甘肃省农村信用社网络信息安全管理.docVIP

甘肃省农村信用社的网络信息安全管理 三、甘肃省农村信用社网络信息安全现状分析 (一） 甘肃省农村信用社的信息化建设简述 甘肃省农村信用社自2006年全面启动信息化建设以来，2007年11月实现 了全省两千多个营业网点的通存通兑；2008年发行飞天卡，幵通96688客服热 线，并开始全面安装布放ATM机；2009年与北京农信银清算中心相联，开通了 全国农村信用社之间资金往来的农信银业务和人行兰州中心支行业务清算的现 代化支付系统，并逐步开始开发各项中间业务。在完成新会计准则改造、数据中 心建设的基础上，于2011年成功建成同城灾备中心。 (二） 甘肃省农村信用社网络信息安全管理分析 甘肃省农村信用社高管层对信息安全风险，以及风险带来的危害缺乏全面而 深刻的认识。领导层往往是在出现问题后才幵始关注，在安全运行的时候都没有 重视起来。这种不容乐观的管理环境很大程度上制约了我省农村信用社内部信息 安全风险管理工作的开展。我主要从以下五个方面加以分析- 1、 信息安全风险管理方面的设备投入和专业技术人才保证相对于信息化建 设的总体投入而言重视不够。目前，省联社科技部承担的职责相当于商业银行总 行开发和运维两个中心职责，与商业银行总行上千人的开发维护队伍相比，人员 数量、技术结构差距很大。通过市场化、商业化手段，借助外部资源，才能弥补 人员、技术缺口和差距。如果忽视必要的设备及人力资源投入，原有的风险隐患 得不到及时、全面、彻底的发现并解决，新的风险隐患又随着新系统的上线逐步 增加，日积月累，风险隐患会更多。 2、 甘肃省农村信用社目前只是在信息系统的运行初级阶段，注重的是信息 安全风险管理，而忽略了在信息系统的开发和建设阶段就存在的潜在风险隐患。 在我省农村信用社信息化建设高速发展的过程中，一些迫切需求的系统为了保证 按时上线，没有经过充分的测试和优化，就急于投产使用，在系统稳定性和安全 性方面，埋下了极大地信息安全管理风险隐患；甚至有个别系统明知有问题，还 带着潜在危险上线。这样的系统一旦投入运行，就需要频繁进行优化改造和安全 修补，加之后期的优化和修补，又不能做太大的调整，投鼠忌器，很难在短时期 内彻底解决风险隐患。所以，只有规范信息系统的开发和建设，将信息安全风险 管理理念应用到建设项目生命周期的全过程，才能从源头上有效的控制风险的引 入，彻底的解决信息系统风险管理问题。 3、 我省农村信用社的信息安全风险管理工作主要依赖事件来进行推动，从 来没有形成持续的信息安全风险管理机制。如果哪个系统出了问题，就对哪个系 统进行事后处理、整改存在的问题，问题解决之后，信息安全风险管理工作就停 滞不前了。 4、 信息运行管理工作还不够规范。重建设、轻管理现象依然非常严重； 制度执行力还需加强；各行社运行维护能力相对薄弱；基础设施不够完善。我省 农村信用社系统从总部到基层，整体对信息安全风险的认识不足，没有深刻认识 到客户和业务数据的大集中，也是风险的大集中，总体缺乏对控制风险和分散风 险的考虑。由于目前我省农村信用社的数据大集中模式，大部分县（区、市）农 村信用联社、农村合作银行、基层网点信息安全意识淡薄，甚至普遍认为：信息 安全是省联社中心机房考虑的事，与自己无关。 5、 科技队伍需要充实，人员水平亟待进一步提高。我省农村信用社目前的 科技人员数量编制与其他省联社和同行业相比存在明显差距。2011年实施项目 21项，2012年计划实施项目17项，系统的数量与现有人员相比严重不足。由于 人员不足，在后期二次幵发及系统运行维护存在风险隐患。据了解，同等数量系 统的商业银行或省级联社至少需要5G名科技人员。此外，各县（区、市）农村 信用联社、农村合作银行科技队伍不稳定，没有设置专门的职能部门和专职岗位。 科技人员缺乏系统培训，整体技术水平有限。 (三）甘肃省农村信用社网络信息安全技术分析 甘肃省农村信用社网络系统经过两年的建设，已初步建成以省中心为核心， 全省十四个地州市为汇聚点，覆盖全省两千多个营业网点的综合业务网络，实现 了数据大集中的处理模式，为今后多业务系统综合应用铺平了道路。数据大集中 处理方式使数据的实时性、一致性、安全性得到保证，降低了甘肃省农村信用社 今后设备资源的投入成本，最重要的是系统内部数据得到了整合，从而为甘肃省 农村信用社实施各种决策提供参考依据。 随着甘肃省农村信用社的发展以及数据业务系统在综合业务网络里的顺利 运行，新的业务应用需求随之而来，我省农村信用社综合业务系统除核心的金融 数据业务系统以外，还有诸如Tivoli监控业务系统、OA办公业务系统、视频业 务系统、财务管理系统等应用需求。 监控业务系统是金融行业内部重要的业务应用系统之一，应用监控系统可以 提高各营业网点对外部人员以及突发安全事件的预防、处理，同时也