基層人民銀行網(wǎng)絡(luò)信息安全工作改進(jìn)建議

伊文英+謝育成

目前，在基層人民銀行運(yùn)行的重要計算機(jī)應(yīng)用系統(tǒng)基本上都采用了B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，通過瀏覽器訪問服務(wù)器，數(shù)據(jù)服務(wù)器部署在總行或分行。數(shù)據(jù)集中使數(shù)據(jù)管理和采集更加方便，但同時也對網(wǎng)絡(luò)信息安全提出了更高要求。本文結(jié)合縣支行的實際情況，探討數(shù)據(jù)集中模式下基層人民銀行信息安全和管理存在的問題及對策。

一、基層人民銀行信息安全現(xiàn)狀

人民銀行于2010年印發(fā)了《中國人民銀行計算機(jī)系統(tǒng)信息安全管理規(guī)定》（以下簡稱《規(guī)定》），其中關(guān)于基層人民銀行的信息安全風(fēng)險集中體現(xiàn)在三個方面：應(yīng)用系統(tǒng)（包括業(yè)務(wù)和管理）風(fēng)險、機(jī)房環(huán)境風(fēng)險和網(wǎng)絡(luò)安全風(fēng)險。

近幾年來，隨著金融電子化的不斷推進(jìn)，越來越多的應(yīng)用系統(tǒng)相繼投入使用。對縣支行目前正在使用的重要應(yīng)用系統(tǒng)的調(diào)查結(jié)果顯示，縣支行的應(yīng)用系統(tǒng)都采用了B/S模式與架設(shè)在總分行的服務(wù)器進(jìn)行數(shù)據(jù)交換，地市級僅進(jìn)行數(shù)據(jù)采集和篩選工作，業(yè)務(wù)數(shù)據(jù)通過網(wǎng)絡(luò)集中存儲到各大數(shù)據(jù)中心和清算中心，采用數(shù)據(jù)集中模式的應(yīng)用系統(tǒng)比重達(dá)到lOO%。由此可見，在數(shù)據(jù)集中模式下，保障網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行意義重大。

二、待改進(jìn)的方面

隨著《規(guī)定》下發(fā)和信息安全基線的制定，基層人民銀行在信息安全制度的建立和執(zhí)行、網(wǎng)絡(luò)安全管理、應(yīng)用安全管理等諸方面取得一定的成效，但仍存在一些問題亟需解決。

（一）網(wǎng)絡(luò)安全方面

1.管理人員業(yè)務(wù)能力參差不齊

網(wǎng)絡(luò)管理和維護(hù)工作對于網(wǎng)絡(luò)管理人員的能力要求比較高，需要熟知路由器、交換機(jī)等核心網(wǎng)絡(luò)設(shè)備的工作原理和配置，能夠快速排查網(wǎng)絡(luò)故障?！兑?guī)定》中要求網(wǎng)絡(luò)管理人員實行AB角備份制度并定期輪換，在基層人民銀行，B角往往是名義上的替補(bǔ)人員，并不具備網(wǎng)絡(luò)知識，一旦在A角出差或休假期間網(wǎng)絡(luò)出現(xiàn)緊急故障，將會導(dǎo)致業(yè)務(wù)系統(tǒng)無法正常運(yùn)行，造成重大影響。

2.安全管理機(jī)制建設(shè)尚存隱患

目前，計算機(jī)安全管理的基本組織框架、管理框架、管理機(jī)制、策略方法、工作流程還在初步探索之中，內(nèi)部缺乏信息安全監(jiān)督機(jī)制，各單位、各部門、各崗位的信息安全管理職責(zé)及相互間的協(xié)作和制約關(guān)系未系統(tǒng)化地建立起來。

（二）應(yīng)用系統(tǒng)安全方面

1.技術(shù)防范手段不足，功能有待完善

防病毒系統(tǒng)、非法外聯(lián)監(jiān)測系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)和中安源系統(tǒng)、XP盾甲構(gòu)成了目前基層人民銀行的內(nèi)聯(lián)網(wǎng)安全防護(hù)體系。但在使用過程中發(fā)現(xiàn)防護(hù)體系存在一些缺陷；由于檢測策略自總行安全中心下發(fā)到支行需要一周左右甚至更長時間，病毒定義碼分發(fā)的滯后性以及防病毒軟件版本不能及時升級的問題，也給支行病毒防治工作及計算機(jī)的安全運(yùn)行帶來一定影響；補(bǔ)丁分發(fā)系統(tǒng)在多臺主機(jī)同時進(jìn)行補(bǔ)丁更新時常常更新失?。褐邪苍聪到y(tǒng)有效防止了大多移動存儲設(shè)備的使用，但是不能防止蘋果手機(jī)的USB端口接入，光盤的使用一定程度上也會給計算機(jī)、網(wǎng)絡(luò)的安全運(yùn)行帶來了隱患。此外，針對Windows XP客戶端設(shè)置中禁用Guest賬戶和本地策略的一些安全設(shè)置會影響打印機(jī)等設(shè)備的共享使用。

