构建基层央行信息安全基线
市县一体化后基层央行应如何加强信息系统安全管理
络技术 、 息安全管理 、 信 网络 安全与病 毒防护等 知识进行 专 题培训 , 县支行 的科 技人员在计 算机软 件 、 使 硬件和 网 络维护等方面能达到专业标准 , 为信息安全防范提供人才
职工 的主观因素所 致 , 从而忽视 了信息安全纰漏会 给不法 分子 以可乘之 机的客观事实 , 信息安全工作常 常是 流于形
式 。二是基层央行一些业务人员对信息安全 的重要性认识 不清 , 仍然认为计算机信息安全是单位领导和科技 人员 的 事 , 自己关系不大 , 与 一些重要 的业务机没有设 置密码 , 开
21 0 0年 5月 总 第 13 5 期 第5 期
黑 河 学 刊
Heh o r a i eJ u n l
Ma .01 y2 0
S f l . 5 . e a 1 3 No 5 i No
市县一体化后基层央行应如何 加强信息系统安全 管理
⑨ 刘 自运
( 中国人民银行 黑河市 中心支行 , 黑龙江 黑河 . 4 0 ) 1 30 6
何加强 人民银行信息 系统安全管 理是 当前基层 央行需 要
解决的一个重要课题 。
一
、
人民银行信 息系统基本情况
人 行黑河市 中心支行所 辖 的 5个县 支行一体 化改革 后, 县支行将被整 合成一股二 室 , 即办公室 、 营业 室 、 综合
股, 有外汇业务的多一个外汇股 。 目前县 支行运行 的应用
体表 现为没有安排专职科技人员 , 没有象重视 发行 库一样 重视信息 安全 , 没有定期检查 、 也 定期研究 信息安全工作 , 没有把信 息安全真正摆 上工作 日程 , 认为金融 案件是个别
1 . 电子业务迅猛发展与人力 资源 匮乏的矛盾。金融业 务 电子化的迅猛发展 , 观上要求 人力资源配置 与之相适 客
基层央行信息安全保密管理工作的探索
栏目编辑:梁丽雯 E-mail:liven_01@2018年·第1期65基层央行信息安全保密管理工作的探索*■ 中国人民银行金华市中心支行 陈 琼近年来,人民银行信息化建设不断完善,数据不断集中。
为确保信息安全,在保密管理方面人民银行也统一实行了网络物理隔离,完成了分级保护测评工作,部署了相关保密安全类系统等,但作为基层单位,如何在实际工作中落实与日常工作息息相关的各项保密工作显得越来越重要。
中国人民银行金华市中心支行(以下简称“人行金华市中支”)立足基层央行信息安全工作实际,从“人防、制防、技防”3方面入手,通过建立信息安全宣传长效机制、推行信息安全管理量化模式、借力科技信息安全保密管理防护自动功能,推动实现安全保密工作精细化、标准化、科学化管理。
一、强化人防,建立长效机制将信息安全观念根植于心(一)坚持三级管理体系,实现责任到人为严格落实领导干部保密管理责任,按年度中心支行一把手与分管行领导、各县(市)支行行长,分管行领导与对应科室负责人签订三级领导干部保密责任书,明确各级责任范围、责任内容、责任追究,将领导干部保密工作情况纳入单位目标责任考核,变被动保密为自觉行动,形成了上下重视、齐抓共管的良好局面,构筑了一个“级级有保密组织、层层有人负责”的立体保密管理网络。
严格落实涉密人员、要害岗位人员保密责任,签订涉密人员、保密要害部门(部位)保密责任书。
根据人员变动及时组织签订在岗、离岗人员保密承诺书,形成上下重视、齐抓共管的动态化保密工作责任体系。
(二)坚持开展行员保密安全知识测试自2011年起,坚持每年开展行员保密知识、信息安全知识培训,明确将新入行行员的保密、信息安全知识考核结果作为转正定级的重要参考,并将此项工摘要:随着科技的发展,人民银行的信息化水平不断提升,而相关的信息保密工作也受到了前有未有的影响。
本文结合基层人民银行工作实际,阐述了通过加强宣传教育、强化制度建设、借助技术防范、落实安全检查等一系列措施,进一步提升辖内人民银行信息安全保密工作水平的做法。
基层央行信息安全工作的实践和思路
原则化 ,没有 一个针对金 融业可操作 的实施 细则和指
引 ,使 等级 保 护无 法准 确 与行 业 实 际相 结合 ,出现 了落
建 工作 ,要达到人民银行提 出的标 准和要求 ,就需要 一定 地难 的 问题 。因此 ,分支行 在 自 系统 的定级备案 时 出于
的软硬件投入和基础环境改造。但仅有这些是远远不够 避 免公 安 部 门 的监 督 检查 和 升 级 改造 等 大 量后 续 工作 的 的,更重要的是要把这些基础设施和监控手段有效地整 考虑而将重要 自建系统也定为二级以下 ,存在 “ 宁低勿 合 ,从而达到提高整个信息系统持续服 务能力的 目的 。 高”的思想 ,这在一定程度上背离了等级保护的初衷。
效地开展 ,二 者在 目标上是不矛盾的。在实际工作 中,
三方测评机构完成 的等级 测评工作是对等级保护定级工
2 1 / 国 融 脑 41 0 中 金 电 12
l I I 圈
作 的检 验 ,是 等级 保 护工 作 取得 预 期 效果 的 重要 保 障 。
