銀行信息安全及網(wǎng)絡(luò)管理建議

1、1、網(wǎng)絡(luò)技術(shù)力量相對(duì)薄弱，迫切需要更全面的網(wǎng)絡(luò)知識(shí)培訓(xùn)由于央行業(yè)務(wù)和數(shù)據(jù)集中的需求，越來(lái)越多的業(yè)務(wù)系統(tǒng)實(shí)行b/s 運(yùn)行模式。在這種模式下，科技人員只需確保網(wǎng)絡(luò)環(huán)境的通暢與業(yè)務(wù)機(jī)的正常運(yùn)行即可，網(wǎng)絡(luò)管理方面凸顯出重要地位，但由于科技人員頻繁更換，技術(shù)力量相對(duì)薄弱，具體的配置文件是由上級(jí)行科技人員進(jìn)行設(shè)置，測(cè)試無(wú)誤后直接下發(fā)到各個(gè)中心支行。然而地市中心支行科技人員很少能接受到專業(yè)的網(wǎng)絡(luò)知識(shí)培訓(xùn)，對(duì)網(wǎng)絡(luò)技術(shù)知識(shí)掌握不夠深入，無(wú)法對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)配置并獨(dú)自解決網(wǎng)絡(luò)設(shè)備所引起的問(wèn)題。2、構(gòu)建信息交流平臺(tái)，提高基層央行信息化。隨著金融業(yè)務(wù)的不斷發(fā)展和人民銀行自身職能的不斷轉(zhuǎn)換、細(xì)化，越來(lái)越多的應(yīng)用系統(tǒng)陸

2、續(xù)上線運(yùn)行。面對(duì)如此多的應(yīng)用系統(tǒng)，基層央行計(jì)算機(jī)安全人員的數(shù)量與素質(zhì)已經(jīng)很難適應(yīng)新的安全形勢(shì)與業(yè)務(wù)發(fā)展。在人力資源有限的情況下，必須搭建有效的信息交流平臺(tái)，使各級(jí)科技人員與業(yè)務(wù)操作人員之間的交流溝通暢通無(wú)阻，杜絕“各自為政”的現(xiàn)象，減少人力資源的浪費(fèi)。同時(shí)，建立健全知識(shí)庫(kù)，提高科技人員與業(yè)務(wù)人員的計(jì)算機(jī)應(yīng)用能力和業(yè)務(wù)操作水平，讓央行信息化建設(shè)更好地服務(wù)于日常工作。除了加強(qiáng)對(duì)基層央行科技人員的技術(shù)培訓(xùn)外，還須針對(duì)目前科技應(yīng)用的實(shí)際情況，定期開(kāi)展全員培訓(xùn)，全面提高員工的計(jì)算機(jī)應(yīng)用能力和信息安全意識(shí)，使之成為既懂業(yè)務(wù)又懂計(jì)算機(jī)的復(fù)合型人才，增強(qiáng)系統(tǒng)操作人員對(duì)突發(fā)事件的發(fā)現(xiàn)、應(yīng)對(duì)以及處理能力。3、信息

3、安全風(fēng)險(xiǎn)評(píng)估認(rèn)識(shí)不全面，需提高信息安全風(fēng)險(xiǎn)評(píng)估水平（一）加強(qiáng)宣傳，提高對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)。隨著信息化的發(fā)展，信息安全風(fēng)險(xiǎn)也隨之提高，若仍采用傳統(tǒng)的安全管理方式進(jìn)行安全管理，勢(shì)必造成很大的浪費(fèi)，還難以提高風(fēng)險(xiǎn)管理的水平。因此，必須站在構(gòu)建更高層次的風(fēng)險(xiǎn)管理角度，加大對(duì)風(fēng)險(xiǎn)管理體系建設(shè)宣傳力度，使每一位職工充分認(rèn)識(shí)到做好信息安全風(fēng)險(xiǎn)評(píng)估是防范風(fēng)險(xiǎn)的最基礎(chǔ)性工作。沒(méi)有正確的信息安全風(fēng)險(xiǎn)認(rèn)識(shí)，就沒(méi)有正確的信息安全風(fēng)險(xiǎn)管理。我們要把被動(dòng)評(píng)估變成主動(dòng)評(píng)估，使安全風(fēng)險(xiǎn)評(píng)估真正走到為風(fēng)險(xiǎn)管理提供決策支持的軌道上來(lái)。（二）加強(qiáng)制度建設(shè)。一是建立健全信息安全風(fēng)險(xiǎn)評(píng)估制度，保證風(fēng)險(xiǎn)評(píng)估工作開(kāi)展有據(jù)可依。二是健

