2008年历史罕见的暴风雪、5.12汶川8级地震、水灾等自然灾害以及“熊猫烧香”、“AV终结者”等影响较大的计算机病毒事件相继发生,利用病毒、木马技术进行网络犯罪活动猖獗,这些事件所引发的安全应急响应、灾难恢复和连续性管理等安全防护问题令人深思。面对日益严峻的安全形势,计算机信息安全正经受着越来越多的挑战,尤其是人民银行大小额支付系统、国库会计核算系统、征信系统、货币金银信息系统、人民币结算账户管理系统等核心业务系统的高可用性越来越受到人们的关注。做好计算机信息安全工作,确保人民银行支付系统等核心业务系统以及网络系统的安全,防范有组织和个体的恶意攻击是我们长期面临的一项艰巨和紧迫的任务。
一、问题分析
应该说,目前基层央行计算机信息安全工作形势比较好,硬件设施配备基本满足业务发展的需要,安全管理比较扎实,防范措施也比较得力,但从长远的计算机信息安全工作的角度来分析,仍然还存在诸多问题。
1.重视安全工具投资而轻视管理投资
从基层央行的情况来看,信息安全系统主要由防火墙、入侵检测、非法外联和病毒防范等组成。这些手段只能是在外围对非法用户和越权访问者进行封堵,而对访问的源端(客户端)防范不够。操作系统的不完善导致各种漏洞层出不穷,不能从根本上解决外部攻击,更无法防止内部人员作案。这些问题导致信息安全系统越做越复杂,误报率增多,安全投入不断增加,维护和管理更加困难。这就不得不使我们反思:在当前信息安全的形式下,使用“老三样”采用“防外攻、堵漏洞、防火墙”等手段,往往是防不胜防。
这些观念的形成有诸多原因,但最根本的原因在于对计算机安全知识了解不多,对安全管理内涵认识不够。计算机安全管理的目的:一是保障业务系统稳定运行;二是防止涉密信息泄漏;三是预防犯罪分子利用系统作案。这需要集责任感、科技知识和管理能力于一体,更需要安全管理部门和各业务运行部门间的通力协作和配合,还少不了强有力的政策支持。偏颇的安全观念使计算机安全管理工作定位不准、目标不明、步调难统一、合力难形成。
2.重项目建设、轻安全规划
人民银行信息安全管理规定“计算机系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足人民银行信息安全保障总体规划的相关要求”、“各单位计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行”。但大多数基层行自建项目都没有考虑这两条要求。项目建设普遍存在“重建轻管”的问题,即建设使用优先,安全规划、管理制度、安全保障滞后。
3.激励机制的不平衡影响技术人员工作的积极性
从目前基层央行的情况来看,一方面,安全管理人员大都是由计算机工程技术人员兼任,他们既是电子化工程项目的建设者、管理者,也是信息安全的管理者、监督者,集电子化建设、信息安全管理和信息安全监督于一身,不能有效地对安全现状进行真实、客观的评估和审计。也很难对计算机安全工作实施有效管理,使得组织管理机制、安全防范措施不能及时到位。另一方面,计算机安全的意识尚未深入人心,安全培训、教育观念非常淡薄,忽视了安全管理人员和业务人员的专业培训,使得他们对银行计算机安全问题不能深入了解,也造成了安全技术防范能力差、科技含量低的现状,客观上阻碍了安全技术的应用与发展,不能完全适应金融电子化快速发展的要求。
以某中支为例,全辖9名计算机技术人员(其中2名为兼职)70%的技术人员从事科技工作达15年,工作单调,岗位轮换在科技工作中难以实现。中支人均维护系统11个,维护电子设备达30台(套),辖内县市支行人均维护系统数25个,维护电子设备50台(套),日常运行维护工作任务非常繁重,技术人员就正常的休假都难以保证,而且所从事的工作绝大多数是维护,很难体现出看得见的成绩。成就感、荣誉感淡化,加之计算机技术日新月异,工作人员掌握的知识不能与时俱进,知识普遍老化,存在着怕担风险的畏难情绪。专业安全管理人员缺乏应有的积极性,在制订安全策略、审核安全方案、开展安全评估和审计检查等方面往往力不从心。