同时 ,风险评估方法中的外评估也是对 自评估 的有效补
存 在 “ 投 入 ,轻 管 理 ” 的 思 想 , 即认 为 安 装 部 署 了 重
自评估确实也发 现 了一些 长期 忽视或 隐藏较深 的安全
防火墙 、入侵检 测 、防病 毒和加密 、准入 、监控 等这 隐 患 。这 两 项 工 作 的 开 展 大 大 提 升 了 基 层 行 的信 息 安 些软硬件之后 ,信 息安全水 平 自然就会提 高 。二是认 全保障能 力 ,但是在实 际操作过程 中我们也遇到一些
充 ,它能 够站 在 更加 客 观 的立 场 上对 整 个 I资 产 所面 临 T
四 、信 息 安 全工 作 的建 议
基层央行计算机信息安全管理工作存在的问题与建议
基层央行计算机信息安全管理工作存在的问题与建议作者:张秉海来源:《柴达木开发研究》2008年第05期2008年历史罕见的暴风雪、5.12汶川8级地震、水灾等自然灾害以及“熊猫烧香”、“AV终结者”等影响较大的计算机病毒事件相继发生,利用病毒、木马技术进行网络犯罪活动猖獗,这些事件所引发的安全应急响应、灾难恢复和连续性管理等安全防护问题令人深思。
面对日益严峻的安全形势,计算机信息安全正经受着越来越多的挑战,尤其是人民银行大小额支付系统、国库会计核算系统、征信系统、货币金银信息系统、人民币结算账户管理系统等核心业务系统的高可用性越来越受到人们的关注。
做好计算机信息安全工作,确保人民银行支付系统等核心业务系统以及网络系统的安全,防范有组织和个体的恶意攻击是我们长期面临的一项艰巨和紧迫的任务。
一、问题分析应该说,目前基层央行计算机信息安全工作形势比较好,硬件设施配备基本满足业务发展的需要,安全管理比较扎实,防范措施也比较得力,但从长远的计算机信息安全工作的角度来分析,仍然还存在诸多问题。
1.重视安全工具投资而轻视管理投资从基层央行的情况来看,信息安全系统主要由防火墙、入侵检测、非法外联和病毒防范等组成。
这些手段只能是在外围对非法用户和越权访问者进行封堵,而对访问的源端(客户端)防范不够。
操作系统的不完善导致各种漏洞层出不穷,不能从根本上解决外部攻击,更无法防止内部人员作案。
这些问题导致信息安全系统越做越复杂,误报率增多,安全投入不断增加,维护和管理更加困难。
这就不得不使我们反思:在当前信息安全的形式下,使用“老三样”采用“防外攻、堵漏洞、防火墙”等手段,往往是防不胜防。
这些观念的形成有诸多原因,但最根本的原因在于对计算机安全知识了解不多,对安全管理内涵认识不够。
计算机安全管理的目的:一是保障业务系统稳定运行;二是防止涉密信息泄漏;三是预防犯罪分子利用系统作案。
这需要集责任感、科技知识和管理能力于一体,更需要安全管理部门和各业务运行部门间的通力协作和配合,还少不了强有力的政策支持。
基层央行信息技术国产化问题探析-以人民银行伊犁州中心支行为例
罡源
控, 为 J 、 : 化进 把 好第一关 按照
作者简介:哈里木拉 提 ・ 依塔洪 ( 1 9 8 1 一 ) , 男, 新疆伊 犁人, 工程 师。
收 稿 日期 : 2 0 1 7 — 0 3 — 1 8
本丈仅代表作者个人 观点, 不代表作者所在单位 意见。
H 故 畸 f {
0
O
2 3 9
0
0
说 明: 以上数据 来源是 《 固定 资产 管理 系统》
人 民银 行系统 关于信 息技 术 国产化 工作的部 署和 要
求, 人行伊 中支在集 中采购 电子设 备方面 制定了详
较 大的提 升。
的困产化设 爵采购 计划 , 并按计划逐 步用国产设 备 替代 服 多年 的围外设箭 , 从源头 把控 , 为信 息技 术
网络 设 备
信息技术国产化后设备分布情况 非国产 ( 个) 2 9
2
国产 ( 个) O
4 6
比例 ( % ) 0
6 9 l 7 0
国产 ( 个)
— —
比例 ( % ) 9 . 3 8
9 5 . 8 3
硬件
硬件
4 2
2 0
3
4 6
通 过 不懈 努 力. 人
f 1 之辖 l 在 基 础软 硬 件 设 核心技 术系统
施、 操作系统 、 务器 、 络没 化方而均有较 久提",
l 所列。
的特点
( ) 息技 术 产化
・
一
设拖、 操作系统 、 暇 务器 、 网络设 箭等 而 , 逐步 使 用
行 伊犁叶 j 之”) 征 上级行 的领 导下, 认真
基层人民银行信息安全管理分析.doc
(四)信息安全管理制度形成虚设或不完备任何工作的管理,基本的前提条件就是制度先行,对人民银行信息安全管理工作来说,这更是重中之重的工作,信息安全工作的正常开展,必须要有科学全面的规章制度作保障。
但是,在实际工作中,我们看到二个工作薄弱现象,一是由于管理层的安全意识和安全知识的欠缺,导致相关的管理制度不配套、不完整,有些事项无法可依,可法可循;二是在实际工作执行力上也是力度不够,应付了事,对一些可疑信息不做细致分析和研究工作,这都会影响到人民银行作为一个国家政策机构的权威性和影响力,因此,为让信息安全工作向前推进,必须从领导做起,把相关制度做进一步完善,在制度执行上必须做到有法必依,有章必循,为信息安全工作提供坚实的制度保障[2]。
