[地市级人民银行信息安全管理中的问题与对策] 人民银行信息安全

　　【 摘 要 】 随着经济的发展和科技的进步，信息化成为社会发展的一种必然趋势，计算机信息安全问题日益成为各行各业关注的焦点和工作的重点。为了进一步提升基层央行计算机信息安全管理水平，本文结合陕西渭南中支信息安全管理工作的实践，提出信息安全管理方面的一些对策。
　　【 关键词 】 人民银行；信息安全；对策
　　1 信息安全工作中存在的主要问题
　　1.1 信息安全概念宽泛使得管理工作点多面广
　　信息安全可以归纳为两个层次的含义,即业务数据安全和系统服务安全。业务数据安全是指为防止信息在收集、处理、存储、检索、传输和交换中确保其保密性、完整性、可用性、可控性和抗抵赖性。系统服务安全即运行安全，是防止计算机及网络软硬件设备遭受自然或人为破坏，确保系统的稳定运行。随着人们对信息安全的不断认识，解决安全问题需要建立一个完整的体系，需要统筹考虑。
　　人民银行系统安全保障体系非常庞大，主要内容包括了内联网的安全、重要应用系统的安全、机房环境及设施的安全以及对人员、技术资料、客户端和应急等方面的管理工作。具体到系统部署上，包括了诺顿防病毒系统、非法外联系统、补丁分发系统、中安源可信网络平台，以及科技资源管理与运维监控系统等安全系统。基层行计算机硬件配置相对较低，安全系统对计算机硬件资源的消耗又比较大，导致经常出现安全系统之间冲突、操作系统崩溃等现象，增加了安全管理的纷繁复杂。目前总、分行两级数据中心还在建设之中，对架构的管控还不完善，信息安全等级保护尚待建立。因此，基层央行的信息安全管理工作头绪很多，事务烦杂，涉及面广，随着数据集中、业务整合的深入发展，应该逐步调整，突出重点，主动防御，通过使用更加严格、有效的技术手段加强客户端的管理，维护内联网的安全。
　　1.2 员工信息安全意识不足
　　信息安全管理工作关注的是风险和隐患，包括人员、设备、病毒入侵与防范等。安全系统的部署对信息安全的管理提供了技术手段，但员工信息安全意识的提高至为关键，需要进行及时的宣传和必要的培训。笔者在多年的工作中发现，由于员工信息安全意识不足，客户端计算机的管理会出现以下问题：
　　一是许多工作人员在办公计算机上安装一些与办公无关的软件，经常出现软件冲突，影响办公软件的正常使用，甚至损坏操作系统；
　　二是部分经常出差的人员计算机长期处于关机状态，诺顿防病毒系统无法正常升级，过期信息甚至影响了对系统的正常管理；
　　三是部分员工对计算机病毒的隐蔽性与危害性没有足够的认识，为了使用移动存储设备，会强行卸载中安源可信网络平台客户端管理软件，增加整个网络感染病毒的风险；
　　四是个别员工因为计算机运行慢，干脆重装操作系统，不再安装安全系统，使计算机处于没有安全防范措施的状态。
　　1.3 科技部门管理信息安全工作，势单力孤
　　按照相关规定，基层行成立了计算机安全领导小组，统一负责各业务系统的应急协调与指挥，决策重大事项和调动应急资源；各部门设置了信息安全岗位，配备了专、兼职信息安全管理员，并明确了各自的工作职责。但在实际工作中，大家在思想意识中仍然认为信息安全管理只是科技部门的事情，片面认为信息安全管理只是一种技术支持，只能由科技部门去做，因此信息安全管理工作没有形成齐抓共管的合力，科技部门只能单打独斗。具体表现在：
　　一是各部门负责人在管理上不够严格，“谁使用，谁负责，谁主管，谁负责”的信息安全管理制度没有很好地落实；
　　二是各部门的计算机安全员没有承担起相应的责任，在部门计算机安全管理工作中没有发挥作用；
　　三是个别员工不服从管理，对安全系统的安装有抵触情绪。
