论文部分内容阅读
摘 要: 计算机信息技术为我国金融业的飞速发展插上了翅膀,在充分享受计算机技术带来的快捷、方便、高效的优越性的同时,金融行业的计算机管理安全也面临着挑战。市场经济的飞速发展令我国金融行业迅速扩充并实现了计算机技术的广泛应用。在有效提升工作效率的同时也令各类计算机安全问题日益凸显,因此本文从安全管理角度探讨了计算机对金融机构的影响,并制定了有效的计算机安全管理策略,对提升金融机构安全管理水平,促进其持续、稳定发展有实践意义。
关键词: 计算机安全管理;金融机构
中图分类号:TU714文献标识码: A
随着金融机构信息化建设的不断深化和加强,金融机构对计算机安全管理的认识也有了极大的提高。随着各家金融机构不断推进改革、各类业务也在逐步与国际化接轨,在金融机构发展和改革中,不免会出现这样那样的安全问题,尤其是计算机管理问题越来越凸显出重要性,一旦发生安全风险事故,不仅会给金融业务的正常运行和办理带来巨大的负面影响,同时也会给金融机构的声誉及其市值带来不必要的损失。所以,金融机构必须将计算机运行安全工作当做一项重要的工作紧紧抓在手上,切不可掉以轻心,出现纰漏,以此来维护金融企业正常的运营秩序,确保金融活动的安全。
1 计算机安全管理的重要性
在金融监管部门,一旦计算机系统出现问题,作为第一责任人的企业法人要对问题负责,并要在最短时间内给出故障解决方案。再者,各个级别的责任人也要签订安全管理责任书,将职责细化到个人。金融机构计算安全管理工作的完善不仅可以促进金融业健康发展,还能推动整个IT行业治理水平的提升。如今,计算技术和信息技术日新月异,金融机构的信息化程度不断迈进,人们越来越认识到计算机安全管理的重要地位。如今的金融企业大多采用股份制,一旦计算机系统发生故障,不仅影响单一企业个体的运作和金融业务开展,这对关联的其他机构的稳定性也会造成一定影响。因此,提高计算安全管理水平,降低故障率,是保证金融业稳定发展的重要因素。
2 计算机安全管理中的问题及其分析
2.1 安全管理标准规范体系模糊
对金融机构而言,操作风险是难以预估的,也缺少成熟的定量尺度。《新巴塞尔资本协议》指出金融机构应按照相关标准实行一种较为准确的资本计算方法,旨在最大限度减小操作风险。然而,大多数金融机构对这项工作的着手都较晚,也从一个侧面反映出,金融业对操作风险的流程、量化方法、体系组成、工具还处于摸索阶段,无法达到信用风险评估、市场风险管理的要求。金融业计算机安全管理既与人为失误有关,也牵扯到复杂的计算机软硬件知识,这导致科学准确的度量评估存在着不小难度。国内金融业急需建立一套定量指标体系,准确衡量金融信息系统的隐患。相关部门在安全管理范围内建立配套法规标准,以期促进我国金融业的计算机安全管理水平。
对于金融机构来说,操作风险是一种难以控制的风险,我国金融企业目前还没有成熟的方法来对此进行计量。实际上许多的金融机构只是懂得如何去操作和使用计算机去办理业务,由于计算机隐形的漏洞对于一般的使用者来说是更本不存在着,因此会在一定程度上会放松这方面的控制。而国外的金融机构对安全工作极为重视,不断进行着监管和技术改造。从这些方面来看,金融业对于整个操作风险的管理体系。
2.2 重视灾难备份体系建设
金融机构要对灾难备份建设工作予以足够重视,立足于自身的经营实际,合理预估灾难恢复时效性以及自身风险承受能力,并坚持成本效益最大化原则。国际上先进的金融机构都有一套成熟的方法,首先确定备份等级,进而找到对应的备份策略,对核心设施和数据进行高等级灾难备份。我国的金融业主管部门应做好引导工作,督促其依据实际情况,分级实施、循序渐进,积极采纳国外同行先进经验,保证核心设施的运行可靠性,完成灾难备份建设的同时,尽量控制维护成本。
2.3 业务部门应积极参与到安全管理工作中来
