銀行業(yè)信息安全工作的建議范文
本站小編為你精心準(zhǔn)備了銀行業(yè)信息安全工作的建議參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《金融科技時代雜志》2014年第十期
一、信息安全監(jiān)管中存在的問題
(一)行業(yè)法規(guī)標(biāo)準(zhǔn)模糊,操作難度大美國、日本和印度早在1995年就出臺國家信息安全法,通過出臺基本法對計算機(jī)的硬件與軟件、網(wǎng)上信息、用戶數(shù)據(jù)進(jìn)行保護(hù)、對利用網(wǎng)絡(luò)傳播有害信息的處罰作出相應(yīng)規(guī)定,規(guī)范人們的網(wǎng)絡(luò)行為,保證信息網(wǎng)絡(luò)的安全運(yùn)行和網(wǎng)絡(luò)信息的合理利用。目前,銀行業(yè)信息安全管理法規(guī)主要有國務(wù)院《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中國人民銀行和中國銀監(jiān)會下發(fā)的《關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見》和《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》,但這些法規(guī)制度中對信息安全的邊界界定不明確,行業(yè)標(biāo)準(zhǔn)不清晰,不具有實際的可操作性,給銀行信息安全管理帶來一定的風(fēng)險隱患。
(二)管理者更注重信息系統(tǒng)建設(shè)維護(hù),輕視信息安全管理一是對信息安全重視程度不夠,部分銀行業(yè)機(jī)構(gòu)僅忙于系統(tǒng)建設(shè)與日常維護(hù),對信息安全管理無暇顧及。二是管理制度落實不到位,難以對計算機(jī)安全的實施進(jìn)行全面管理。部分機(jī)構(gòu)信息安全部門對信息安全制度落實不到位,只有在遇到總行的信息安全檢查時,才會對網(wǎng)絡(luò)冗余線的有效性進(jìn)行檢驗,對交換機(jī)、路由器中的ACL策略進(jìn)行完善,對信息系統(tǒng)中的審計日志進(jìn)行檢查,并沒有形成信息安全管理長效機(jī)制。業(yè)務(wù)部門在信息安全方面有章不循,造成計算機(jī)的漏洞事件發(fā)生。據(jù)統(tǒng)計,大約63.1%安全事件是源于沒有嚴(yán)格執(zhí)行規(guī)章制度,規(guī)章制度不落實、檢查監(jiān)督不嚴(yán)格造成的系統(tǒng)漏洞。三是信息管理疏忽,從已發(fā)生的計算機(jī)違規(guī)事例來看,主要問題是疏于檢查、放松管理。具體表現(xiàn)在,有不少人員在未經(jīng)系統(tǒng)管理員許可情況下擅自使用盜版軟件,導(dǎo)致計算機(jī)感染病毒,重要數(shù)據(jù)丟失,嚴(yán)重者造成業(yè)務(wù)系統(tǒng)癱瘓,影響日常工作的順利進(jìn)行。計算機(jī)操作口令、密鑰、機(jī)密數(shù)據(jù)資料沒有按保密規(guī)定存放,大量的違章操作、越權(quán)濫用沒有進(jìn)行嚴(yán)格處罰,計算機(jī)設(shè)備的保管使用無專人負(fù)責(zé),應(yīng)用系統(tǒng)的操作未有交接的系統(tǒng)日志,系統(tǒng)的維護(hù)不能詳實的記錄。雖然有制度明確規(guī)定操作規(guī)程,但執(zhí)行不嚴(yán)格使本來可以避免的問題頻頻發(fā)生。
(三)管理手段落后,影響管理效能銀行業(yè)的各項業(yè)務(wù)與系統(tǒng)管理越來越依賴網(wǎng)絡(luò)和計算機(jī)應(yīng)用軟件,因此對網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全監(jiān)管至關(guān)重要。目前,管理單位仍然通過現(xiàn)場檢查、聽取匯報、材料上報等方式來獲取銀行的相關(guān)情況,缺乏直接、有效的管理手段,管理方式效率低,無法快速、真實反應(yīng)銀行業(yè)的信息安全狀況,導(dǎo)致銀行業(yè)務(wù)自身存在的信息安全問題不能被及時發(fā)現(xiàn),易造成銀行業(yè)信息安全事件的發(fā)生。
