基层央行计算机安全

基层央行计算机安全（共7篇）

基层央行计算机安全 篇1

在基层央行,随着计算机的普及使用,计算机安全工作越来越显得重要,下面几点是笔者在计算机安全工作中总结出的经验,仅供大家参考。

一、提高认识,切实将计算机安全工作提到应有的高度

由于计算机安全工作是在出现安全问题时方能显示其价值,而系统出现安全问题的几率在2%左右,也就是说要拿98%的资金来防范2%的风险,这样做是否值得,许多人认识不清。由于金融机构属于国家信息安全防范的重要部门,所以金融部门基层领导要提高对计算机安全工作的认识,打消顾虑,增加投入,加大对机房的改造力度,增加安全防范设施。

二、建立、健全计算机安全管理制度

计算机安全工作开展的关键是制度,特别是一些重要岗位的安全管理制度的细化工作,切实做到安全管理制度全面、可行,用制度管人,使人人都在制度的约束下工作。

三、加强软件系统的管理

(一)操作系统级别的防范。

防止非法使用系统资源,指定专人进行系统操作,及时清理各种垃圾文件。对一切操作要有记录(日志),特别是计算机设置安全审计功能,以防误操作损坏软件系统或业务数据。

(二)数据安全防范。

严格规定访问数据库的各级权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严格,尽量减少人工操作机会,涉及机密的数据信息首先要加密,然后再传输、存储。对数据要进行多重备份,以便发生意外掉电这样不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。

(三)加强软件系统运行环境的安全管理。

主要是防止计算机病毒的侵入,一是通过一定的技术措施和行政手段防止计算机病毒对计算机及网络系统的入侵和传染;二是完善检测病毒措施,通过一定的技术手段检测计算机或程序是否染上了病毒。对于正式运行的软件需要有专人管理,并建立相应的软件登记、入库制度。入库后的软件未经科技部门负责人批准不得随意修改,确因业务需要而修改软件,在改动后必须及时入库登记,同时附软件修改说明书及测试报告,严禁将应用软件外流、外泄,应用环境中不得有应用系统的源程序。

四、加强移动存储介质使用管理

感染病毒的内联网机器中85%来自互联网,通过移动存储介质感染的几率为95%以上,只要控制住移动存储介质的内外网互用问题,基本上可以保证内网机器不被病毒感染,从而保证业务系统的运行安全。

五、实行计算机安全责任制

严格按照“谁使用,谁负责”的安全管理理念,层层签订计算机安全责任制,再加上适当的奖惩措施,对全年出现安全事故的责任人进行处罚,对全年无计算机安全事件的责任人进行适当奖励,大大减少计算机安全事件的发生。

六、及时修补操作系统补丁

各单位要指定专人负责密切关注官方网站公布的操作系统漏洞情况,及时对操作系统进行补丁修正,增加入侵检测和漏洞扫描系统,对发现的可能遭受黑客或病毒攻击的漏洞进行警告,同时加大对利用内联网非法外联行为的处罚力度,杜绝该类事件发生。

七、数据备份安全可靠

提高备份级别,每个基层行要成立自己的备份中心,将一些重要系统统一备份到专门的服务器上,同时也可以将重要数据刻成光盘进行长期保存。

计算机安全工作是一个系统工程,牵涉到技术、法律、管理等诸多方面,随着我们安全管理制度的进一步完善和经验的积累,人民银行的计算机系统一定会建成一个开放、可控、可靠的系统平台,更好地为我国社会主义经济建设服务。

基层央行计算机安全 篇2

一、部门计算机安全员工作基本情况

以人民银行湛江市中心支行为例, 现用的计算机和服务器大约300台, 分别安装了Symantec防病毒软件、Landesk补丁分发系统等安防软件。中支科技部门设立了A, B角2名信息安全员, 负责中支及辖内5个支行的计算机信息安全工作。各支行和各业务部门还设立了支行计算机安全员和部门计算机安全员, 管理本部门或支行的信息安全工作。科技部门信息安全员与业务部门计算机安全员职责分明, 各司其职, 互为补充, 形成了一个较为完整的信息安全管理实施体系。

基层央行部门计算机安全员的主要职责有:一是负责本部门计算机病毒防治工作, 监督检查本部门客户端安全管理情况, 配合科技部门对本部门电子化设备实施安全管理;二是协助科技部门对本部门各类信息安全事件及时响应与处理;三是负责提出本部门信息安全保障需求, 并及时与科技部门进行沟通;四是负责本部门国际互联网使用和接入安全管理, 防止内联网计算机非法外联;五是组织开展本部门信息安全自查, 协助科技部门完成对本部门的信息安全检查工作, 并推进本部门信息安全整改;六是参加各项信息安全技能培训, 协助科技部门对本部门其他人员进行培训;七是监督技术支持人员 (包括外包服务人员) 在对本部门电子化设备维护过程中认真履行安全义务。

实践表明, 现行的以科技部门信息安全员为主、业务部门计算机安全员为辅的信息安全管理架构能有效防范来自外部和内部的计算机信息安全风险, 是减轻科技部门终端运维和管理业务信息系统困难的有效组织方式。管理架构虽然好, 但在具体的操作层面却存在需要改进的地方, 特别是部门计算机安全员的计算机应用水平, 安全防范意识和岗位责任意识有待提高。