金融机构计算机安全管理不仅仅是一项信息技术工作,它还处处渗透着金融业务的内容。例如业务持续性管理,信息部门建造完成灾难备份只是第一个环节,业务部门还要制定完备的应急预案,指导业务人员遭遇突发状况时最短时间内展开有效应急处理工作。在产品研发过程中,质量问题会埋下潜在的系统风险,程序设计漏洞、测试不完整、接口不稳定等因素都会引发产品质量问题,所以业务部门和科技部门需要通力合作,共同抵制风险。业务部门尤其要重视项目计划,及时制定详细的业务需求明细表,尽可能避免项目研发后期的需求改动;另外,要尽量压缩安全系统资源占有率,并积极关注产品的后期使用效益。
3 计算机安全管理的有效措施
3.1 组建计算机安全管理体系
以银行为例,可以推举行长或副行长担任安全管理负责人,金融部、信息管理部、运行维护部的主管为成员,共同负责计算安全管理重大事件的决策,以及应急预案制定、灾难备份等工作。科技部部长应定期向组长汇报安全管理工作的进展和成效。同时,银行分部的科技部门也要建立专门负责计算机安全管理工作的小组,协调划一,形成一批保障计算机安全管理的专业队伍。
3.2 项目开发管理
金融机构要注意安全管理软件的升级维护,确保软件可靠运行。1)不断完善研发测试管理流程,加强对方案审定、过程控制、项目质量实时跟踪、需求管理等工作的管控。2)及时优化软件版本,并做好相应的测试投产工作,遵循版本集中投产,不要短期内频繁更换软件版本,尽量降低软件版本更迭带来的风险隐患。3)与业务部门做好沟通协调工作,这样有利于分散风险,实现共同担当。
3.3 硬件运行环境
计算机是现代化高精度的电子设备,对周围运行环境有着严格要求,硬件维护人员要定期检查硬件设备,防止重大事故的发生。此外,还要侧重以下两个方面:1)对硬件环境的屏蔽处理。屏蔽包括静电屏蔽、磁屏蔽和电磁屏蔽。2)主要业务系统的设备要双机备份。通讯控制设备最好能通过电子开关实现自动切换,提供良好的接地和供电环境,确保给系统提供纯净的电流和不问断供电。
3.4 运行维护与安全管理
计算机安全管理的一项重要任务就是控制生产运行风险。据不完全统计,大约50%的生产风险源于安全管理方法不当。金融机构要将计算机安全管理工作置于首位,督导各部门尽职尽责,避免系统运行风险的发生。首先应建立集中控制的监管平台,对主机、业务平台进行状态实时监测,实现监控无人化、智能化。再者,通过布置帮助系统、网管系统、容量优化系统、资源管理系统,提高生产运行效率。最后,应明确应急预案的实施流程,尽可能把风险灾难的影响降至最低。
3.5 信息安全控制
首先建立严格的信息安全内部管控体系,综合技术和管理手段,保障金融数据的保密性、可用性、完备性。金融机构要有专门的信息安全防护团队,及时排查接触各类安全隐患。另外,落实安全体系规范、部署防火墙、漏洞侦测、入侵报警等防护工具,实现客户端的可靠运行。如果有了强大的防御措施,即使受到恶意攻击,也不会对信息系统的内核产生影响,仍然可以维持正常的金融业务开展。
4.强化计算机安全管理措施保证运行安全
(1)构建计算机安全管理体系。金融行业是一个充满风险和安全问题的行业,整个体系需要一个全局性。系统性的管理体系来加以监督,才能实现安全的运行,确保运行质量的高水平。针对银行系统的特点,我们应该进行规划组建一个计算机安全管理和监督机构,首先作为银行企业第一责任人的银行行长,应该担任计算机安全管理体系的组长,主管副行长担任副组长,同时要抽调办公室、营业部、信贷部、信息中心、运行管理部等有关部门的负责人作为安全管理的组成人员,组成一支具有高素质的计算机安全管理队伍,在日常的工作中随时要对自己所承担的职责进行了解和调查,全力做好重大事件的应急处理、灾难备份、恢复计算机信息系统等的各种安全防护工作。安全科技部门要定期向管理组织汇报计算机安全管理工作情况。各个成员单位也要在集体会议上汇报发现的安全问题,以及需要改进工作的意见和建议。对重大的安全问题要经过认真研究,进行解决,对存在的管理缺陷及时改进。同时,银行要重视科技安全人员的素质提升,要选派一些在计算机管理方面有专长的员工到相关院校学习,对那些管理能力较强的员工,要不断进行技术方面的技能提升,到先进的银行去学习取经,进而形成一批专业技能强、业务精湛的人才队伍,确保计算机安全管理工作的正常运行。
