鐘建新

隨著基層央行業(yè)務(wù)范圍的不斷擴展，信息安全保障已成為央行業(yè)務(wù)可持續(xù)發(fā)展和系統(tǒng)安全運行重要內(nèi)容。本文試從基層央行當(dāng)前信息安全保障的風(fēng)險隱患，提出加強信息安全管理的建議。

一、基層央行信息安全保障存在的主要問題

（一）日常業(yè)務(wù)操作不夠規(guī)范。一是業(yè)務(wù)崗位、職責(zé)范圍劃分不明確，業(yè)務(wù)操作權(quán)限存在混亂現(xiàn)象；二是操作人員擅自修改計算機軟、硬件設(shè)置，在計算機上安裝、使用與業(yè)務(wù)無關(guān)的軟件，極易造成操作系統(tǒng)、業(yè)務(wù)系統(tǒng)程序的崩潰；三是重要業(yè)務(wù)系統(tǒng)的計算機密碼設(shè)置過于簡單或未定期更換，使得一般人員極易進入應(yīng)用系統(tǒng)，隨意操作計算機，造成系統(tǒng)數(shù)據(jù)的丟失。

（二）基礎(chǔ)設(shè)施環(huán)境不匹配?；鶎友胄兄行臋C房大多數(shù)都是建行時期建設(shè)，經(jīng)過連續(xù)多年的日夜運行，已出現(xiàn)中心機房環(huán)境布局不合理、電子設(shè)備陳舊和線路老化等問題，安全隱患大，抵御自然災(zāi)害和突發(fā)事件的能力低?；鶎友胄修k公樓綜合布線系統(tǒng)經(jīng)過多年的使用，存在布局不合理、網(wǎng)點數(shù)量不足，難以適應(yīng)快速的業(yè)務(wù)發(fā)展需要?；鶎友胄兄行臋C房消防設(shè)備、機房供配電設(shè)備、機房新風(fēng)機、機房空調(diào)設(shè)備和機房網(wǎng)絡(luò)設(shè)備等設(shè)備老化，急需更換和升級，如基層央行中心機房網(wǎng)絡(luò)設(shè)備使用期限已達10年。

（三）信息安全保障制度執(zhí)行不夠到位。目前基層央行建立的信息安全保障制度難以適應(yīng)當(dāng)前信息安全面臨的形勢，軟件開發(fā)、口令、密碼、權(quán)限管理、操作員管理、計算機病毒防治等制度還有待于進一步完善，尤其是內(nèi)控制度的實施更是基層央行信息安全保障中的一項薄弱環(huán)節(jié)。

（四）“病毒”的攻擊與破壞。病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。計算機病毒是人為制造的，它通常隱蔽在其他程序和文件之中，按照“程序”約定的條件引發(fā)，按照“程序”制定的方式進行破壞。寄生性、傳染性、潛伏性、隱蔽性、破壞性是計算機病毒的特點，一旦被感染并發(fā)作，輕者造成個別計算機不正常工作，重者就可能造成較大的程序難以運行，同時也使網(wǎng)絡(luò)無法正常運行，最終造成資源和財富的巨大浪費

二、建議及對策

（一）加強信息安全保障意識教育。

一是通過舉辦計算機知識培訓(xùn)、計算機知識競賽等活動，加強對計算機操作人員的教育和培訓(xùn)；二是網(wǎng)絡(luò)管理員和計算機操作人員應(yīng)密切關(guān)注最新的漏洞及病毒信息，并安裝相應(yīng)修復(fù)補丁，養(yǎng)成及時更新系統(tǒng)補丁的良好習(xí)慣；三是從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、邊界安全、應(yīng)用安全等幾個層面考慮建立信息化標(biāo)準(zhǔn)體系提高安全意識，從源頭上抓安全防范。

（二）強化基礎(chǔ)設(shè)施建設(shè)。

一是繼續(xù)加大對基層央行中心機房新建及改造的力度，為信息安全保障提供重要的基礎(chǔ)性保障。近年來科技支撐對機房建設(shè)要求的不斷提高，加大人、財、物的投入，對中心機房進行新建或改造，對辦公樓綜合布線系統(tǒng)進行重新布線，是當(dāng)前基層央行業(yè)務(wù)穩(wěn)定發(fā)展的迫切需要。二是繼續(xù)加大對基層央行中心機房主要電子設(shè)備的投資力度，為信息安全保障提供重要的物質(zhì)保障。中心機房主要電子設(shè)備數(shù)量不足和陳舊老化，比如在用的不間斷電源運行已近10年，網(wǎng)絡(luò)設(shè)備使用期限也已達10年，且沒有足夠備用設(shè)備。加大對基層央行中心機房主要電子設(shè)備的投資力度，是當(dāng)前基層央行業(yè)務(wù)穩(wěn)定發(fā)展的迫切需要。

（三）遵守安全管理制度

一是未經(jīng)允許不得在業(yè)務(wù)網(wǎng)、辦公網(wǎng)上安裝未經(jīng)科技部門許可的應(yīng)用軟件，不得隨意更改計算機操作系統(tǒng)和軟件關(guān)鍵配置；二是禁止非本單位人員使用單位的辦公網(wǎng)、業(yè)務(wù)網(wǎng)和外網(wǎng)計算機客戶端；三是禁止在業(yè)務(wù)網(wǎng)、辦公網(wǎng)上進行撥號網(wǎng)絡(luò)測試及應(yīng)用測試；四是嚴(yán)禁將外單位計算機直接接入辦公網(wǎng)、業(yè)務(wù)網(wǎng)及外網(wǎng)；一旦發(fā)現(xiàn)以上操作將按信息安全管理規(guī)定進行嚴(yán)厲處罰

（四）加強對病毒的預(yù)防與治理。

主要是不使用非正版軟件；對外來U盤、光盤首先進行查毒和殺毒；使用symantec殺毒軟件，并啟動其監(jiān)控功能；如果發(fā)現(xiàn)新病毒，要立即尋找防御和殺滅方法；拒收來歷不明的電子郵件。

（作者單位：中國人民銀行隨州市中心支行）