(五)应急预案不过关应急系统的出台,为保障信息安全工作正常顺利的开展提供的强有力的借鉴参考的依据,这也是就对突事件和最重要手段,当出现泄露安全信息或其它重大事件时,都要依靠这个系统的正常运作,如果突发事件处理及时有力,就可以最大限度的降低国家和民众的经济财产损失,但从基层人民银行的实际情况来看,信息安全系统的应急预案与实际工作之间存在很大距离,在关键时候,这个系统可能会出现瘫痪,这将是一个重大隐患。
三、对信息安全管理工作现状问题的对策探讨现阶段信息安全管理工作中存在的种种问题,在上文中已作了详细阐述,需要基层人民银行认真对待,及时解决。
大的层面说,它是维护社会稳定和国家长治久安的需要,具体来说,也是为保障千千万万的普通民众的金融财产安全的需要。
为此,本文谨从以下方面展开论述,以对症下药,探讨应对之策[3]。
(一)信息安全管理工作的管理意识提升这里所指的基层人民银行信息安全管理工作的安全管理包括二个层面,首先是信息安全管理的相关部门及其领导的安全意识不到位,如果管理者没有危机感,不够重视此项工作,那么执行者的安全意识也就难于提高,所以,为预防为主,隐患于末然,首先要求管理者提高认识,对从事信息安全的执行人员从制度加强管理,促使执行人员严格要求自己,把按章行事,照章执行作为衡量工作好坏的标准,并要与干部提拔绩效分配等个人利益问题挂钓,加大考核力度,这样可以进一步提高执行者的工作动力,从而提高工作质量和效率,尤其重要的是,首先对对信息安全工作的选人用人上,加强对从业人员的执业资格审核和思想品德的考量是做好信息安全工作的前提。
构建基层央行信息安全基线
构建基层央行信息安全基线作者:王雪华来源:《现代经济信息》2012年第21期摘要:近年来安全基线被广泛地应用于金融行业,安全基线对于提高金融网络与信息系统的安全性起到了重要的基础性作用。
所谓信息安全基线就是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。
人民银行信息安全基线(以下简称安全基线)由一组安全要求项组成,其描述了本单位在某一时点上的整体信息安全状态,是该单位信息安全总体水平的量化表述。
关键词:央行;信息安全基线中图分类号:F832.2 文献标识码:A 文章编号:1001-828X(2012)11-0-01一、构建基层央行信息安全基线(一)安全基线管理的职责分工基层央行负责本单位安全基线的建立、维护、不定期评估和定期上报。
安全基线管理设置操作员和审核员,负责安全基线的日常维护。
安全基线操作员负责提交新增、删除、变更基线要求项的申请;负责配合安全基线审核员对安全基线进行不定期评估;负责对不合格的基线要求项进行整改。
安全基线审核员负责对申请材料进行审核,并完成安全基线的新增、删除、变更等日常维护操作;负责组织完成本单位安全基线的不定期评估,对于高风险基线要求项,建立督办单,跟踪其整改过程;负责将本单位的安全基线定期上报至上级单位。
(二)安全基线要求项的定义安全基线项遵循统一的定义,包括基线编号、基线要求、基线当前状态、状态说明、基线整改措施、审批单编号及备注等七个要素。
基线版本是对基线要求项的变更情况进行跟踪的途径,其分为两节,第一节为版本号,由四位阿拉伯数字组成,表示基线要求项内容发生变更,每次变更时号码加1;第二节为安全基线发生变更时的变更单编号,变更单编号由六位阿拉伯数字组成。
在安全基线的第一次初始化时,审批单编号中须填写“初始化”,之后每次对基线要求项进行新增、变更和删除时,都需要记录相关的审批单编号,以便对基线要求项的历史状态进行追溯。
(三)安全基线的变更管理安全基线操作员在申请进行基线要求项的新增或删除前,填写审批单并说明原因,在安全基线审核员审核通过后,进行相应的新增和删除操作。
基层人民银行网络信息安全工作改进建议
基层人民银行网络信息安全工作改进建议作者:伊文英谢育成来源:《金融周刊》2015年第19期目前,在基层人民银行运行的重要计算机应用系统基本上都采用了B/S(浏览器/服务器)结构,通过浏览器访问服务器,数据服务器部署在总行或分行。
数据集中使数据管理和采集更加方便,但同时也对网络信息安全提出了更高要求。
本文结合县支行的实际情况,探讨数据集中模式下基层人民银行信息安全和管理存在的问题及对策。
一、基层人民银行信息安全现状人民银行于2010年印发了《中国人民银行计算机系统信息安全管理规定》(以下简称《规定》),其中关于基层人民银行的信息安全风险集中体现在三个方面:应用系统(包括业务和管理)风险、机房环境风险和网络安全风险。
近几年来,随着金融电子化的不断推进,越来越多的应用系统相继投入使用。
对县支行目前正在使用的重要应用系统的调查结果显示,县支行的应用系统都采用了B/S模式与架设在总分行的服务器进行数据交换,地市级仅进行数据采集和筛选工作,业务数据通过网络集中存储到各大数据中心和清算中心,采用数据集中模式的应用系统比重达到lOO%。
