《基层央行信息安全工作存在的问题与建议》由会员分享,可在线阅读,更多相关《基层央行信息安全工作存在的问题与建议(6页珍藏版)》请在金锄头文库上搜索。
1、基层央行信息安全工作存在的问题与建议摘 要:笔者结合多年基层央行科技工作实践,从人员配备、应急准 备、病毒防范、政策法律、介质管理、风险意识等方面探讨了基层央行信 息安全工作实际存在的六个方面的问题,并分析提出强化信息安全工作的 可行性建议:增加年轻、专业的科技人员配备,提升技术力量;加强应急 管理,使应急预案真能应急;进一步增强内联网、国际互联网防病毒等信 息安全措施;明确信息安全管理的相关政策法规,提高基层行的执行力; 严谨规范地做好存储介质管理,避免失密、泄密事件发生;加强人员教育 和管理,提高警惕,防范风险。关键词:信息安全;问题;工作建议近年来,基层央行网络和信息系统安全措施不断加强
2、,有力地保障了 各部门众多业务处理应用系统的正常运行。但是,面对日益严峻的信息安 全新形势,基层央行信息安全工作仍然面临一些困难、存在一些风险隐患。 笔者结合人行汉中市中心支行多年科技工作实践,对如何进一步加强基层 央行信息系统安全工作谈一些意见,提出相关改进建议。1信息安全工作存在的主要问题1.1科技人员配备不足,科技队伍结构不合理。尤其是县支行科技人 员缺乏,信息安全工作力量薄弱,部分信息安全措施难以落实。信息技术 更新速度很快,学习掌握需要较长时间和大量精力,对“年轻化”要求较 高,而且需要专门的知识技能做基础,系统掌握比较困难。目前中心支行 科技部门人员偏少,平均年龄偏大,对新知识新技
3、术的掌握普遍偏少,知 识老化现象比较严重,科技维护中只能处理日常外围故障,对诸如数据库 操作、软件编程、系统底层等故障等一些深层问题难以解决。人民银行县支行大多都没有专门的科技人员,科技工作由其它业务岗 位人员兼职,这些兼职科技人员年龄多在40岁以上,而且没有接受过专 门正规训练。由于业务工作繁忙,事务性工作较多,加之计算机技术本身 的深度和难度,其学习掌握信息安全技术的积极性、时间和精力远远不够。 另一方面各县支行科技工作的业务量较大、要求也较高,相形之下信息安 全工作难以落到实处。1.2信息系统应急工作薄弱。由于科技力量不足,导致信息系统应急 工作薄弱,尤其是县支行。目前大多数县支行信息系
4、统应急预案没有很好 地结合本单位实际情况进行修订,存在应急宣传培训不到位、应急预案更 新不及时、可操作性差等问题;受技术水平等因素限制,中心支行组织的 应急演练项目,多数支行只能配合进行一些简单的切换、监测、记录、反 馈等操作,对于网络中断、路由器、交换机、光端机故障等相对技术含量 较高的项目无力演练;此外信息系统应急物资不能满足应急需要,若遭受 毁灭性破坏,缺乏迅速搭建网络等重要业务应用系统的资源;由于县支行 应急工作不到位而缺少完整、系统的突发事件应急处置经验,在重大灾害、 故障面前,明显力不从心。1.3防病毒能力较弱,国际互联网业务用计算机的安全措施亟待加 强。人民银行内联网络信息系统防
5、病毒软件单一,更新相对滞后,难以有 效防范比较新型的木马、黑客等病毒。在国际互联网上运行的计算机信息 系统(如集中代收付、外汇管理等)缺少统一、有效的反病毒软件和其它 安全防范软件。1.4监督管理政策不明确、法律依据缺乏。总行、西安分行科技工作 会议明确指出:人民银行科技部门的工作思路需要由过去的偏重内部建设 转变为内部建设与行业管理并重,要加强对辖内金融业信息化工作的协调 和指导力度,探索可行的行业管理模式。总行L:经制定了金融信息安全属地化管理的思路,基层行科技部门肩 负着指导、协调辖内金融业信息化工作的职责,要对信息安全工作进行指 导和检查,对银行卡联网通用进行督促和检查,对辖内银行业、