二、問題解決的建議
(一)完善制度標(biāo)準(zhǔn),做到有法可依規(guī)范信息安全管理,首先要完善信息安全的制度建設(shè)。一是加快行業(yè)信息安全標(biāo)準(zhǔn)統(tǒng)一的進(jìn)程。管理部門應(yīng)制定符合當(dāng)?shù)匦畔踩珮?biāo)準(zhǔn),組織建立銀行業(yè)信息技術(shù)發(fā)展規(guī)劃,保證銀行業(yè)信息安全工作的健康發(fā)展。部分地區(qū)便曾出臺信息安全法規(guī),例如《北京市信息化促進(jìn)條例》、《遼寧省計算機(jī)信息系統(tǒng)安全管理條例》、《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》、《上海市公共信息系統(tǒng)安全測評管理辦法》,這種做法值得借鑒。二是設(shè)立硬件設(shè)備的準(zhǔn)入標(biāo)準(zhǔn)。將銀行業(yè)信息安全問題作為新硬件產(chǎn)品銷售及市場準(zhǔn)入的重要參考,對進(jìn)入銀行的PC臺式機(jī)、網(wǎng)絡(luò)設(shè)備、系統(tǒng)服務(wù)器都必須經(jīng)過國家保密部門的安全檢查,只有經(jīng)過篩選的特定型號的引硬件設(shè)備才能進(jìn)入銀行系統(tǒng)和網(wǎng)絡(luò),從根源上杜絕信息安全漏洞設(shè)備的進(jìn)入。
(二)明確責(zé)任制,加大信息安全管理力度一是健全信息安全檢查機(jī)制。定期對銀行業(yè)開展信息安全檢查工作,對基本的安全設(shè)備的防護(hù)形成統(tǒng)一模板下發(fā)給銀行,例如關(guān)閉不必要的服務(wù)端口號、核心服務(wù)器建立堡壘主機(jī)、核心網(wǎng)絡(luò)地址必須配置一對一的雙向映射等。二是依據(jù)現(xiàn)有法規(guī)、技術(shù)標(biāo)準(zhǔn),開展信息安全檢查,確保安全檢查深度與廣度。在開展檢查的同時,可讓有資質(zhì)的第三方安全評測公司,對整體信息系統(tǒng)進(jìn)行全面的攻防測試,對測試結(jié)果出具權(quán)威的報告,明確安全問題,針對性地進(jìn)行弱點的加強(qiáng),保證信息安全工作的實用性和可靠性。三是建立責(zé)任通報制度。對檢查中發(fā)現(xiàn)的違規(guī)事件,按規(guī)定處罰相關(guān)責(zé)任人,對檢查中發(fā)現(xiàn)的安全問題和風(fēng)險隱患,明確責(zé)任部門和責(zé)任人并限期糾改,對檢查中發(fā)現(xiàn)的問題可進(jìn)行問題歸納梳理匯編成冊,下發(fā)給銀行提供參考。
(三)建立全方位監(jiān)管手段,防范安全隱患在信息安全中,系統(tǒng)安全風(fēng)險評估、等級保護(hù)、應(yīng)急管理、數(shù)據(jù)災(zāi)備都有著重要的地位。一是加強(qiáng)風(fēng)險評估、等級保護(hù)和應(yīng)急管理的建設(shè)。通過豐富管理手段,保證信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和數(shù)據(jù)系統(tǒng)的高效、穩(wěn)定運(yùn)行,有效防范、控制和化解信息技術(shù)風(fēng)險,增強(qiáng)信息系統(tǒng)安全預(yù)警、應(yīng)急處置能力。二是制定應(yīng)急預(yù)案,定期開展演練。通過模擬安全事故應(yīng)急處理,提升銀行業(yè)信息安全的系統(tǒng)預(yù)警、應(yīng)急處置和災(zāi)后恢復(fù)的能力,保障銀行業(yè)系統(tǒng)的穩(wěn)定運(yùn)行。三是完善銀行業(yè)災(zāi)備中心建設(shè)。實現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)的應(yīng)用災(zāi)難恢復(fù)能力,完善銀行業(yè)信息安全應(yīng)急恢復(fù)體系,保證信息系統(tǒng)的可靠運(yùn)行。
作者:陳雯單位:中國人民銀行蘭州中心支行