由此可见,在数据集中模式下,保障网络安全平稳运行意义重大。
二、待改进的方面随着《规定》下发和信息安全基线的制定,基层人民银行在信息安全制度的建立和执行、网络安全管理、应用安全管理等诸方面取得一定的成效,但仍存在一些问题亟需解决。
(一)网络安全方面1.管理人员业务能力参差不齐网络管理和维护工作对于网络管理人员的能力要求比较高,需要熟知路由器、交换机等核心网络设备的工作原理和配置,能够快速排查网络故障。
《规定》中要求网络管理人员实行AB角备份制度并定期轮换,在基层人民银行,B角往往是名义上的替补人员,并不具备网络知识,一旦在A角出差或休假期间网络出现紧急故障,将会导致业务系统无法正常运行,造成重大影响。
2.安全管理机制建设尚存隐患目前,计算机安全管理的基本组织框架、管理框架、管理机制、策略方法、工作流程还在初步探索之中,内部缺乏信息安全监督机制,各单位、各部门、各岗位的信息安全管理职责及相互间的协作和制约关系未系统化地建立起来。
基层央行信息安全管理与行业协调工作模式实践与探讨
基层央行信息安全管理与行业协调工作模式实践与探讨1. 引言1.1 基层央行信息安全管理与行业协调工作模式实践与探讨在当今数字化时代,信息安全管理日益成为金融行业的重中之重。
作为金融领域的重要机构,基层央行在信息安全管理及行业协调工作模式方面扮演着关键角色。
本文将就基层央行信息安全管理与行业协调工作模式进行深入探讨与实践。
我们将阐述信息安全管理的重要性,探讨信息泄露可能带来的严重后果以及保护数据安全的重要性。
我们将分析基层央行目前信息安全管理的现状,探讨存在的问题与挑战。
然后,我们将重点关注行业协调工作模式的实践,探讨基层央行与其他金融机构之间的合作与协调,以确保信息安全的有效保护。
接着,我们将深化基层央行信息安全管理的探讨,探讨如何加强技术和制度建设,提升信息安全管理的效果。
我们将讨论行业协调工作模式的优势与挑战,探讨如何解决合作中可能出现的问题。
通过本文的探讨与实践,我们希望能够为基层央行信息安全管理与行业协调工作模式的未来发展趋势提供一些启示,并为行业在信息安全管理方面的进步做出贡献。
2. 正文2.1 信息安全管理的重要性信息安全管理是现代金融领域不可或缺的重要环节。
随着互联网和信息技术的不断发展,金融机构的信息系统变得越来越庞大复杂,信息安全面临着越来越多的挑战。
加强信息安全管理,保护金融机构的信息资产和客户数据安全至关重要。
信息安全管理能有效防范各类网络安全威胁,保障金融交易的安全性和可靠性。
在今天的数字化时代,各种网络攻击手段层出不穷,如病毒、恶意软件、黑客攻击等,这些安全威胁可能导致数据泄露、财产损失甚至信任危机。
只有通过信息安全管理措施,金融机构才能有效应对这些威胁,确保金融系统的稳定运行。
信息安全管理是金融机构合规经营的基础。
随着金融监管日益趋严,金融机构需要履行合规要求,保护客户隐私信息和交易数据,遵守相关法律法规。
而良好的信息安全管理体系能够帮助金融机构建立信任,提升品牌形象,同时也有利于降低合规风险和保护金融机构的声誉。
构建基层央行信息安全基线
二 以信息安全基线管理促进信息安全建设
资金等方面的支持等内容及时反馈给上级行。信息安全
信息安全基 线管理 内容可细化为机房管理 、网络安 基线 的初始化要客观 、准确。基层央行应严把变更审批
■盯 N F O R M A T 囝 錾
构 建 基层 央行 信息 安全 基线
中国人民银行 乌海市 中心支行 王雪华
近年来安全基线被广泛地应用于金融行业 ,安全基
2 。 安全基线要求项的定义
安全基线项遵循统一的模板 ,包括基线编号 、基线
线对于提高金融网络与信息系统的安全性起到了重要作
全 、应用安全 、保密技术管理 、信息安全管理 、安全运 关 ,加强变更项的检查和复核。
维等十大类 ,近 1 0 0 0 个要 求项 ,涵盖 了信 息安全工作
3 . 加 强 技 术 应 用 ,提 高 信 息 安 全 基 线 的 管 理
的各个方面 ,对信息安全工作 的要求进行 了分类 、明确 水 平
一
成, 表示基线要求项内容发生变更 , 每次变更时号码加 l ; 第二节为安全基线发生变更时的变更单编号 ,变更单编
、
基 层 央行 信息 安 全基 线概 述
号 由六 位 阿拉 伯数 字组 成 。
1 . 安 全基 线管理的职责分工
在安全基线的第一次初始化时 ,审校员审批单编号
基层央行负责本单位安全基线的建立 、维护 、评估 中须填写 “ 初始化” ,之后每次对基线要求项进行新增 、
2 . 严格 审批 ,做好信息安全基 线的变更工作
基层央行计算机信息安全问题与改进建议-2019年精选文档
基层央行计算机信息安全问题与改进建议近年来,人民银行陆续在全国推广了国库核算系统、大额支付系统、反洗钱监测、货币发行等重要业务系统,人民银行计算机信息系统建设逐步得到加强和完善,囊括了中央银行的各项职能,其重要性日益显现。
