基層央行信息安全風險探析與防范措施

孟愛科

【摘要】 筆者從技術力量、IT應急、防范病毒、網上管控等六個方面探析了基層央行網絡暨信息系統安全工作存在的風險，并提出風險防范措施：加強技術力量；強化IT應急；增強防毒手段；進行上網行為管控等。

【關鍵詞】 信息安全 風險探析 防范措施

伴隨日新月異的信息技術發展，病毒、黑客等技術也在不斷變化，面對新問題層出不窮的信息安全新形勢，基層央行網絡暨信息系統安全工作也面臨一些新情況和風險隱患。筆者結合實際工作，對基層央行信息安全風險進行探析，并提出相關防范措施。

一、信息安全風險分析

1、科技力量不足，網絡暨信息系統安全控制力量較弱，有的風險防控措施難以落實。中支和縣支行技術人員較少，平均年齡較大，技術結構老化，跟不上日新月異的技術發展，技術維護往往只能處理常見問題，難以及時、獨立解決一些較深的硬件和軟件方面的技術故障。縣支行的信息安全工作由辦公室或營業室等其它崗位人員兼任，繁雜的業務工作、難以掌握的網絡和信息系統技術、較多的科技工作業務量、有限的時間和精力等諸多因素導致縣支行的一些信息風險防控工作不能落實。

2、需要進一步加強網絡和計算機信息系統的應急工作。許多人行縣支行存在網絡和計算機信息系統的應急預案沒有及時修訂更新；技術性較高的應急項目（例如路由器、交換機故障）沒能力獨立演練；網絡和信息系統應急物資相對缺乏等風險隱患。

3、防病毒措施需要加強。在開放的國際互聯網上部署的業務應用系統（例如集中代收付等）沒有由上級行統一安排部署防病毒程序及其它安全防范措施。業務網（內聯網）反病毒程序為SYMANTEC，相對國際互聯網而言，升級更新比較滯后，對新生的木馬等病毒難以及時隔離或清除。

4、國際互聯網管理工作亟待加強。隨著智能手機、平板電腦等移動電子產品的迅速普及和性能的提升，手機等移動設備上國際互聯網已是大勢所趨，在手機上可以進行購物、看小說、聊天、看視頻等多種事務，許多業務工作也通過微信群、QQ群進行布置、交流和匯報；有的單位、部門私自安裝無線路由器，小集體內員工共享Wifi，在方便工作和生活的同時，也難以控制、監督使用國際互聯網的行為，既產生了信息安全的風險隱患，又會影響工作效率和工作質量，如何管理好Internet成為新的難題。

5、 需要嚴格管理存儲介質。工作中存在光盤、優盤、移動硬盤等未上鎖保管，隨意放置；涉密介質沒有標注密級、沒有登記；有的系統的備份周期、介質的翻新時間、數據銷毀周期不合理等問題。

6、需要進一步增強信息系統安全風險意識。工作中依然存在個別領導、職工的信息系統風險意識淡薄，缺乏警惕性，保密意識薄弱；有時礙于情面，以人情代替原則；密碼過于簡單；重要數據無密碼共享；人員離開未及時鎖定電腦等現象。

二、信息系統安全工作的防范措施

1、加強技術力量配備。建議給中心支行、縣支行增加計算機、信息安全等相關專業的大學畢業生，加強技術力量。

2、強化網絡暨信息系統（尤其是縣支行）應急工作。在增配技術力量的同時，緊密結合實際工作，及時修訂信息系統應急預案，提高實戰性，落實應急措施和應急資源，適時進行演練。

3、加強防病毒措施。建議為國際互聯網環境中的業務處理計算機安裝、部署高效、統一的反病毒軟件；盡量提高業務網防病毒程序的更新速度，進一步提升對病毒的防范能力。

4、進一步完善國際互聯網管理。建議部署國際互聯網上網行為管控系統，對計算機、智能手機、平板電腦等設備的上網行為進行限制、記錄、監控和分析，增強控制能力，避免可能發生的信息安全隱患。

5、進一步規范光盤、優盤、移動硬盤等存儲介質管理。加強教育和宣傳，涉密備份應標注密級，上鎖妥善保管；對重要業務系統數據的備份周期、保存時間、介質翻新銷毀時間等進行明確。

6、警鐘長鳴，提高員工的保密意識和保密警惕性。持續進行安全知識教育和宣傳，促進職工的信息風險意識、謹慎工作意識的提高；加大對網絡暨信息系統安全工作的檢查力度，保障各項信息安全防范措施能夠落實，取得實效。