基层央行信息安全审计难点及对策探讨
2019-06-12李步宵
摘要:基于对基层央行信息安全审计难点及对策的研究,首先,阐述基层央行信息安全审计主要内容,包括计算机场地审计、业务网资源与结构的审计。然后,分析基层央行信息安全审计中制度落实不到位、硬件投入不足等难点工作。最后,为保证基层央行信息安全审计工作顺利展开,给出落实规章制度、加强硬件投入力度、构建运维平台、制定应急预案、加强风险识别工作、做好教育培训工作等有效措施。
关键词:基层央行;信息安全审计;计算机
近年来,基层央行更加重视信息安全管理工,所以针对信息安全管理展开一系列信息安全审计工作。通过对相应设备设施以及计算机场地等有效性与安全性的审查,提高基层央行相关工作人员的信息安全意识,提高基层央行的管理水平与管理效率。虽然基层央行在展开信息安全审计工作时,能够从各个方面入手,但是在其中仍然存在问题与工作难点,对信息安全审计造成一定影响。所以,本文见针对基层央行信息安全审计难点及对策等内容进行相应阐述。
1.基层央行信息安全审计主要内容
1.1计算机场地审计
基层央行的信息安全审计工作的主要内容包括对计算机场地的管理,检查计算机场地是否设置在本行的办公楼当中,计算机场地所在位置以及所在楼层设计的科学性与合理性是否得到保障;检查计算机场地墙立面、顶棚是否存在渗水现象与漏水现象,场地结构与计算机场地装修所使用材料是否存在一定的防火性,防火性能够满足正常标准;计算机场地中的门、窗防护性能是否良好,并且检查在门、窗位置是否堆放易燃易爆物品或者其他物品,物品堆放是否存在风险;关键的设备设施是否做好相应的物理接触控制工作。
1.2业务网资源与结构的审计
业务网资源、结构与互联网之间是否进行标准的物理隔离工作;拓扑结构是否规范、是否清晰,网络连接线路是否按照相应的连接标准展开;在进行核心网络设备备份时,使用的备份方法是否科学合理,备份工作是否能够实现网络运行的连续性;如果在进行备份时,使用双机热备份形式,那么需要检查自动切换装置的是否正常有效;网络设备设施是否能够满足工作需求;网络设备设施是否存在老化严重问题;是否与上级部门之间构建良好通信机制,通信信号是否良好;如果使用双线路通信方式,那么需要检查运营商选用情况;网络宽带的租用是否合理;服务质量保障配置是否有效;服务质量保障配置是否规范。
2.基层央行信息安全审计难点分析
2.1制度落实不到位
第一,相关安全制度内容缺乏完善性,并没有结合实际情况做好调整与修订工作。随着科学信息技术的不断提升,人们生活水平的不断提高,对信息安全等有了更高的要求。但是相关工作人员并没有意识到相关制度的重要作用,并且自身管理工作没有及时完成,出现制度与管理工作脱节问题产生。第二,因为许多工作人员并没意识到管理制度落实,对信息安全的重要作用。导致许多工作人员并不明确自身的权利与责任,各项工作无法及时完成,基层央行信息安全无法得到保障。
2.2硬件投入不足
第一,计算机机房的运行环境较差,许多基层央行计算机机房建设时间较长,基础设施不足,现有的基础设备无法满足各项业务需求与安全需求。第二,软件设施与硬件设施更新较慢,因为近年来计算机信息安全受到更多重视,所以有关部门中针对基层央行信息安全工作推行安全管理软件。但是由于本身的计算机设备配置较低,无法与先进的安全管理软件相匹配,从而为基层央行的信息安全审计工作造成影响,同时信息安全存在一定隐患。
3.基层央行信息安全审计有效对策
3.1落实规章制度