(2)认真抓好项目开发和管理确保质量。金融机构对于计算机软件版本质量的要求非常高,针对银行业的安全要求,我们要采取积极有效的措施来加以保障。首先要在研发与测试管理流程方面不断完善,加强对项目方案的认定和审核、对研发过程、项目质量的指标要严格控制;然后要及时对计算机应用版本进行优化调整,进而对所研发的产品进行测试和投产,要按照节能降耗的原则对版本进行集中投产,以此来解决版本投产较为频繁等问题,其次是要求业务部门开展有效地业务间的配合,深化合作交流的方式,从而形成相互配合、协调联动、环环相扣的局面,实现分散风险的目的。
(3)计算机运行维护与操作的监管。需要建立统一且集中的监控管理平台,对主机、开放平台等各类应用系统开展实时监控,实现生产操作、监控的自动化;接着经过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具与系统,逐渐提高生产运行管理的自动化程度;最后需要建立完备的应急管理体系,明确应急预案与流程,保证出现紧急事件依然能够进行妥善处理,把不良影响降到最低。实施信息安全管理工作,首要建立健全信息安全的内部控制体系,利用技术和管理手段,保证金融机构信息系统和数据的机密性、完整性、可用性。金融机构需要组建一支专门的信息安全防护队伍,对于各类信息存在的安全隐患,及时进行分析和解决。保持系统的正常运行和金融业务的办理,维护了金融機构的声誉。
5 结束语
计算机安全管理工作是金融业需要认真对待的问题,不仅需要金融机构各方面共同关注,也需要各级主管部门与业务部门级科技部门通力合作,为打造一个安全稳定的发展平台而共同努力!
参考文献
[1]潘宇乐.浅谈金融机构计算机安全管理存在的问题及对策[J].计算机光盘软件与应用,2010(11).
[2]李刚.对金融机构计算机安全管理的思考[J].硅谷,2009(9).
[3]王欣宇.基层金融机构计算机安全管理问题及对策[J].应用科学,2008(1).
关键词: 计算机安全管理;金融机构
中图分类号:TU714文献标识码: A
随着金融机构信息化建设的不断深化和加强,金融机构对计算机安全管理的认识也有了极大的提高。随着各家金融机构不断推进改革、各类业务也在逐步与国际化接轨,在金融机构发展和改革中,不免会出现这样那样的安全问题,尤其是计算机管理问题越来越凸显出重要性,一旦发生安全风险事故,不仅会给金融业务的正常运行和办理带来巨大的负面影响,同时也会给金融机构的声誉及其市值带来不必要的损失。所以,金融机构必须将计算机运行安全工作当做一项重要的工作紧紧抓在手上,切不可掉以轻心,出现纰漏,以此来维护金融企业正常的运营秩序,确保金融活动的安全。
1 计算机安全管理的重要性
在金融监管部门,一旦计算机系统出现问题,作为第一责任人的企业法人要对问题负责,并要在最短时间内给出故障解决方案。再者,各个级别的责任人也要签订安全管理责任书,将职责细化到个人。金融机构计算安全管理工作的完善不仅可以促进金融业健康发展,还能推动整个IT行业治理水平的提升。如今,计算技术和信息技术日新月异,金融机构的信息化程度不断迈进,人们越来越认识到计算机安全管理的重要地位。如今的金融企业大多采用股份制,一旦计算机系统发生故障,不仅影响单一企业个体的运作和金融业务开展,这对关联的其他机构的稳定性也会造成一定影响。因此,提高计算安全管理水平,降低故障率,是保证金融业稳定发展的重要因素。
2 计算机安全管理中的问题及其分析
2.1 安全管理标准规范体系模糊