二、部门计算机安全员工作存在的主要问题

(一) 部门领导的信息安全责任意识不强

在信息安全检查中发现这样一种现象:计算机感染病毒次数较多的部门, 其领导对信息安全都缺乏重视。“计算机有病毒很正常”的观念使这些部门的领导放纵了下属的一些违规的操作, 而“计算机有问题找科技部门解决”的想法也使他们没能及时整改已出现的安全漏洞。这种做法直接影响了部门信息安全员的工作态度, 导致出现安全问题不认真查找原因, 杜绝根源, 平时的监督和检查也是流于形式。

(二) 部门安全员信息安全意识淡薄

部分部门安全员认为部门的信息安全工作只是兼职工作, 且自身的业务工作繁重, 所以对信息安全工作重视程度不够, 觉得只要计算机能用就安全, 任由不按章操作的违规现象出现。对外来移动存储介质不进行病毒查杀就直接使用, 随意将互联网上的文件拷贝到内联网上使用。

(三) 部门安全员专业性不强

部门安全员大都非计算机专业毕业, 仅掌握基本的计算机基础知识和操作技能, 水平参差不齐。专业技能不强, 不清楚计算机病毒具有寄生性、传染性、潜伏性和危害性的特征, 对病毒的传播途径不清楚, 对感染病毒的计算机也不知如何应急处理, 导致“木桶效应”, 影响了整体的计算机安全管理水平。

(四) 部门计算机安全员制度落实不到位

有了措施办法, 并不等于有了安全, 依然存在制度落实不到位的情况。如在业务机上安装与业务无关的软件等违规现象屡禁不止, 这些问题的出现都对计算机信息系统的安全运行造成极大的负面影响。

三、加强部门计算机安全员工作的建议

(一) 加强管理, 完善安全管理体系

首先, 部门领导要充分认识到做好信息安全工作的重要性和紧迫性, 切实落实计算机安全管理的规章制度, 认真完善计算机安全防范工作, 明确责任;其次, 部门发生安全事故要实行问责制度, 促使部门领导及部门安全员认真履行计算机安全管理、监督、检查的职责;第三, 部门安全员应加大制度执行和落实工作力度, 加强管理, 完善安全管理体系。在部门安全员每个月自检的基础上, 增加计算机安全管理小组每个季度对各部门的信息安全现场检查, 检查内容为部门安全员月巡检所列的项目, 及时对被检查部门存在的问题进行汇总, 提出整改意见, 并形成检查报告。通过经常性安全检查, 既能及时发现问题, 堵塞漏洞, 又能强化部门领导、部门安全员甚至每个员工的信息安全责任意识。

(二) 利用资源, 提高技术防范手段

为加强信息系统的安保工作, 科技部门要求部门安全员关闭所有的内联网计算机的USB端口, 确实因工作需要使用USB端口的, 须通过申请和审批才能重启。这一措施实施后, 内联网计算机受病毒感染的次数有了明显的下降, 但这也给科技工作带来了许多的不便。因此, 应考虑是否可以采用第三方终端监管平台, 对终端设备及移动存储介质进行分级安全管理, 控制移动存储介质在不同用户、不同网络的使用, 这既改变了一味关闭USB端口的极端做法, 又防止了内部信息泄漏和U盘病毒的传播。

(三) 量化指标, 加大考核力度

对部门安全防范工作情况进行量化管理, 建立相应的部门安全员激励机制。对部门安全员月巡检情况, 部门计算机感染病毒情况, 每季度部门信息安全检查情况, 均进行通报并纳入到年度考核中。对执行得不好的项目实行扣分制度;对履行职责较好、日常工作中能够及时发现或排除计算机安全隐患、保障部门全年无计算机安全事故发生的计算机安全员给予适当奖励, 并在年度考核中给部门加分, 充分调动部门安全员的工作积极性。

(四) 以人为本, 大力开展计算机安全教育

首先是定期对部门领导进行必要的计算机安全培训, 使其关心和支持信息安全管理工作。其次要加强对部门计算机安全员的专业化培训, 不断提高他们的安全责任意识和专业技能, 使其有能力监督各项安全制度的落实和实施。同时由他们担负起所在部门的安全知识教育和再培训工作, 从而提高单位整体的信息安全防范能力。

四、结束语

基层央行计算机安全 篇3

一、加强计算机信息系统安全管理的重要性和必要性

(一) 央行政务工作的电子化和网络化要求加强计算机信息系统安全管理

随着央行内部网络的发展及办公自动化系统 (OA系统) 的推广, 央行政务工作基本实现了电子化和网络化。如央行信息的上传下达利用电子文档通过OA系统传输, 人民银行总行及各级分、支行通过建立内部信息网站实现了信息的集中和共享等。央行政务工作的网络化, 为央行信息传递和交换提供了便利, 使央行无纸化办公成为现实。这就要求各级行必须加强计算机信息系统安全管理, 保障计算机信息系统安全稳定运行。

