[摘要]近年来,随着人民银行各项业务系统推广和升级,业务数据逐步向总行和省会中支两级管理中心集中,计算机信息系统建设逐步得到加强和完善,基层央行作为基础业务的操作者,能否提供真实、安全的数据直接影响了全国央行的业务。目前,由于基层央行人员短缺、管理滞后等原因,基层央行计算机信息安全管理存在诸多安全隐患,亟待解决。
[关键词]基层央行;信息安全
[中图分类号]F832.2[文献标识码]B[文章编号]1009—2234(2006)05—0149—02
近年来,人民银行陆续在全国推广了国库核算系统、大额支付系统、反洗钱监测、货币发行等重要业务系统,人民银行计算机信息系统建设逐步得到加强和完善,囊括了中央银行的各项职能,其重要性日益显现。基层中央银行由于管理不到位,技术力量不强等原因,计算机信息安全工作存在许多薄弱环节,已严重威胁到计算机信息系统的安全稳定运行,亟待我们去研究、解决。
一、目前存在的问题
(一)计算机安全领导小组没有发挥作用
县支行普遍存在“重科技服务,轻安全管理”的现象。由于县支行个别领导对计算机业务不熟悉,认识不深,安全意识不强、重视程度不够,为应付上级行检查,虽然成立了计算机安全领导小组,但并没有正确履行职责,人员变更后,调整也不及时,计算机安全领导小组形同虚设,根本没有真正发挥计算机安全领导小组的作用。
(二)科技人员队伍建设存在问题
县级支行一般只配备一名科技人员,挂靠在其他部门管理,多数年龄较大且科技工作经验不足,科技人员队伍建设存在以下问题:
一是县支行科技人员技术力量薄弱。由于县支行多年不进人,没有及时补充新的科技力量,人员老化严重,缺乏专业知识,特别是缺乏既懂金融业务,又会计算机的年轻人,现有科技人员大多从事一般性的技术维护工作,没有机会参与大型软件开发、项目建设任务,缺乏实践锻炼的机会,随着日常维护任务的加重,深造学习的机会越来越少,科技知识更新缓慢,缺乏解决复杂技术难题的能力;二是县支行科技人员干劲不足。县支行不单独设立科技部门,每县只配备一名科技人员,且工作兼职较多,工作干的多,责任大,提职机会少,导致县支行科技人员越干越没劲,干一段时间就要求换岗位的较多;三是关键技术个人化现象严重。由于人员的不足,日常技术维护和上级技术培训都由一人参与,所有技术只有一人掌握,一个人承担全行的各种操作系统、应用系统和数据库维护等工作,并负责计算机日常管理和安全管理,工作任务过重,很容易顾此失彼,且县支行技术人员调换频繁,科技工作衔接不好,容易出现问题,以至于影响正常工作的开展。
(三)基础建设薄弱
一是县支行机房建设资金投入力度小,环境较差,安全设施不到位,网线、电线散乱,线路老化严重,没有配备标准的供电系统,没有标准的防火设备,更没有防水措施;二是计算机及附属设备更新不及时。县支行大多依赖于上级行配发设备,自身投入很少,计算机设备普遍老化;三是灾备系统建立不完善,应急措施不够得力,存在将备用机改作他用现象,一旦系统崩溃,需要启用备机时,不能及时调回投入运行,造成故障恢复困难。
二、改进建议
应牢固树立系统安全意识,采取“积极防御、综合防范”的方针,一手抓信息化建设,一手抓安全管理,从组织建设、实体安全和运行管理三个方面人手,强化管理,才能有效发挥科技工作的技术支持、服务和保障作用。
(一)抓好组织建设,建立人防体系
计算机信息系统关系到全行,应转变以往的工作方式,拓宽工作思路,树立全员科技,全行科技的观念,逐步实现工作方式由科技部门负责向领导挂帅、科技牵头、部门配合转变,应加强科技安全组织体系建设,成立以行长任组长,两名副行长为副组长,由科技人员和各股室负责人为成员参加的全行计算机管理组织机构。由专职微机员担任微机管理员和计算机安全管理员,负责计算机安全的运行策划、风险分析、系统后备、日常管理等工作。
1.运行策划方面,尽量做到周密、科学、规范。分类健全完善各项计算机管理各项制度并认真贯彻落实,加强全员科技的理念,侧重日常管理和系统后备。一是由微机员定期对重要业务用机进行现场检查、维护,发现疑问及时解决,对预测到可能出现的情况,提前采取预防措施。二是落实微机员岗位AB角制度,解决因微机员休假、学习或公出等原因空岗出现的科技工作停滞问题,使计算机系统的连续性、稳定性、安全性得到保证。三是在坚持落实操作员岗位责任制的同时,充分发挥操作员的预警作用,由操作员时时监视微机的运行状态,遇到异常情况马上向微机员反应,由微机员做妥善处理。四是本着简单实用的原则,制定计算机系统灾难的安全应急措施,并定期演练。
2.在风险分析方面,通过微机员对微机日常运行情况的了解,及操作员日常应用的反映,微机员定期对微机风险进行评估,对带病作业的微机能修好的马上修,不能修的及时更换新的微机,对计算机安全提供硬件支持。
