论文部分内容阅读
在当今社会科学不断革新的大背景下,计算机领域变化日新月异,新技术新平台日渐成熟,为我们的工作提供了空前的便利。随着人民银行信息自动化系统的推广应用,各基层行现代化办公水平不断提高,如何有效防范计算机系统风险已然成为一个重要课题。2017年勒索病毒的大规模爆发,在全球数百个国家疯狂肆虐医院、教育等领域,造成了不可估量的经济损失,如何维护计算机系统安全,更是得到了全民真正意义上的关注,被摆到了更高的研究位置。本文通过剖析人民银行基层计算机系统的现状,总结存在的安全风险及隐患,并针对性提出防控建议。
一、计算机系统管理现状
(一)科技人员配备不足
结合本地区兄弟行的实际情况,岗位设置与人员不足之间的矛盾冲突明显。科技科配备人数未能达到标准要求的专人专岗人数,存在兼岗、聘请临时工上岗工作的现象。部分科技工作者甚至没有经过专门的技术培训,就承担起了电脑安全管理、业务网系统维护、软件升级、资产管理等工作,大量工作容易导致力不从心、顾此失彼的情况发生。
(二)制度体系建设不完善
当今世界计算机领域发展迅速,人民银行基层部门制度建设方面,存在明显的滞后现象,计算机安全管理制度和应急处置流程等不能够有效的涵盖全部业务领域,存在着一定的安全风险点。
(三)硬件设施不健全
经过排查,部分地区中支在硬件设施建设上存在很多短板弱项,大多数单位仍然使用手动灭火设备,未安装消防自动报警系统;部分单位只有建筑物防雷,没有重要设备及重要线路的二、三级防雷;有些中支UPS保养不当等问题屡见不鲜,未配备双路供电;部分中支网络关键设备老旧,存在过保继续使用的情况。
二、计算机系统风险产生的原因
(一)专业人员技术不过硬增加操作风险
当前科技部门业务发展迅速,由于专业培训没有达到全员额要求,部分科技人员业务水平不过硬,难以满足业务发展需求,在很大程度上增加了一手工作者的操作风险隐患。具体到部分支行的科技工作人员配备不齐全,相关业务工作人员缺乏计算机安全方面的知识,无法进行针对性的系统安全检查,也不能对本单位计算機系统的安全状况作出客观的分析,这就导致计算机运行过程中存在的风险隐患无法及时发现并解决。
(二)制度体系建设不完善带来风险隐患
目前,部分中支计算机安全管理制度体系建设还不够完善,部分重要业务系统未建立相应的风险防控应急处置预案,在重要业务系统出现突发状况时,没有整套系统的处理措施,导致特情处置不及时,影响业务的正常开展。此外,部分中支计算机安全管理岗位人员安排其他部门人员兼职,人员配备上存在一定的局限性,也给制度的执行带来了相当大的难度,导致某些内控制度形同虚设。
(三)安全意识薄弱埋下安全隐患
部分中支业务工作人员对计算机系统安全的重要性认识不够全面,安全意识相对薄弱,掌握计算机系统风险防控的知识就更加难以说起,业务部门普遍存在对计算机安全管理工作讲得多、落实少,抓计算机安全工作没有重点和针对性,导致计算机安全事故时有发生。
(四)系统应用及不规范维护暗存风险
各工作人员在使用业务网时不设置系统密码,对相应的重要文档没有加密,有些没有实现岗位互控的作用,当长时间离机时没有强制签退等功能。系统维护方面,存在某些老旧程序只能在xp系统上运行和特定程序在专岗计算机上安装的情况,由于人员变动等原因备份工作为未及时跟上,有的甚至安装资料不齐全,一旦出现故障维护起来十分困难,给业务系统带来极大的安全风险。
(五)缺乏行之有效的内控监管,导致业务人员操作不规范
管理人员与非管理人员的权限仍界定不清,没有全面系统的监管,部分业务人员未按规章制度操作,存在密码使用混乱的现象,例如系统操作员、管理员的分工没有明确的权限设置,操作员之间账号混用,密码不能及时更换,都为业务系统埋下了安全隐患。
三、防控风险点的对策建议
(一)统一全员思想认识
“计算机安全是用百分之九十九的努力去堵百分之一的漏洞。”各级人民银行要高度重视计算机系统安全管理工作,积极成立由分管行领导为组长,各部门负责人为成员的计算机系统安全管理领导小组,按照相关要求将本行的计算机安全工作落实到位,定期组织开展全行人员计算机安全技能培训,找准本单位存在的风险隐患,及易发生问题的重点部位和重要环节,针对性制定安全防范措施,确保工作有章可循。通过组织全员自上而下签订责任书,引导各类人员认识到计算机安全工作的重要性,统一思想、责任到人,形成大事大抓的强劲态势和思想共识。