(二) 央行业务系统的电子化和网络化要求加强计算机信息系统安全管理

当前, 央行各项业务基本实现了电子化。其中, 会计、货币金银和征信业务数据由于向总行或省会城市中心支行集中已基本实现了网络化, 大额支付、小额支付、外汇管理等业务已实现了网络化。央行业务系统的电子化和网络化, 要求各级行必须加强计算机信息系统安全管理, 保障计算机信息系统安全稳定运行。

二、基层央行计算机信息系统安全管理中存在的问题

(一) 员工思想认识不足

基层央行特别是县级支行员工普遍认为计算机信息系统安全管理是科技部门和计算机安全员的工作, 与己无关;认为当前人民银行计算机信息系统安全管理方面已有健全的制度、充足的监控设备、较高的技防手段, 安全管理可以高枕无忧。由于员工对计算机信息系统的风险性和加强安全管理的重要性和必要性认识不足, 工作中不按规定操作、执行安全管理制度不到位, 甚至以信任代替制度的现象时有发生。如部分员工不能严格执行上级行有关存储介质的管理规定, 为图方便, 直接利用移动存储介质在内外网之间交换信息等。

(二) 科技队伍运维能力参差不齐

当前, 基层央行特别是县级支行的科技人员因承担的工作任务重、承受的工作压力大, 造成思想波动大, 导致基层央行科技队伍不稳定, 科技人员变更频繁, 甚至有的支行只好安排非计算机专业的员工从事科技运维工作。此外, 县级支行由于人员紧张, 科技人员普遍兼职其他工作, 学习时间得不到有效保障, 直接影响了自身运维能力的提升。由此造成了科技队伍运维能力参差不齐的现况。

(三) 机房管理欠规范

基层央行虽然在加强机房管理方面做了大量的工作, 按要求制定了机房管理制度, 对机房运行日志进行了必要的登记和记录, 但由于支行科技人员兼职工作太多和受自身技术水平的限制, 难以根据发展变化情况及时修改机房环境应急预案和进行必要性的应急演练;对必要的登记记录存在简化及流于形式的现象;对机房的温湿度、设备的电流、电压难以及时登记。

(四) 应急管理有缺陷

当前, 基层央行特别是县级支行制定的信息系统应急预案, 大部分是以上级行的应急预案为模板, 适当结合本单位实际进行删改, 有的甚至照抄照搬, 只对组织结构的人员进行了相应调整, 没有完全依据本单位的部门、人员和业务状况制订信息系统应急预案, 导致基层央行的应急预案内容烦琐、操作程序复杂、适用性和可操作性不强。加之基层央行受人员和经费的限制, 无法按照上级行的有关要求, 及时组织针对信息系统应急预案的培训和演练。

(五) 监督检查不及时、不到位

当前, 基层央行监察、内审等同级监督部门因缺乏既懂金融业务知识又懂计算机知识的高素质、复合型人才, 无法对本行的信息系统安全管理进行及时有效的同级监督, 对计算机信息系统安全管理的检查监督职责只能依靠上级行科技部门组织的检查组履行。这必将导致监督检查不及时、不到位, 给计算机信息系统安全管理带来风险。

三、加强计算机信息系统安全管理的建议

(一) 加大宣传力度, 不断提高员工安全管理意识

人民银行要充分利用内部报刊、内部网络等现有宣传阵地, 大力宣传计算机信息系统安全知识;各级行领导要真正把信息系统安全管理工作摆上重要的议事日程, 利用各种会议机会, 强调加强信息系统安全管理的重要性和必要性。通过强势宣传, 不断为员工提神醒脑, 达到不断提高员工安全管理意识的目的。

(二) 加强全员培训, 不断提升员工安全管理技能

各级行要通过召开座谈会、举办专题讲座、全员培训等形式, 加强全体员工计算机信息系统安全管理知识的培训。通过培训, 使员工对强化管理的重要性和必要性有充分的认识和了解, 保证员工掌握必要的安全管理知识, 不断提升员工安全管理的技能。

(三) 稳定科技队伍, 切实提高科技人员的科技运维能力

科学技术是第一生产力, 人民银行的科技人员承担着发展央行业务电子化的重任, 责任大、任务重。各级行要从科学发展观的高度, 在工作、生活和政治待遇上多关心科技人员, 特别要解决科技人员的兼职问题, 通过感情留人、事业留人, 积极稳定科技队伍。并通过切实有效的培训方式, 如分批派送科技人员到专业院校深造、跟班学习、专业培训等, 切实提高科技人员的科技运维能力。

(四) 完善管理制度, 强化机房安全管理

科技部门要根据改造后的机房情况, 及时修改、完善相关信息系统安全管理制度, 特别是要完善机房的温湿度、设备的电流、电压等重要数据的日常登记及分析制度。要通过加强科技人员的思想道德教育, 强化责任追究制度, 达到不断增强科技人员的责任意识、切实提高科技人员的制度执行力、促进机房管理规范化的目的。

