论文部分内容阅读
随着基层央行业务范围的不断扩展,信息安全保障已成为央行业务可持续发展和系统安全运行重要内容。本文试从基层央行当前信息安全保障的风险隐患,提出加强信息安全管理的建议。
一、基层央行信息安全保障存在的主要问题
(一)日常业务操作不够规范。一是业务岗位、职责范围划分不明确,业务操作权限存在混乱现象;二是操作人员擅自修改计算机软、硬件设置,在计算机上安装、使用与业务无关的软件,极易造成操作系统、业务系统程序的崩溃;三是重要业务系统的计算机密码设置过于简单或未定期更换,使得一般人员极易进入应用系统,随意操作计算机,造成系统数据的丢失。
(二)基础设施环境不匹配。基层央行中心机房大多数都是建行时期建设,经过连续多年的日夜运行,已出现中心机房环境布局不合理、电子设备陈旧和线路老化等问题,安全隐患大,抵御自然灾害和突发事件的能力低。基层央行办公楼综合布线系统经过多年的使用,存在布局不合理、网点数量不足,难以适应快速的业务发展需要。基层央行中心机房消防设备、机房供配电设备、机房新风机、机房空调设备和机房网络设备等设备老化,急需更换和升级,如基层央行中心机房网络设备使用期限已达10年。
(三)信息安全保障制度执行不够到位。目前基层央行建立的信息安全保障制度难以适应当前信息安全面临的形势,软件开发、口令、密码、权限管理、操作员管理、计算机病毒防治等制度还有待于进一步完善,尤其是内控制度的实施更是基层央行信息安全保障中的一项薄弱环节。
(四)“病毒”的攻击与破坏。病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是人为制造的,它通常隐蔽在其他程序和文件之中,按照“程序”约定的条件引发,按照“程序”制定的方式进行破坏。寄生性、传染性、潜伏性、隐蔽性、破坏性是计算机病毒的特点,一旦被感染并发作,轻者造成个别计算机不正常工作,重者就可能造成较大的程序难以运行,同时也使网络无法正常运行,最终造成资源和财富的巨大浪费
二、建议及对策
(一)加强信息安全保障意识教育。
一是通过举办计算机知识培训、计算机知识竞赛等活动,加强对计算机操作人员的教育和培训;二是网络管理员和计算机操作人员应密切关注最新的漏洞及病毒信息,并安装相应修复补丁,养成及时更新系统补丁的良好习惯;三是从物理安全、网络安全、系统安全、数据安全、边界安全、应用安全等几个层面考虑建立信息化标准体系提高安全意识,从源头上抓安全防范。
(二)强化基础设施建设。
一是继续加大对基层央行中心机房新建及改造的力度,为信息安全保障提供重要的基础性保障。近年来科技支撑对机房建设要求的不断提高,加大人、财、物的投入,对中心机房进行新建或改造,对办公楼综合布线系统进行重新布线,是当前基层央行业务稳定发展的迫切需要。二是继续加大对基层央行中心机房主要电子设备的投资力度,为信息安全保障提供重要的物质保障。中心机房主要电子设备数量不足和陈旧老化,比如在用的不间断电源运行已近10年,网络设备使用期限也已达10年,且没有足够备用设备。加大对基层央行中心机房主要电子设备的投资力度,是当前基层央行业务稳定发展的迫切需要。
(三)遵守安全管理制度
一是未经允许不得在业务网、办公网上安装未经科技部门许可的应用软件,不得随意更改计算机操作系统和软件关键配置;二是禁止非本单位人员使用单位的办公网、业务网和外网计算机客户端;三是禁止在业务网、办公网上进行拨号网络测试及应用测试;四是严禁将外单位计算机直接接入办公网、业务网及外网;一旦发现以上操作将按信息安全管理规定进行严厉处罚
(四)加强对病毒的预防与治理。
主要是不使用非正版软件;对外来U盘、光盘首先进行查毒和杀毒;使用symantec杀毒软件,并启动其监控功能;如果发现新病毒,要立即寻找防御和杀灭方法;拒收来历不明的电子邮件。
