论文部分内容阅读
[摘 要]安全管理的目标是为了实现安全,管理过程中的决策,计划,组织和控制这四个方面围绕着安全这个目标而开展的。本文从人的不安全行为和物的不安全状态来进行考虑,进一步将它联系到网络银行的实际本文必然从管理,系统硬软件,运行与维护三个层面来建立网络银行安全管理的有效机制。
[关键词]网络银行;安全管理;系统运行
中图分类号:G72 文献标识码:A 文章编号:1009-914X(2015)26-0167-01
一、网络银行内外部的控制与管理
1.完善银行内部管理规章制度,加强领导层的内部管理与控制。
要制定健全的人员管理方面的规章制度。要求董事会和高级管理层应对网络银行业务风险进行有效的管理监督,建立风险管理具体的责任制、政策和控制措施,应对银行安全控制流程中的关键环节进行复核审批,并对银行外包和其他依赖第三方支持的业务进行综合性持续尽职调查和监督。要建立工作人员之间能够互相制约和相互监督的机制,严格划分前台和后台,严禁岗位交叉。
2.提高银行内部工作人员的技术业务素质及道德品质。
内部工作人员的管理是计算机系统安全管理的重要环节。对于银行某些工作人员对业务的漫不经心,可能导致严重的操作风险,银行内部的极少数职员也可能会利用职务的便利,有目的地使用客户账户进行股票、外汇和期权等各种风险投资,并将投资风险直接转嫁到客户身上,或者直接偷窃电子货币,让客户蒙受较大的经济损失。鉴于此本文得加强对银行内部工作人员的安全意识,职业道德,法律法规,及安全操作进行更加系统的教育和培训,以增强他们的技术业务素质,提高他们的职业道德品质。
3.加强网络银行系统内外的监督与控制。
银行系统内部人员的滥用职权,越权操作和系统外部人员的非法访问甚至破坏都对网络银行的系统可能造成极大的威胁。网络银行的系统管理员可以为系统中的每个用户设置一个安全等级和身份标识。对进入系统的用户,系统除进行身份和口令判断外,还进行安全等级判别,以保证进入系统的用户具有合法的身份和合法的权限。实施多级管理,多人负责,职责分离,所有工作人员必须经过授权认证后才能上岗。工作人员上机作业前必须事先通过身份确认,其操作必须在受控下进行,不准越权操作,并要有记录。
4.普及网络银行的安全教育,提高网络银行使用者的安全意识。
网络银行使用者由于IT技术知识的缺乏及安全意识的薄弱,容易导致在使用网络银行的时候产生可能的误操作给自己的资金安全带来威胁。银行可以通过自已的网站给客户提供网络银行安全知识的指导,也可以通过在给客户推销某些银行业务产品的时候通过银行的员工为客户提供直接的安全知识介绍。
二、构建完善的应急管理系统
应急管理不单指事件发生后采取的应急措施,它包含事前预案,事中处理,事后总结三个主要的过程。这三个过程中最重要的是事前管理。只有事前有了充分的准备,才能保障在事中处理,事后分析中有据可依,忙而不乱地响应处理。
1.制定应急预案。制定应急预案是本文根据不同的信息安全事件而采取的不同的应急措施,以减少和降低信息安全事件给银行带来的损失。应急预案应主要包含信息安全事件分级,应急响应部门职责分工,应急资源准备,应急操作步骤等几部分。信息安全事件分级可参考的因素包括信息系统的重要程度,系统的损失和业务影响范围。信息系统的重要程度主要考虑信息系统所承载的银行业务在银行内部的重要程度,以及其他系统对该系统的依赖程度,划分为重要业务信息系统,一般业务信息系统,其他办公信息系统。系统的损失是指信息安全事件对信息系统的软硬件,功能和数据的破坏,导致银行业务中断,从而给整个银行造成损失,其大小主要考虑恢复系统正常运行的时间和社会影响的大小,或给银行造成的直接经济损失数额。业务影响范围主要指信息安全事件影响银行业务的地理范围。根据系统的受影响面,可分为影响某一地市业务办理,影响全省业务办理,影响其他省份或者其他银行业务办理。为了及时妥善处置信息安全事件,必须建立相应的应急响应组织。在银行内部应成立应急保障工作领导小组,保障工作领导小组包括各应急响应部门:风险管理部门,信息技术部门,各业务部门和后勤部门。
2.组织应急演练。制定了详细的应急预案,考虑了各种安全事件类型,但是应急预案的有效性如何,应急预案的处理各个环节是否合理衔接,制定的操作步骤是否具有可操作性,应急资源的准备是否充足,都还需要进一步验证。就是应急演练。