(五) 完善应急管理预案, 加强应急管理工作

基层央行要紧密结合本单位实际, 切实根据现有的人员、业务、设备等状况, 制订科学有效的应急预案, 力求组织机构健全、内容科学、程序简便、可行性和可操作性强。要加大资金投入, 购置必要的应急备用设备, 并按照总行应急管理的相关规定, 定期组织应急培训和应急演练。

(六) 加强对计算机信息系统安全管理工作的同级监督

基层央行计算机辅助审计的思考 篇4

一、计算机辅助审计的内涵

计算机辅助审计主要是以计算机技术为基础, 结合会计、审计、信息技术等知识, 运用数据处理技术对数据进行加工, 为确定审计证据和线索提供保障。计算机辅助审计的目标应与传统审计目标一致, 即真实性、合规性、效益性。

二、计算机辅助审计的意义

长期以来, 由于基层央行对审计信息化的优越性认识不够, 审计信息化工作的研究滞后, 目前大部分审计工作仍然处于手工状态, 对于各种资料主要以人工翻阅为主, 既费时又容易出错。由于资料多、工作量大, 导致审计工作效率低下, 审计覆盖面也受到限制, 从而影响了审计的质量, 增加了审计的风险。因此, 利用计算机进行辅助审计对提高审计效率具有重要意义。

三、计算机辅助审计的现状

中国人民银行蚌埠市中心支行目前使用的系统包括中央银行会计核算系统、国库会计核算系统、国际收支统计申报系统等, 业务系统多达130多个。

信息技术的广泛使用极大地提高了工作效率, 同时也存在着对业务系统安全保密工作不到位、内控制度落实不严、技术防范力量不足等一系列问题, 这些都对当前审计工作提出了新要求。央行审计部门自1998年成立以来, 主要采用手工方式开展一系列审计工作, 但是在新形势下, 审计工作的手段与其他部门大量使用业务系统形成了巨大反差。

四、计算机辅助审计的主要难题

(一) 认识普遍不到位

目前, 其他国家应用计算机辅助审计已有相当长的时间, 但是在央行开展计算机辅助审计确很少。各级、各部门对计算机辅助审计的认识较浅, 相关研究和实际应用也就更少。近几年, 央行内审部门提出了内审工作转型与发展目标, 开始重视发展计算机的辅助工作, 但是仍未满足其他业务系统快速发展的需要。

(二) 缺少计算机辅助审计应用软件

由于央行各部门各自为政, 各业务系统的开发单位、开发平台、开发语言及数据库系统不同, 并且缺乏审计程序接口, 不能对各业务系统数据进行采集、转换和分析。近些年, 央行内审部门要求开发新系统时, 应采用统一模式、统一架构、统一接口的标准化建设, 目前已经取得一定进步, 但离目标要求仍有差距。基层央行在计算机辅助审计应用软件研发中困难重重, 目前仅有个别小型软件在试用, 并没有形成大范围统一应用的软件。

(三) 缺少计算机辅助审计人才

目前, 基层央行内审人员普遍缺乏计算机知识以及利用计算机辅助审计的经验, 既懂计算机专业知识又懂审计知识的人才则更少。而现实是, 培养此类人才所需时间较长, 同时也没有建立良好的培养机制, 不能有效推动高素质计算机辅助审计人才成长, 这就制约了计算机辅助审计的广泛开展。

五、化解计算机辅助审计难题的建议

(一) 提高思想认识

在开展计算机辅助审计的实践中, 从领导到员工往往存在认识不清、方向不明、目标不准、概念模糊等情况, 导致大多数人面对计算辅助审计这个新课题无所适从。

可以从以下2方面提高思想认识。首先, 必须让各级领导、各层次审计人员认清当前被审计对象普遍信息化的现状, 仅就央行地市中心支行来看, 在用的系统多达130个, 广泛分布于各部门、各岗位, 如果不推广计算机辅助审计方式, 未来的审计工作将更难开展。其次, 通过培训提高审计人员的兴趣和意识, 使审计人员了解什么是计算机辅助审计, 以及怎样开展计算机辅助审计。值得注意的是, 基层央行的主要领导要了解、理解、支持计算机辅助审计的研究与应用, 将计算机辅助审计工作作为一项重要任务来抓, 工作要落到实处。

(二) 大力开发计算机辅助审计应用软件

目前, 一些西方发达国家已经开始探索开发新一代审计软件, 来应对快速发展的信息技术。我国社会审计机构也已经研制了一些审计软件, 并应用于审计实践中。建议基层央行内审部门积极关注相应的变化, 有能力的单位应着手开发相关软件, 可以从简单的小软件入手, 然后逐步扩展, 尽快研制适用于基层央行业务的辅助审计软件。中国人民银行徐州市中心支行在这方面进行了有益的探索, 开发了外汇管理辅助审计小助手大大加快了对海量数据的提取、查询、分析速度, 从而提高了审计效率。各级基层央行可参考该中支的做法, 通过组织技术力量开发出更多更好的应用软件, 并应用于实践中。

(三) 大力培养计算机辅助审计人才队伍

一是建立计算机辅助审计相关培训制度, 鼓励审计人员参加培训, 采取多层次、多渠道、全方位的短期培训。上级行应考虑基层央行的情况, 每年举办几期计算机辅助审计培训班, 提高审计人员的眼界和能力。二是大力引进人才, 吸引高素质计算机人才进入基层央行审计队伍, 强化审计队伍建设。

