孟爱科
【摘要】 笔者从技术力量、IT应急、防范病毒、网上管控等六个方面探析了基层央行网络暨信息系统安全工作存在的风险,并提出风险防范措施:加强技术力量;强化IT应急;增强防毒手段;进行上网行为管控等。
【关键词】 信息安全 风险探析 防范措施
伴随日新月异的信息技术发展,病毒、黑客等技术也在不断变化,面对新问题层出不穷的信息安全新形势,基层央行网络暨信息系统安全工作也面临一些新情况和风险隐患。笔者结合实际工作,对基层央行信息安全风险进行探析,并提出相关防范措施。
一、信息安全风险分析
1、科技力量不足,网络暨信息系统安全控制力量較弱,有的风险防控措施难以落实。中支和县支行技术人员较少,平均年龄较大,技术结构老化,跟不上日新月异的技术发展,技术维护往往只能处理常见问题,难以及时、独立解决一些较深的硬件和软件方面的技术故障。县支行的信息安全工作由办公室或营业室等其它岗位人员兼任,繁杂的业务工作、难以掌握的网络和信息系统技术、较多的科技工作业务量、有限的时间和精力等诸多因素导致县支行的一些信息风险防控工作不能落实。
2、需要进一步加强网络和计算机信息系统的应急工作。许多人行县支行存在网络和计算机信息系统的应急预案没有及时修订更新;技术性较高的应急项目(例如路由器、交换机故障)没能力独立演练;网络和信息系统应急物资相对缺乏等风险隐患。
3、防病毒措施需要加强。在开放的国际互联网上部署的业务应用系统(例如集中代收付等)没有由上级行统一安排部署防病毒程序及其它安全防范措施。业务网(内联网)反病毒程序为SYMANTEC,相对国际互联网而言,升级更新比较滞后,对新生的木马等病毒难以及时隔离或清除。
4、国际互联网管理工作亟待加强。随着智能手机、平板电脑等移动电子产品的迅速普及和性能的提升,手机等移动设备上国际互联网已是大势所趋,在手机上可以进行购物、看小说、聊天、看视频等多种事务,许多业务工作也通过微信群、QQ群进行布置、交流和汇报;有的单位、部门私自安装无线路由器,小集体内员工共享Wifi,在方便工作和生活的同时,也难以控制、监督使用国际互联网的行为,既产生了信息安全的风险隐患,又会影响工作效率和工作质量,如何管理好Internet成为新的难题。
5、 需要严格管理存储介质。工作中存在光盘、优盘、移动硬盘等未上锁保管,随意放置;涉密介质没有标注密级、没有登记;有的系统的备份周期、介质的翻新时间、数据销毁周期不合理等问题。
6、需要进一步增强信息系统安全风险意识。工作中依然存在个别领导、职工的信息系统风险意识淡薄,缺乏警惕性,保密意识薄弱;有时碍于情面,以人情代替原则;密码过于简单;重要数据无密码共享;人员离开未及时锁定电脑等现象。
二、信息系统安全工作的防范措施
1、加强技术力量配备。建议给中心支行、县支行增加计算机、信息安全等相关专业的大学毕业生,加强技术力量。
2、强化网络暨信息系统(尤其是县支行)应急工作。在增配技术力量的同时,紧密结合实际工作,及时修订信息系统应急预案,提高实战性,落实应急措施和应急资源,适时进行演练。
3、加强防病毒措施。建议为国际互联网环境中的业务处理计算机安装、部署高效、统一的反病毒软件;尽量提高业务网防病毒程序的更新速度,进一步提升对病毒的防范能力。
4、进一步完善国际互联网管理。建议部署国际互联网上网行为管控系统,对计算机、智能手机、平板电脑等设备的上网行为进行限制、记录、监控和分析,增强控制能力,避免可能发生的信息安全隐患。
5、进一步规范光盘、优盘、移动硬盘等存储介质管理。加强教育和宣传,涉密备份应标注密级,上锁妥善保管;对重要业务系统数据的备份周期、保存时间、介质翻新销毁时间等进行明确。
6、警钟长鸣,提高员工的保密意识和保密警惕性。持续进行安全知识教育和宣传,促进职工的信息风险意识、谨慎工作意识的提高;加大对网络暨信息系统安全工作的检查力度,保障各项信息安全防范措施能够落实,取得实效。