基层人民银行信息安全存在问题及对策分析
来源:用户上传
作者: 王慧
【摘要】本文分析了近年来人民银行个别基层单位和个人出现信息安全问题的原因,探讨了加强教育、强化意识、注重防范等措施,重点研究了加强涉密载体管理方面的对策,有效地推进了信息安全管理工作。
【关键词】央行 信息安全 问题 对策
近年来,人民银行一些分支机构和个人先后出现了信息安全问题,虽然没有造成十分严重的后果,但给单位带来了恶劣的影响,耗费了领导和机关大量的精力、财力和物力,也对个人的生活、工作和成长进步造成了不良影响,教训十分深刻。认真分析发生涉密信息失泄密的原因,从单个事件看是偶然发生,但实际上都存在不遵守信息安全保密规定的因素,偶然中也就存在着必然,如果不对信息安全引起高度重视,不采取多种防范措施并举,今后还会再次发生此类事件。人民银行作为金融主管机构,强化机关的信息安全对于确保金融的安全稳定运行具有特别重要的意义。
一、信息安全问题发生的原因分析
从各种统计情况看,近年来出现的多起信息安全事件发生的原因是多方面的,通过分析总结,主要就集中在以下几种:
(一)思想上不重视,存在侥幸心理
个别单位和个人虽然经过多次信息安全保密教育,学习过很多加强信息安全管理的规章制度,但总没有引起重视,片面认为自己所在的单位层次不高,除了编制、经济数据和金融管理等信息外,其他信息都很一般,很多人都知道,也可通过公共途径查得到,再者基层日常工作都是一些琐事,没有多大的保密信息含量,一些学习资料更是可以通过各种渠道得到,没有多少秘密可言。也有工作人员认为信息安全是保卫、科技部门的事,与自己没有多大的关系,加上自信自己信息化素质高,不会出现失泄密问题,即使兄弟单位出现了信息安全问题也只是当笑话看,对自己没有触动,正是这种心态,才会出现私自留存、复制以及使用普通通信手段传送涉密信息的情况,个别单位和个人出现的丢失、送修涉密载体,用手机短信传送涉密信息就属于此类问题。同时,也有个别人为炫耀自己比别人知道的多,而将涉密信息到处传播。
(二)制度不落实,存在失泄密隐患
随着信息安全问题的日益突出,各级领导、机关都认识到信息安全对单位建设的重要性,也更认识到信息失泄密问题的严重危害,通过十多年的实践,人民银行各级都制定、颁布了全面、系统和可操作性强的信息安全保密制度,但一些单位和个人不认真学习、掌握相关的制度和要求,即使学习也多是走走过场,仅通过文件转发上级的制度和要求,或是借口条件不具备,而没有在落实上下功夫,对规定的落实情况不检查、不督促,对违反信息安全制度的情况也是睁只眼闭只眼,不较真逗硬,不积极整改,人为的留下了严重的信息保密安全漏洞。例如,使用内网电脑上互联网、个人电脑公私混用、不安装上网监控软件、不使用注册的移动存储载体、不安装电子安全保密系统,不按规定复制、留存涉密信息,使用非保密通信手段传输涉密信息,私自携带涉密载体外出等违反信息安全保密制度的现象还依然存在。
(三)信息素养差,掌控信息安全能力不足
随着信息技术的发展,信息设备已经深入到人们生活的方方面面,电脑、智能手机、平板、播放器、GPS等已成为银行工作人员手中常见的东西,网络更是成为部分工作人员必不可少的生活方式,人民银行内部网络也扩展到所有分支机构,但信息化设备的智能化、网络化对使用者的信息素养要求大大提高,一些工作人员对信息技术、信息设备只知道表皮的东西,自以为是高手,但对深层次的隐患却一无所知。例如,不知道智能手机可通过软件远程开关机、打开摄像头和话筒,可自动向指定号码发送信息或位置信息,可能通过间谍软件监控通话内容和短信,更不知道有关部门随时对短信中敏感词进行监控;不知道互联网上的间谍可通过U盘为媒介进入内部网窃取涉密信息,不知道大部分笔记本电脑、智能手机默认设置的情况下可通过蓝牙、WiFi在你没有觉察时自动接入外部网络或外部信息设备;不知道固定、移动电话基本上是全球联网,使用普通传真机传送涉密信息风险很大;不知道上网电脑、手机都详细的使用记录,可方便地控制、定位并检查敏感信息;不知道电脑开机密码、文件密码及网络登录密码都很容易破解,普通删除、格式化后的文档资料信息可以用恢复软件原样还原;不知道部分标称可加密的通信设备,实际上并没有装上保密模块,起不到应有的保密效果。信息安全知识和技能的缺乏使一些单位和个人出现无意间的失泄密问题却还茫然不知,直到保密主管部门来调查了才恍然大悟,这时后悔已晚了。