(四) 大力推广计算机辅助审计系统的应用

央行已经建立了人民银行辅助审计系统, 该系统通过建立业务模型, 导出查询数据, 对发现的疑点跟进复核, 初步提高了审计效率。基层央行应大力推广和促进该系统的应用, 可以由点及面, 逐步拓展计算机辅助审计系统的应用范围。

基层央行网络安全工作探析 篇5

一、信息安全隐患分析

(一) 内部管理问题

局域网管理, 特别是内部网络管理尤为重要, 内部管理的漏洞很容易被无限放大, 给我们带来重大安全隐患。大量事实表明, 在计算机系统受到的危害中, 很多是由于管理不善或控制不严造成的, 如一些员工或管理员有意无意泄漏他们所知道的一些重要信息, 而管理上却没有相应的制度来约束;或当业务人员存在违规操作时, 安全人员无法进行实时的检测、监控、报告与预警;当安全事件发生后, 该行员工离开人行或者其角色改变的时候, 其准入特权没有被立即收回或者更改, 访问控制措施落实不到位, 极易引起安全事件的发生。

(二) 病毒传播问题

近年来, 各种各样的计算机病毒层出不穷, 尤其是蠕虫病毒, 更让人防不胜防。这种病毒利用操作系统和应用程序的漏洞主动进行攻击, 利用多种传播方式传播, 并容易产生变种, 以逃脱防病毒软件的搜索。我们日常应用的文件和打印服务共享、办公自动化系统、业务系统等, 都为蠕虫病毒的快速传播提供了便利的信息交换条件, 从而阻塞网络, 严重时可能导致整个网络的瘫痪。

(三) 黑客攻击问题

目前的局域网基本上都采用以广播为技术基础的以太网, 任何2个节点之间的通信数据包, 不仅为这2个节点的网卡所接收, 也同时为处在同一以太网上的任何一个节点的网卡所截取。因此, 心怀叵测者只要接入以太网上的任一节点并进行侦听, 就可以捕获在这个以太网上流转的所有数据包, 并可以对数据包进行解包分析, 从而窃取关键信息。

二、信息安全管理措施分析

计算机网络的安全防范是一项复杂的系统工程, 它不仅是一个技术问题, 而且是管理问题。技术是必要条件, 但并不是充分条件。新形势下, 我们中支严格执行上级行信息安全工作要求, 落实管理、完善措施、强化监控, 形成以制度为基础、技术为依托、监控为手段的信息安全管理新模式, 并从以下几方面入手继续做好中支网络安全管理工作。

(一) 提高认识, 紧抓制度建设和落实

根据总行发展的总体要求, 我们中支制定、健全了一套安全管理机制, 加强规范管理和制度控制。制定一系列安全管理制度规范基层央行管理和操作人员的行为, 明确具体责任, 由于制度强大的可操作性, 保证了它的有效实施。如制定相应的机房出入管理制度, 口令密码管理制度等;制定了严格的操作规程, 操作规程根据职责分离和对人负责的原则, 各负其责, 不能超越自己的管辖范围;制定了完善的系统维护制度, 详细记录故障原因、维护内容和维护前后的情况。

(二) 锻炼队伍, 加强人员培训和法制教育

做好银行系统计算机安全工作, 必须有一批专门的人才。这些人必须要懂技术、有经验、会管理、有责任心, 还要有相当的人行业务知识。为此, 我们加强了对计算机网络安全保障人员的业务培训和法制教育, 使他们真正认识到计算机网络系统安全的重要性和解决这一问题的长期性、艰巨性和复杂性, 决不能有单纯依赖先进技术和先进设备的思想。因为, 技术的先进永远是相对的。

(三) 使用高效网络防病毒软件

局域网内建立防病毒系统, 可以净化局域网使用环境, 能有效防止病毒在局域网内大肆传播, 保护局域网内客户端尽可能少受病毒威胁。中支一直使用总行推广的赛门铁克SEP11杀毒软件, 只要用户保证开机时间, 即可及时自动更新病毒定义码。安全人员能够在系统控制台上密切监控全行客户端防病毒软件升级情况和病毒感染、传播情况, 并可以为不同的客户端制定不同的病毒防治策略, 真正做到集中控制和实时监控。

(四) 启用防火墙功能和非法外联检测技术

根据实际情况, 路由器启用防火墙功能, 设置了相应的安全策略, 关闭不必要的端口, 控制系统间的互访。防火墙本身具有较强的抗攻击能力, 目前防火墙分为包过滤、应用代理及状态检查等几类。防火墙作为网络安全体系的基础和核心控制设备, 它贯穿于受控网络通信主干线, 对通过受控干线的任何通信行为进行安全处理, 如控制、审计、报警、反应等, 同时也承担着繁重的通信任务, 它是提供信息安全服务, 实现网络和信息安全的基础设施。但使用了防火墙并不代表着万无一失, 为了避免局域网内有用户通过拨号非法外联 (如手机3G上网等方式) , 给入侵者提供了一个后门, 因此使用了中华箭系列的非法外联监控软件, 对网络连接状况进行实时监控。