基层中央银行由于管理不到位,技术力量不强等原因,计算机信息安全工作存在许多薄弱环节,已严重威胁到计算机信息系统的安全稳定运行,亟待我们去研究、解决。
一、目前存在的问题(一)计算机安全领导小组没有发挥作用县支行普遍存在“重科技服务,轻安全管理”的现象。
由于县支行个别领导对计算机业务不熟悉,认识不深,安全意识不强、重视程度不够,为应付上级行检查,虽然成立了计算机安全领导小组,但并没有正确履行职责,人员变更后,调整也不及时,计算机安全领导小组形同虚设,根本没有真正发挥计算机安全领导小组的作用。
(二)科技人员队伍建设存在问题县级支行一般只配备一名科技人员,挂靠在其他部门管理,多数年龄较大且科技工作经验不足,科技人员队伍建设存在以下问题:一是县支行科技人员技术力量薄弱。
由于县支行多年不进人,没有及时补充新的科技力量,人员老化严重,缺乏专业知识,特别是缺乏既懂金融业务,又会计算机的年轻人,现有科技人员大多从事一般性的技术维护工作,没有机会参与大型软件开发、项目建设任务,缺乏实践锻炼的机会,随着日常维护任务的加重,深造学习的机会越来越少,科技知识更新缓慢,缺乏解决复杂技术难题的能力;二是县支行科技人员干劲不足。
县支行不单独设立科技部门,每县只配备一名科技人员,且工作兼职较多,工作干的多,责任大,提职机会少,导致县支行科技人员越干越没劲,干一段时间就要求换岗位的较多;三是关键技术个人化现象严重。
由于人员的不足,日常技术维护和上级技术培训都由一人参与,所有技术只有一人掌握,一个人承担全行的各种操作系统、应用系统和数据库维护等工作,并负责计算机日常管理和安全管理,工作任务过重,很容易顾此失彼,且县支行技术人员调换频繁,科技工作衔接不好,容易出现问题,以至于影响正常工作的开展。
基层央行信息安全面临的风险与对策建议
基层央行信息安全面临的风险与对策建议随着大额支付系统(ABS、TBS)、货币金银管理信息系统、人民币结算账户管理系统及办公自动化等重要业务系统的陆续上线运行,计算机和计算机网络正发挥着越来越重要的作用。
当信息系统带来更高效能、便捷服务的同时,也使计算机信息系统面临着较大的安全风险,一定程度上制约着中央银行的电子化建设。
一、基层央行计算机信息安全工作现状及存在的问题。
1、网络安全存在的主要问题:一是硬件问题:内联网二期工程实施后,中心支行和县支行已完成路由器和交换机布设和更新工作。
但是从实际情况看,硬件设备备份严重不足。
一是县支行根本没有配备网络备份设备。
二是备份线路问题:内联网二期工程完成后,完成了县支行到中心支行,中心支行到省会的2M 光纤接入工作。
但是,县支行到中心支行的备份线路使用的128KDDN专线方式。
在实际应用中,我们注意备份线路的连通测试,目的是当主线路出现故障时恢复网络及时联通。
三是网络漏洞与病毒防治:网络漏洞扫描系统和入侵检测系统以及反病毒系统和防火墙的安全运行,为网络系统的安全打下了良好的基础。
但是,网络的安全运行依然存在着一些问题,主要表现在:不能按照总、分行的要求,强化对网络设备的安全使用和管理,比如对口令的设置和定期修改、软件版本升级等问题。
安全检测系统采用的都是“已知漏洞”和“已知攻击”,并且检测策略由总行安全中心下发到各地市中心支行需一段时间,所以造成了检查系统的滞后性,使病毒在网络中迅速传播,网络安全隐患随时存在。
2、计算机安全存在的问题:一是操作系统问题:随着业务系统的不断推出,使得基层行操作系统存在着各种操作系统并存的局面。
目前常见的操作系统有WIN98、WIN ME、WIN2000、WINXP、WIN2003、SCO等,没有一个统一的操作平台,出现问题只有科技人员到现场才能解决,对计算机的普及造成无形的障碍。
二是系统补丁问题:如上所述,由于操作系统的多样性,增加了系统补丁及时安装的难度。
浅谈信息安全基线在等级保护管理中的应用
浅谈信息安全基线在等级保护管理中的应用作者:唐先勇来源:《中国金融电脑》 2016年第4期近年来,随着金融业等级保护工作的逐步落实,银行业金融机构陆续完成了本单位信息系统等级保护定级备案,等级测评及安全建设整改工作。
但由于银行业金融机构具有分支机构多、分布广,信息系统应用复杂、定级范围广以及安全人员管理水平参差不齐等特点,给定级保护后续管理工作增加了难度,如何持续做好信息系统等级保护工作,巩固等级保护工作成效,建立等级保护工作长效管理机制,已成为金融监管机构关注的问题。
本文主要结合安全基线在基层人民银行等级保护中的实践,探讨安全基线技术在等级保护管理中的应用。
一、银行业金融机构信息系统等级保护现状人民银行作为我国中央银行,承担着指导协调我国金融业信息安全工作的职责。
2010 年以来,人民银行为全面落实国家信息安全等级保护制度,制定发布了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三项行业标准,建立了金融业等级保护标准规范体系。