对金融机构而言,操作风险是难以预估的,也缺少成熟的定量尺度。《新巴塞尔资本协议》指出金融机构应按照相关标准实行一种较为准确的资本计算方法,旨在最大限度减小操作风险。然而,大多数金融机构对这项工作的着手都较晚,也从一个侧面反映出,金融业对操作风险的流程、量化方法、体系组成、工具还处于摸索阶段,无法达到信用风险评估、市场风险管理的要求。金融业计算机安全管理既与人为失误有关,也牵扯到复杂的计算机软硬件知识,这导致科学准确的度量评估存在着不小难度。国内金融业急需建立一套定量指标体系,准确衡量金融信息系统的隐患。相关部门在安全管理范围内建立配套法规标准,以期促进我国金融业的计算机安全管理水平。
对于金融机构来说,操作风险是一种难以控制的风险,我国金融企业目前还没有成熟的方法来对此进行计量。实际上许多的金融机构只是懂得如何去操作和使用计算机去办理业务,由于计算机隐形的漏洞对于一般的使用者来说是更本不存在着,因此会在一定程度上会放松这方面的控制。而国外的金融机构对安全工作极为重视,不断进行着监管和技术改造。从这些方面来看,金融业对于整个操作风险的管理体系。
2.2 重视灾难备份体系建设
金融机构要对灾难备份建设工作予以足够重视,立足于自身的经营实际,合理预估灾难恢复时效性以及自身风险承受能力,并坚持成本效益最大化原则。国际上先进的金融机构都有一套成熟的方法,首先确定备份等级,进而找到对应的备份策略,对核心设施和数据进行高等级灾难备份。我国的金融业主管部门应做好引导工作,督促其依据实际情况,分级实施、循序渐进,积极采纳国外同行先进经验,保证核心设施的运行可靠性,完成灾难备份建设的同时,尽量控制维护成本。
2.3 业务部门应积极参与到安全管理工作中来
金融机构计算机安全管理不仅仅是一项信息技术工作,它还处处渗透着金融业务的内容。例如业务持续性管理,信息部门建造完成灾难备份只是第一个环节,业务部门还要制定完备的应急预案,指导业务人员遭遇突发状况时最短时间内展开有效应急处理工作。在产品研发过程中,质量问题会埋下潜在的系统风险,程序设计漏洞、测试不完整、接口不稳定等因素都会引发产品质量问题,所以业务部门和科技部门需要通力合作,共同抵制风险。业务部门尤其要重视项目计划,及时制定详细的业务需求明细表,尽可能避免项目研发后期的需求改动;另外,要尽量压缩安全系统资源占有率,并积极关注产品的后期使用效益。
3 计算机安全管理的有效措施
3.1 组建计算机安全管理体系
以银行为例,可以推举行长或副行长担任安全管理负责人,金融部、信息管理部、运行维护部的主管为成员,共同负责计算安全管理重大事件的决策,以及应急预案制定、灾难备份等工作。科技部部长应定期向组长汇报安全管理工作的进展和成效。同时,银行分部的科技部门也要建立专门负责计算机安全管理工作的小组,协调划一,形成一批保障计算机安全管理的专业队伍。
3.2 项目开发管理
金融机构要注意安全管理软件的升级维护,确保软件可靠运行。1)不断完善研发测试管理流程,加强对方案审定、过程控制、项目质量实时跟踪、需求管理等工作的管控。2)及时优化软件版本,并做好相应的测试投产工作,遵循版本集中投产,不要短期内频繁更换软件版本,尽量降低软件版本更迭带来的风险隐患。3)与业务部门做好沟通协调工作,这样有利于分散风险,实现共同担当。
3.3 硬件运行环境
计算机是现代化高精度的电子设备,对周围运行环境有着严格要求,硬件维护人员要定期检查硬件设备,防止重大事故的发生。此外,还要侧重以下两个方面:1)对硬件环境的屏蔽处理。屏蔽包括静电屏蔽、磁屏蔽和电磁屏蔽。2)主要业务系统的设备要双机备份。通讯控制设备最好能通过电子开关实现自动切换,提供良好的接地和供电环境,确保给系统提供纯净的电流和不问断供电。
3.4 运行维护与安全管理
计算机安全管理的一项重要任务就是控制生产运行风险。据不完全统计,大约50%的生产风险源于安全管理方法不当。金融机构要将计算机安全管理工作置于首位,督导各部门尽职尽责,避免系统运行风险的发生。首先应建立集中控制的监管平台,对主机、业务平台进行状态实时监测,实现监控无人化、智能化。再者,通过布置帮助系统、网管系统、容量优化系统、资源管理系统,提高生产运行效率。最后,应明确应急预案的实施流程,尽可能把风险灾难的影响降至最低。