(五) 使用3层交换机, 划分VLAN和设置访问控制列表

VLAN是一种将局域网设备在逻辑上划分成一个个网段, 从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中, 但主流应用还是在交换机之中。但又不是所有交换机都具有此功能, 只有3层以上交换机才具备。目前的VLAN技术主要有3种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活, 但却比较成熟, 我们目前采用的就是基于此方法的应用。将重要的主机系统集中到一个VLAN里, 使这个VLAN里不允许有其他任何用户节点, 从而较好地保护敏感的主机资源, 通过设置访问控制列表, 只允许授权用户对该VLAN的访问。

(六) 部署IDS入侵检测系统, 对网络攻击事件进行实时监测

网络入侵是威胁计算机或网络的安全机制的行为, 入侵可能是来自外联网络的攻击者对系统的非法访问, 也可能是系统的授权用户对未授权的内容进行的非法访问。入侵检测就是对发生在计算机系统或者网络上的事件进行监视, 分析是否出现入侵的过程。入侵监测系统处于防火墙之后, 对网络活动进行实时监测。许多情况下, 由于它可以记录和禁止网络活动, 所以入侵监测系统应是防火墙的延续。防火墙看起来好像可以满足系统管理员的一切需求, 然而, 随着内部人员的攻击行为和产品自身问题的增多, 新的攻击技术等, 这些都给防火墙带来了严重的威胁, IDS由于能够在防火墙内部监测非法的活动, 这使它在保护网络安全上的地位越显必要。

(七) 建立补丁分发系统, 及时修复系统漏洞

补丁分发系统 (LANDESK) 采用一种积极主动的安全防护技术, 在网络系统受到危害之前, 及时发现操作系统安全隐患和漏洞, 预先提供安全防护解决方案。它利用模拟黑客攻击的技术手段, 对不同操作系统下的计算机或网络设备进行漏洞和隐患检测, 进而分析和指出网络的安全漏洞及被测系统的薄弱环节, 给出安全评估报告和安全建议, 使网络安全员能在系统遭到攻击前采取措施, 避免攻击的发生。

(八) 建立移动存储介质管理系统

对移动硬盘、U盘等移动存储介质的不当使用, 是造成涉密数据外泄、危害内部局域网安全的主要原因:移动存储介质的外借、遗失、内外网之间直接交互使用等, 在客观上存在重要数据或信息的泄密风险;移动介质的不规范使用, 也将导致其作为媒介将病毒从外网带入内网, 存在计算机病毒攻击局域网导致网络瘫痪、系统崩溃和数据丢失的网络风险。这些安全隐患已经引起上级部门的高度重视, 根据上级部门的相关要求, 加强移动存储介质的安全保密管理与使用控制, 通过部署TSMS亿阳网警系统和USB禁用脚本, 给移动存储介质下了设置USB接口使用白名单和禁用USB存储端口“双保险”, 从源头上控制住了移动存储介质的数据泄露风险以及网络风险。

基层央行信息安全风险评估研究 篇6

随着央行信息化建设的不断深入发展, 基层央行的信息安全问题也逐渐突显出来, 各种信息安全风险对央行信息安全工作提出了严峻挑战。虽然杀毒软件、防火墙、补丁分发、入侵检测和非法外联等安全防护系统的应用起到一定的防御作用, 但在享受信息化效益的同时, 我们必须看到面临的各类信息安全风险, 包括计算机系统受到入侵攻击导致不可用、系统受到恶意代码破坏而发生严重故障以及网络安全风险、用户操作错误、自然或人为灾害等。

二、信息安全风险评估概述

(一) 信息安全风险评估定义

信息安全分析评估就是从风险管理角度, 运用科学的方法和手段, 系统地分析信息系统所面临的威胁及其存在的脆弱性, 评估安全事件一旦发生可能造成的危害程度, 提出有针对性的抵御威胁的防护对策和整改措施。为防范和化解信息安全风险, 将风险控制在可接受的水平, 为最大限度地保障信息安全提供科学依据。

(二) 国内外信息安全风险评估概况

从1985年美国国防部发布著名的可信计算机系统评估准则 (TCSEC) 起, 世界各国根据自己的研究进展和实际情况, 相继发布了一系列有关安全评估准则和标准, 如美国的TCSEC;英、法、德、荷等国20世纪90年代初发布的信息技术安全评估准则 (ITSEC) ;6国7方 (加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA) 于20世纪90年代中期提出的信息技术安全性评估通用准则 (CC) ;由英国标准协会 (BSI) 制订的信息安全管理标准BS779 (ISO17799) 以及最近得到ISO认可的SSE-CMM (ISO/IEC21827:2002) 等。西方发达国家高度重视信息安全风险评估工作, 风险评估已逐步制度化, 制定并完善了评估标准、方法以及法律法规, 形成了比较完整的信息安全管理体系。