(作者单位:中国人民银行随州市中心支行)
一、基层央行信息安全保障存在的主要问题
(一)日常业务操作不够规范。一是业务岗位、职责范围划分不明确,业务操作权限存在混乱现象;二是操作人员擅自修改计算机软、硬件设置,在计算机上安装、使用与业务无关的软件,极易造成操作系统、业务系统程序的崩溃;三是重要业务系统的计算机密码设置过于简单或未定期更换,使得一般人员极易进入应用系统,随意操作计算机,造成系统数据的丢失。
(二)基础设施环境不匹配。基层央行中心机房大多数都是建行时期建设,经过连续多年的日夜运行,已出现中心机房环境布局不合理、电子设备陈旧和线路老化等问题,安全隐患大,抵御自然灾害和突发事件的能力低。基层央行办公楼综合布线系统经过多年的使用,存在布局不合理、网点数量不足,难以适应快速的业务发展需要。基层央行中心机房消防设备、机房供配电设备、机房新风机、机房空调设备和机房网络设备等设备老化,急需更换和升级,如基层央行中心机房网络设备使用期限已达10年。
(三)信息安全保障制度执行不够到位。目前基层央行建立的信息安全保障制度难以适应当前信息安全面临的形势,软件开发、口令、密码、权限管理、操作员管理、计算机病毒防治等制度还有待于进一步完善,尤其是内控制度的实施更是基层央行信息安全保障中的一项薄弱环节。
(四)“病毒”的攻击与破坏。病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是人为制造的,它通常隐蔽在其他程序和文件之中,按照“程序”约定的条件引发,按照“程序”制定的方式进行破坏。寄生性、传染性、潜伏性、隐蔽性、破坏性是计算机病毒的特点,一旦被感染并发作,轻者造成个别计算机不正常工作,重者就可能造成较大的程序难以运行,同时也使网络无法正常运行,最终造成资源和财富的巨大浪费
二、建议及对策
(一)加强信息安全保障意识教育。
一是通过举办计算机知识培训、计算机知识竞赛等活动,加强对计算机操作人员的教育和培训;二是网络管理员和计算机操作人员应密切关注最新的漏洞及病毒信息,并安装相应修复补丁,养成及时更新系统补丁的良好习惯;三是从物理安全、网络安全、系统安全、数据安全、边界安全、应用安全等几个层面考虑建立信息化标准体系提高安全意识,从源头上抓安全防范。
(二)强化基础设施建设。
一是继续加大对基层央行中心机房新建及改造的力度,为信息安全保障提供重要的基础性保障。近年来科技支撑对机房建设要求的不断提高,加大人、财、物的投入,对中心机房进行新建或改造,对办公楼综合布线系统进行重新布线,是当前基层央行业务稳定发展的迫切需要。二是继续加大对基层央行中心机房主要电子设备的投资力度,为信息安全保障提供重要的物质保障。中心机房主要电子设备数量不足和陈旧老化,比如在用的不间断电源运行已近10年,网络设备使用期限也已达10年,且没有足够备用设备。加大对基层央行中心机房主要电子设备的投资力度,是当前基层央行业务稳定发展的迫切需要。
(三)遵守安全管理制度
一是未经允许不得在业务网、办公网上安装未经科技部门许可的应用软件,不得随意更改计算机操作系统和软件关键配置;二是禁止非本单位人员使用单位的办公网、业务网和外网计算机客户端;三是禁止在业务网、办公网上进行拨号网络测试及应用测试;四是严禁将外单位计算机直接接入办公网、业务网及外网;一旦发现以上操作将按信息安全管理规定进行严厉处罚
(四)加强对病毒的预防与治理。
主要是不使用非正版软件;对外来U盘、光盘首先进行查毒和杀毒;使用symantec杀毒软件,并启动其监控功能;如果发现新病毒,要立即寻找防御和杀灭方法;拒收来历不明的电子邮件。
(作者单位:中国人民银行随州市中心支行)