2.系統(tǒng)存在安全漏洞，補(bǔ)丁分發(fā)滯后

在第二代支付系統(tǒng)和ACS系統(tǒng)上線之后，絕大多數(shù)業(yè)務(wù)系統(tǒng)都統(tǒng)一到了Windows平臺上，隨著這一平臺安全漏洞的不斷暴露，內(nèi)部信息安全和業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行不斷受到考驗。微軟公司已宣布于2014年4月停止為Windows XP系統(tǒng)提供漏洞補(bǔ)丁服務(wù)，2015年1月360 XP盾甲系統(tǒng)有效保證XP系統(tǒng)后繼補(bǔ)丁的發(fā)放。目前，基層人民銀行存在著多種操作系統(tǒng)版本并存的局面，由于操作系統(tǒng)不統(tǒng)一，增加了系統(tǒng)補(bǔ)丁及時安裝的難度。

三、對策建議

（一）高度重視網(wǎng)絡(luò)運(yùn)維，確保網(wǎng)絡(luò)平穩(wěn)運(yùn)行 一是努力提高網(wǎng)絡(luò)管理人員的業(yè)務(wù)水平，加強(qiáng)培訓(xùn)使其熟練掌握核心網(wǎng)絡(luò)設(shè)備的參數(shù)配置，迅速診斷網(wǎng)絡(luò)故障，并及時采取措施，增強(qiáng)網(wǎng)絡(luò)管理維護(hù)能力。二是做好網(wǎng)絡(luò)資源日常管理維護(hù)工作，定期或不定期對設(shè)備進(jìn)行維護(hù)檢查，加強(qiáng)與電信、聯(lián)通運(yùn)營商的聯(lián)系，確保線路出現(xiàn)故障時可立即聯(lián)系上維修人員。三是制訂切實可行的網(wǎng)絡(luò)系統(tǒng)應(yīng)急預(yù)案，做好預(yù)案動態(tài)維護(hù)工作，提高預(yù)案響應(yīng)能力。

（二）加強(qiáng)信息安全管理，推進(jìn)安全環(huán)境建設(shè)

一是完善措施，防范病毒入侵。建立計算機(jī)病毒通報制度，包括近期病毒易發(fā)種類、本單位病毒“感染”情況、處理結(jié)果等信息。在日常工作中，應(yīng)嚴(yán)格做好外來光盤的病毒檢測工作。二是建議總分行升級業(yè)務(wù)系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)，保證操作系統(tǒng)平臺的順利過渡。三是加強(qiáng)對數(shù)據(jù)集中模式下科技管理制度建設(shè)的探索，按照全面覆蓋、互相制約、責(zé)任明確、便于操作的原則，對原有制度進(jìn)行補(bǔ)充、修訂，建立健全網(wǎng)絡(luò)運(yùn)維、系統(tǒng)維護(hù)、安全、設(shè)備、人員管理等全方位的科技管理制度體系，建立嚴(yán)格的崗位職責(zé)制度，以制度保障網(wǎng)絡(luò)和系統(tǒng)的安全穩(wěn)定運(yùn)行。

（三）繼續(xù)解放思想，更新觀念，提升安全意識

一是要加強(qiáng)組織領(lǐng)導(dǎo)，完善信息安全保障組織機(jī)制，不再將信息安全視為單一的科技工作，也不能只從技術(shù)層面來定義信息安全范疇，而是要將終端應(yīng)用層，甚至要將業(yè)務(wù)操作流程納入其中，形成全員共同抵御風(fēng)險、共同承擔(dān)責(zé)任的新機(jī)制。二是要真正從思想上重視科技工作，支持科技工作，只有這樣才能夠把本單位敬業(yè)愛崗的業(yè)務(wù)骨干安排到科技崗位上。三是要學(xué)會換位思考，牢固樹立大局理念，通過技術(shù)更新，防范風(fēng)險，為基層央行金融系統(tǒng)穩(wěn)定做好服務(wù)和保障工作。