4.缺乏有效的安全内控机制使制度的执行打折扣
首先,缺乏外部监督,对上级行安全管理制度的落实和执行情况、对内部安全管理制度的建立和完善情况,没有确定有效的外部监督机制,造成制度落实不够、内控制度不完善。一是计算机病毒传播和网络非法入侵十分严重。某中支仅一季度就出现病毒报警信息1475条,感染计算机317台次。二是网上失密、窃密情况没有引起足够重视。基层央行大多数工作人员不乏存在这样的情况:用存储有重要信息的移动盘直接插入到互联网的机子上下载和编辑资料,然后不经过病毒和木马检测就在内联网上进行使用、传输等操作,还有就是不经过登记和审批手续携带存储有重要或敏感信息的移动盘外出,给基层央行的信息安全和保密工作造成很大的隐患。三是信息安全管理不善,安全措施不到位,有令不行、有禁不止,信息系统运行事故时有发生。这固然有其客观原因,但缺乏严格管理和岗位监督制度,是问题的根本所在。岗位监督机制的缺失形成信息安全管理中最大的漏洞。
第二,缺乏安全评估。目前,基层行对本单位安全状况心里没底。机房环境有没有隐患,网络有没有漏洞,系统是否安全,说不清楚。主要是因为没有一套完善的安全评估体系和标准,无法对本单位的安全状况进行科学评估。
第三,缺乏定期审计。信息安全检查很多,但大多侧重于制度落实和物理安全。而对于技术安全,则需要更专业更规范的专项审计才能发现问题,找出漏洞。现阶段基层行审计部门没有能力进行计算机安全审计,科技部门审计自己管理的业务信息系统,容易造成角色错位,达不到审计效果。这些因素造成基层行计算机安全审计工作不能有效开展。
二、对策建议
1.积极创新计算机安全管理工作机制
一是建立信息安全风险管理保障机制,把信息安全风险管控工作摆上议事日程,建立健全信息安全风险管理部门和岗位责任制度,层层抓好落实。要加强培训工作,提高风险管控能力和应变能力。充分发挥科技部门安全检查、纪检监察部门风险监控、内审部门审计监督“三道防线”的约束作用,形成完备的违规监测和纠错体系。加大违规行为处罚力度,提高管控措施的约束力。
二是建立信息安全风险评估和预警机制。要全面落实风险评估制度,建立信息安全风险监测体系,及时识别风险因素,排查隐患,彻查各类问题的根源。要将信息安全风险控制前移,从业务部门需求管理开始,把风险管控贯穿于信息流动的整个过程,加强追踪控制。要在充分分析信息安全风险对业务影响的基础上,建立良好的风险分类分级制度,实施重点监控。从法律法规、国家政策、业务规范等多角度区分各类信息安全风险,落实监测和保障措施。
三是建立并完善信息安全风险应急处置机制,加强风险应急和处置机制建设。要认真研究制定信息安全风险应急管理的中长期规划,结合实际,稳步提高应急管理水平。要加强数据备份、灾难恢复以及业务连续性的管理。完善各类应急预案,加强应急演练,通过应急演练把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的全行工作层面,确保极端事件发生时,能够在最短的时间内按照既定方案有序处置。
2.培养和充实安全管理人才,健全计算机安全管理组织体系
一是要充分发挥计算机安全领导小组的作用,将信息安全的责任层层分解,责任到人,落实到实处。二是要按照内控要求,配备信息安全人员,把决策与执行分开、执行与监督分开,相互约束,相互促进,防止关键岗位人员监守自盗。三是要加强信息安全教育和信息安全、保密知识普及,让广大干部职工了解什么需要保密、失密的后果及应该如何保密。四是要加强信息安全管理人员和技术人员专业知识、专业技能培训,让他们掌握信息安全技术,学会监控、防范、处置、查证。五是要引入考核和激励机制,把安全管理工作与各业务部门及部门安全员的利益结合起来,充分调动他们的积极性和责任心,使安全管理部门和业务部门之间形成良性互动的关系。
(作者单位:人行海西中支)