　　1.4 信息安全制度保障作用不很明显
　　基层行的信息安全制度多是参照上级行的相关制度制订的，在制订过程中大都是照搬照抄，所建立的制度并不完全符合基层实际，也就没有办法严格执行。例如有些属于系统维护范围内的日常工作也纳入制度保障的范围内，所制定的制度涵盖范围过于宽泛，制度保障作用不强。
　　2 对策建议
　　2.1 合理定级、对信息安全进行分级管理
　　应该按照国家信息安全等级保护的相关要求，对信息系统进行定级，并从信息安全等级保护的角度，对信息安全体系进行划分，按不同标准进行建设、管理和监督。人民银行目前的信息安全主要保障重大应用系统业务工作的连续可用性；业务工作责任的不可否认性；业务数据和信息的真实完整性；涉及国家秘密和行业敏感信息的保密性等。应该在现有安全框架的基础上，按照“加强保边护界，保护核心数据安全”的指导思想，对信息安全进行分级管理。
　　2.2 加大信息安全教育并开展有效的培训
　　一是要切实加大信息安全宣传教育和培训工作，不断提高所有员工的信息安全意识，逐步改变大家对信息安全工作的狭隘认识，强化工作责任，让人人明白自己在信息安全中的责任和义务。及时对员工特别是部门信息安全人员进行培训，学习安全系统的功能、日常管理与维护的方法、如何对监控信息进行反馈与处理等，做到熟练操作，提高信息安全防范能力。
　　二是要提升科技人员信息安全管理技术水平，通过信息安全评估和交叉检查的方式，互相交流，提高对物理环境安全防护、网络入侵防范、非法外联监控、网络接入访问控制、网络传输安全、恶意代码防范、身份认证、用户管理、终端管理、安全审计、数据备份等手段的使用能力。将安全系统的管理和网络、系统管理整合，技术管理人员互相学习，共同完成信息安全系统的管理。
　　2.3 强化体系建设，提高综合管理能力
　　信息安全系统建设涉及的范围很广，它是一个系统工程，各种制度、管理规定很多，技术手段更是各种各样，对系统中的各个环节需要统一规划和综合考虑，并兼顾环境和系统内部不断发生的变化，建立系统化的管理体系。
　　基层行信息安全管理应以业务风险为基础，以员工为主体建立综合管理体系。通过提高员工信息安全意识，提升本单位信息安全管理水平，增强抵御灾难性事件的能力。同时通过建设信息安全管理体系，有效提高对信息安全风险的管控能力，通过与等级保护、风险评估等工作的接续，使得信息安全管理更加科学有效。
　　2.4 统一基层行信息安全制度保障内容
　　按照分级管理的思路，对信息安全管理的规定相应分级，统一制定信息安全管理的内容，按照基层行工作实际，设定工作标准，建立起简单明确、易于操作的制度保障系统，对于信息安全的管理、检查都会非常有利。
　　参考文献
　　[1] Charles P. Pfleeger .信息安全原理与应用》.[M].北京.电子工业出版社,2004年7月.
　　[2] 公安部信息安全等级保护评估中心.《信息安全等级保护政策培训教程》[M].北京：电子工业出版社,2010年6月.
　　[3] 王正德, 杨世松.《信息安全管理论》[M]北京：军事科学出版社,2009年7月.
　　[4] 王海军.网络信息安全管理研究[M].济南：山东大学出版社,2010年8月.
　　[5] 中国人民银行主编.银行计算机信息系统安全技术规范[M].北京：电子工业出版社,2001年7月.
　　[6] 中国人民银行西安分行科技处.信息化建设制度汇编[M].西安: 中国人民银行西安分行,2004年10月.
　　
　　作者简介：
　　雷勇（1972-），男，陕西华县人，大学学历，工程师，现供职于中国人民银行渭南市中心支行。