3.在系统后备方面,应根据系统类型,对有重要数据库的业务用机操作系统进行镜像文件备份,并形成制度,每当应用系统升级一次就镜像备份一次,确保系统备份为最新版本,并在专用服务器和移动硬盘中分别存档,一旦系统发生故障或崩溃,可以马上启动应急措施,对系统进行恢复,使运行安全具有可行性。
这样县支行科技工作就逐渐形成行长亲自抓,两个副行长分管抓,微机员具体实施、落实,操作员对微机监督、预警的科技服务一条龙,管理一趟线的大科技格局,为确保县支行计算机运行安全,建立起较为科学和规范的管理、分析、存储、应急等一系列人员、制度管理机制。
(二)抓好实体安全,建立物防体系
实体安全是计算机系统安全的前提和基础,县支行应重视科技实体建设,加大计算机安全资金投入。加强机房建设,加快机器设备更新步伐,确保机房环境和电子设备档次能够满足业务工作需要。
1.硬件投入加大力度。县支行应重视科技投入,每年自行购买微机和打印机用于更换旧的业务用机,逐步淘汰p4 2.0以下机型,并逐步投入资金,逐渐改善机房防火、防静电、机房配套设备等硬件安全设施。
2.在供电系统的配备上,争取最大的安全系数。机房应设计安装较为先进的配电系统,采用全自动交流接触转换器和空气开关做总闸的配置,形成以市电为主,以发电为附,以4小时在线式UPS为依托,以5kw高精度、全自动交流稳压电源为安全保证的全自动供电系统。在供电方面做到绝对安全。
3.在机房布线方面,尽量做到尽善尽美。因为县支行受各种因素的影响机房都没有安装防静电地板,这样就造成了网线、电线和插排满地混乱不清现象,既不利于防火、防水,也不利于网络安全。所以应本着电线和网线分离的原
则,通过线槽走线,合理设计线路走向,达到防火、防水、防雷的目的。
(1)电源线一律采用一线到底。,插排掐头对接的方法,并做到一机一插排,解决因插头松动或接触不良导致突然断电给设备带来的不良影响。
(2)为解决网线散乱问题,应该通过固定在墙上的线槽分类走线,清查和梳理内、外网网线,缕顺到网络机柜里的网络设备上。
(3)为防止水灾发生对设备带来灾难影响,本着电线和网线分槽并行的方针,坚持地面上无线、无插排的原则,将电源插排和网线均固定在距地面5公分以上高度的墙上,杜绝网线、电线和插排等散乱不清现象。
4.机房应安装的防雷系统,要确保计算机及附属设备已接地,并且每年都要聘请专业技术人员进行接地电阻的测量,检测计算机系统的接地情况,防止机房供电系统与地线接头氧化或其他等原因造成计算机系统接地不良,增大计算机系统安全系数。
(三)抓好信息安全,建立技防体系
在计算机物理安全的基础上,在完善的管理制度约束下,县支行应把信息安全的重点放在数据安全和网络安全上。
1.抓好数据安全。依靠用户名、密码、防病毒体系、防木马入侵、数据备份等安全机制来实现数据的保密性、完整性、可用性等目标。
(1)严格各个级别操作员密码管理,系统管理员和各级操作员密码由本人封存后交业务主管保管,并定期更换。
(2)各业务股指定专人对备份数据磁盘和光盘进行保管,在备份数据盘上标明名称、时间并交由部门负责人入库管理。日备份由各股负责人管理,月、年备份由行里指定库房管理。并做到异地备份,确保业务数据不遗失。
(3)严格管理磁盘等存储介质,对于已经损坏的软盘,做到不随意丢弃,交由科技人员定期销毁。淘汰用机必须在部门负责人参与下,由科技人员对硬盘进行低级格式化后,方能移为他用。报废用机一律由科技部门收回归库。确保业务数据不泄露。
2.抓好网络安全。随着人民银行内联网不断更新、丰富,上传、下载数据已经是计算机系统最基本的功能。因此网络安全特别重要,为此应做到以下保障:
(1)人员保障。应配备技术水平过硬的科技人员,并且一方面提高科技人员政治素质、责任观念,安全意识;另一方面要加强技术培训力度,通过各种培训方式提高科技人员的计算机技术水平和安全防范技能。
(2)硬件保障。应购置网络机柜用于安装交换机、路由器、拨号modem等重要网络设备,有效的屏蔽外来磁场对网络设备的干扰,在通风、排温、防尘等方面也为网络设备提供安全保障。
(3)软件保障。一是建立防病毒系统,使用多结点的网络版杀毒软件,并在局网各个用机上安装使用,配备防病毒服务器,时时对网内用机系统进行监控。二是购买最新版本的单机版杀毒软件,用于未联网的机器,并用下载离线增量升级包的形式对其升级,保证交换数据对其他用机没有威胁。三是对专业行上报的统计数据等磁介质,一律经微机员进行安全检查,确定其不带病毒和木马后方可上机使用。
县支行应坚持技术创新与制度创新相结合,从运行机制上保障计算机信息化安全体系的运行,不断提高科技和科技管理水平,坚持信息化安全体系创新,发挥科技部门的服务、支持、保障和促进作用,推动县支行的各项工作向更强、更高的目标迈进。
[责任编辑:杨永波]