3.应急响应处置。在应急响应处置的过程中关键有几点:强有力的领导,是整个应急响应处置的关键所在。应急小组及各部门领导要保持觉着冷静而有条不紊地安排工作,及时召开专家会议,听取专家意见,对安全事件给予科学的分析。另外,应急处置一经部署,执行层应该严格落实执行,不应该保留或者擅自处理。而且,应急响应处置中,在一线工作的是技术人员,只有他们不怕疲劳,连续作战,才能完成应急响应,直到信息系统完全恢复运行。最后一点,各应急响应部门要团结一致,协调共进,在应急领导小组的统一指导下按部就班地完成自己的工作。
4.应急事后总结。信息安全事件处理完成后,要及时总结,不断优化,只有不断总结完善的安全保障体系才能真正保障信息的安全。
三、构建全面的系统监控系统
全面监控管理系统监控范围包括监控机房的环境参数,监控网络状况,监控信息系统的硬件,软件系统,监控文件系统空间中间件,数据库,应用进程,系统日志等系统运行状况。
1.机房硬件设备的监控
监控首先要监控保障系统交易运行的机房运行环境,监控运行主机的硬件设备等。在机房硬件设备监控方面主要包含这几方面:一是机房环境的监控,二是系统主机,存储,板卡等硬件设备的监控,三是网络主机及线路的监控。机房环境的监控目标主要有电力负载,空调运行,温度,温度漏水,UPS工作状态。设备主机监控主要包括CPU,存储,磁盘阵列,存储板卡和网络设备的监控。网络设备和线路的监控是保障银行业务持续运行的基础。
2.各信息系统应用监控
信息系统的监控主要包括主机操作系统的监控,应用业务系统的监控以及运行日志的分析。银行监控系统主要包含系统的可用性监控,应用系统监控,系统日志的监控。监控对象覆盖到操作系统,数据库,中间件,存储以及其他硬件设备。监控内容包含各类可用性相关指标及报警日志。应用监控界面是否友好,是否易于操作,并具备自动报警手段和预警功能。定期评估应用监控的有效性,监控指标,阀值,采集频度应该进行适时的调整。
参考文献
[1] 晓辉.CFCA发布2010中国电子银行调查报告[J].网络安全技术与应用,2011(01)
[2] 张炜.网络银行监管的制度经济学分析「D].湖北:武汉理工大学,2010
[3] 楼文龙.网上银行监管国际经验与启示——以新加坡为例[J].中国金融,2010(17).
[4] 帅青红,银行信息系统管理概论「D],中国金融出版社,2010年7月:264~335.
[5] 沈红梅,胡士平.我国网络银行发展中的问题与对策[J].合作经济与科技,2009(23).
[关键词]网络银行;安全管理;系统运行
中图分类号:G72 文献标识码:A 文章编号:1009-914X(2015)26-0167-01
一、网络银行内外部的控制与管理
1.完善银行内部管理规章制度,加强领导层的内部管理与控制。
要制定健全的人员管理方面的规章制度。要求董事会和高级管理层应对网络银行业务风险进行有效的管理监督,建立风险管理具体的责任制、政策和控制措施,应对银行安全控制流程中的关键环节进行复核审批,并对银行外包和其他依赖第三方支持的业务进行综合性持续尽职调查和监督。要建立工作人员之间能够互相制约和相互监督的机制,严格划分前台和后台,严禁岗位交叉。
2.提高银行内部工作人员的技术业务素质及道德品质。
内部工作人员的管理是计算机系统安全管理的重要环节。对于银行某些工作人员对业务的漫不经心,可能导致严重的操作风险,银行内部的极少数职员也可能会利用职务的便利,有目的地使用客户账户进行股票、外汇和期权等各种风险投资,并将投资风险直接转嫁到客户身上,或者直接偷窃电子货币,让客户蒙受较大的经济损失。鉴于此本文得加强对银行内部工作人员的安全意识,职业道德,法律法规,及安全操作进行更加系统的教育和培训,以增强他们的技术业务素质,提高他们的职业道德品质。
3.加强网络银行系统内外的监督与控制。
银行系统内部人员的滥用职权,越权操作和系统外部人员的非法访问甚至破坏都对网络银行的系统可能造成极大的威胁。网络银行的系统管理员可以为系统中的每个用户设置一个安全等级和身份标识。对进入系统的用户,系统除进行身份和口令判断外,还进行安全等级判别,以保证进入系统的用户具有合法的身份和合法的权限。实施多级管理,多人负责,职责分离,所有工作人员必须经过授权认证后才能上岗。工作人员上机作业前必须事先通过身份确认,其操作必须在受控下进行,不准越权操作,并要有记录。
4.普及网络银行的安全教育,提高网络银行使用者的安全意识。