4、全信息安全風(fēng)險(xiǎn)評(píng)估制度，明確評(píng)估者、建設(shè)者、使用者和管理者之間的關(guān)系及各自職責(zé)。三是細(xì)化信息安全風(fēng)險(xiǎn)評(píng)估制度，使信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估在整個(gè)生命周期都能有效地開(kāi)展。（三）加強(qiáng)規(guī)劃，科學(xué)制訂評(píng)估標(biāo)準(zhǔn)。央行科技人員應(yīng)結(jié)合自身信息化建設(shè)的特點(diǎn)，將風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則制訂出統(tǒng)一的標(biāo)準(zhǔn)，為確立信息系統(tǒng)的安全等級(jí)提供判斷標(biāo)準(zhǔn)。一是參照上級(jí)行有關(guān)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)的面臨的威脅、自身的脆弱性和已有的安全措施進(jìn)行分類和等級(jí)劃分。二是以可操作性和靈活性為原則，讓評(píng)估者將風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)工作有機(jī)地結(jié)合起來(lái)，完善等級(jí)安全保護(hù)。（四）加強(qiáng)人員培訓(xùn)，提高評(píng)估人員的專業(yè)技能。一是整合內(nèi)部人力資

5、源，加大培訓(xùn)力度，制訂轄內(nèi)統(tǒng)一的培訓(xùn)規(guī)劃，編寫培訓(xùn)教材，通過(guò)學(xué)習(xí)彌補(bǔ)知識(shí)缺陷，提高技術(shù)水平。二是實(shí)行互補(bǔ)型培訓(xùn)，將評(píng)估技術(shù)按專業(yè)進(jìn)行分類，組織不同的技術(shù)人員分別進(jìn)行培訓(xùn)，在較短的時(shí)間內(nèi)培養(yǎng)出一支技術(shù)互補(bǔ)型的團(tuán)隊(duì)。三是合理使用社會(huì)資源，通過(guò)聘請(qǐng)富有經(jīng)驗(yàn)的專家，學(xué)者，組成第三方評(píng)估機(jī)構(gòu)。由第三方評(píng)估機(jī)構(gòu)對(duì)一個(gè)基層單位進(jìn)行評(píng)估，組織轄內(nèi)的評(píng)估人員積極投身其中，通過(guò)學(xué)習(xí)和交流，不斷積累評(píng)估工作經(jīng)驗(yàn)，提高實(shí)際評(píng)估技術(shù)能力。四是對(duì)技術(shù)人員進(jìn)行系統(tǒng)的認(rèn)證培訓(xùn)，實(shí)行職業(yè)資格準(zhǔn)入制度。（五）加強(qiáng)創(chuàng)新，推動(dòng)信息安全風(fēng)險(xiǎn)評(píng)估工作上一個(gè)新臺(tái)階。目前面臨的外來(lái)威脅大，種類多，手段多變，隨著操作系統(tǒng)補(bǔ)丁日益頻繁的發(fā)布，僅采取常規(guī)的靜態(tài)、年度風(fēng)險(xiǎn)評(píng)估，明顯不能適應(yīng)形勢(shì)。一是擴(kuò)大范圍，將信息安全風(fēng)險(xiǎn)評(píng)估工作推向更全面的過(guò)程，全面真實(shí)地反映整個(gè)信息系統(tǒng)的安全。二是加大頻度，在成熟的信