(二)强化骨干队伍建设
人是落实计算机安全工作的核心和关键,强化骨干队伍需要从以下三个方面下功夫。一是要重点突出“思想政治”、“职业道德”、“法律法规”三个方面教育灌输,引导广大员工树立正确的风险防范意识,不断提高自身政治素养、道德水准和法律意识,持续强化自我约束能力,从思想上筑起预防计算机风险的防火墙。二是要不断深化风险防控技能培训,培训工作从处置计算机风险能力、业务操作人员操作水平和防范计算机风险综合能力、全行员工计算机理论及操作水平三个方面持续用力,力争有所提高。三是拓宽人才培养渠道,按照“引进来、走出去”的思路,上级部门应积极提供人才交流途径,重视基层行科技人员的引进和业务能力培养,以进一步保障计算机安全管理的需求。
(三)完善工作管理制度
从数据分析和原因剖析中得出,计算机系统安全事故很大程度上是由于管理制度不健全、操作流程不合规、缺乏行之有效的监管措施,不断完善和细化计算机安全管理制度、严防违规操作风险是保证计算机安全的重要保障。一是全面系统梳理存在的漏洞隐患,针对计算机系统的更新换代,对现有的安全管理制度中存在的不足和漏洞进行梳理和完善,明确每个岗位的职责要求和考核标准,使日常的各项工作有章可循,增强制度的可操作性。二是严格落实规定和一手操作,加强内控制度落实,明确岗位权限和职责划分,严禁越权违规操作;加强系统资料的维护与管理,实行所有系统软件资料由科技部门集中统一管理,严格按审批流程开展系统运维工作,减少因资料泄露导致的风险隐患;加强要害岗位管理,落实岗位轮换和强制休假制度;加强重要系统数据备份和应急机制,对运行重要业务系统的服务器和数据存储设备实行同型号双机备份,定期对系统数据进行备份和异地存放,保证数据信息安全性和完整性。三是加大计算机信息安全检查力度,各中支计算机安全领导小组应定期组织开展行内计算机信息安全检查,及时发现存在的问题,消除安全隐患,严肃查处违规操作行为。
(四)拓宽技术防范手段
技术防范是计算机安全工作的重要环节。丰富技术手段要加大科技投入力度,重点从消防、防雷、UPS供电等三个方面改善基础硬件设施,突出计算机加密技术、访问控制技术、防火墙技术、病毒防治技术和监控技术四个技术的发展和使用,多方位筑牢计算机安全防范屏障,切实防范和保障计算机安全。
(五)加强安全监管力度
各级人民银行应将计算机安全列为监督检查的重要内容之一,进一步加强监管力度,建立完善的计算机风险预警机制和安全防范体系,保障计算机各类应用系统安全平稳运行。
一、计算机系统管理现状
(一)科技人员配备不足
结合本地区兄弟行的实际情况,岗位设置与人员不足之间的矛盾冲突明显。科技科配备人数未能达到标准要求的专人专岗人数,存在兼岗、聘请临时工上岗工作的现象。部分科技工作者甚至没有经过专门的技术培训,就承担起了电脑安全管理、业务网系统维护、软件升级、资产管理等工作,大量工作容易导致力不从心、顾此失彼的情况发生。
(二)制度体系建设不完善
当今世界计算机领域发展迅速,人民银行基层部门制度建设方面,存在明显的滞后现象,计算机安全管理制度和应急处置流程等不能够有效的涵盖全部业务领域,存在着一定的安全风险点。
(三)硬件设施不健全
经过排查,部分地区中支在硬件设施建设上存在很多短板弱项,大多数单位仍然使用手动灭火设备,未安装消防自动报警系统;部分单位只有建筑物防雷,没有重要设备及重要线路的二、三级防雷;有些中支UPS保养不当等问题屡见不鲜,未配备双路供电;部分中支网络关键设备老旧,存在过保继续使用的情况。
二、计算机系统风险产生的原因
(一)专业人员技术不过硬增加操作风险
当前科技部门业务发展迅速,由于专业培训没有达到全员额要求,部分科技人员业务水平不过硬,难以满足业务发展需求,在很大程度上增加了一手工作者的操作风险隐患。具体到部分支行的科技工作人员配备不齐全,相关业务工作人员缺乏计算机安全方面的知识,无法进行针对性的系统安全检查,也不能对本单位计算機系统的安全状况作出客观的分析,这就导致计算机运行过程中存在的风险隐患无法及时发现并解决。
(二)制度体系建设不完善带来风险隐患
目前,部分中支计算机安全管理制度体系建设还不够完善,部分重要业务系统未建立相应的风险防控应急处置预案,在重要业务系统出现突发状况时,没有整套系统的处理措施,导致特情处置不及时,影响业务的正常开展。此外,部分中支计算机安全管理岗位人员安排其他部门人员兼职,人员配备上存在一定的局限性,也给制度的执行带来了相当大的难度,导致某些内控制度形同虚设。
