基层央行信息安全工作存在的问题与建议

1、基层央行信息安全工作存在的问题与建议近年来， 基层央行网络和信息系统安全措施不断加强， 有力 地保障了各部门众多业务处理应用系统的正常运行。 但是，面对 日益严峻的信息安全新形势， 基层央行信息安全工作仍然面临一 些困难、 存在一些风险隐患。 笔者结合人行汉中市中心支行多年 科技工作实践， 对如何进一步加强基层央行信息系统安全工作谈 一些意见，提出相关改进建议。1 信息安全工作存在的主要问题1.1 科技人员配备不足， 科技队伍结构不合理。 尤其是县支 行科技人员缺乏， 信息安全工作力量薄弱， 部分信息安全措施难 以落实。 信息技术更新速度很快， 学习掌握需要较长时间和大量 精力，对“年轻化”要

2、求较高， 而且需要专门的知识技能做基础， 系统掌握比较困难。 目前中心支行科技部门人员偏少， 平均年龄 偏大，对新知识新技术的掌握普遍偏少， 知识老化现象比较严重， 科技维护中只能处理日常外围故障， 对诸如数据库操作、 软件编 程、系统底层等故障等一些深层问题难以解决。人民银行县支行大多都没有专门的科技人员， 科技工作由其 它业务岗位人员兼职，这些兼职科技人员年龄多在40 岁以上，而且没有接受过专门正规训练。 由于业务工作繁忙， 事务性工作 较多， 加之计算机技术本身的深度和难度， 其学习掌握信息安全 技术的积极性、 时间和精力远远不够。 另一方面各县支行科技工 作的业务量较大、 要求也较高，

3、 相形之下信息安全工作难以落到 实处。1.2 信息系统应急工作薄弱。 由于科技力量不足， 导致信息 系统应急工作薄弱， 尤其是县支行。 目前大多数县支行信息系统 应急预案没有很好地结合本单位实际情况进行修订， 存在应急宣 传培训不到位、应急预案更新不及时、可操作性差等问题；受技 术水平等因素限制， 中心支行组织的应急演练项目， 多数支行只 能配合进行一些简单的切换、监测、记录、反馈等操作，对于网 络中断、路由器、交换机、光端机故障等相对技术含量较高的项 目无力演练； 此外信息系统应急物资不能满足应急需要， 若遭受 毁灭性破坏， 缺乏迅速搭建网络等重要业务应用系统的资源； 由 于县支行应急工作不

4、到位而缺少完整、 系统的突发事件应急处置 经验，在重大灾害、故障面前，明显力不从心。1.3 防病毒能力较弱， 国际互联网业务用计算机的安全措施 亟待加强。 人民银行内联网络信息系统防病毒软件单一， 更新相 对滞后，难以有效防范比较新型的木马、黑客等病毒。在国际互 联网上运行的计算机信息系统（如集中代收付、外汇管理等）缺 少统一、有效的反病毒软件和其它安全防范软件。1.4 监督管理政策不明确、法律依据缺乏。总行、西安分行 科技工作会议明确指出： 人民银行科技部门的工作思路需要由过 去的偏重内部建设转变为内部建设与行业管理并重， 要加强对辖 内金融业信息化工作的协调和指导力度， 探索可行的行业管理

5、模式。总行已经制定了金融信息安全属地化管理的思路， 基层行科 技部门肩负着指导、 协调辖内金融业信息化工作的职责， 要对信 息安全工作进行指导和检查，对银行卡联网通用进行督促和检 查，对辖内银行业、证券业、保险业信息化状况进行调研。在履 行上述工作职责过程中， 由于相关政策不够明确、 法律依据缺乏， 使得对金融业信息系统安全监督管理等工作难以落实。1.5 存储介质管理存在风险， 管理制度不够完善。 一是没有 妥善保存： 工作中时常发现备份数据的存储介质随处乱放、 不及 时入柜上锁保存的情况。 二是警惕性不高： 存在涉密数据和普通 文档存放在同一个存储介质的情况。 三是未及时定密： 存在涉密 数

6、据存储介质未及时确定密级、未按涉密存储介质管理的问题。 四是备份数据的规定不太明确：有的系统仅仅要求做好数据备 份，但对采用何种存储介质、数据备份周期、存储介质的保存时 间、存储介质的翻新时间、销毁时间等没有明确的规定。1.6 信息安全的全员意识需要增强， 信息安全风险管理意识 有待进一步提高。 经过多年的信息系统安全教育， 全员信息安全 意识已显著提高， 但是部分部门、 一些员工的信息安全意识依然 薄弱，工作人员安全保密的常识缺乏，警惕性不高，制度执行中 存在不坚持原则、用信任代替原则、用人情代替制度情况；工作 中存在人员离开不退出涉密应用系统或锁定计算机、 重要资料信 息在网络上随意共享等

7、现象；密码设置存在复杂度不够易于破解、易被套取的情况，反映出信息安全风险管理意识亟待加强。2 加强信息安全工作的建议2.1 增加年轻、专业的科技人员配备，加强技术力量。建议 在条件允许的情况下，加快人才选配步伐，适当给中心支行，尤 其是县支行配备信息安全、 软件开发等相关专业的本科生或研究 生，提高科技力量储备。2.2 进一步加强县支行的信息应急工作。 在尽可能增配县支 行科技力量基础上， 结合实际组织安排攻坚性的应急预案更新和 修订工作，增强可操作性和实战性，适时开展演练，同时加强应 急措施和应急步骤的宣传培训； 在条件许可情况下， 储备比较充 分的网络暨信息系统应急物资。2.3 进一步强化

8、信息安全措施。 建议在统一测试、 选型的基 础上为内联网络增配反病毒软件， 为国际互联网上运行的计算机 增加统一、 有效的反病毒工具， 执行反病毒程序的实时监控和调 度扫描，对客户端的升级、系统定期检查、清除病毒等操作进行 集约控制，加强病毒防范能力。2.4 加强法规建设规范监管工作。 建议在条件成熟时， 制定 央行对金融业信息系统管理监督工作的法律规章， 规范操作内容 和程序，促进基层行执行力的提高。2.5 进行存储介质管理知识培训， 规范、 强化存储介质管理 工作。 应将一般数据和涉密数据分别保存到不同的介质中； 对涉 密存储介质及时标注密级， 入柜上锁保管； 强化操作人员安全保 密意识和工作责任感；建议对每个业务处理系统的数据备份周 期、存储介质的保存时间、存储内容的删除时间、存储介质的翻 新时间、销毁时间等方面进行明确的规定。2.6 加强人员教育和管理，提高警惕，防范风险（1）制定员工学习信息系统安全和保密知识的制度，增加 学习密度， 努力提高全体员工的信息安全意识和思想觉悟， 养成 敢于