• 快捷搜索
  • 全站搜索

基层人民银行信息安全情况调研

2016-10-18 16:19:41作者:中国人民银行忻州市中心支行 申文杰编辑:金融咨询网
随着人民银行大部分业务系统逐步实现资源整合、数据集中、资源共享,系统对技术维护和信息安全提出了更高的要求。本文对人民银行现有信息安全产品进行了介绍,并提出信息安全目前存在的主要问题和相关建议。

人民银行自ACS、TCBS上线以后,业务数据均集中到总行,基层科技工作逐步转移到保障计算机网络、应用系统正常运行上,以确保信息安全。人民银行现使用的信息安全产品有Symantec防病毒防间谍软件、补丁分发系统LANDESK、天阗入侵检测与管理系统、鼎普主机监控与审计系统、非法外联管理子系统、360XP盾甲,这些安全防控系统的应用,在很大程度上提高了基层行的技术防范能力和水平。但是随着大部分业务系统逐步实现资源整合、数据集中、资源共享,系统也对技术维护和信息安全提出了更高的要求。

一、现有信息安全产品介绍

  人民银行先后开发了symantec防病毒防间谍软件,建成了补丁分发系统LANDESK、天阗入侵检测与管理系统、鼎普主机监控与审计系统、非法外联管理子系统及360XP盾甲等信息安全防范系统。Symantec防病毒防间谍软件是一款快速而强大的端点安全解决方案。它实现了高级防御功能,可帮助物理和虚拟系统防御各种类型的攻击。工作机制采用总行、省会城市二级部署,通过总行、省会城市、地市三级管理模式。

  补丁分发系统LANDESK主要用于分发软件,利用管理套件中先进的软件分发技术,可以快速地部署分发补丁,确保补丁分发的成功率和效率,同时对正常的网络传输影响最小。

  天阗入侵检测与管理系统是启明星辰公司自行研制开发的入侵检测类网络安全产品。通过旁路方式部署在网络中,实时抓取分析网络数据,判断是否有违规或者恶意行为发生。工作机制采用总行、分行或省会设立两级安全监控管理中心部署,对所有网络事件进行监控,并按其行为影响划分为高、中、低三个级别的信息警告。

  鼎普主机监控与审计系统用于监控和审计涉密计算机的数据输入、输出接口,设备以及用户的敏感行为,从而加强对涉密计算机的安全管理,达到有效预防泄密事件的发生。方便计算机安全管理部门和安全检查机构进行审计和检查终端用户安全。

  非法外联管理子系统是中华箭5号综合网络安全管理V5.0中的一个子系统,用于对网络中终端的非法外联行为进行全面的监控管理。基层使用比较广泛的应用:一是USB设备管控,除授权注册的USB移动存储设备外,禁止一切其他USB设备在内联网计算机上使用。二是禁止客户端修改网址。

  360XP盾甲是为应对微软停止提供windows XP操作系统技术支持服务所带来的技术风险,人民银行总行委托360公司针对XP系统而写的XP安全防护软件,它采用系统加固、应用加固、隔离沙箱、热补丁等防护引擎,能够全面防御黑客利用XP系统和IE浏览器、Office软件等的漏洞进行攻击。

二、存在的主要问题

  当前,基层央行信息安全情况中存在以下一些问题:

  (1)机房基础设施建设不扎实,存在安全隐患。忻州辖内13个县支行,仅有4个县支行配有发电机,一些县支行UPS、门禁系统、空调设施和安防设备等存在不同程度的安全问题。以忻州中心支行为例,机房没有配备双回路供电,主、备UPS系统可供核心设备持续供电4小时,同时配有发电机。其存在的问题是如果非工作时间,发电机停止供电,UPS耗尽后,网络设备将全部宕机,产生网络报警事件,同时造成频繁重启网络设备,对设备造成损害。另外,现使用的机房空调非机房专用空调,停电后无法自动重新启动,在非工作时间,如果无工作人员上班,空调长时间处于关闭状态,则极易造成机房温度过高,带来安全隐患。

  (2)科技人员不足,信息安全工作力量薄弱。长期以来,县支行通常配有一名科技人员或由其他业务人员兼职,而且年龄大多在40岁以上,造成一些县支行科技工作不能及时落实。