网络银行使用者由于IT技术知识的缺乏及安全意识的薄弱,容易导致在使用网络银行的时候产生可能的误操作给自己的资金安全带来威胁。银行可以通过自已的网站给客户提供网络银行安全知识的指导,也可以通过在给客户推销某些银行业务产品的时候通过银行的员工为客户提供直接的安全知识介绍。
二、构建完善的应急管理系统
应急管理不单指事件发生后采取的应急措施,它包含事前预案,事中处理,事后总结三个主要的过程。这三个过程中最重要的是事前管理。只有事前有了充分的准备,才能保障在事中处理,事后分析中有据可依,忙而不乱地响应处理。
1.制定应急预案。制定应急预案是本文根据不同的信息安全事件而采取的不同的应急措施,以减少和降低信息安全事件给银行带来的损失。应急预案应主要包含信息安全事件分级,应急响应部门职责分工,应急资源准备,应急操作步骤等几部分。信息安全事件分级可参考的因素包括信息系统的重要程度,系统的损失和业务影响范围。信息系统的重要程度主要考虑信息系统所承载的银行业务在银行内部的重要程度,以及其他系统对该系统的依赖程度,划分为重要业务信息系统,一般业务信息系统,其他办公信息系统。系统的损失是指信息安全事件对信息系统的软硬件,功能和数据的破坏,导致银行业务中断,从而给整个银行造成损失,其大小主要考虑恢复系统正常运行的时间和社会影响的大小,或给银行造成的直接经济损失数额。业务影响范围主要指信息安全事件影响银行业务的地理范围。根据系统的受影响面,可分为影响某一地市业务办理,影响全省业务办理,影响其他省份或者其他银行业务办理。为了及时妥善处置信息安全事件,必须建立相应的应急响应组织。在银行内部应成立应急保障工作领导小组,保障工作领导小组包括各应急响应部门:风险管理部门,信息技术部门,各业务部门和后勤部门。
2.组织应急演练。制定了详细的应急预案,考虑了各种安全事件类型,但是应急预案的有效性如何,应急预案的处理各个环节是否合理衔接,制定的操作步骤是否具有可操作性,应急资源的准备是否充足,都还需要进一步验证。就是应急演练。
3.应急响应处置。在应急响应处置的过程中关键有几点:强有力的领导,是整个应急响应处置的关键所在。应急小组及各部门领导要保持觉着冷静而有条不紊地安排工作,及时召开专家会议,听取专家意见,对安全事件给予科学的分析。另外,应急处置一经部署,执行层应该严格落实执行,不应该保留或者擅自处理。而且,应急响应处置中,在一线工作的是技术人员,只有他们不怕疲劳,连续作战,才能完成应急响应,直到信息系统完全恢复运行。最后一点,各应急响应部门要团结一致,协调共进,在应急领导小组的统一指导下按部就班地完成自己的工作。
4.应急事后总结。信息安全事件处理完成后,要及时总结,不断优化,只有不断总结完善的安全保障体系才能真正保障信息的安全。
三、构建全面的系统监控系统
全面监控管理系统监控范围包括监控机房的环境参数,监控网络状况,监控信息系统的硬件,软件系统,监控文件系统空间中间件,数据库,应用进程,系统日志等系统运行状况。
1.机房硬件设备的监控
监控首先要监控保障系统交易运行的机房运行环境,监控运行主机的硬件设备等。在机房硬件设备监控方面主要包含这几方面:一是机房环境的监控,二是系统主机,存储,板卡等硬件设备的监控,三是网络主机及线路的监控。机房环境的监控目标主要有电力负载,空调运行,温度,温度漏水,UPS工作状态。设备主机监控主要包括CPU,存储,磁盘阵列,存储板卡和网络设备的监控。网络设备和线路的监控是保障银行业务持续运行的基础。
2.各信息系统应用监控
信息系统的监控主要包括主机操作系统的监控,应用业务系统的监控以及运行日志的分析。银行监控系统主要包含系统的可用性监控,应用系统监控,系统日志的监控。监控对象覆盖到操作系统,数据库,中间件,存储以及其他硬件设备。监控内容包含各类可用性相关指标及报警日志。应用监控界面是否友好,是否易于操作,并具备自动报警手段和预警功能。定期评估应用监控的有效性,监控指标,阀值,采集频度应该进行适时的调整。
参考文献
[1] 晓辉.CFCA发布2010中国电子银行调查报告[J].网络安全技术与应用,2011(01)
[2] 张炜.网络银行监管的制度经济学分析「D].湖北:武汉理工大学,2010
[3] 楼文龙.网上银行监管国际经验与启示——以新加坡为例[J].中国金融,2010(17).
[4] 帅青红,银行信息系统管理概论「D],中国金融出版社,2010年7月:264~335.
[5] 沈红梅,胡士平.我国网络银行发展中的问题与对策[J].合作经济与科技,2009(23).