我国信息系统风险评估的研究是近几年才起步的, 主要工作集中于组织架构和业务体系的建立, 相应的标准体系和技术体系还处于研究阶段。我国的GB-T20984-2007信息安全风险评估指南是根据CC标准改进而来的, 提出了信息系统安全风险评估的基本概念、要素关系、分析原理、实施流程和评估方法, 以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式, 为最大限度保障信息安全提供了科学依据。目前我国主要在金融、电力、税务和电信等国家基础设施网络开展了信息安全风险评估工作。

(三) 风险评估方法

风险评估的方法有很多种, 概括起来可分为三大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。

定量分析方法是指根据一定的数据, 建立数学模型, 然后计算分析各项指标的一种方法。常见的定量分析方法有时序序列分析法、Markov分析法、因子分析法、聚类分析法、决策树法、熵权系数法等。

定性分析方法是主要依赖分析者的经验、直觉等一些非量化的指标来对系统进行分析的一种方法。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法等。

信息安全风险评估是一个复杂的过程, 在复杂的信息系统风险评估过程中, 不能将定性分析和定量分析两种方法简单的割裂开来, 而是应该将这两种方法融合起来, 采用综合的评估方法。定量分析是定性分析的基础和前提, 定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析是灵魂, 是形成概念、观点, 做出判断, 得出结论的核心途径。

三、基层央行信息安全风险评估存在的问题

(一) 对信息安全风险评估认识不足, 重视不够

一是基层央行科技人员对风险评估的认识和理解处于起步阶段, 没有把信息安全风险评估纳入信息安全系统的框架中, 认为只要每台电脑安装了防病毒软件、非法外联、补丁分发系统和桌面安全管理系统等安全产品, 并且定期升级, 严格日常管理就可以确保信息系统安全。二是基层央行科技人员大都不能掌握信息安全风险评估的方法、流程和规范, 采取的信息安全风险评估的实际做法与标准的信息安全风险评估工作有较大差距。三是多数基层央行没有进行自评估, 只有上级行进行的检查评估, 单纯依靠上级行的信息安全检查、而不做好自评估, 就失去了检查评估的意义, 不能及时发现信息安全隐患, 从而导致信息安全事件时有发生。

(二) 信息安全风险评估缺少专业技术和管理人才

一是从基层央行的情况看, 科技部门普遍缺乏能够掌握风险评估技能的专业人员。信息安全风险评估是一项技术含量非常高的专业行为, 风险评估在国内发展的时间较短, 多数科技人员只能简单了解风险评估, 对一些设备进行基础的数据测评, 评估水平较低。二是信息安全风险评估基本上是科技部门负责组织和实施, 而信息安全风险评估是一项综合性工作, 不仅涉及到计算机信息系统的软硬件, 还涉及到各个方面的人力、物力、财力, 仅靠科技部门进行组织协调, 难以完成全面的信息安全风险评估工作。三是科技部门既是信息系统的建设者和管理者, 又是安全风险的评估者, 使得评估的结果不具备说服力。

(三) 缺乏专业评估工具

信息安全风险评估工具不足, 目前只有省会中支以上级别配发一套单机版的脆弱性扫描工具, 没有配备其他专业信息安全风险评估工具, 评估工作主要靠手工操作, 工作量大, 效率低, 不能保证质量。

四、开展基层央行信息安全风险评估的建议

(一) 提高对信息安全风险评估的认识

基层央行员工的重视程度是影响风险评估成败的关键因素。首先要通过会议、报告、讲座等形式做好风险评估的宣传教育工作, 使领导和员工了解风险评估的意义和作用, 重视风险评估工作。领导重视, 才能提供更多的资金、设备、人才等硬件支持, 更好的组织风险评估工作。员工重视, 才能在日常工作中养成良好的安全习惯, 更好地配合风险评估工作的开展, 认识到做好信息安全风险评估是防范金融电子化风险的最基础性工作。

(二) 组建评估机构, 信息风险评估制度化

基层央行在进行信息风险评估时, 应针对风险评估范围及目标, 建立适当的评估小组, 成立由分管领导、评估管理者和业务骨干组成的评估小组, 明确每个成员的角色及职责。建议总行编制人民银行信息安全评估实施细则, 明确信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则, 对风险评估的各个环节和评估要求进行规范, 并确立风险评估的审批标准。

(三) 分析信息安全评估成果, 加强信息化安全防范

风险评估结束后, 评估小组要按照风险的严重程度以及核心资产的划分, 给出详细的评估分析报告, 对安全隐患和漏洞提出具体的整改建议和措施。评估结果要向评估领导小组进行汇报, 并与当年绩效考核挂钩。同时, 科技部门要充分利用评估结果, 高度关注高风险信息。一方面分析原因, 堵塞漏洞降低风险;另一方面对本单位的信息设备划分等级, 对关键的网络设备、运行重要业务系统的服务器、数据备份资料以及安全产品等核心设备制订措施, 加强重点防护, 确保重要业务系统安全。

(四) 加强信息安全风险评估创新工作

当前基层央行的信息安全面临较多问题, 如果仅采取常规的静态、年度风险评估, 明显不能适应形势。信息安全是一个动态的复杂过程, 它贯穿于信息资产和信息系统的整个生命周期。一是扩大范围, 将信息安全风险评估工作从运维阶段, 推向信息工作的规划、研发、建设、运行、维护、监控及退出全程, 全面真实反映整个信息系统的安全。二是加大频度, 充分使用信息安全风险评估工具和计算机系统监控等代替手工劳动, 争取对信息系统进行实时风险监控, 依托工具自动完成对数据的采集整理、计算、分析和呈现。