  (3)网络设备老化,县支行路由器无法实现热备。2012年,总行统一为县支行配备了路由器,但由于与旧路由器和网络运营商的设备接口不同,造成两种路由器无法实现热备。一旦现使用的路由器损坏,网络将处于瘫痪状态,存在极大的风险隐患。忻州中支配置的两台核心交换机分别为1999年和2005年上线的CISCO4506,由于服役时间过长,在实际运行中,已出现偶发故障的情况。

  (4)防病毒能力较弱。目前,防病毒软件统一使用的是Symantec软件,升级方式采用自动升级的模式,但一些客户端升级滞后,加上县支行科技力量不足,部分客户端安装的Symantec出现问题不能及时处理的情况时有发生,难以有效防范比较新型的木马、黑客等病毒。

  (5)信息安全意识有待增强,信息系统的安全教育需进一步加强。从信息安全检查情况来看,部分部门、员工的信息安全意识依然薄弱,工作人员的安全保密常识缺乏,如有的县支行存在将CA证书同时插入一台计算机,由一名业务员完成所有操作,更有甚者,将CA证书常年插在计算机上。

  (6)计算机网络设备国产化、软件正版化需有序推进。由于历史原因,原先采购的网络设备大多为思科产品。微型计算机也有部分戴尔、惠普品牌,由于采购的一些惠普计算机是裸机,只能安装盗版系统。

三、信息安全管理分析与建议

  针对上述问题,笔者提出以下强化信息安全工作的可行性建议:

  (1)规范县支行机房建设标准。2015年人民银行总行出台了《中国人民银行县(市)级支行机房建设技术规范》,要求一方面满足机房建设需求,另一方面减少因采用过高标准进行建设而导致的资源浪费。从忻州辖内县支行机房情况来看,部分县支行机房还存在很多问题,应尽快按照规范要求进行整改。

  (2)加强科技队伍建设,引入年轻、专业的科技工作人员。县支行由于多年没有录用新人,导致年龄结构老化、学历层次不高、专业缺失等问题。近年来,县支行招录人数逐步增多,建议适当招聘一些计算机学科专业人才,充实县支行科技力量。另外,加大培训力度,不仅对科技人员进行培训,而且应将基层行领导也纳入培训范围,使行领导能够熟悉信息安全管理,有助于支持信息安全管理工作的开展。此外,应适度提高县支行科技人员待遇,长期以来,科技人员属于办公室管理,晋升渠道狭窄,造成科技人员工作积极性不高。

  (3)完善网络设备备份,保障网络线路畅通。建议上级行统一配置网络备份设备,避免因设备接口不同,无法进行连接的情况发生。另外,加强与通讯运营商的沟通,降低通信线路故障率。忻州市与辖内的县支行的网络采用联通与移动两条线路实现主备,网络带宽为2M。从常年网络监控情况分析得知,联通线路相对稳定,网络带宽能够满足业务需求。而移动线路鲁棒性较差,一旦联通线路中断,移动线路起不到备份的作用。因此,建议上级行统一与通讯运营商协商,增加网络带宽,加大线路维护力度,确保通讯线路稳定、高效运行。

  (4)增强防病毒能力,减少Symantec防病毒软件不能及时升级的客户端数量。从Symantec软件监控平台得知,每月都有部分客户端的Symantec病毒库不能及时升级的现象,尤其县支行的此类问题比较严重。分析其原因,主要有计算机长时间不开机、系统盘空间不足(空间大小小于1 G,因Symantec软件默认安装在系统盘)、Symantec软件损坏等。通过长时间的实践分析可知,该类问题从技术方面比较难解决,主要应该从发挥人的主观能动性入手,做到领导重视、科技主抓、人人参与、分工协作,共同防范和化解计算机风险。对于使用人不在,计算机不开机的问题,要委托他人每周开机,确保病毒库能够及时升级;对于有问题的计算机要及时处理,确保Symantec软件运行正常。

  (5)不断强化员工的信息安全防护和责任意识,多对技术人员和业务人员进行法制教育、职业道德教育和计算机信息安全教育,增强计算机信息安全防范意识和保密观念,使其深刻认识信息安全工作的重要性和违规操作可能带来的严重后果。

  (6)进一步加快网络设备国产化、软件正版化工作。人民银行自2010年起逐步实施、推进软件正版化工作,现使用的操作系统、办公软件WPS、信息安全产品全部为正版软件。目前,建议总行统一更换地市中心支行的网络核心设备,配置必要的备份设备,并考虑国产化因素,网络涉密设备采用国产算法,由上级行统一设计接入方案,以确保基层行关键网络设备的稳定、有效性。

(文章来源:《中国金融电脑》杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章