6、证券业、 保险业信息化状况进行调研。在履行上述工作职责过程中,由于相关政策 不够明确、法律依据缺乏,使得对金融业信息系统安全监督管理等工作难 以落实。1.5存储介质管理存在风险,管理制度不够完善。一是没有妥善保存: 工作中时常发现备份数据的存储介质随处乱放、不及时入柜上锁保存的情 况。二是警惕性不高:存在涉密数据和普通文档存放在同一个存储介质的 情况。三是未及时定密:存在涉密数据存储介质未及时确定密级、未按涉 密存储介质管理的问题。四是备份数据的规定不太明确:有的系统仅仅要 求做好数据备份,但对采用何种存储介质、数据备份周期、存储介质的保 存时间、存储介质的翻新时间、销毁时间等没有明确的规定。
7、1.6信息安全的全员意识需要增强,信息安全风险管理意识有待进一 步提高。经过多年的信息系统安全教育,全员信息安全意识已显著提高, 但是部分部门、一些员工的信息安全意识依然薄弱,工作人员安全保密的 常识缺乏,警惕性不高,制度执行中存在不坚持原则、用信任代替原则、 用人情代替制度情况;工作中存在人员离开不退出涉密应用系统或锁定计 算机、重要资料信息在网络上随意共享等现象;密码设置存在复杂度不够 易于破解、易被套取的情况,反映出信息安全风险管理意识亟待加强。2加强信息安全工作的建议2. 1增加年轻、专业的科技人员配备,加强技术力量。建议在条件允 许的情况下,加快人才选配步伐,适当给中心支行,尤其是县
8、支行配备信 息安全、软件开发等相关专业的本科生或研究生,提高科技力量储备。2.2进一步加强县支行的信息应急工作。在尽可能增配县支行科技力 量基础上,结合实际组织安排攻坚性的应急预案更新和修订工作,增强可 操作性和实战性,适时开展演练,同时加强应急措施和应急步骤的宣传培 训;在条件许可情况下,储备比较充分的网络暨信息系统应急物资。2.3进一步强化信息安全措施。建议在统一测试、选型的基础上为内 联网络增配反病毒软件,为国际互联网上运行的计算机增加统一、有效的 反病毒工具,执行反病毒程序的实时监控和调度扫描,对客户端的升级、 系统定期检查、清除病毒等操作进行集约控制,加强病毒防范能力。2.4加强法规
9、建设规范监管工作。建议在条件成熟时,制定央行对金 融业信息系统管理监督工作的法律规章,规范操作内容和程序,促进基层 行执行力的提高。2.5进行存储介质管理知识培训,规范、强化存储介质管理工作。应 将一般数据和涉密数据分别保存到不同的介质中;对涉密存储介质及时标 注密级,入柜上锁保管;强化操作人员安全保密意识和工作责任感;建议 对每个业务处理系统的数据备份周期、存储介质的保存时间、存储内容的 删除时间、存储介质的翻新时间、销毁时间等方面进行明确的规定。2.6加强人员教育和管理,提高警惕,防范风险(1) 制定员工学习信息系统安全和保密知识的制度,增加学习密度, 努力提高全体员工的信息安全意识和思想
10、觉悟,养成敢于坚持原则、严格 遵守安金保密规定、谨慎工作的良好习惯。(2) 通过“工具化”、“专业化”方式实施信息安全检查。通过实用 的、完备的软硬件工具,实现安全检查工具化、专业化和安全防范清晰化、 可控化,加大对基层行信息系统安全工作的检查力度,促进信息安全管理 措施落到实处。参考文献1 王宇,闫慧.信息安全保密技术T.北京:国防工业出版,2010.2 范红,冯登国.信息安全风险评估实施教程T.北京:清华大学出 版社,2007.3 程兴财.银行业计算机信息系统安全风险识别与控制T.西部金 融,2010, (4).4 孟爱科.把好“五关”确保信息安全T.西部金融,2008, (5).5 孟爱科.信息系统保密工作存在的问题和建议m.信息安全与技 术,2012, (11).作者简介:孟爱科(1971, 3-),男,陕西汉中人,本科,网络工程师,现供职于中国人民银行汉中市中心支行。
