基层央行计算机网络与信息安全防范工作探讨.docVIP

基层央行计算机网络与信息安全防范工作探讨 中国人民银行大田县支行 连良琦 摘要：人民银行的业务信息处理集中后，县支行科技部门工作重心逐步转变到计算机网络与信息安全上。计算机网络与信息安全是个大范畴概念，所涉及的范围极广，防范信息安全风险难免百密一疏。本文对县支行的计算机信息安全防范工作进行全面梳理，提出一套适合基层央行计算机网络与信息安全防范的工作方法，确保防范工作百无一疏。 关键词：科技管理；网络与信息安全；防范 一、基层央行计算机网络与信息安全现状 具有健全的组织机构，建设较为完善的安全管理规章制度。建设符合县支行机房标准的网络机房，具有高可靠的内联网络节点。严格客户端管理，安装反病毒、非法外联等安全软件。配备长时效UPS和大功率发电机，具有较强保障能力的电力供应。制定切实可行的安全应急预案，定期开展预案演练。 二、影响基层央行计算机网络与信息安全的高危因素 1、科技人员因素。县支行现有的科技人员基本上都是九十年代入行的，年龄老化，专业技术陈旧，知识更新不系统，导致业务能力下降。科技人员岗位多年未调整且身兼多职，岗位似专非专，职责不清，思想麻痹，工作态度和工作热情大打折扣。 2、部分员工安全意识不高，安全责任不清。一是思想认识问题。对信息安全认识不到位，对计算机病毒、计算机保密等信息安全事件抱着无所谓的态度或者存有侥幸心理；二是安全责任不清，员工对于自己因擅自修改安全配置、非法更改设置、违规使用移动存储介质等行为而造成的后果不知道要承担甚至不想去承担。安全责任不清，导致各种信息安全规定、制度无法有效实施。 3、供电与防雷隐患。县支行办公大楼总体配电设计、防雷设计、发电机启动时间、UPS电池有效性等方面存在安全隐患。 4、客户端安全管理漏洞。客户端受众面最广，使用者的操作水平和安全意识参差不齐，或擅自修改安全配置，或随意使用微机的USB端口插接各种手持智能设备用于充电，或通过业务网Notes邮箱、内联网论坛发布不良信息，存在管理上的漏洞。 5、应急演练能力待加强。县级的应急预案因受限业务能力水平，大多套用上级部门相应的应急预案，不能有效结合本地的实际情况，导致处置环节不够清晰，处置措施不够得力。同时缺乏应急预案的宣传与培训，应急人员职责不够明确，使应急演练效果打了折扣。 6、业务系统运行风险。由于县支行人员少业务杂，系统运行风险主要体现业务岗位设置是否合理、业务员是否遵守业务规程、业务员是否保管好USB-Key密钥和登录账号及密码、业务员密码是否按规定定期更换、业务操作是否存在一手清的情况。 7、计算机信息保密工作开展不力。保密人员缺乏计算机知识，没有掌握必要的管理手段，遇到计算机信息保密变得无从下手。保密安全宣传与培训不到位，信息保密内容界定模糊，信息安全保密意识淡薄，容易形成有密不保和无密可保的工作盲区。 三、县支行计算机网络与信息安全防范工作方法探讨与实践 1、建设一套健全的计算机网络与信息安全管理规章制度。 安全管理规章制度是确保信息安全的根本，通过制度规范业务操作，约束操作者的行为。应当包括信息安全管理制度、机房管理制度、网络保障制度、电子设备管理制度、病毒防治制度、互联网使用管理规定、计算机保密管理制度、移动存储介质管理规定等等。 2、建立一套高效的安全组织体系。 安全组织体系采用两层三级结构。两层即信息安全领导小组、各职能股(室)。三级即负责人、组织、安全人员。信息安全领导小组的负责人为一把手，安全人员为科技人员，并设AB角，各职能股(室)的负责人为各股长，安全人员为安全员。信息安全领导小组督促各职能股(室) 做好信息安全工作。领导小组组长与各股长通过签订信息安全责任状明确安全责任，为本部门的信息安全工作负责。科技人员负责全行信息安全各项工作的开展，做好计算机安全知识培训。各股(室)安全员做好本股 (室)的信息安全工作，科技人员指导安全员做好其所在部门的信息安全工作。 3、详尽的网络资料。 县支行信息安全最为关键的也是最脆弱的是网络连通保障。一旦网络不通，县支行成了信息孤岛，无法进行任何业务，直接影响上级行的业务开展。因此与网络相关的资料一定要全面、详细，以备网络出现故障时解决之需。这些资料应该包括：网络拓扑图、机柜配线架连接情况、信息模块连接情况、大楼综合布线资料、网络设备使用说明书、网络参数配置资料等等。 4、规范科技工作流程，严守各项操作规程。 工作流程是科技人员在开展科技工作时，根据相关制度规定的环节、步骤进行。规范科技工作流程可以确保制度得到有效的落实，避免科技工作出现漏洞。县支行科技工作流程包括：电子设备管理（采购、入库、交付、入网、维护、报废）、电子耗材采购、客户端USB存储功能开放审批、互联网接入使用审批、非工作人员出入机房审批、科技AB岗交接登记等等。操作规程是指导和规范各种具体操作，包括：新