| 如何加强基层银行涉密计算机安全管理 |
|
| http://www.cnfp.net 时间:2003-10-21来源:金融电子化
|
|
随着计算机技术的不断发展,计算机应用日益普及并不断向纵深化、网络化发展,基层银行计算机应用已成为实现高效的金融监管、提供优质的金融服务、促进金融改革与金融业务创新的有效手段。但是,面对计算机应用自身的脆弱性及各类威胁与攻击,涉密计算机安全管理工作愈加显得重要。为此,中国人民银行保密委员会《关于严禁用涉密计算机上国际互联网的通知》中对涉密计算机进行了明确界定:“涉密计算机为人民银行系统所有办公用计算机,并指出涉密计算机内存在大量的国家秘密、保密事项和内部工作信息,辖内各单位要切实加强计算机保密管理,严格遵守有关保密规定”。据此,基层银行如何在计算机应用和管理中,不断强化措施,从严管理,构筑涉密计算机应用的安全屏障,确保涉密计算机信息系统安全高效运行,真正使涉密计算机应用风险防范工作落到实处,已经成为摆在我们面前的重要课题。
近年来,各级行不断加大对涉密计算机的管理力度,并做了大量细致的工作,也取得了一定的成绩,但据笔者了解,一些单位在涉密计算机的使用中还存在许多薄弱环节。
一、用涉密计算机非法上互联网。
据了解,有些单位个别人员虽然了解相关规定,但明知故犯,擅自在班外时间违反规定用涉密计算机拨号上网,浏览信息,机器虽然购置安装有网络隔离卡和相关的信息保护设备,但个别在上网时却没有打开,使这些设备形同虚设。
二、移动存储介质和笔记本电脑管理不到位。
有些人使用的软盘、U盘上拷有自用文件及内部工作信息,使用者又将这些存储介质随意乱放;还有的单位的笔记本电脑大家共用,主要用于出差到外地培训和参加会议,外出时除了用于工作,还在闲暇时用于上网,且将信息存储在硬盘中,而不考虑信息是否涉密,造成有些涉密信息存储在笔记本电脑中。
三、局域网存在保密隐患。
基层银行大多数建立了自己的局域网,但在实际工作中,一些是没有保密措施的“裸网”,在网上用共享文件夹传递重要金融信息和数据文件,给金融安全造成重大隐患。
四、计算机信息保密教育不到位。
主要原因是对计算机管理不严,宣传教育不到位,规章制度不落实,缺乏监督检查,一些计算机操作人员有法不依,有章不循,保密观念淡薄,抱着侥幸心理明知故犯。
五、犯罪分子利用计算机本身安全漏洞伺机作案。
一些犯罪分子专门利用计算机网络存在的一些漏洞,对银行计算机网络进行扫描。从中收集保存在计算机硬盘中的信息,利用信息的聚生性伺机作案。由此可见安全保密形势的严峻,加强基层银行涉密计算机的管理已刻不容缓。
针对以上问题,务必做好以下几点:
一、建立健全组织机构,提高全员安全保密意识
随着金融计算机应用的不断发展与深化,计算机安全问题日益突出,为了实现计算机安全整体目标,各行要将对涉密计算机的管理工作的认识提高到发行库安全的高度,坚持实行“预防为主”的原则,建立健全安全组织机构,提高全员安全保密意识,并坚持以发展的观念开展涉密计算机安全管理工作,以人为本,真正使涉密计算机应用风险防范工作落到实处。一是构建计算机安全保密管理三级网络。首先成立涉密计算机安全领导小组,并根据变化,适时调整人员,不定期召开领导小组会议,研究计算机安全工作。其次设立专(兼)职计算机安全管理员,并赋予相应的职责和权限,便于日常工作的开展;再次明确各级计算机操作人员,均负有计算机安全职责,并将其纳入个人岗位责任制,促使其安全、保密、规范操作计算机,通过网络构建,从而形成一个强有力的计算机信息系统安全的组织保障体系。二是开展计算机知识和安全、保密知识普及与教育活动。科技人员在日常的技术支持与服务工作中要坚持宣讲计算机安全知识及保密措施。同时积极搜集计算机安全法律、法规、规章制度等应知应会条款及涉密计算机有关保密规定和上级转发的有关计算机泄密案例通报,利用多种形式进行学习教育,不断增强员工遵守《保密法》及相关法规的自觉意识,使大家真正认识到使用涉密计算机上互联网的危害,为涉密计算机安全风险防范构筑一道坚实的道德防范屏障。
二、建立健全规章制度,严格检查监督力度
