银行信息安全及网络管理建议

1、1、网络技术力量相对薄弱，迫切需要更全面的网络知识培训由于央行业务和数据集中的需求，越来越多的业务系统实行b/s 运行模式。在这种模式下，科技人员只需确保网络环境的通畅与业务机的正常运行即可，网络管理方面凸显出重要地位，但由于科技人员频繁更换，技术力量相对薄弱，具体的配置文件是由上级行科技人员进行设置，测试无误后直接下发到各个中心支行。然而地市中心支行科技人员很少能接受到专业的网络知识培训，对网络技术知识掌握不够深入，无法对网络设备进行相关配置并独自解决网络设备所引起的问题。2、构建信息交流平台，提高基层央行信息化。随着金融业务的不断发展和人民银行自身职能的不断转换、细化，越来越多的应用系统陆

2、续上线运行。面对如此多的应用系统，基层央行计算机安全人员的数量与素质已经很难适应新的安全形势与业务发展。在人力资源有限的情况下，必须搭建有效的信息交流平台，使各级科技人员与业务操作人员之间的交流沟通畅通无阻，杜绝“各自为政”的现象，减少人力资源的浪费。同时，建立健全知识库，提高科技人员与业务人员的计算机应用能力和业务操作水平，让央行信息化建设更好地服务于日常工作。除了加强对基层央行科技人员的技术培训外，还须针对目前科技应用的实际情况，定期开展全员培训，全面提高员工的计算机应用能力和信息安全意识，使之成为既懂业务又懂计算机的复合型人才，增强系统操作人员对突发事件的发现、应对以及处理能力。3、信息

3、安全风险评估认识不全面，需提高信息安全风险评估水平（一）加强宣传，提高对信息安全风险评估的认识。随着信息化的发展，信息安全风险也随之提高，若仍采用传统的安全管理方式进行安全管理，势必造成很大的浪费，还难以提高风险管理的水平。因此，必须站在构建更高层次的风险管理角度，加大对风险管理体系建设宣传力度，使每一位职工充分认识到做好信息安全风险评估是防范风险的最基础性工作。没有正确的信息安全风险认识，就没有正确的信息安全风险管理。我们要把被动评估变成主动评估，使安全风险评估真正走到为风险管理提供决策支持的轨道上来。（二）加强制度建设。一是建立健全信息安全风险评估制度，保证风险评估工作开展有据可依。二是健

4、全信息安全风险评估制度，明确评估者、建设者、使用者和管理者之间的关系及各自职责。三是细化信息安全风险评估制度，使信息系统安全风险评估在整个生命周期都能有效地开展。（三）加强规划，科学制订评估标准。央行科技人员应结合自身信息化建设的特点，将风险评估的工作流程、评估内容、评估方法和风险判断准则制订出统一的标准，为确立信息系统的安全等级提供判断标准。一是参照上级行有关标准，对信息系统的面临的威胁、自身的脆弱性和已有的安全措施进行分类和等级划分。二是以可操作性和灵活性为原则，让评估者将风险评估与等级保护工作有机地结合起来，完善等级安全保护。（四）加强人员培训，提高评估人员的专业技能。一是整合内部人力资

5、源，加大培训力度，制订辖内统一的培训规划，编写培训教材，通过学习弥补知识缺陷，提高技术水平。二是实行互补型培训，将评估技术按专业进行分类，组织不同的技术人员分别进行培训，在较短的时间内培养出一支技术互补型的团队。三是合理使用社会资源，通过聘请富有经验的专家，学者，组成第三方评估机构。由第三方评估机构对一个基层单位进行评估，组织辖内的评估人员积极投身其中，通过学习和交流，不断积累评估工作经验，提高实际评估技术能力。四是对技术人员进行系统的认证培训，实行职业资格准入制度。（五）加强创新，推动信息安全风险评估工作上一个新台阶。目前面临的外来威胁大，种类多，手段多变，随着操作系统补丁日益频繁的发布，仅采取常规的静态、年度风险评估，明显不能适应形势。一是扩大范围，将信息安全风险评估工作推向更全面的过程，全面真实地反映整个信息系统的安全。二是加大频度，在成熟的信