统)和管理信息系统(固定资产管理、人事劳资管理、财务会计报表、账户管理、办公自动化等系统)。
近年来,围绕信息系统安全稳定运行的目标,诸多重要业务系统的上线运行,在资源整合、数据集中步伐加快、信息化应用水平不断提高,信息系统带来更高效能的同时,也不可避免的出现了诸多威胁信息安全的隐患,影响着央行履行职责的发挥,成为迫切需要解决的问题。
(一)观念方面。尽管各分支机构越来越重视网络系统建设,但仍有部分基层行的信息安全理念比较淡漠,出现了诸如“重应用、轻管理”,未建立网络漏洞扫描系统、不严格按照应用系统操作规程操作,密码设定、更换不及时,系统退出不规范,移动存储介质管理不严格、数码相机操作不合规、业务用机软件安装审核不严格等等违章操作现象,形成操作风险隐患。同时,发挥计算机安全领导小组核心作用不够,尤其是目前只有极少数县支行由一名专职科技人员负责科技工作,挂靠办公室,负责业务应用系统、网络、计算机客户端、机房、UPS电源设备、打印机等日常维护及全行信息系统安全保障工作。大部分县支行无专职科技人员负责科技工作,只有一名信息安全管理岗位负责科技工作(兼职),而兼职计算机安全员大都有自己承担的业务工作,虽想做好计算机安全工作,但仍然存在力不从心的现象。
(二)技术方面。主要表现为硬件环境和业务系统的安全隐患。包括网络硬件的安全缺陷、通讯线路的安全缺陷、技术被动引起的安全缺陷、非法用户对系统资源的非法使用及合法用户对系统资源的非法使用等,特别是来自系统内部的安全威胁。由于计算机系统本身的脆弱性,使其无法抵御自然灾害的破坏,难以避免偶然无意造成的危害,部分软件本身缺乏安全性导致操作系统中的安全缺陷相当多,加之目前新上线的重要信息系统比较多且具有天然的脆弱性,存在环节多、薄弱环节也多的问题,而且重要的信息需要多人、多部门介入协同工作,除了有意破坏之外,人的失误也会带来危害。特别涉及资金的重要业务系统,一旦内控制度执行不力或操作失误,发生风险的可能性就加大。基础设施建设相对落后,特别是县支行主要承担维护工作如应用系统维护、新系统上线、计算机客户端维护、机房维护等,由于资金投入较少,基础设施较差,机房面积和安全设施远不能满足业务发展的需要,达不到机房安全标准,更是存在一定的安全隐患。此外,信息安全检查没有配套的检查工具,难以实现对所查计算机的全盘专业检查,对有疑问的文件或数据只能靠手动搜索、肉眼观察等方式进行处理,难免出现检查不全面、有遗漏等问题的存在。
(三)管理方面。“三分技术,七分管理”。信息安全不是单纯的技术问题,也是管理问题。如果不从人防、技防和管理制度上建立相应的计算机信息安全防范机制,再好的技术和设备都无济于事。根据《中国人民银行信息安全管理规定》(银发〔2005〕211号)文件精神,基层央行各单位均设立了计算机安全领导小组,配有专、兼职信息安全管理员和部门计算机安全员,但来自各方面的安全隐患仍然存在。如由于央行的网络架构杜绝了来自外部的非法访问,对内的规范管理显得尤为重要,内部人员了解网络、主机和应用系统的结构,拥有系统一定的访问权限,一旦出现问题,后果不堪设想。配套的计算机信息安全规章制度调整更新的速度明显落后于快速发展的央行业务,加之县支行人员配备滞后,县支行的专、兼职信息安全管理员,既要负责全行信息安全工作,又身兼办公室其他工作,对研究信息安全工作的深度还有局限,很难单枪匹马的对本单位信息安全情况进行全面客观的分析和有针对性地开展安全检查,及时发现并解决信息系统运行中的风险隐患,在一定程度上削弱了信息安全管理力度。此外,基层行内部信息安全培训少也是一个原因,由于对于前沿的安全知识组织的培训相对较少,对员工的信息安全教育不够,致使安全知识更新速度慢,安全技能提升机会少。这一切,带来了技术风险的相对集中,对基层行安全运行提出了更高要求,需通过相应的制度和技术进一步健全规范。
二、完善基层央行计算机信息安全管理的策略
(一)观念对策。一是正确认识信息安全是一个特殊领域的概念,科学、客观、公正的看待计算机信息安全问题,既要正视安全意识问题,承认意识差异的客观存在,又要强化计算机信息安全意识,深入探索新的技术条件下信息安全工作的特点和规律,增强工作的主动性、超前性,改变保密技术防范知识滞后于信息网络技术进步的状态,推动计算机安全意识的常态化建设。二是不断强化单位和部门员工的信息安全防护和责任意识,使其深刻认识信息安全工作的重要性和违规操作可能带来的严重后果,强化计算机管理人员、技术人员和应用人员的法制教育、职业道德教育和计算机信息安全教育,增强计算机信息安全防范意识和法制观念。三是加强规章制度的落实力和执行力,通过促进单位和部门信息安全内控制度建设和监督管理,及时制订出切实可行的具有实用价值和约束力的计算机安全管理制度,有效落实信息安全制度内容。四是加强计算机信息安全队伍建设,各级计算机安全员在日常工作中以身作则,养成严谨高效的工作作风,尽力排除操作风险和人为安全的风险隐患。五是加强业务人员和技术人员的交流沟通,在业务系统升级或新业务系统上线时,让业务人员和技术人员共同参加业务培训,防止出现技术人员不懂业务,业务人员不懂系统安全维护重点情况的发生,有效提高计算机信息安全工作效率。
