浅谈基层央行计算机信息安全隐患及对策.docVIP

浅谈基层央行计算机信息安全隐患及对策 　　摘要：在信息化高度发展的今天，人民银行电子化建设驶入快车道，诸多重要业务系统的上线运行，在资源整合、数据集中步伐加快、信息化应用水平不断提高，信息系统带来更高效能、便捷服务的同时，也使信息系统面临着较大的安全风险，本文在剖析基层央行计算机信息安全隐患的基础上，提出相关建议。 　　关键词：基层央行；信息安全 　　中图分类号：F830.5 文献标识码：B 文章编号：1674-0017-2013（3）-0094-03 　　随着计算机技术的快速发展，人民银行基层行的各项业务处理中，大部分业务系统已逐步实现资源整合、数据集中、资源共享。与此同时，对其管理者及员工的信息技术应用能力及管理方式也提出了更高、更科学的要求。 　　一、目前基层央行计算机信息安全存在的隐患 　　基层央行信息安全是指在人民银行信息化项目立项、建设、运行、维护、废止等过程中保障计算机及其相关系统、环境、网络和操作安全的一系列管理活动。目前基层央行的重要信息系统主要分为业务处理系统（即会计集中核算、国库会计核算、国库收支统计、货币发行信息管理、金融统计、信贷登记咨询等系统）和管理信息系统（固定资产管理、人事劳资管理、财务会计报表、账户管理、办公自动化等系统）。 　　近年来，围绕信息系统安全稳定运行的目标，诸多重要业务系统的上线运行，在资源整合、数据集中步伐加快、信息化应用水平不断提高，信息系统带来更高效能的同时，也不可避免的出现了诸多威胁信息安全的隐患，影响着央行履行职责的发挥，成为迫切需要解决的问题。 　　（一）观念方面。尽管各分支机构越来越重视网络系统建设，但仍有部分基层行的信息安全理念比较淡漠，出现了诸如“重应用、轻管理”，未建立网络漏洞扫描系统、不严格按照应用系统操作规程操作，密码设定、更换不及时，系统退出不规范，移动存储介质管理不严格、数码相机操作不合规、业务用机软件安装审核不严格等等违章操作现象，形成操作风险隐患。同时，发挥计算机安全领导小组核心作用不够，尤其是目前只有极少数县支行由一名专职科技人员负责科技工作，挂靠办公室，负责业务应用系统、网络、计算机客户端、机房、UPS电源设备、打印机等日常维护及全行信息系统安全保障工作。大部分县支行无专职科技人员负责科技工作，只有一名信息安全管理岗位负责科技工作（兼职），而兼职计算机安全员大都有自己承担的业务工作，虽想做好计算机安全工作，但仍然存在力不从心的现象。 　　（二）技术方面。主要表现为硬件环境和业务系统的安全隐患。包括网络硬件的安全缺陷、通讯线路的安全缺陷、技术被动引起的安全缺陷、非法用户对系统资源的非法使用及合法用户对系统资源的非法使用等，特别是来自系统内部的安全威胁。由于计算机系统本身的脆弱性，使其无法抵御自然灾害的破坏，难以避免偶然无意造成的危害，部分软件本身缺乏安全性导致操作系统中的安全缺陷相当多，加之目前新上线的重要信息系统比较多且具有天然的脆弱性，存在环节多、薄弱环节也多的问题，而且重要的信息需要多人、多部门介入协同工作，除了有意破坏之外，人的失误也会带来危害。特别涉及资金的重要业务系统，一旦内控制度执行不力或操作失误，发生风险的可能性就加大。基础设施建设相对落后，特别是县支行主要承担维护工作如应用系统维护、新系统上线、计算机客户端维护、机房维护等，由于资金投入较少，基础设施较差，机房面积和安全设施远不能满足业务发展的需要，达不到机房安全标准，更是存在一定的安全隐患。此外，信息安全检查没有配套的检查工具，难以实现对所查计算机的全盘专业检查，对有疑问的文件或数据只能靠手动搜索、肉眼观察等方式进行处理，难免出现检查不全面、有遗漏等问题的存在。 　　（三）管理方面。“三分技术，七分管理”。信息安全不是单纯的技术问题，也是管理问题。如果不从人防、技防和管理制度上建立相应的计算机信息安全防范机制，再好的技术和设备都无济于事。根据《中国人民银行信息安全管理规定》（银发〔2005〕211号）文件精神，基层央行各单位均设立了计算机安全领导小组，配有专、兼职信息安全管理员和部门计算机安全员，但来自各方面的安全隐患仍然存在。如由于央行的网络架构杜绝了来自外部的非法访问，对内的规范管理显得尤为重要，内部人员了解网络、主机和应用系统的结构，拥有系统一定的访问权限，一旦出现问题，后果不堪设想。配套的计算机信息安全规章制度调整更新的速度明显落后于快速发展的央行业务，加之县支行人员配备滞后，县支行的专、兼职信息安全管理员，既要负责全行信息安全工作，又身兼办公室其他工作，对研究信息安全工作的深度还有局限，很难单枪匹马的对本单位信息安全情况进行全面客观的分析和有针对性地开展安全检查，及时发现并解决信息系统运行中的风险隐患，在一定程度上削弱了信息安全管理力度。此外