基层央行信息安全审计工作想要顺利展开,同时发挥自身的作用,需要将各项制度落在实处。具体可以从以下几点展开:第一,基层央行的领导者与管理者需要意识到规章制度对信息安全审计工作的重要作用,结合银行实际情况,对现有规章制度进行完善,并且将其贯穿在整个信息安全审计工作中,保证各项信息安全审计工作能够在规章制度的有效监管之下展开。第二,积极向有关工作人员宣传规章制度的重要作用,使各个工作人员能够具备较强的信息安全管理意识,积极主动参与到信息安全审计工作中,为保证信息安全提供更多动力。第三,基层央行的工作人员需要明确掌握国家有关法律法规与本行的规章制度,认真对待各环节信息安全审计工作,保证规章制度的权威性。
3.2加强硬件投入力度
基層央行需要加强硬件投入力度,保证信息安全审计工作的顺利展开,同时保证信息安全。具体可以从以下几点展开:第一,需要加大基层央行的资金投入力度,对计算机机房与场地环境进行改善。如果在资金条件允许的情况下,需要对计算机机房进行重新构建,为计算机运行营造良好环境。与此同时,需要保障计算机硬件设施与软件设施相匹配,保证网络安全运行的稳定性与安全性。第二,如果资金投入有限,那么需要对现有资源进行科学合理利用。及时更新计算机系统,其中需要及时对较为关键且重要的应用系统计算机进行完善与更新,保证关键计算机的安全运行。同时需要加强对计算机系统运行的监督与检测,在最大程度上避免风险的产生。
3.3构建运维平台
针对基层央行信息安全设计工作,需要构建技术支持中心,对信息系统的运维工作进行统一监督管理与指导,形成各部门之间的应急联动机制。在构建在线服务中心时,可以对内联网络进行充分利用,基层用户可以随时随地提出自身的看法与需求,这样技术工作人员可以根据用户的反馈给出相应解决措施,提升工作质量与工作效率。在内联网中构建技术支持平台,各个技术工作人员需要做好常见问题以及运维事件的纪录与分析工作等。与此同时,需要为行内全体员工营造良好交流环境,创造技术维护交流平台。利用该平台,进行故障的自动化处理,在最大程度上避免人为操作,进一步实现运维工作的智能化与自动化。结合集中业务的具体情况,构建以预防为主的工作形式。向前移动业务系统运维的重心,积极主动预防,将信息安全审计工作作为重点内容,构建运维平台与日常监督体系,使信息系统的稳定性与安全性得到保障。
3.4制定应急预案
构建科学合理的信息安全应急预案,对基层央行信息安全审计工作具有重要作用。尽量避免并降低网络系统发生故障对行内各项业务工作造成影响。加强热备份体系的构建,要特别注意局域网线路的热备份以及核心路由器等的热备份。第一,全部重要的业务系统需要进行双机备份;第二,计算机系统当中的各个软件,比如,应用软件、数据库软件等都需要展开相应备份工作。在进行备份工作时,需要保证备份数据信息的完整性与最新,同时需要做好备份切换演练工作。第三,需要对业务数据进行集中异地备份,安置专门数据备份设备,尽量对行内的各个业务工作数据展开备份工作;第四,需要实现电力供应备份,在进行电力供应备份时需要对双回路发电机等充分利用。如果在各方面条件允许下,基层行科技机构需要对各个业务部门的数据备份工作提供帮助,采用不同的备份方式,对数据信息进行备份,保证数据信息安全性。保证基层央行信息安全审计工作人员能够明确自身的权利与责任,及时做好自身工作。在展开各项审计工作时,需要保证工作人员始终在现场。与此同时,需要做好设备维护工作与网络系统维护工作,定期做好设备维护与保养工作。做好备份设备的主备份线路与预备备份线路的检测,积极与通讯运营商之间进行交流与沟通,确保信息系统的安全稳定运行,提高基层央行的应急水平。
3.5加强风险识别工作
