1、浅谈基层央行内联网安全系统建设面对的主要问题及对策 摘要: 关键词: 随着人民银行信息化建设步伐的不断推进,局域网的安全问题越来越突出,人民银行从总行到各级分支机构投入了大量的人力物力致力于人民银行内联网的安全系统建设,由早期的对外网访问的简单过滤、拦截到对外网的边界保护和对内部网络管理审计的全面的网络安全系统,网络的实时监控、综合分析和应急响应能力都取得了长足的进步。 一、人民银行地市中支内联网安全系统建设现状 人民银行地市中支在省级中支的统一规划和领导下,近年来建设和推广应用了包括非法外联监控、入侵检测、网络防病毒、补丁分发、 IT 运维监控管理、网络资 源管理等一系列网络安全管理系统,对
2、网络拓朴、客户端资源、非法外联、病毒等都实现了实时监控,同时利用技术手段和科技标准化管理,不断充实安全管理内容,安全管理的效能得到了有效强化。 (一)合理规划网络资源 规范电子设备管理 利用 VLAN技术对网络应用系统进行合理的网段划分,设定访问控制权限,对重要资金系统的网段与办公网段进行隔离,从技术上阻断非法访问。 实行计算机内联网准入审批制度,对入网计算机进行入网检测;规范电子设备的选型、采购、登记、入库、使用、变更、报废等各个管理环节,建立入网计 算机 IP 地址分配登记簿,详细登记入网计算机信息;严禁笔记本电脑接入人民银行内联网;互联网统一入口,严格执行内外网物理隔离,杜绝办公用机双网
3、卡、 Modem 卡、无线网卡的安装。 开题报告 近年来地市中支加强了对移动存储设备的统一管理,通过网络资源管理系统注册的功能,部署策略,将移动存储设备按照涉密的级别,从技术上控制和规范移动存储设备的使用,杜绝注册移动存储设备在涉密级别不同的计算机上交叉使用和未注册移动存储设备在内网计算机上使用。 (二)利用安全系统监测分析 注重客户端安全管理 一 是对接入人民银行内联网的计算机全部安装网络防病毒软件,实现在线升级病毒特征库,实时监控和查杀病毒,并定期对病毒的源、类型和危害等级等内容进行统计分析。 二是通过入侵检测系统实时扫描内联网,对高危的入侵安全事件进行报警,通过报警信息准确定位安全事件的
4、级别和地点,并做出相应的应急响应,及时排除安全隐患。 三是对内联网计算机定期进行漏洞扫描和补丁分发,补丁分发系统具有补丁自动分发部署和控制的功能,对安装补丁分发客户端的内网计算机进行管理,扫描补丁的修补情况,监测系统是否存在重大漏洞,并及时进行系统 的升级,以阻断利用系统漏洞而传播的病毒传染和安全攻击。 四是利用网络资源管理系统对客户端资源进行实时监控。对内网的计算机统一安装网络资源管理系统客户端,自动采集和更新客户端软硬件信息,非现场监控客户端运行情况,对安装与工作无关的软件、盗版软件能够及时发现,并通过相应策略的定义进行控制。 (三)监控网络运行状况 提高网络运行质量 以 IT运维监控管理
5、系统为代表的网络管理软件,对网络的运行状况进行实时监测,用直观形象的图形反映网络实时的拓朴结构、流量统计、对比分析等信息,使网络技术人 员通过图形的变化快速发现网络运行故障,并快速定位,及时排除故障。 二、人民银行地市中支内联网安全管理面对的主要问题及对策 人民银行地市中支通过近几年的集中建设,内联网安全系统建设取得了长足的进步,形成了对外以防火墙为主 IDS入侵检测为辅的边界保护,对内以网络防病毒、非法外联监控、补丁分发、 IT 运维监管等一系列安全系统实现监测、预警、报警、审计、分析的内联网安全管理,网络安全管理由“ 事件报告 -响应 ” 的被动模式向 “ 监测 -预警 -报警 -处置 ”
6、 的主动模式转化,网络运维的能力有了很大的提高,但是 ,由于人员素质、设备状况等多方面原因,内联网安全管理形势仍很严峻,目前地市中支内联网安全管理面对的主要问题有: (一)业务人员安全意识有待提高。近年来,地市中支加大制度建设力度,进一步规范操作行为,加强监督和检查,制度执行力有所提高,但部分业务人员仍然存在一定的安全意识薄弱,安装和使用与工作无关软件、盗版软件,擅自修改 IP 地址,卸载防病毒软件的情况时有发生。 (二)移动存储介质的管理水平有待进一步提高。经资源管理系统注册后的移动存储介质,在内联网不同密级的计算机上交叉使用得到了有效控制 ,但内外网的交叉使用从技术上还不能屏蔽,给管理上带
7、来很大的难度,内外网的交叉使用存在病毒传染和泄密的安全隐患。 (三)科技人员网络维护技能有待提高。由于人民银行近年来招录的科技人员较少,地市中支都不同程度地存在人员知识结构老化、专业不对口等情况,网络知识主要通过自学、短期培训班等渠道获得,缺乏系统性学习,实践的机会少,知识停留在理论层面,对设备的了解不够深入,网络排错和分析的能力较低。 人员的素质和管理一直以来都是提高安全管理水平的瓶颈,来自于操作层面和管理上的漏洞是安全管理工作的重点和难点 。人员素质的提高不能一蹴而就,需要有持之以恒的完善的教育培养体系支持,既要有人员适度的更新,年轻高素质人才的充实可以为集体注入新鲜的血液,保持队伍的活力,同时要建立完善的岗位培养机制,针对不同的岗位制定相应的教育方案,有计划有目标地强化业务技能,熟知岗位安全规章和操作细则,杜绝违规操作行为的发生。加强制度执行力的监督检查,使检查工作细致化、常态化,对不合规行为及时发现及时处置,排除可能存在的安全隐患。 三、人民银行地市中支内联网安全系统建设体会 人民银行内联网安全系统建设是一个复杂的系 统工程,涉及到人、技术、操作等多方面因素,只靠技术或只靠管理都是不可能实现的。所谓七分管理,三分技术,管理是网络安全的核心,技术是安全管理的保证,只有制定完善的规章制度、操作规程并和安全技术手段合理结合,人民银行内联网系统的安全才会有最大的保障。
