XX农商年行信息科技报告

信息科技自查报告横山农商银行按照上级领导的指示，我行认真贯彻《关于加强2014年重要时期金融信息安全保障工作的通知》为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：一、组织架构、制度建设及管理情况1.信息科技治理组织架构（1）我行在董事会下设科技信息安全管理委员会，行长室下设信息科技管理委员会，信息安全管理委员会下设应急处理领导小组。科技信息安全管理委员会全面负责领导和协调本行科技信息安全。科技管理委员会负责统一规划全行的信息化建设，指导和监督科技部门的各项工作，审议全行计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制（2）我行成立了科技管理部和科技开发部，做到科技运维和科技开发有效分离，加强了信息科技治理。（3）科技风险审计工作由我行稽核审计部完成，信息科技风险管理由风险管理部门完成。（4）在支行层面则设立合规员，负责各支行科技信息相关风险监控和报告2.信息科技管理制度建设（1）安全管理对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理总则《陕西信用社联合社计算机信息系统安全管理制度》，安全管理制度经信息安全领导小组审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订，并有修订记录（2）事件管理制订了安全事件报告和处置管理制度——《信息安全事件管理制度》明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责，并根据国家相关管理部门录用人员签署保密协议；制定人员离岗管理流程规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限；与外包商签订保密协议；有密级的安全管理制度，注明安全管理制度密级，并进行密级管理。二、信息系统的技术措施情况1.物理和环境建设（1）机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。（2）系统密码均由专门人员掌管，计算机终端无人看管时锁定；（3）机房采用集中监控，监控清晰全面，机房环境设施均有专人岗位值班管理，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。（4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。（5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统安全有效，给排风系统工作正常。（6）中心机房和灾备机房均有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，确保机房正常运转。（7）机房技术文档完备、有效：制定了《横山农村商业银行计算机信息系统安全管理制度》、《科技部信息部中心机房监控制度》，《横山农村商业银行计算机系统运行维护管理制度》为机房维护制定详细的规范文档。2.网络安全划分我行根据文件要求，对重要网络设施(包括网络传输线路、网络设备、网络安全设备)进行了详细的自查，情况如下:网络安全策略根据网络安全准则，以及网络安全的章程，我行严格的按照要求，将网络分为，核心生产网，信贷网，核心生产网，信贷网：按照省联社的要求，我行将核心生产网和信贷网同时配置在一台H3C-MSR-2102的路由器上，使用电信的2M光网络将各个支行同中心机房核心路由器MSR5060连接，中心机房在使用电信4M，广电4M采用双链路备份的方式连接榆林办事处中心机房。网点网络设备汇总及用途设备名称品牌数量用途路由器H3C-MSR21021路径选择、数据转发，负责核心业务的数据转发和连接县核心机房，保证网络的不间断交换机H3C-S1024R1交换机下联业务终端，上联路由器，主要负责数据的转发，和链路的连接，光端机彪骑佳迅PDH1远端将模拟信号转换成数字信号，然后数字信号转换成光信号，进而通过光纤传输；在中心端刚好相反：光信号转换成数字信号，数字信号转换成模拟信号，并负责和县中心核心机房连接(3)办公网网络安全建设：天融信防火墙安全防护建设：在横山农商行办公网INTERNET出口部署两台天融信防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、即时通信应用，以及BT、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。还提供了定制功能，可以对用户所关心的网络应用进行全面控制。能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构，自身能够实现A/A部署和状态同步，能够实现动态的链路切换，同时提供了电源冗余功能，最大限度地满足了网络的健壮性及稳定性，保证了整个网络的不间断工作。（3）加密技术应用和私钥的管理情况；ARRY设备远程VPN安全保护建设：横山农商行办公网已经部署了VPN，INTERNET用户可以连接到内部办公网。采用VPN技术，加强信息传输过程中的安全防范，可以在公共Internet网络上提供安全通信。是企业远程用户、业务合作伙伴和供应商尽快实现通信和共享信息理想的安全性解决方案。