在内控制度建设上,各单位要针对计算机应用的不断延伸,以现有的内部管理制度为基础,以计算机应用对内部岗位设置要求为出发点,以上级文件精神与管理办法为准绳,结合基层行工作实际,一要在建章立制上下功夫。要通过修改、完善、补充《计算机综合管理制度》、《计算机系统安全防范及灾难恢复办法》、《重要数据备份制度》、《内联网与互联网隔离制度》等规章制度,明确职责,对泄密的责任者起到威慑作用。二要在学习法规制度上下功夫。要通过学习,用制度规范每个员工的行为,使制度规定真正进入思想、进入工作。三要在执行上下功夫。要通过制度的执行,真正做到用制度规范行为,按职责实施管理,依标准进行防护。四要在检查督促上下功夫。要以加大计算机安全保密检查力度为突破口,把行政手段和技术手段结合起来,通过检查,及时发现本单位在计算机使用中出现的问题,积极采取有效措施,及时清除泄密隐患,促使员工不断提高执行制度的意识,自觉有效地预防和扼制因人员操作的不规范而引起的计算机操作风险,将可能出现的不安全事故消灭在萌芽状态。
经常性的检查是做好安全保密管理的有效途径之一,也是做好安全保密要害岗位管理的重要方法。各单位要明确把要害岗位管理措施落实情况作为安全保密检查的重要内容。采取定期和不定期相结合的办法进行日常性的检查与指导,并不定期开展了各项综合检查和专项检查,使各项规章制度渗透到了日常的业务工作中,发挥应有的作用,强化制度的自我约束力度。
三、加强日常管理,确保计算机实体及应用保密安全
日常的计算机综合管理工作是建立完善的内部管理体系必不可少的重要工作,是强化内部管理,实现计算机信息系统高效、安全运行的重要途径。各单位在日常工作中,一要对计算机设备实行归口管理制度,实行设备统一购置、耗材统一购买,机器统一维修,软件平台统一搭建,实现资源合理配置,对机房、用机环境坚持定期检测,加强出入机房管理,配置必要的防火、防盗等防范设施,确保计算机应用系统实体安全;二是要进一步完善技术防范措施,构建科学合理的安全保密防护体系。要加强对移动磁介质及笔记本电脑的管理,防止涉密信息资料的泄露,坚决纠正“重使用、轻保密”的错误倾向。建立重要系统的备份及异地存放制度,加强操作员密码与口令管理,注重计算机病毒的检测与防治,所有机器均要安装正版防杀毒软件,做到按时升级病毒库。在后台实时监控,发现病毒随时杀灭,而不影响前端用户操作。操作人员要按规定做好业务用机的数据备份,按时对机器进行查杀毒处理,做好外来盘的查杀毒工作,杜绝计算机病毒的蔓延,同时,严格遵守有关保密规定,坚决杜绝办公用计算机与互联网的非法外联,做到内联网与互联网的物理隔离。各单位尤其要加大计算机网络中心的运行管理,做到“没有安全保密设施的网络不建,安全保密设施不过关的网络不用”,并设立网络设备运行情况登记簿,加强网络通讯管理,及时安装操作系统和应用程序漏洞补丁程序,对使用的电子邮件Id实行授权使用制度,并利用防火墙技术为内联网提供安全保护,在单位建内部小邮局,或用小型邮件传输软件系统,确保文件在局域网内安全、保密传递;三要注重计算机应用系统的规范化操作管理,确保不因操作失误而造成计算机安全风险的发生。科技人员平时在提供技术支持的同时,坚持服务与传授计算机应用知识相结合,不断提高全员计算机操作中的防风险意识与操作水平。
四、加强要害岗位管理,切实防范应用风险
人是安全保密管理的重要因素,抓好要害岗位的安全保密管理,关键在人。为加强对涉密人员的管理,各单位要采取多种措施,一是严把“入口”关,确保涉密人员政治可靠;二是抓好要害岗位领导责任制的落实,进一步明确各要害岗位负责人为保密管理的主要责任人,具体涉密人员负具体责任的层层负责制;三是强化培训,提高涉密人员保密意识和业务能力。要将全国电子联行系统、会计核算系统、国库会计核算系统、信贷登记咨询系统等重要岗位列为加强防范计算机风险的“重中之重”。要求这些岗位人员上岗必须实行“权限分散,不得交叉覆盖”的原则,明确岗位设置、划分职责范围,严格操作规程,防止因岗位设置不合理、职责范围不清造成风险发生,并建立要害岗位人员登记管理制度,做到对重要岗位人员心中有数和事后查考,不断加强操作员密码、口令管理,要求“各人密码,各负其责”,密码设置必须符合安全要求并定期更换,确保口令、密码的有效性,形成操作权限上的相互制约关系;还要建立重要计算机应用系统安全防范与应急操作方案,保证重要岗位的应用系统运行万无一失,安全、高效运行。
总之,通过建立有效的内部管理体系,提高全员计算机应用安全保密意识,健全各项规章制度,辅之以高效有力的检查、监督等管理措施,共同形成整体合力,以建立有效防范涉密计算机应用风险的屏障,应当成为基层银行实现涉密计算机应用安全整体目标的有效途径。
|
|
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
资讯搜索
一周热点新闻排行