《基层央行计算机信息安全管理工作存在问题及建议》由会员分享,可在线阅读,更多相关《基层央行计算机信息安全管理工作存在问题及建议(7页珍藏版)》请在金锄头文库上搜索。
1、基层央行计算机信息安全管理工作存在问题及建议2008年历史罕见的暴风雪、5. 12汶川8级地震、水灾 等自然灾害以及“熊猫烧香”、“AV终结者”等影响较大的 计算机病毒事件相继发生,利用病毒、木马技术进行网络犯 罪活动猖獗,这些事件所引发的安全应急响应、灾难恢复和 连续性管理等安全防护问题令人深思。面对日益严峻的安全 形势,计算机信息安全正经受着越来越多的挑战,尤其是人 民银行大小额支付系统、国库会计核算系统、征信系统、货 币金银信息系统、人民币结算账户管理系统等核心业务系统 的高可用性越来越受到人们的关注。做好计算机信息安全工 作,确保人民银行支付系统等核心业务系统以及网络系统的 安全,防范
2、有组织和个体的恶意攻击是我们长期面临的一项 艰巨和紧迫的任务。、问题分析应该说,目前基层央行计算机信息安全工作形势比较好,硬件设施配备基本满足业务发展的需要,安全管理比较 扎实,防范措施也比较得力,但从长远的计算机信息安全工 作的角度来分析,仍然还存在诸多问题。1.重视安全工具投资而轻视管理投资从基层央行的情况来看,信息安全系统主要由防火墙、 入侵检测、非法外联和病毒防范等组成。这些手段只能是在 外围对非法用户和越权访问者进行封堵,而对访问的源端(客户端)防范不够。操作系统的不完善导致各种漏洞层出 不穷,不能从根本上解决外部攻击,更无法防止内部人员作 案。这些问题导致信息安全系统越做越复杂,误
3、报率增多, 安全投入不断增加,维护和管理更加困难。这就不得不使我 们反思:在当前信息安全的形式下,使用“老三样”采用“防外攻、堵漏洞、防火墙”等手段,往往是防不胜防。这些观念的形成有诸多原因,但最根本的原因在于对计 算机安全知识了解不多,对安全管理内涵认识不够。计算机 安全管理的目的:一是保障业务系统稳定运行;二是防止涉 密信息泄漏;三是预防犯罪分子利用系统作案。这需要集责 任感、科技知识和管理能力于一体,更需要安全管理部门和 各业务运行部门间的通力协作和配合,还少不了强有力的政 策支持。偏颇的安全观念使计算机安全管理工作定位不准、 目标不明、步调难统一、合力难形成。2重项目建设、轻安全规划人
4、民银行信息安全管理规定计算机系统建设项目应 在规划与立项阶段同步考虑安全问题,建设方案应满足人民 银行信息安全保障总体规划的相关要求”、“各单位计算机 系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行”。但大多数基层行自建 项目都没有考虑这两条要求。项目建设普遍存在“重建轻 管”的问题,即建设使用优先,安全规划、管理制度、安全 保障滞后。3.激励机制的不平衡影响技术人员工作的积极性从目前基层央行的情况来看,一方面,安全管理人员大 都是由计算机工程技术人员兼任,他们既是电子化工程项目 的建设者、管理者,也是信息安全的管理者、监督者,集电 子化建设、信息安全管理和
5、信息安全监督于一身,不能有效 地对安全现状进行真实、客观的评估和审计。也很难对计算 机安全工作实施有效管理,使得组织管理机制、安全防范措 施不能及时到位。另一方面,计算机安全的意识尚未深入人 心,安全培训、教育观念非常淡薄,忽视了安全管理人员和 业务人员的专业培训,使得他们对银行计算机安全问题不能 深入了解,也造成了安全技术防范能力差、科技含量低的现 状,客观上阻碍了安全技术的应用与发展,不能完全适应金 融电子化快速发展的要求。以某中支为例,全辖9名计算机技术人员(其中2名为 兼职)70%的技术人员从事科技工作达15年,工作单调,岗 位轮换在科技工作中难以实现。中支人均维护系统11个, 维护电