在此基础上,人民银行围绕定级、备案、安全建设整改、等级测评和监督检查等五个规定动作,在人民银行及银行业全面部署实施信息安全等级保护工作, 截至目前,全国银行业金融机构已基本完成重要信息系统的定级、备案和测评整改工作,等级保护工作取得了长足进步,信息系统的安全防护水平得到了全面提升,推动了金融业信息化建设和业务发展,但在等级保护执行过程中也面临以下一些困难:一是金融机构分支机构多、分布广,总部对分支机构等级保护工作的可控管理水平有限。
二是金融机构信息系统数量多、运行环境复杂,定级范围广且标准不统一,加大了等级保护的运维难度。
三是部分银行分支机构没有认识到信息系统等级保护工作的重要性,等级保护工作流于形式,使等级保护工作未能真正落到实处。
四是缺少如何将信息安全等级保护工作与信息安全日常保障工作、风险测评等安全管理工作相结合的有效技术手段。
基层央行计算机信息安全风险及防范措施
、
( 一) 网络风险。 主要指业务 网络化所涉及 的操作等环节可能引起系统部分或全部瘫痪 的可能 。随着信息技术的发展 , 网络技术在基 层人民银行业务中广泛运用 , 网络安全风险也 将 在一 定 程度 上存 在 。 目前 正在 使 用 的上 级行 和 自身开发 的业务应用系统 已经扩展到支付 清算 、 会计 财务 、 国库核算 、 货币发行等 部门。 而计算机信息系统本身就存在很多潜在 的风 险, 来自 局 域网的内部攻击风 险、 网络连接设
及安全漏洞 , 防病毒软件 、 补 丁分发 系统 的滞 后性带来 的安全风 险及业务 系统本身存在 的
安全缺陷。 ( 四) 业务 操 作风 险。由于 大部 分业 务 系 统 需要 多人 、 多 部 门协 同 工作 , 业 务人 员 的误 操
因素等方面所造成的风险。 这些 因素都易引发
网络 风 险 。
码的升级 , 设置定期 自动扫描计算机病 毒 , 充
分利用管理 软件对客户端 的安全情况进行实 时监控 , 对与业务工作无关 的游戏 、 盗版软件 做到及时发现 、 及时控制等。五是加大可靠 的
是对信息安全管理人员的信息安全教育不够 ,
带来了内部风险的相对集 中。 二、 基层 央 行 计 算 机信 息安 全 风 险 的 防范
会计凭证上签字 , 在坐班 日 志上登记 的方式进
行控制 。与现代科技手段不匹配 的管理方式 , 极易造成管理风险。
( 三) 安全 技 术风 险 。 安 全技 术 方 面风 险 主 要 表 现 为 硬 件 环 境 和 软 件 环 境 的安 全 风 险 。
硬 件环境风 险包括 网络硬件 的安全 风险 、 通
措 施
计算机安全 产品投入力度 , 加强身份管理 、 访
基层央行计算机信息安全问题与改进建议
基层央行计算机信息安全问题与改进建议近年来,随着人民银行各项业务系统推广和升级,业务数据逐步向总行和省会中支两级管理中心集中,计算机信息系统建设逐步得到加强和完善,基层央行作为基础业务的操作者,能否提供真实、安全的数据直接影响了全国央行的业务。
目前,由于基层央行人员短缺、管理滞后等原因,基层央行计算机信息安全管理存在诸多安全隐患,亟待解决。
标签:基层央行;信息安全近年来,人民银行陆续在全国推广了国库核算系统、大额支付系统、反洗钱监测、货币发行等重要业务系统,人民银行计算机信息系统建设逐步得到加强和完善,囊括了中央银行的各项职能,其重要性日益显现。
基层中央银行由于管理不到位,技术力量不强等原因,计算机信息安全工作存在许多薄弱环节,已严重威胁到计算机信息系统的安全稳定运行,亟待我们去研究、解决。
一、目前存在的问题(一)计算机安全领导小组没有发挥作用县支行普遍存在“重科技服务,轻安全管理”的现象。
由于县支行个别领导对计算机业务不熟悉,认识不深,安全意识不强、重视程度不够,为应付上级行检查,虽然成立了计算机安全领导小组,但并没有正确履行职责,人员变更后,调整也不及时,计算机安全领导小组形同虚设,根本没有真正发挥计算机安全领导小组的作用。
(二)科技人员队伍建设存在问题县级支行一般只配备一名科技人员,挂靠在其他部门管理,多数年龄较大且科技工作经验不足,科技人员队伍建设存在以下问题:一是县支行科技人员技术力量薄弱。
由于县支行多年不进人,没有及时补充新的科技力量,人员老化严重,缺乏专业知识,特别是缺乏既懂金融业务,又会计算机的年轻人,现有科技人员大多从事一般性的技术维护工作,没有机会参与大型软件开发、项目建设任务,缺乏实践锻炼的机会,随着日常维护任务的加重,深造学习的机会越来越少,科技知识更新缓慢,缺乏解决复杂技术难题的能力;二是县支行科技人员干劲不足。
县支行不单独设立科技部门,每县只配备一名科技人员,且工作兼职较多,工作干的多,责任大,提职机会少,导致县支行科技人员越干越没劲,干一段时间就要求换岗位的较多;三是关键技术个人化现象严重。
基层央行计算机安全工作重在管理和防范
有的高 度
由于计 算 机 安全 工 作 是 在 出现 安全 问题 时 方 能显 示 其价 值 ,而 系 统 出现 安 全 问题 的几率 在 2 %左 右 , 也 就 是说 要 拿 9 %的 资金 来 防 范 2 8 %的风 险 , 样 做是 否 这 值 得 , 多人 认识 不 清 。 许 由于 金融 机 构属 于 国家 信息 安 全 防范 的 重要 部 门 ,所 以金 融部 门基层 领 导 要提 高 对