3.5 信息安全控制
首先建立严格的信息安全内部管控体系,综合技术和管理手段,保障金融数据的保密性、可用性、完备性。金融机构要有专门的信息安全防护团队,及时排查接触各类安全隐患。另外,落实安全体系规范、部署防火墙、漏洞侦测、入侵报警等防护工具,实现客户端的可靠运行。如果有了强大的防御措施,即使受到恶意攻击,也不会对信息系统的内核产生影响,仍然可以维持正常的金融业务开展。
4.强化计算机安全管理措施保证运行安全
(1)构建计算机安全管理体系。金融行业是一个充满风险和安全问题的行业,整个体系需要一个全局性。系统性的管理体系来加以监督,才能实现安全的运行,确保运行质量的高水平。针对银行系统的特点,我们应该进行规划组建一个计算机安全管理和监督机构,首先作为银行企业第一责任人的银行行长,应该担任计算机安全管理体系的组长,主管副行长担任副组长,同时要抽调办公室、营业部、信贷部、信息中心、运行管理部等有关部门的负责人作为安全管理的组成人员,组成一支具有高素质的计算机安全管理队伍,在日常的工作中随时要对自己所承担的职责进行了解和调查,全力做好重大事件的应急处理、灾难备份、恢复计算机信息系统等的各种安全防护工作。安全科技部门要定期向管理组织汇报计算机安全管理工作情况。各个成员单位也要在集体会议上汇报发现的安全问题,以及需要改进工作的意见和建议。对重大的安全问题要经过认真研究,进行解决,对存在的管理缺陷及时改进。同时,银行要重视科技安全人员的素质提升,要选派一些在计算机管理方面有专长的员工到相关院校学习,对那些管理能力较强的员工,要不断进行技术方面的技能提升,到先进的银行去学习取经,进而形成一批专业技能强、业务精湛的人才队伍,确保计算机安全管理工作的正常运行。
(2)认真抓好项目开发和管理确保质量。金融机构对于计算机软件版本质量的要求非常高,针对银行业的安全要求,我们要采取积极有效的措施来加以保障。首先要在研发与测试管理流程方面不断完善,加强对项目方案的认定和审核、对研发过程、项目质量的指标要严格控制;然后要及时对计算机应用版本进行优化调整,进而对所研发的产品进行测试和投产,要按照节能降耗的原则对版本进行集中投产,以此来解决版本投产较为频繁等问题,其次是要求业务部门开展有效地业务间的配合,深化合作交流的方式,从而形成相互配合、协调联动、环环相扣的局面,实现分散风险的目的。
(3)计算机运行维护与操作的监管。需要建立统一且集中的监控管理平台,对主机、开放平台等各类应用系统开展实时监控,实现生产操作、监控的自动化;接着经过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具与系统,逐渐提高生产运行管理的自动化程度;最后需要建立完备的应急管理体系,明确应急预案与流程,保证出现紧急事件依然能够进行妥善处理,把不良影响降到最低。实施信息安全管理工作,首要建立健全信息安全的内部控制体系,利用技术和管理手段,保证金融机构信息系统和数据的机密性、完整性、可用性。金融机构需要组建一支专门的信息安全防护队伍,对于各类信息存在的安全隐患,及时进行分析和解决。保持系统的正常运行和金融业务的办理,维护了金融機构的声誉。
5 结束语
计算机安全管理工作是金融业需要认真对待的问题,不仅需要金融机构各方面共同关注,也需要各级主管部门与业务部门级科技部门通力合作,为打造一个安全稳定的发展平台而共同努力!
参考文献
[1]潘宇乐.浅谈金融机构计算机安全管理存在的问题及对策[J].计算机光盘软件与应用,2010(11).
[2]李刚.对金融机构计算机安全管理的思考[J].硅谷,2009(9).
[3]王欣宇.基层金融机构计算机安全管理问题及对策[J].应用科学,2008(1).