根据业务系统的特点选择对业务数据进行传输加密；对于网络设备认证过程中敏感的信息进行加密。制定了《**农村商业银行科技部密钥管理制度》。（4）防火墙的设置、维护和管理情况；在网银系统设置两层物理防火墙，将网络分为三个逻辑区域，及非授信区、停火区及安全区。非授信区可理解为Internet，即存在潜在威胁的区域；停火区（DMZ）内部署网银Web服务器、RA服务器以及其它直接向外部提供服务或者进行通讯的服务器，如Mail服务器、防病毒服务器等；安全区用户部署网银应用服务器、数据库服务器、通信服务器等核心部件；（5）、设置入侵检测系统。入侵检测用在网络关键节点设置探头以侦测网络数据中。2.网络服务连续性、冗余性1.所有重要通信线路均有备份线路且采用不同运营商，确保网络无断点。2.网络设备的冗余性：网络设备均有备份。核心网络设备，核心生产系统设备均采用双机热备，同城设有灾备机房，确保关键生产设备运行的可靠性3.访问线路的带宽完全能够满足各信息系统的带宽需求，无网络拥塞现象。4.网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、安全；5.日志服务器暂无，有网络日志，但无集中审计，需加强网络设备日志的安全审计。3.信息系统可靠性我行根据文件要求，对关键服务器、存储器运行的可靠性，生产系统资源冗余度等进行了全面自查，情况如下:1.系统重要设备和组件的冗余备份经自查，关键生产设备均采用双电源，服务器有UPS电源支持，且有RAID保护。系统具备较高的可用性，所有前置系统都有备机，且定期切换演练，系统重要设备和组件均有相应的定时备份。2.制定各系统的应急预案，定期对预案修订和培训，目前，我行针对世博会演练了信贷系统切换，中心机房供电演练，影像支付系统演练，网银系统恶意攻击模拟演练。3.设备和系统的维护和升级管理设备、系统均有专人维护管理，部分设备、系统聘请专业公司人员进行升级维护，岗位人员均具备相关素质，并实行AB角色。4.对外包系统要求开发商要对我行技术人员进行详细的日常运行、维护培训，把相关技术移交给我行技术人员，对涉及二次开发的系统要求开发商提供完整的二次开发手册，培训我行技术人员掌握二次开发技术5.系统软件的用户授权及鉴别认证措施：系统软件用户密码相关人员各自保管，重要系统管理密码实行分左右手密码保管原则，系统软件用户访问实现权限控制，各级人员只能进行权限内操作。6.系统变更管理:制定了变更管理的主要准则和规章制度，变更管理的审批授权机制和工作流程；对变更管理进行登记、备案和存档，制定了非计划性紧急变更的实施方案、备份和恢复。7.对系统日志及操作行为日志进行监察审计，确保系统稳定运行8.系统容量管理计划系统处理容量增长趋势完全满足增量业务需求，并有适度冗余。9.补丁更新及时关注系统安全漏洞最新情况，及时对新发现的安全漏洞打上相关的安全补丁。经检查当前系统已是最新最完整版本，已安装了最新补丁10.病毒、恶意代码的安全防护系统均安装病毒查杀软件，对病毒、恶意代码进行安全防护。同时严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件11.系统安全配置检查定期巡检，对系统的安全配置实行不定期检测，对可能存在的隐患进行排除。4.应用安全1.业务应用系统的用户授权及鉴别认证措施业务应用系统用户密码相关业务人员各自保管，通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。2.业务应用系统的用户访问控制系统软件用户访问实现权限控制，各级人员只能进行权限内操作4.机房电力系统1.机房电力系统的可用性和不间断性（1）2.5.运行维护监控系统我行根据文件要求，对信息系统的监测预警进行了全面自查，情况如下:1.监测预警制度、流程及自动化监控平台已建立完善监测预警制度、流程，机房环境、参数，系统的运行状况，CPU使用情况、文件系统使用情况等均实现自动化监控。2.监测预警组织结构及人员设置每天有人员24小时值班，检查系统及网络运行状况，及时发现问题，监测预警专人负责，按照警报级别逐级上报，确保故障的及时排除。3.监测预警日志设立监控日志，每日由监测预警人员负责记录。4.监测预警文档的完备性有监测预警文档说明，但不够完善。5.与电力供应部门、网络供应商、公安部门等外部机构均有相应的应急联动机制，我行正在实施保卫部网点声光联动报警，做到入侵报警设施与照明、视频安防监控及声音复核等设备联动三、不足和改进方法1.需将管理与技术相结合，进一步加强信息安全管理手段从IT风险管理手段来看，部分系统的风险控制不够先进，缺乏专业的风险技术支持，事前预防作用有限，事中控制不够。缺乏对科技风险的集中审计。本行将引进AAA统一认证管理系统，加强系统用户的授权，权限控制和账号管理。架设日志服务器，对系统日志进行集中收集和审计。通过平台对所有用户进行统一的授权。采用基于角色的授权机制，按照内部的组织结构划分角色，并为用户绑定角色。对于不同的角色分配不同应用系统的访问权限。平台依靠记录追踪用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。可以实时监测用户对各应用系统的访问状态，及时发现非法访问事件，对出现的问题进行事后追溯和责任追究提供实证。通过对系统运行状态实时监控审计，增强系统的可维护性。2.进一步完善计算机系统安全管理制度本行已经在内部建立并健全了一系列的计算机系统安全管理制度