(二)技防对策。一是严格按照“谁主管谁负责,谁运行谁负责、谁使用谁负责”的原则,进一步完善组织管理结构和人员管理程序,逐级落实单位与个人的计算机信息安全责任制。二是形成单位内部联动、上下联动的计算机安全预警机制,由科技部门收集新病毒特征和防范病毒的方法并及时转告各部门的计算机安全员,做到领导重视、科技主抓、人人参与、分工协作,共同防范和化解计算机风险。三是进一步抓好一个隔离即业务网必须与外部网实行物理隔离,禁止与国际互联网进行任何直接或间接的物理连接;两层认证即每个终端必须设置开机密码,通过密码认证用户是否有权使用该终端,用户进入终端后,应进行身份认证,以确认用户是否有权通过网络系统处理电子文件;三种能力即病毒防护能力、预警监测能力、应急处置能力,不断提高预警反击和灾难恢复能力,确保网络系统持续安全稳定的运行。四是在内网所有客户端上安装网络版杀毒软件,并定期检查病毒代码的升级,设置每天定时自动扫描计算机病毒。充分利用管理软件对客户端的安全情况进行实时监控,对与业务工作无关的游戏、盗版软件做到及时发现、及时控制等。五是加大可靠的计算机安全产品投入力度,加强身份管理、访问管理、威胁管理。通过网络“防火墙”、内外网物理隔离、网络实时监控检测异常行为入侵,防病毒、木马攻击;实时异地备份重要数据信息,预防灾难恢复。采取身份验证、及时提示强制更换系统口令等技术手段,严格权限操作管理,控制岗位权限,规范信息传输通道,防止非法破坏等。六是实时提高防范技术,严控安全漏洞,消除安全隐患。大力开发关键性技术,使保障金融网络安全的密码技术、加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术发挥应有的作用。七是推广经过实践检验效果突出、保障计算机安全的创新项目,如中国人民银行西安分行科技处在全国人民银行系统首创的“网络应急车”项目,具备在各种突发事件环境下全天候、跨区域独立承担“流动临时机房”的能力,不仅积极探索人民银行分支机构应对计算机信息系统突发事件跨区域应急救助机制,而且是提高科技部门与业务部门联动应急处置能力的科学途径,解决了分、支机构因各类严重自然灾害或其他突发事件导致网络业务系统通讯中断问题,为邻近省份之间协调高效处置IT突发事件积累了宝贵的经验,受到了总行科技司的广泛好评,为提高基层行计算机安全能力、确保各项工作的顺利开展奠定了良好的技术保障。
(三)管理对策。一是把科技工作渗透到人民银行的各项工作的每个环节,进一步明确基层央行第一把手为信息安全管理的第一责任人,做到领导重视、监督到位,确保信息安全。二是本着“授权有限、相互牵制”的原则,针对计算机应用的不断延伸的现实情况,以全面、具体、精炼、有针对性和时效性、便于操作为出发点,以现有内部管理制度为基础,进一步建立健全各项科技管理制度,细化各项操作流程和安全管理措施,建立信息安全隐患整治长效机制,做到有法可依,确保计算机信息安全工作落到实处。同时,切实强化规章制度在日常工作中的自我约束力,在执行各项制度办法上狠下功夫。三是建立健全计算机安全管理体系,确保机构和人员配备到位。设立专职计算机安全管理员,进一步明确各级计算机操作人员安全职责,并将其纳入个人岗位责任制,促使其安全、保密、规范操作计算机,形成一个强有力的计算机信息系统安全组织保障体系。四是加强计算机信息安全管理的组织保工作,行领导与科室、职工层层签订计算机安全责任状,明确工作目标和职责,通过内部资源的整合、业务流程的再造和工作方法的创新,采取信息安全与个人年度考核挂钩,牢固树立客户端责任人的“安全命脉”意识,实行计算机信息安全一票否定权,营造人人重视计算机安全的良好氛围,以组织保障推动计算机安全工作的顺利发展形成了整治计算机信息安全隐患的强大合力。五是抓好基础建设并把好硬件关。硬件过关是计算机系统安全的前提和基础.基层央行应重视科技实体建设,科学合理投入资金,保证硬件设施安全。六是采取灵活多样的培训、教育方式,通过集中授课、远程培训、技术讲座等,让计算机信息安全人员掌握更多、更新的计算机安全技术和相关法律知识,使基层央行科技人员进一步理解和掌握先进的新理论、新业务、新技术的发展和应运,不断丰富科技人员的知识结构,提高综合素质和业务水平,严把信息系统生命安全周期的第一关。同时,针对目前基层央行计算机安全意识的“短板”,通过组织基层科技人员开展岗位业务技能训练和业务达标活动,提升全行广大干部职工的整体科技素质、计算机安全意识和业务技术操作水平,从而进一步提升基层央行的履职能力。七是本着“组织检查是手段,发现隐患是重点,找出原因是关键,解决问题是目的”的原则,加大计算机安全检查的力度和着力点,把对规章制度的落实细化到计算机信息安全检查的各项内容中,注重对安全制度落实情况的检查,常抓不懈。
参考文献
[1]程兴财.银行计算机信息系统安全风险识别与控制[J].西部金融,2010,(4):13-14。
[2]刘颖.银行业信息管理体系建设浅析[J].中国金融电脑,2012,(4):39-42。
[3]刘颖.银行业信息系统安全等级保护内容概述[J].中国金融电脑,2012,(5):38-41。
[4]袁园,朱景丽.浅析电子化银行信息系统的特点及其安全对策[J].金融与经济,1998,(12):25-27。
[4]卢祥云.银行计算机信息系统安全风险识别与控制[J].金融电子化,2004,(3):35-36。
责任编辑、校对:杨振峰