二、加强信息安全的对策
现代社会已走进信息时代,金融信息化的潮流是谁也挡不住的,采取一刀切断绝涉密信息设备的使用做法是行不通的,也是逆潮流而动的。对出现的信息安全问题要辩证的去看,既要认识到问题的严重性,但也不能因噎废食,我们认为对信息安全问题的解决要采取李冰治水的方法,更多的是要疏而不是堵,做到疏堵结合,通过综合施策,还是有可能大幅减少信息安全问题,具体对策为:
(一)提高信息安全保密意识
对信息安全而言,需要人防与技防相结合,人防是基础,技防是支撑,人防重于技防,人防问题解决不好,再高端的技防也等于零。要通过全面、不间断的教育,通过制度学习、案例警示,使银行工作从别人的教训中吸取经验,认识到信息安全的极端重要性,认识到失泄密的危害,认识到间谍可能就在“身边”,实现信息安全意识从“要我安全”到“我要安全”转变,随时绷紧信息安全这根弦;使银行工作人员每做一件工作前都想想有没有可能存在失泄密隐患,如果有又如何去堵塞可能的信息安全漏洞。只要思想重视了,树立了强烈的信息安全保密意识,就能减少失泄密事件的发生。
(二)强化信息安全保密制度高压线
人民银行各级机构都十分重视信息安全保密,制定了十分全面、完善的各类规章制度,但还需要在落实上下功夫,特别是强调制度就是高压线,谁都不能去碰。首先要组织工作人员认真学习、理解、掌握信息安全的相关制度和规范,搞清各项制度出台的背景和出发点,不折不扣地落实好信息安全保密制度,特别是落实好涉密信息拟制、办理、传输、存储及复制等关键环节的制度和要求,做到有制度必须就要执行,违反制度必定要受到处理,建立信息安全问题无后果追究制,加强检查、督促,以制度来管好信息安全,这才是最可靠、最基础的做法。 (三)严格涉密载体管控
从近几年出现的信息安全事件看,涉密载体管理出的问题占了绝大部分,因而要把涉密载体的管理作为预防失泄密问题的重点,从涉密信息的拟制、传输、办理、归档、销毁等各个关键环节着手,强化涉密载体的管控工作:
1.在涉密文档拟制环节,首先要根据文档信息的涉密程度,按照各级对文档密级认定权限和标准,将文档分为内部资料、秘密、机密和绝密四个等级,既不要人为提高文档密级,以免带来文档管理难度,也不要人为降低文档密级,以免带来失泄密的风险。所有涉密文档要使用专用的办公电脑,并防止个人移动存储载体接入办公电脑。对内部资料、秘密级文档可用连接内网的办公电脑进行处理,但最好不要在联网后处理信息;对于机密级文档,要使用没有联网的办公电脑拟制;对绝密级文档则必须使用专机,并指定专人负责,单位负责人亲自监管。涉密文档拟制完毕后必须存入经过注册的移动存储载体,其中绝密级文档要存储在专用的载体中,电脑中文档要用专业的删除软件进行彻底删除,防止用恢复软件重获涉密信息。
2.在涉密文档传输环节,目前文档的传输主要分为人工、邮寄和通信网络三种方式。在采取人工传输涉密文档时,首先要按照规定办理携带涉密资料外出审批手续,需要乘坐汽车时,尽量派单位车辆保障;携带绝密级文档乘坐火车时,要两人以上并乘坐软卧包厢;携带涉密文档长途出差时最好乘飞机,以减少涉密文档暴露在外的时间。涉密文档邮寄不得使用快递、平邮及ESM,必须通过机要邮件,机要邮件是一套有安全保障的专用系统,虽然速度慢,但信息安全不会出现问题。使用通信网络传输时,对于传真涉密文档,不得使用办公室自行安装的传真机,只能使用保密通信部门的传真;需要传输涉密电子文档时,内部资料可使用人民银行内联网,秘密级以上信息必须使用加装有保密卡的专用网。
3.在涉密文档办理环节,要根据文档的密级,指定专人进行全程办理,确保文档不失管失控,特别是要控制好文档复制关,需要复制的文档必须按照权限履行审批手续,复制件按照原件密级进行管理。