四、 加强移 动存储 介质使 用管理
感 染 病 毒 的 内联 网机 器 中 8 % 自互 联 网 ,通过 5来
移动存储介质感染 的几率 为 9 %以上 ,只要控制住移 5 动存储介质 的内外网互用问题 ,基本上可以保证内网
计 算机安全工作 的认识 , 打消顾虑 , 增加投 入 , 加大对
机房 的 改造 力度 , 增加 安 全 防范设 施 。
机器不被病毒感染 , 从而保证业务系统的运行安全。 五、 实行计算 机安全 责任 制
二、 建立 、 全计算 机安全 管理 制度 健
计 算 机 安全 工 作 开展 的关键 是 制 度 ,特 别 是 一 些 重 要 岗位 的安 全管 理 制度 的细 化 工作 ,切实 做 到安 全
严 格按 照“ 使用 , 负 责 ” 谁 谁 的安 全管 理 理 念 , 层 层 签 订计 算 机 安全 责 任 制 , 加 上适 当的 奖惩 措 施 , 全 再 对
的完 整性 。 ( ) 强软 件系 统运行 环境 的安 全管 理 。 三 加 主要是 防
止计算机病毒的侵入 , 一是通过一定的技术措施和行政 手段防止计算机病毒对计算机及网络 系统的入侵和传 染; 二是完善检测病毒措施 , 通过一定 的技术手段检测
基层央行信息安全工作存在的问题与建议
基层央行信息安全工作存在的问题与建议
孟爱科
【期刊名称】《科技创新与应用》
【年(卷),期】2014(000)008
【摘要】笔者结合多年基层央行科技工作实践,从人员配备、应急准备、病毒防范、政策法律、介质管理、风险意识等方面探讨了基层央行信息安全工作实际存在的六个方面的问题,并分析提出强化信息安全工作的可行性建议:增加年轻、专业的科技人员配备,提升技术力量;加强应急管理,使应急预案真能应急;进一步增强内联网、国际互联网防病毒等信息安全措施;明确信息安全管理的相关政策法规,提高基层行的执行力;严谨规范地做好存储介质管理,避免失密、泄密事件发生;加强人员教育和管理,提高警惕,防范风险。
【总页数】1页(P48-48)
【作者】孟爱科
【作者单位】中国人民银行汉中市中心支行,陕西汉中 723000
【正文语种】中文
【相关文献】
1.基层央行应用软件系统资产管理r存在的问题与建议
2.基层央行应用软件系统资产管理存在的问题与建议
3.基层央行信息安全工作存在的问题与对策
4.试论基层
央行信息安全工作存在问题及建议5.基层央行行政执法中存在的问题与建议
因版权原因,仅展示原文概要,查看原文内容请购买。
构筑全方位的基层央行网络安全体系
构筑全方位的基层央行网络安全体系
刘杰
【期刊名称】《金融科技时代》
【年(卷),期】2011(000)003
【摘要】@@ 如今,在银行业应用数据集中的大背景下,对网络安全的要求越来越高,"网络安全"这个词的覆盖面也越来越宽,保障网络安全也不再仅仅意味着在客户端安装杀毒软件,在外联区安装防火墙.如何根据自身需要,结合自身所具备的条件制定合理的安全策略,构筑全方位的企业安全体系,就成了当今基层央行内部网络安全的重要工作.
【总页数】1页(P86)
【作者】刘杰
【作者单位】中国人民银行新乡市中心支行
【正文语种】中文
【相关文献】
1.民航西北气象中心全方位网络安全体系的构建 [J], 陈齐亚;许财德
2.构建全方位网络安全体系--北京市公安局消防局网络安全建设实例 [J], 王飞
3.构筑全方位的基层央行网络安全体系 [J], 刘杰
4.加强"短板"建设,构建全方位的网络安全体系 [J], 周宁
5.数字图书馆网络安全体系构筑研究 [J], 董翔;杨淑华
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
构建基层央行信息安全基线
摘要:近年来安全基线被广泛地应用于金融行业,安全基线对于提高金融网络与信息系统的安全性起到了重要的基础性作用。
所谓信息安全基线就是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。
人民银行信息安全基线(以下简称安全基线)由一组安全要求项组成,其描述了本单位在某一时点上的整体信息安全状态,是该单位信息安全总体水平的量化表述。
关键词:央行;信息安全基线
中图分类号:f832.2 文献标识码:a 文章编号:1001-828x(2012)11-0-01
一、构建基层央行信息安全基线
(一)安全基线管理的职责分工
基层央行负责本单位安全基线的建立、维护、不定期评估和定期上报。
安全基线管理设置操作员和审核员,负责安全基线的日常维护。
安全基线操作员负责提交新增、删除、变更基线要求项的申请;负责配合安全基线审核员对安全基线进行不定期评估;负责对不合格的基线要求项进行整改。
安全基线审核员负责对申请材料进行审核,并完成安全基线的新增、删除、变更等日常维护操作;负责组织完成本单位安全基线的不定期评估,对于高风险基线要求项,建立督办单,跟踪其整改过程;负责将本单位的安全基线定期上报至上级单位。
