经过多年的信息化建设,基层央行已经建设形成了一套包含入侵检测、P方病毒、补丁分发、WindowsXP防护、U盘管控等较完善的信息安全管控体系。在抵御外界入侵,防范病毒传播,修复操作系统漏洞等方面发挥了积极的作用,也为人民银行各类业务系统的安全稳定运行提供了可靠的技术保障。但由于多数系统使用已达5年以上,随着应用系统的升级和客户端数量的不断增加,多数安全类系统超负荷运转。本文针对安全类系统的运维管理现状,分析存在的问题,同时提出基层央行信息安全类系统建设的相关建议。
一.基层央行信息安全管理的现状
基层央行一贯重视信息安全管理工作,在科技部门设立了信息安全管理岗,同时在各部门还配备了计算机安全员。一般采取的是技术防护与安全管理制度建设相结合的信息安全管理方案。
在安全管理类系统建设方面,为防范外界入侵,搭建了入侵检测引擎和管理系统;为防止内部计算机非正常连接互联网,建立了非法外联系统;为查杀病毒、有效预防病毒的传播,建立了防病毒系统;为修补计算机漏洞,建立了补丁分发系统;为禁止工作人员在办公计算机上外接移动存储介质,安装了U盘管控系统;为应对微软停止对WindowsXP的技术支持,保证用户可以继续安全无忧地正常使用WindowsXP系统,建设了盾甲防护系统。同时,根据各个安全管理系统的特点制定了相应的管理制度,具体要求系统巡检的时间、次数、内容,建立了高级报警事件的响应机制,明确了非正常连接互联网、外接U盘的处理办法。规定将安全类系统作为配发个人计算机必须安装的基础类软件,并采取一定的技术措施防止用户卸载,通过不定期自查、抽查等方式对个人计算机安装安全类软件的情况进行检查。基层央行建立了一个技防与人防相结合的安全体系,信息安全工作也确实取得了一定的成效。
二.信息安全类系统运维管理存在的问题
(-)思想认识不到位,运维管理制度落实情况不理想
安全类系统为非实时系统,即使出现一些软硬件问题也不会影响业务运转,导致部分系统管理员对于安全类系统的重要性认识不足。在发生个人计算机安装安全类系统不成功、或者升级失畋等情况时,管理员常置之不理,或者在安全类系统影响业务系统时,直接采取卸载安全类系统的方式,没有深入研究其与业务系统相冲突的原因,更谈不上采取措施解决问题。
目前基层央行的安全类系统仍需要登录管理界面才能査看报警情况。因为高级报警事件的出现比较随机,这使部分系统管理员产生了浇幸心理,未按照管理办法,严格执行巡检制度。往往是想起来了,才登录系统查看,致使一些髙级报警事件发生几天甚至一两周后才被发现,造成事件影响范围扩大。
(二)半数安全类系统服务时间已超过5年,服务器故障率升高
安全类系统半数以上是2009年左右上线或升级换版的。根据统计,目前在用的6个安全类系统,除1个新上线的部署在虚拟机上,其余均部署在x86服务器上。随着应用系统的升级和客户端数量的不断增加,出现了两方面的问题:一是应用系统升级后,系统资源的使用率升高,主要表现是内存紧张,个別系统内存的使用率已达到了95%以上;二是硬件故障频发,而且由于安全类系统普遍采用数据本机备份方案,若不能及时将数据从服务器备份出来,将无法恢复系统。
(三)安全类系统功能单一,运维成本较高
基层央行部署了6个安全类系统来实现入侵检测、防病毒、补丁分发、WindowsXP防护、非法联盘管控等功能。也就是说每个应用系统只能在一个方面发挥作用,功能相对单一。这样就造成了3方面的后果:一是终端计算机需要安装多个客户端软件来确保信息安全,系统资源消耗较大;二是管理员需要维护多个应用系统,难免有顾此失彼的情况,运维成本也相应提高;三是每个应用系统都有自身的特点,最直观的表现是对终端计算机信息统计的不一致,导致管理难度加大。
(四)个人计算机技术发展迅速,倒逼安全类应用系统升级
近些年来,一些计算机软件公司为加速产品的更新换代、推广新版软件系统,采取了终止技术支持服务等措施,迫使个人计算机操作系统版本不断升级。目前,基层央行新配发的计算机操作系统已从32位升至64位,个别安全类系统出现了无法支持新版个人计算机操作系统的情况,形成了倒逼安全类应用系统升级的态势,致使基层央行科技人员的运维工作非常被动。
三、对基层央行信息安全类系统建设工作的建议
(一)统筹兼顾,建立信息安全一体化系统随着计算机软硬件技术的不断发展,安全类系统
的功能也逐渐强大。市场上已经出现了一些具有多种功能,如杀毒、U盘管控、补丁分发等相结合的成熟的安全产品。因此,可以在全面分析基层央行信息安全管理需求的基础上,考虑将现有各系统的功能进行整合,建立终端一体化管理系统。该一体化管理系统不仅要能实现防病毒、补丁分发、非法外联、U盘管控等安全技术需求,还要能管理终端设备的软硬件信息,做到资产管理与安全技术管理的一体化。
(二)加强管理,提高安全类系统运维效率首先,根据信息安全管理的需求,制定基层央行
安全类系统巡检制度。与业务系统不同,安全类系统的巡检不仅包括对系统软硬件的检查,还包含对报警事件响应机制的建立。基层央行应根据报警事件的级别、影响程度和范围,制定行之有效的响应方案,充Practice丨运维管理分发挥安全类系统在预警方面的作用。其次,基层央行还需根据安全类系统升级频率、客户端信息变化情况,制定数据备份方案。特别是针对一些重要的文件,如系统授权文件、数据库文件等,明确备份的位置、频率等,避免出现硬盘故障时,系统无法恢复的情况。
(三)重视培训,提升科技人员的业务素质信息安全技术涵盖了操作系统、数据库、计算机通信与网络技术、网络安全工程、防火墙技术、应用密码技术、信息安全法律法规等多个学科领域,这就要求从事信息安全管理的科技人员具备较高的技术水平和先进的管理理念。尤其是信息技术发展速度快、变化大,更需要基层央行科技人员不断更新知识,提高技能。加强培训是保证科技人员与时俱进的重要手段,可以从两方面着手:一方面’努力提高科技人员对信息安全工作的重视程度;另一方面,注重提高科技人员运用计算机相关知识技能和处理信息安全事件的能力。争取在3-5年的时间内,在基层央行培养一批思想过硬,技术能力强的信息安全管理人员,为央行履职保驾护航。