6、子设备达30台(套),辖内县市支行人均维护系统数 25个,维护电子设备50台(套),日常运行维护工作任务非 常繁重,技术人员就正常的休假都难以保证,而且所从事的 工作绝大多数是维护,很难体现出看得见的成绩。成就感、 荣誉感淡化,加之计算机技术日新月异,工作人员掌握的知 识不能与时俱进,知识普遍老化,存在着怕担风险的畏难情 绪。专业安全管理人员缺乏应有的积极性,在制订安全策略、 审核安全方案、开展安全评估和审计检查等方面往往力不从4.缺乏有效的安全内控机制使制度的执行打折扣首先,缺乏外部监督,对上级行安全管理制度的落实和 执行情况、对内部安全管理制度的建立和完善情况,没有确 定有效的外部监督机制
7、,造成制度落实不够、内控制度不完 善。一是计算机病毒传播和网络非法入侵十分严重。某中支 仅一季度就出现病毒报警信息1475条,感染计算机317台 次。二是网上失密、窃密情况没有引起足够重视。基层央行 大多数工作人员不乏存在这样的情况:用存储有重要信息的 移动盘直接插入到互联网的机子上下载和编辑资料,然后不 经过病毒和木马检测就在内联网上进行使用、传输等操作, 还有就是不经过登记和审批手续携带存储有重要或敏感信 息的移动盘外出,给基层央行的信息安全和保密工作造成很 大的隐患。三是信息安全管理不善,安全措施不到位,有令 不行、有禁不止,信息系统运行事故时有发生。这固然有其 客观原因,但缺乏严格管理
8、和岗位监督制度,是问题的根本所在。岗位监督机制的缺失形成信息安全管理中最大的漏 洞。第二,缺乏安全评估。目前,基层行对本单位安全状况 心里没底。机房环境有没有隐患,网络有没有漏洞,系统是 否安全,说不清楚。主要是因为没有一套完善的安全评估体 系和标准,无法对本单位的安全状况进行科学评估。第三,缺乏定期审计。信息安全检查很多,但大多侧重 于制度落实和物理安全。而对于技术安全,则需要更专业更 规范的专项审计才能发现问题,找出漏洞。现阶段基层行审 计部门没有能力进行计算机安全审计,科技部门审计自己管 理的业务信息系统,容易造成角色错位,达不到审计效果。这些因素造成基层行计算机安全审计工作不能有效开展
9、。二、对策建议1.积极创新计算机安全管理工作机制一是建立信息安全风险管理保障机制,把信息安全风险管控工作摆上议事日程,建立健全信息安全风险管理部门和 岗位责任制度,层层抓好落实。要加强培训工作,提高风险 管控能力和应变能力。充分发挥科技部门安全检查、纪检监 察部门风险监控、内审部门审计监督“三道防线”的约束作 用,形成完备的违规监测和纠错体系。加大违规行为处罚力 度,提高管控措施的约束力。二是建立信息安全风险评估和预警机制。要全面落实风险评估制度,建立信息安全风险监测体系,及时识别风险因 素,排查隐患,彻查各类问题的根源。要将信息安全风险控 制前移,从业务部门需求管理开始,把风险管控贯穿于信息
10、 流动的整个过程,加强追踪控制。要在充分分析信息安全风 险对业务影响的基础上,建立良好的风险分类分级制度,实 施重点监控。从法律法规、国家政策、业务规范等多角度区 分各类信息安全风险,落实监测和保障措施。三是建立并完善信息安全风险应急处置机制,加强风险 应急和处置机制建设。要认真研究制定信息安全风险应急管 理的中长期规划,结合实际,稳步提高应急管理水平。要加 强数据备份、灾难恢复以及业务连续性的管理。完善各类应 急预案,加强应急演练,通过应急演练把应急和灾备工作从 技术管理层面提升到全方位、多部门齐抓共管、协调一致的 全行工作层面,确保极端事件发生时,能够在最短的时间内 按照既定方案有序处置。
11、2.培养和充实安全管理人才,健全计算机安全管理组织体系一是要充分发挥计算机安全领导小组的作用,将信息安全的责任层层分解,责任到人,落实到实处。二是要按照内 控要求,配备信息安全人员,把决策与执行分开、执行与监 督分开,相互约束,相互促进,防止关键岗位人员监守自盗。 三是要加强信息安全教育和信息安全、保密知识普及,让广 大干部职工了解什么需要保密、失密的后果及应该如何保 密。四是要加强信息安全管理人员和技术人员专业知识、专 业技能培训,让他们掌握信息安全技术,学会监控、防范、 处置、查证。五是要引入考核和激励机制,把安全管理工作 与各业务部门及部门安全员的利益结合起来,充分调动他们 的积极性和责任心,使安全管理部门和业务部门之间形成良 性互动的关系。(作者单位:人行海西中支)