五、结语

基层央行计算机安全 篇7

一、计算机设备存在的泄密隐患

(一) 计算机剩磁效应泄密

计算机的存贮器分为内存贮器和外存贮器两种。删除存储介质中的信息, 删掉的只是文件名, 原文还原封不动地保留在存储介质中, 一旦被利用, 就会造成泄密。

(二) 计算机电磁波辐射泄密

打印、复印、传真一体机和数字复印机在涉密单位应用较多, 通常会与涉密计算机连接用于涉密文件打印, 同时与市话网相连用于收发普通传真。计算机设备工作时辐射出的电磁波, 可以借助仪器设备在一定范围内接收到它, 尤其是利用高灵敏度的装置可以清晰地看到计算机正在处理的信息。计算机辐射主要有四个部分:显示器的辐射、通信线路 (联接线) 的辐射、主机的辐射、输出设备 (打印机等) 的辐射, 这些都是造成计算机泄密的“源头”。

(三) 计算机操作系统漏洞泄密

目前, 大部分计算机使用的都是美国微软公司Windows操作系统, 该操作系统存在许多漏洞, 极易被利用, 安全隐患突出。通常人们认为只要笔记本电脑不处理涉密信息, 与互联网连接就不会出现泄密问题。然而检测发现, 利用Windows操作系统共享会出现漏洞, 通过互联网或使用无线互联能够取得该笔记本电脑的所有控制权, 进而将其麦克风打开, 变成窃听器。这样就能够通过网络监听到该笔记本电脑所在房间的通话内容。

(四) 移动存储介质泄密

移动存储介质, 包括U盘、移动硬盘等, 具有存储量大、使用方便的特点, 目前在涉密单位使用非常普遍, 同时存在着很多安全隐患。虽然对存储涉密信息的介质有较严格的保密管理要求, 外出携带需要严格控制并审批, 但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失, 就会造成秘密信息的外泄。当前急需采取严格的管理措施, 规范存储介质的使用。

二、计算机操作人员造成的泄密隐患

(一) 信息安全保密工作宣传不到位而泄密

由于不知道计算机的电磁波辐射会泄露秘密信息, 计算机工作时未采取任何措施, 因而给他人提供窃密的机会。不知道计算机软盘上的剩磁可以提取还原, 将曾经存贮过秘密信息的软盘交流出去, 因而造成泄密。因事离机时没有及时关机, 或者没有采取屏幕保护加密措施, 使各种输入、输出信息暴露在界面上。

(二) 内控机制不健全或者违反规章制度泄密

缺乏外部监督, 对上级行安全管理制度的落实和执行情况、对内部安全保密管理制度的建立和完善情况没有制定有效的外部监督机制, 造成制度落实不够、内控机制不完善。例如当机器发生故障时, 自己随意处理或者叫同事朋友进行维修, 不找科技人员, 造成秘密数据被窃。操作人员对涉密信息与非涉密信息没有分开存储, 甚至将所有的文件都放在一个公共目录里, 也没有进行加密处理, 使涉密信息处于无密可保的状态。

三、做好计算机信息安全保密工作的建议

(一) 加强信息安全保密教育

面对高科技的发展, 基层央行员工必须从维护党和国家秘密以及内部信息安全这一角度出发, 深入学习信息化环境下的保密知识, 不断强化保密观念, 进一步加强保密宣传教育工作。充分利用内联网、宣传栏、保密工作简报、播放警示片等形式宣传相关保密法规、保密知识, 编印《保密知识手册》;增强保密宣传教育的生动性和直观性, 使广大职工进一步了解和熟悉, 从而充分认识计算机网络泄密的严重危害和加强网络安全保密工作的重要意义, 增强危机感和紧迫感, 提高做好信息安全保密工作的自觉性, 从而能够严格执行保密制度, 防止在计算机网络中发生泄密事件。

(二) 强化信息安全保密管理机制

建立健全信息安全保密风险管理保障机制、风险评估和预警机制、风险应急处置机制。把信息安全保密风险管理控制工作提上工作日程, 完善信息安全保密风险管理部门和岗位责任制度, 层层抓好落实。全面落实风险评估制度, 建立信息安全风险监测体系, 及时分辨风险因素, 排查隐患, 对各类问题刨根问底。要把信息安全保密风险控制前移, 从业务部门需求管理抓起, 把风险控制贯穿于信息流动的整个过程, 加强风险控制。同时多部门齐抓共管、协调一致, 认真落实安全保密工作责任制, 并加强学习, 提高保密意识, 签订保密责任书, 明晰责任。根据人员调整情况, 及时调整保密委员会, 加强保密工作目标责任管理, 将业务工作和保密工作同布置、同安排、同要求, 确保各项保密工作任务的落实, 严防泄密事件发生。

(三) 对计算机严格实行审查审批制度