(三)安全意识薄弱埋下安全隐患
部分中支业务工作人员对计算机系统安全的重要性认识不够全面,安全意识相对薄弱,掌握计算机系统风险防控的知识就更加难以说起,业务部门普遍存在对计算机安全管理工作讲得多、落实少,抓计算机安全工作没有重点和针对性,导致计算机安全事故时有发生。
(四)系统应用及不规范维护暗存风险
各工作人员在使用业务网时不设置系统密码,对相应的重要文档没有加密,有些没有实现岗位互控的作用,当长时间离机时没有强制签退等功能。系统维护方面,存在某些老旧程序只能在xp系统上运行和特定程序在专岗计算机上安装的情况,由于人员变动等原因备份工作为未及时跟上,有的甚至安装资料不齐全,一旦出现故障维护起来十分困难,给业务系统带来极大的安全风险。
(五)缺乏行之有效的内控监管,导致业务人员操作不规范
管理人员与非管理人员的权限仍界定不清,没有全面系统的监管,部分业务人员未按规章制度操作,存在密码使用混乱的现象,例如系统操作员、管理员的分工没有明确的权限设置,操作员之间账号混用,密码不能及时更换,都为业务系统埋下了安全隐患。
三、防控风险点的对策建议
(一)统一全员思想认识
“计算机安全是用百分之九十九的努力去堵百分之一的漏洞。”各级人民银行要高度重视计算机系统安全管理工作,积极成立由分管行领导为组长,各部门负责人为成员的计算机系统安全管理领导小组,按照相关要求将本行的计算机安全工作落实到位,定期组织开展全行人员计算机安全技能培训,找准本单位存在的风险隐患,及易发生问题的重点部位和重要环节,针对性制定安全防范措施,确保工作有章可循。通过组织全员自上而下签订责任书,引导各类人员认识到计算机安全工作的重要性,统一思想、责任到人,形成大事大抓的强劲态势和思想共识。
(二)强化骨干队伍建设
人是落实计算机安全工作的核心和关键,强化骨干队伍需要从以下三个方面下功夫。一是要重点突出“思想政治”、“职业道德”、“法律法规”三个方面教育灌输,引导广大员工树立正确的风险防范意识,不断提高自身政治素养、道德水准和法律意识,持续强化自我约束能力,从思想上筑起预防计算机风险的防火墙。二是要不断深化风险防控技能培训,培训工作从处置计算机风险能力、业务操作人员操作水平和防范计算机风险综合能力、全行员工计算机理论及操作水平三个方面持续用力,力争有所提高。三是拓宽人才培养渠道,按照“引进来、走出去”的思路,上级部门应积极提供人才交流途径,重视基层行科技人员的引进和业务能力培养,以进一步保障计算机安全管理的需求。
(三)完善工作管理制度
从数据分析和原因剖析中得出,计算机系统安全事故很大程度上是由于管理制度不健全、操作流程不合规、缺乏行之有效的监管措施,不断完善和细化计算机安全管理制度、严防违规操作风险是保证计算机安全的重要保障。一是全面系统梳理存在的漏洞隐患,针对计算机系统的更新换代,对现有的安全管理制度中存在的不足和漏洞进行梳理和完善,明确每个岗位的职责要求和考核标准,使日常的各项工作有章可循,增强制度的可操作性。二是严格落实规定和一手操作,加强内控制度落实,明确岗位权限和职责划分,严禁越权违规操作;加强系统资料的维护与管理,实行所有系统软件资料由科技部门集中统一管理,严格按审批流程开展系统运维工作,减少因资料泄露导致的风险隐患;加强要害岗位管理,落实岗位轮换和强制休假制度;加强重要系统数据备份和应急机制,对运行重要业务系统的服务器和数据存储设备实行同型号双机备份,定期对系统数据进行备份和异地存放,保证数据信息安全性和完整性。三是加大计算机信息安全检查力度,各中支计算机安全领导小组应定期组织开展行内计算机信息安全检查,及时发现存在的问题,消除安全隐患,严肃查处违规操作行为。
(四)拓宽技术防范手段
技术防范是计算机安全工作的重要环节。丰富技术手段要加大科技投入力度,重点从消防、防雷、UPS供电等三个方面改善基础硬件设施,突出计算机加密技术、访问控制技术、防火墙技术、病毒防治技术和监控技术四个技术的发展和使用,多方位筑牢计算机安全防范屏障,切实防范和保障计算机安全。
(五)加强安全监管力度
各级人民银行应将计算机安全列为监督检查的重要内容之一,进一步加强监管力度,建立完善的计算机风险预警机制和安全防范体系,保障计算机各类应用系统安全平稳运行。