4.在涉密文档归档环节,根据文档办理情况,确定文档的留存时间及留存方式,指定专人统一对文档进行管理,绝密级文档交单位保密室管理,其他涉密文档入本业务部门保险柜(机密级)或铁皮柜(秘密级以下)存放,建立起详细的收、发文和借阅登记,以备查。
5.在涉密文档销毁环节,必须按照集中销毁的原则,需要销毁的涉密文档载体上交到单位综合部门,由单位保密委组织集中销毁。其中涉密纸质文档送到经市级以保密委认证的造纸厂进行化浆处理,保密部门工作人员必须全程进行监控;电子存储载体统一送保密委指定的销毁站进行处理。严禁任何单位及个人私自报废、处理涉密载体。
还需要强调的是涉密语音信息的传输问题,对涉密的通话不得使用民用通信网谈论涉密信息,现有的程控电话、移动电话(特别是GSM网络)系统安全性很差,很容易出现信息安全问题。
(四)规范手机使用
手机作为当前最普遍的通信工具,所统计至2013年底智能手机出货量已占全部手机出货量的80%以上,特别是随着微信、定位、网购等智能手机应用程序以及4G通信系统的发展,已使智能手机成为“无所不能”的移动终端,很难有效地对手机信息安全进行控制。为了强化手机保密管理,最好采用公、私手机分开的方式,对工作人员办公手机的使用,可采取统一号段、统一型号、规范使用的方法,对办公用途的手机进行规范化管理。办公手机只能使用统一号段的号码,由保密部门协调运营商关闭上网、彩信及定位功能;必须使用通信部门确定的统一型号手机,不得选择智能手机,且不带摄像头、蓝牙、WiFi及远程激活功能,防止无意间失泄密。同时,对手机使用要规定时间和场合,例如,工作人员将手机带入会议室、保密室、监控室以及金库等重要场所,不得在需要保密的公务场合或活动中使用私人手机,特别是使用短信传送涉密信息。
(五)适度开放互联网
互联网的开放性、包容性、及时性及娱乐性使其极大地影响到人们生活的方方面面,特别90后工作人员都是在信息时代成长起来的,在进入单位工作前互联网就成了为他们生活中必不可少的依托,在互联网中学习、交往和娱乐成为他们的一种生活方式,互联网的强大功能也确实能满足他们工作之余(主要是午休)的精神和现实生活需要,有控制地放宽人民银行分支机构连接互联网的限制,也是与商业金融机构沟通的需要。对没有互联网接入要求的基层单位,可采取集中设立互联网用机的方式,在中午休息时间定时开放,满足工作人员上互联网的需求,但同时也需要加强对上网的控制,通过安装网络管理软件,监控上网时间、登录的网站;通过封闭USB端口等方式,杜绝信息失泄密的渠道,可以保留光盘刻录机,满足机关干部下载资料的需求,但要确保只能使用一次性的空白光盘。对于有互联网联网需求的部门,要实行内、外网分离,管理的重点是把人民银行内联网电脑与互联网电脑要严格分开,严禁将个人电脑带入办公场所,使用互联网电脑处理公务;严禁内联网电脑使用无线上网卡接入互联网,防止电脑、移动存储载体在内联网与互联网上混用;同时,由于个人电脑多是笔记本且自带摄像头,必须要关闭摄像头,防止人民银行机构、工作人员形象被盗用造成不良影响;上网时不得暴露人民银行工作人员的信息,不发帖、不跟帖,不得加入同学QQ群,不参加网上交友活动,与家人、朋友聊天时不得谈论单位涉密信息。
人民银行各分支机构的信息安全工作是一项基础性、长期性的工作,做好信息安全最重要的还是树立信息安全意识,遵守信息保密规定,这才是最根本的应对之策。人民银科技部门作为信息安全主管部门,工作人员更应该提升信息安全意识,确保不在工作岗位上发生信息安全问题的同时,要加大对本级、下属机构及金融机构信息安全检查,确保不出现信息安全事故。
参考文献
[1]参见:《中华人民共和国保守国家秘密法》,2010.
[2]参见:《中华人民共和国保守国家秘密法实施条例》,2014.
[3]参见:《中国人民银行信息安全管理规定》,2010.
[4]刘燕辉.“基层央行涉密载体管理存在的问题及建议”.《华南金融电脑》,2010年07期.
转载注明来源:https://www.xzbu.com/3/view-4955744.htm
