廓清农信社信息科技安全管理的内涵和外延

    农村信用社信息科技网络越来越发达，信息科技内涵越来越丰富，加强信息科技安全管理迫在眉睫。廓清信息科技安全管理的内涵和外延，从而厘清边界、把握重点，是加强信息科技安全管理的前提。笔者通过学习国家信息科技安全管理相关法律法规和省联社信息科技安全管理有关规定，结合湘西州农村信用社网络中心工作实践，就进一步廓清农信社信息科技安全管理的内涵和外延提出自己的建议。

    一、廓清内涵：厘清科技信息安全管理的边界

    农信社信息科技安全管理要实现对科技系统、信息数据和涉及人群的“三覆盖”。

    首先，要覆盖整个科技系统。农村信用社信息科技系统是指由计算机及相关配套的设备、设施构成的，按照一定的应用目标和规则对信息科技数据进行采集、加工、存储、传输和查询等的处理系统。同时包括全省农村信用社各类应用系统，与各级政府、人民银行、银监局建立的公文传输系统，财税横向系统等与信用社系统外部联网的计算机系统。还包括存放信息数据的纸质、磁介质、半导体介质等各类介质。

    其次，要覆盖各类信息数据。一是计算机信息系统自身的配置信息。包括操作系统、数据库、中间件等系统软件的管理用户口令；应用软件管理用户口令；交换机、路由器、防火墙、防病毒服务器、认证服务器、补丁服务器等核心网络设备用户口令、网站管理用户口令；应用系统的密钥和加密算法；防火墙的访问规则，防火墙地址映射规则、防火墙端口开放规则，内部网络IP规划方案，内部网络IP地址信息，内部网络实施方案，内部网络拓扑结构；主机操作系统、数据库及核心设备的配置信息；软件源程序、执行程序及开发过程中形成的重要文档；其它重要的计算机信息系统数据和信息。二是经营管理过程中产生的数据信息。包括农信社在经营管理过程中所采集、加工、存储、传输和查询的各类客户数据、业务数据和管理数据；内部制度和规范性文件。三是与相关部门交换的数据信息。四是被检查对象的经营管理数据。五是上级下发的国家秘密和行业秘密信息。六是存放于纸质、磁介质、半导体介质等各类介质中的信息科技数据。

    再次，要覆盖涉及的机构和人员。其中，机构包括各级行业管理机关，各行社董（理）事会、监事会、机关部室及辖属机构；人员包括行业管理机构工作人员，各行社外部董（理）事、外部监事、员工、劳务派遣工及其他相关工作人员。

    二、廓清外延：把握信息科技安全管理的重点

   （一）加强机房安全管理。按照《电子信息系统机房设计规范》，加强机房建设及综合布线的安全管理。要求机房必须防雷接地，安装防静电地板，有市电系统、UPS和发电机配电系统三电源保障，空调系统可控制环境温度在18℃至25℃之间，安装防静电接地系统和环境监控系统。明确机房机柜标准、综合布线要求，设备标签应当标明设备名称、所属网络、上级网络、下联网络、启用日期等信息。对已布网线要及时打标，标签应当载明所属网络、网口编号等信息。将县级行社机关部室及营业部的网络线路纳入机房的布线系统。要求营业机构在新建办公楼或新装修前做好综合布线规划，提前预埋接地设施。

   （二）加强综合业务系统安全管理。按照安全级别最高要求，加强综合业务系统的安全管理。对业务网实行严格的物理隔离，严禁以任何形式接入其他网络或与其他网络混合组网。业务网IP地址要实行统一规划，网络设备统一选型，严禁不符合标准的网络设备接入业务网。严格限制业务网接入范围，原则上只能接入营业区域（含自助银行），且按一个工位一条线路的方式接入。业务网线路接入工位应当安装视频监控设施，且按1个工位1套设施的标准配置。远程集中授权中心计算机通过业务网线路接入核心系统，按照专人、专机、专网的标准配置授权端计算机设备。严禁在业务网中以任何形式进行无线组网，严禁使用带有无线通信功能模块的计算机接入业务网络，接入业务网的计算机严禁使用无线外设。严禁未经授权的外部存储介质接入业务网络计算机。

   （三）加强各类管理网络的安全管理。加强信贷管理系统、视频监控系统、办公自动化系统、风险预警系统等管理网络的安全管理。对管理网实行严格的物理隔离，严禁以任何形式接入其他网络或与其他网络混合组网。管理网IP地址实行统一规划，设备统一选型。严禁行社自行使用不符合标准的网络设备接入管理网。接入管理网的计算机必须安装服务器位于省中心的趋势杀毒软件，并建立杀毒软件升级机制。对有权部门需要拷贝视频监控系统数据的，明确专门部门安排专人陪同，且只能通过内部授权移动存储设备拷贝后再转拷贝给相关部门，严禁用外来移动存储设备直接接入视频监控计算机拷贝数据。对接入管理网的计算机明确管理责任人，设置系统开机口令，1台计算机多人使用必须单独建立登陆账户、分别设置口令，管理责任人离开时必须关闭计算机。严禁在管理网中以任何形式进行无线组网。通过内网管理系统设置移动设备管理策略，对接入管理网的移动存储介质进行授权，任何未经授权的外部存储介质禁止接入管理网络计算机。

   （四）加强互联网接入安全管理。加强对承载网上银行体验机、手机银行WIFI、对外数据报送、网上学习和资料查询等功能的互联网计算机的安全管理。对接入互联网的计算机建立接入认证策略、安全保护策略和行为控制策略，对接入互联网的计算机、路由器统一进行MAC地址与IP地址绑定；对无线路由器设置登录密码和联网密码，设置允许访问的客户端MAC地址，禁止非授权设备连接无线路由器；内部互联网通过带防火墙功能的路由器接入国际互联网，同时启用防火墙、地址解析协议（ARP）攻击防护、入侵检测系统（IDS）防范等功能；在路由器中设置禁止访问的网站，通过绑定的MAC地址，追踪用户上网行为。对接入互联网的计算机明确管理责任人并由管理责任人设置系统开机口令。严格限制通过互联网计算机处理公务。接入互联网的计算机系统严禁存放信息科技数据，严禁安装Windows XP操作系统，必须安装病毒防护软件并建立防病毒软件升级机制。

   （五）加强信息数据安全管理。加强数据安全管理，规范数据采集行为，明确数据使用范围，严控数据传输渠道，完善数据备份机制。建立数据安全管理工作责任人制度，重要信息科技数据明确专人保管。所有接触信息科技数据的人员必须与所服务的法人机构签订保密承诺书。信息科技工程外包时，要求与外包公司及施工人员签订保密协议。严禁将信息科技数据存放于接入互联网的计算机系统，办事处与各行社、各行社之间、各行社内部的信息科技数据交换一律通过管理网平台的内部邮箱、内部通信系统（如布谷鸟企业通讯平台）进行，严禁通过互联网进行。

                           （作者单位:湘西办事处）