一、認真總結檢查結果,查詢外匯分局資訊保安薄弱環節
隨著全員資訊保安意識的提高,外匯分局資訊保安工作正日益完善,但與中央網信辦和外匯局的要求還有一定差距,存在一些薄弱環節,主要表現在以下幾方面。一是缺乏完整、成體系的資訊保安制度。外匯分局已有的制度裡沒有完全涵蓋從機構建設、人員管理到資料管理、運維管理、應急管理以及教育培訓等一系列規範的資訊保安內容。二是人員管理方面。人員離崗離職後沒有及時收回或變更其在相關應用系統裡的許可權。三是網路安全防護上方面。外匯分局網路各區域間邊界不清晰,缺乏必要的安全防護裝置。另外,對內部網路的使用者管理較鬆,容易發生對系統的非授權訪問或者冒充合法使用者訪問等問題。四是終端電腦保安防護方面。外匯分局終端都由人民銀行科技部門統一管理,統一下發補丁軟體,但是存在業務人員在終端機上安裝與工作無關軟體的情況,導致植入病毒的機率大大增加,為系統安全埋下隱患。五是安全教育培訓及安全檢查方面。外匯分局對於全員安全意識教訓及專業技能培訓比較欠缺,特別是對所轄中心支局業務人員的安全教育培訓不足,安全檢查的廣度和深度也不夠。
二、結合實際,提升資訊保安保障措施
外匯分局在查找出資訊保安風險隱患後,應結合自身實際,從管理和技術兩方面採取相應的防護措施。
(一)加大資訊保安管理制度的體系建設
一是建立系統的資訊保安管理制度。外匯分局應遵循“誰主管誰負責、誰執行誰負責”的原則,按照相關要求明確資訊保安管理機構及責任人,制度應涵蓋人員管理、資產管理、資料管理、網路管理、運維管理、應急管理、教育培訓等內容。二是加強資訊保安應急管理。外匯分局應制定應急預案,保障應急資源,並定期或不定期地進行應急演練。
(二)加強資訊保安技術防護措施
一是建立良好的網路安全防護措施。針對近期的網路改造工程,外匯分局應明確各區域的網路邊界,做好邊界防護措施,並制定制度進一步規範網路使用者的.操作,完善網路裝置的安全配置及審計措施。二是做好應用系統的安全訪問控制。外匯分局對所有的應用系統,包括電子郵箱、門戶網等,都應做好使用者許可權管理和劃分。三是規範終端計算機的安全操作行為。主要是建立相應制度規範業務人員操作,並在終端上設定賬戶密碼保障安全。針對WindowsXP停止安全服務的情況,外匯分局應解除安裝與工作無關的應用程式、關閉不必要的服務和埠等,不斷加強對使用WindowsXP系統終端計算機的管理。
(三)強化資訊保安教育培訓
外匯分局應採取各種方法做好資訊保安教育培訓。除開展提高安全意識的培訓外,還需要加強資訊保安知識及安全防護技能的培訓。
(四)深入開展資訊保安檢查工作
外匯分局除完成總局每年的安全檢查任務外,還可通過內控檢查對所轄中心支局進行現場檢查。通過制定檢查方案,明確檢查內容、範圍、方法等,對中心支局佈置檢查任務,進行定期或不定期的非現場檢查,擴大檢查的廣度和深度。對檢查結果及時總結,對發現的問題及時整改並跟蹤其整改情況。
作者:何豔陽 單位:中國人民銀行成都分行