农发行信息系统风险分析与安全管理对策.docVIP

农发行信息系统风险分析与安全管理对策 　　【摘 要】农发行信息化建设为业务发展提供了强有力科技支撑，但同时也存在各种各样的信息安全风险。本文从正确认识、充分把握和采取得力措施，提出了将风险控制在最小范围内的管理对策。 　　【关键词】信息系统；风险；安全管理 　　 0.引言 　　任何信息系统的应用，都会有风险相伴生，风险是永远客观存在的，怎样防范风险、怎样控制风险，是信息化建设过程中必须应对的问题。只有对于风险有全面的认识和正确的把握，才能有效应对风险的挑战。中国农业发展银行（本文简称农发行）会计综合业务系统和CM2006信贷管理系统的应用，一方面为农发行的业务提供了有力的科技支撑，而另一方面，系统在应用中也会存在各种各样的潜在风险。客观分析、正确认识系统应用中存在的风险, 积极探索、采取有效措施解决存在的风险至关重要。 　　 1.信息系统风险分析 　　1.1对系统应用风险的认识不足 　　信息科技的特点决定了风险无轻重，漏洞无大小，大问题往往都是由小问题、小漏洞引起的。在实际工作中，大家往往对应用风险问题都表现出不同程度的漠视，或者错误的认识，认为信息系统应该达到安全可靠，要求系统提供商承诺软件系统功能无差错，要求系统提供商承担系统错误造成的损失和影响。 　　1.2系统硬件环境风险 　　系统的运用，依赖于特定的硬件环境，例如服务器、网络等等，这些环境依赖大量的硬件设备，这些设备自身都存在一定的故障率，这类故障发生时必然影响系统正常运行。 　　1.3系统所采用的技术带来的风险 　　任何信息系统的建设总是利用一定的技术手段进行实现，会计综合业务系统和CM2006系统使用了JAVA、ORACLE数据库、中间件、应用服务器等，这些技术手段虽然都是商业化的，但其自身也是一个信息产品，受制各种客观因素，依然不可能根除出现错误的可能，在这些技术手段之上构建的信息系统自然会受到这些风险的影响。 　　1.4系统建设和改造过程中的风险 　　系统建设和改造中，经历了需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程，这些过程中都存在导致日后系统出现错误造成损失的风险。例如：改造的需求调研阶段，技术人员对需求认识的局限性，将造成未来系统的局限性。在日后系统应用过程中，当这种局限性的条件满足时，可能对系统的使用产生影响；系统改造中的开发测试阶段，每一项功能都是由技术人员编写程序代码实现，此项工作繁琐且复杂，人非机器，错误是不可绝对避免，开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统，不可能对系统进行全方位的验证，系统出错的可能性永远存在。 　　1.5系统使用、维护过程中人的风险 　　系统的最终价值是通过人的使用发挥出来的，在系统的使用中，操作人员不当操作可能造成错误；系统维护中，维护人员的能力、经验的欠缺，可能对系统引入新的错误，这些都是导致损失发生的风险。 　　1.6系统的应用高度集中，风险扩大 　　信息技术对农发行业务发展的支持，经历了从最初的单机、单点应用，演变到现在的通过网络化应用，以数据集中、业务处理逻辑集中为代表的综合业务系统和CM2006系统是具体的表现；目前的自动化、集中化处理降低了信息化建设的成本、增强了系统的灵活性，这些进步既是技术发展的方向，也是农发行管理变革的要求。但同时，风险也相应增大了，一个小小的错误，可能会影响到全国农发行系统整个业务的连续性。 　　1.7网络风险 　　信息技术发展到今天，网络技术创新和迅速普及，为信息技术的广泛应用奠定了基础，网络成为提升服务质量、扩宽业务的一个重要的手段。但另一方面，随着信息技术的飞速发展，网络环境日益严峻复杂，各种威胁信息安全的事件也大幅增加，入侵手段也越来越复杂，这一切，给我行的网络安全带来了更加严峻的考验。2007年2月7日农发行发生了一次网络风暴，整个系统因各种原因导致达2个小时的生产网络无法正常通信，产生了较为严重的后果。 　　 2.安全管理对策 　　2.1提高思想认识 　　(1)领导要高度重视。各级行领导层应从关系到银行生死存亡的高度来认识信息技术风险防范工作的重要性，持之以恒地抓好信息安全工作，实行“安全工作一把手”负责制，落实安全工作“一票否决制”。 　　(2)要全员参与。信息技术风险控制涉及各个部门、各个环节，仅靠一个部门是做不好的，必须建立各部门共同参与的协调工作机制，齐抓共管。 　　(3)要有忧患意识。不要在技术上近乎完美，却因一时主观疏忽而满盘皆输。如严格规定不准任何员工随意进入机房，但却忘了防范清洁工；花大手笔购置故障率为千万分之一的服务器，却忘防范监控录像带轻易流入二手市场。 　　2.2加强技术防范 　　(1)建立密码技术信息安全保障体系。建成身份识别与认证、信息保密、数字签