针对计算机协管工作人员以及业务操作工作人员等需要加强培训宣传工作,保证每个工作人员能够具备较强计算机操作能力,促使全行工作人员能够具备较强信息安全管理意识。要对计算机信息安全产品的功能与价值进行充分利用,构建联动体系。加强风险识别工作,具体可以从以下几点展开:第一,针对行内的不同业务,比如,办公业务、资金业务等需要设计不同的VLAN。采用不同的访问控制措施,实现分道传输。并在此前提下,对防病毒系统、入侵检测系统、移动存储介质管理系统等的作用与价值进行科学合理利用。借助桌面安全管理系统、运维监控软件以及网管软件,做到对各环节工作与安全管理工作的监督与管理。通过多系统的联动体系构建,可以及时发现基层央行信息中存在的风险,及时发现系统中存在的故障。在进行计算机系统检查工作时,需要将各项检查工作落实到工作人员身上,保证工作人员明确自身的工作任务。做好对计算机系统的安全检查工作,这样计算机在出现问题时,能够及时追查到相应工作人员。检查工作需要定期展开,切勿形式化,使央行信息安全得到保障。与此同时,如果在检查工作中发现风险或者问题,需要立即采取整改措施,追究相应责任,将风险因素扼杀在摇篮当中,避免并降低损失的产生。
3.6做好教育培训工作
基层央行信息安全审计工作的顺利展开离不开工作人员的支持。同时工作人员需要具备较强的专业技能与综合素养,各部门之间需要做好协调与配合工作,保证信息安全审计工作的顺利进行。做好工作人员的教育培训工作,构建高素质审计队伍。具体可以从以下几点展开:第一,要重视科技部门的人员结构设置,需要在保证科技人员基本素质的前提下,逐渐对工作人员进行科学合理配置。要认识到科技部门,在信息安全审计工作中发挥的重要作用。第二,基层央行需要结合自身实际发展情况与业务情况,对本行内的科技协管工作人员以及科技工作人员加强技术培训工作。要尤其重视信息安全知识的传授与网络安全知识的传授等。第三,需要为科技部门以及其他工作人员提供学习新知识与新技术的机会,对于基层央行科技工作人员的考核工作需要采取强制性措施,需要每一位工作人员每年积极参与到技术考核工作中,对工作人员的专业能力以及技术水平等进行检验,保证各个工作人员能够具备较强专业能力与综合素养,在信息安全审计工作中充分发挥自身作用。针对考核不通过的工作人员,可以为其提供补考机会,同时需要对该工作人员的日常工作情况等进行调查,核查该工作人员工作态度是否端正。其他工作人员需要针对自身薄弱环节,进行学习与完善。第四,需要针对工作人员的工作制定相应的激励机制,促使每一位工作人员可以端正工作态度,及时为信息安全审计工作贡献出自身力量,实现基层央行的更好发展。
结束语
综上所述,在社会经济快速发展背景下,基层央行的信息安全审计工作受到越来越多人重视。所以,为使信息安全得到保障,需要相關工作人员肩负起自身责任。构建完善的管理制度等,保证各项管理制度能够贯穿在整个信息安全审计工作中,促使各项信息安全审计工作能够顺利进行。
参考文献:
[1]崔文瑞,刘世芳,黑维广,付江.基层央行信息安全管理现状及风险分析[J].金融科技时代,2018(01):62-64.
[2]蒋贵斌.新互联网技术与基层央行工作深度融合的探析与思考[J].时代金融,2017(36):320-321.
[3]曹秀琴.从内部审计视角论基层央行信息化环境的风险防控[J].甘肃金融,2017(06):53-55.
[4]陈振宇.基层央行信息安全应急管理工作中存在的问题及建议[J].北方金融,2016(12):105.
[5]邱成章.基层央行信息安全审计难点及对策[J].审计与理财,2016(11):51-52.
[6]陈伟.从信息保密视角浅析基层央行计算机信息安全[J].信息安全与技术,2016,7(03):18-20.
[7]周志浩,邓玉.村镇银行信息安全建设亟待加强[J].中国管理信息化,2016,19(02):128.
[8]袁庆锋,胡恒杰.新形势下基层央行加强金融业信息安全管理的思考[J].武汉金融,2015(06):63-64.
作者简介:
李步宵(1982.1- ),男,汉族,河南驻马店在职研究生,研究方向:金融投资管理。