基层人民银行网络信息安全工作改进建议
2015-08-25伊文英谢育成
伊文英+谢育成
目前,在基层人民银行运行的重要计算机应用系统基本上都采用了B/S(浏览器/服务器)结构,通过浏览器访问服务器,数据服务器部署在总行或分行。数据集中使数据管理和采集更加方便,但同时也对网络信息安全提出了更高要求。本文结合县支行的实际情况,探讨数据集中模式下基层人民银行信息安全和管理存在的问题及对策。
一、基层人民银行信息安全现状
人民银行于2010年印发了《中国人民银行计算机系统信息安全管理规定》(以下简称《规定》),其中关于基层人民银行的信息安全风险集中体现在三个方面:应用系统(包括业务和管理)风险、机房环境风险和网络安全风险。
近几年来,随着金融电子化的不断推进,越来越多的应用系统相继投入使用。对县支行目前正在使用的重要应用系统的调查结果显示,县支行的应用系统都采用了B/S模式与架设在总分行的服务器进行数据交换,地市级仅进行数据采集和筛选工作,业务数据通过网络集中存储到各大数据中心和清算中心,采用数据集中模式的应用系统比重达到lOO%。由此可见,在数据集中模式下,保障网络安全平稳运行意义重大。
二、待改进的方面
随着《规定》下发和信息安全基线的制定,基层人民银行在信息安全制度的建立和执行、网络安全管理、应用安全管理等诸方面取得一定的成效,但仍存在一些问题亟需解决。
(一)网络安全方面
1.管理人员业务能力参差不齐
网络管理和维护工作对于网络管理人员的能力要求比较高,需要熟知路由器、交换机等核心网络设备的工作原理和配置,能够快速排查网络故障。《规定》中要求网络管理人员实行AB角备份制度并定期轮换,在基层人民银行,B角往往是名义上的替补人员,并不具备网络知识,一旦在A角出差或休假期间网络出现紧急故障,将会导致业务系统无法正常运行,造成重大影响。
2.安全管理机制建设尚存隐患
目前,计算机安全管理的基本组织框架、管理框架、管理机制、策略方法、工作流程还在初步探索之中,内部缺乏信息安全监督机制,各单位、各部门、各岗位的信息安全管理职责及相互间的协作和制约关系未系统化地建立起来。
(二)应用系统安全方面
1.技术防范手段不足,功能有待完善
防病毒系统、非法外联监测系统、补丁分发系统和中安源系统、XP盾甲构成了目前基层人民银行的内联网安全防护体系。但在使用过程中发现防护体系存在一些缺陷;由于检测策略自总行安全中心下发到支行需要一周左右甚至更长时间,病毒定义码分发的滞后性以及防病毒软件版本不能及时升级的问题,也给支行病毒防治工作及计算机的安全运行带来一定影响;补丁分发系统在多台主机同时进行补丁更新时常常更新失败:中安源系统有效防止了大多移动存储设备的使用,但是不能防止苹果手机的USB端口接入,光盘的使用一定程度上也会给计算机、网络的安全运行带来了隐患。此外,针对Windows XP客户端设置中禁用Guest账户和本地策略的一些安全设置会影响打印机等设备的共享使用。
2.系统存在安全漏洞,补丁分发滞后
在第二代支付系统和ACS系统上线之后,绝大多数业务系统都统一到了Windows平台上,随着这一平台安全漏洞的不断暴露,内部信息安全和业务系统的正常稳定运行不断受到考验。微软公司已宣布于2014年4月停止为Windows XP系统提供漏洞补丁服务,2015年1月360 XP盾甲系统有效保证XP系统后继补丁的发放。目前,基层人民银行存在着多种操作系统版本并存的局面,由于操作系统不统一,增加了系统补丁及时安装的难度。
三、对策建议
(一)高度重视网络运维,确保网络平稳运行 一是努力提高网络管理人员的业务水平,加强培训使其熟练掌握核心网络设备的参数配置,迅速诊断网络故障,并及时采取措施,增强网络管理维护能力。二是做好网络资源日常管理维护工作,定期或不定期对设备进行维护检查,加强与电信、联通运营商的联系,确保线路出现故障时可立即联系上维修人员。三是制订切实可行的网络系统应急预案,做好预案动态维护工作,提高预案响应能力。
(二)加强信息安全管理,推进安全环境建设
一是完善措施,防范病毒入侵。建立计算机病毒通报制度,包括近期病毒易发种类、本单位病毒“感染”情况、处理结果等信息。在日常工作中,应严格做好外来光盘的病毒检测工作。二是建议总分行升级业务系统和补丁分发系统,保证操作系统平台的顺利过渡。三是加强对数据集中模式下科技管理制度建设的探索,按照全面覆盖、互相制约、责任明确、便于操作的原则,对原有制度进行补充、修订,建立健全网络运维、系统维护、安全、设备、人员管理等全方位的科技管理制度体系,建立严格的岗位职责制度,以制度保障网络和系统的安全稳定运行。
(三)继续解放思想,更新观念,提升安全意识
一是要加强组织领导,完善信息安全保障组织机制,不再将信息安全视为单一的科技工作,也不能只从技术层面来定义信息安全范畴,而是要将终端应用层,甚至要将业务操作流程纳入其中,形成全员共同抵御风险、共同承担责任的新机制。二是要真正从思想上重视科技工作,支持科技工作,只有这样才能够把本单位敬业爱岗的业务骨干安排到科技岗位上。三是要学会换位思考,牢固树立大局理念,通过技术更新,防范风险,为基层央行金融系统稳定做好服务和保障工作。