(二)安全基线要求项的定义
安全基线项遵循统一的定义,包括基线编号、基线要求、基线当前状态、状态说明、基线整改措施、审批单编号及备注等七个要素。
基线版本是对基线要求项的变更情况进行跟踪的途径,其分为两节,第一节为版本号,由四位阿拉伯数字组成,表示基线要求项内容发生变更,每次变更时号码加1;第二节为安全基线发生变更时的变更单编号,变更单编号由六位阿拉伯数字组成。
在安全基线的第一次初始化时,审批单编号中须填写”初始化”,之后每次对基线要求项进行新增、变更和删除时,都需要记录相关的审批单编号,以便对基线要求项的历史状态进行追溯。
(三)安全基线的变更管理
安全基线操作员在申请进行基线要求项的新增或删除前,填写审批单并说明原因,在安全基线审核员审核通过后,进行相应的新增和删除操作。
当信息化基础设施、网络以及应用系统发生变更时,相关人员对变更进行充分评估,若该变更会对安全基线产生影响,同步进行安全基线要求项的变更。
不定期开展本单位的安全基线自评估,对于处于“不符合”状态的基线要求项,及时进行整改。
对于高风险基线要求项启动跟踪督办流程。
首先由安全基线审核员建立督办单,在得到部门负责人同意后,将其交给负责整改的
相关人员(若为多人,则指定其中一人为整改工作的主要负责人),要求其在规定时间内进行整改;负责整改人员在收到督办单后,及时组织进行整改,在整改期间,定期将整改进展情况在督办单上进行具体描述,并由安全基线审核员签字确认。
(四)基线的上报和检查
基层央行按照上级行的要求频率定期上报安全基线,并接受上级行不定期的抽查和全面检查,对安全基线不符合的要求项进行整改。
二、以信息安全基线管理促进信息安全建设
人民银行信息安全基线细化为机房管理、网络安全、应用安全、保密技术管理、信息安全管理、安全运维等十大类近一千个要求项,涵盖了央行信息安全工作的各个方面,对信息安全工作的要求进行了分类、明确和规范,制定了统一的模板,为今后的信息安全工作奠定了一个良好的基础。
基层央行信息安全工作历年来受到各级领导的高度重视,来自总行、省会中支、内审部门等不同口径的检查,促进了基层行信息安全工作良性的发展,但同时来自不同目标的检查工作,不同的安全要求,给基层央行的信息安全工作带来了很大的困惑,究竟应以什么标准为依据,一直是基层行近年来迫切需要明确的问题。
人民银行信息安全基线的建立,规范了信息安全要求,对基层央行的信息安全建设具有里程碑的意义。
三、做好基层央行信息安全基线管理的几点思考
(一)制度把关,做好基层央行信息安全基线管理
很多人觉得严格按制度办事已经是老生常谈了,但工作中就是有这样的情况发生,人情高于制度、执行先于审批、业绩重于安全,没有高度的安全责任感,没有制度的严格把关,信息安全工作就不能落到实处,再多的工作业绩也只能是为信息工作种下更多的安全隐患,进而影响到央行的正常履职。
随着央行信息化建设的发展,安全基线是在不断地更新和拓展的,那么制度的建立、完善、梳理也是同步的,制度的内容应当反映着信息安全工作最新的要求,制度的建设应作为一项重点的工作来抓,使制度的建设同步于信息建设的步伐,覆盖信息工作的各个方面,真正成为信息工作的行为规范。
制度建设的同时要把制度的执行落到实处,坚持学习、监督、检查并重,逐步形成严格按制度办事不违规操作的工作氛围,以制度执行力的不断提高来保证信息安全基线的落实。
(二)严格审批,做好信息安全基线的变更工作
基层行根据上级行的安全基线模板建立了本行的第一个安全基线,作为一个初始化的安全基线,必然会存在一些不符合的要求项,信息安全基线的变更和定期上报,使上级行能够更加清晰地了解和掌握基层行信息安全工作情况,哪些工作做得到位,哪些工作存在问题,存在问题的原因和整改的计划,整改中存在的困难,需要的技术、资金等方面的支持等等。
信息安全基线的初始化要客观、准确,建立在初始化基础上的信息安全基线的变更管理更加重要,只
有通过审批的变更才可以实施,严把变更审批关,加强变更项的检查和复核,保证安全基线是对基层行信息安全工作的真实反映。
(三)钻研技术,提高信息安全基线的管理水平
基层行的信息安全基线是上级行决策的一个重要依据,基层行的信息安全基线管理水平也直接影响到上级行对基层行信息安全工作的认知。
加强制度的执行,加强信息安全检查,加强安全基线的审批管理,可以保证信息安全基线管理的有效性、真实性。
但同时我们也不能忽视,信息建设的步伐要求安全基线的管理是动态的,随着信息系统的建设、网络技术的进步,对可能存在安全隐患的新的领域,我们要保持足够的警惕,安全基线的管理是服务于信息安全工作的,及时地充实和更新安全基线,才能更有效地防范和化解安全风险。
信息技术的发展日新月异,金融科技工作者面对的是更大的责任和挑战,安全基线的充实和变更往往伴随着技术的进步和创新,只有不断的学习钻研才能不断提高信息安全基线的管理水平,才能适应科技工作发展的需要和更好地履职。