返回
人民银行科技管理审计重点的探讨

人民银行科技管理审计重点的探讨

ID:17938563

大小:27.50 KB

页数:6页

时间:2018-09-11

人民银行科技管理审计重点的探讨 _第1页
人民银行科技管理审计重点的探讨 _第2页
人民银行科技管理审计重点的探讨 _第3页
人民银行科技管理审计重点的探讨 _第4页
人民银行科技管理审计重点的探讨 _第5页
资源描述:

《人民银行科技管理审计重点的探讨 》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、人民银行科技管理审计重点的探讨人民银行科技管理审计重点的探讨人民银行科技管理审计重点的探讨人民银行科技管理审计重点的探讨  2004年以来,人民银行总行对信息化发展战略做出重大调整,加快了数据集中与资源整合的步伐。据不完全统计,目前央行各分支行至少已建成或平稳运行着大大小小90多个计算机应用系统,其中总行统一推广系统29个,外管局使用系统12个,省内建设推广的系统10个,地市中支自行开发运行的系统若干。各个系统功能越来越多,覆盖了人民银行所有的业务,涉及各部门、各岗位,如:办公类的OA系统、电子邮件系统等;业务类的ACS系统、TCBS系统、财务管理

2、系统等;信息管理类的会计报表系统、利率报备系统等。与此同时,实现数据集中后,大部分业务系统采用B/S架构,或者服务器和主机在总行或省一级中心支行,各市中心支行下一级人行通过终端或前置机的方式使用业务系统,只需完成业务数据的原始录入,因为数据库全部在上级行,应用程序升级维护的主要工作由上级行科技部门承担,本级科技人员只需对客户端软件进行升级。简而言之,各市中心支行和县支行人民银行科技维护管理工作日趋简单。  科技管理审计的内容  根据近年来科技综合管理专项审计方案,科技管理审计主要包括内控机制建设情况,机房与设施管理,业务网管理情况,业务应用系统运行

3、维护管理情况,涉密管理情况,电子化设备采购和外包服务管理情况,应急、备份和文档管理情况等七大类。审计重点围绕设备安全、系统安全、信息安全三点。  数据集中趋势下,对科技管理审计的影响  在数据集中趋势下,原先放置于人民银行各分支行的会计ABS系统、国库TBS系统等高密级服务器将逐步取消,总行、各分行、各省会中心支行等在各自辖区推广的计算机应用系统,其服务器等重要计算机设备将放置于本级别的计算机机房内,这就造成了各市中心支行和县支行设备管理的主要内容由原先对业务系统管理、参数修改等变成了简单的系统升级维护,计算机应用系统设备的数量与种类也大幅减少,导

4、致了进行科技管理审计时,围绕设备安全的工作量大幅减少,而在系统安全及信息安全检查方面,除了常规客户端方面的基础科技安全检查,主要的安全风险更多来自于网络风险与人员管理风险,其中网络风险的检查由于在数据集中趋势下,人民银行业务处理、报表统计、系统升级等都通过网络从上级行或总行的服务器中进行交换,如果出现信息漏洞被人利用,很容易导致大范围乃至全国人行系统故障或数据泄漏,造成的影响可能会波及全国各个层面。由此可见,人民银行科技管理对网络的要求愈来愈高,因而审计重点也应向保障网络安全正常运行方面倾斜。  针对常见的网络风险,人民银行采取了大量有效措施,如互

5、联网、办公网、业务网的物理隔离等,大大提高了网络安全,但网络风险仍然存在,并且随着信息技术的不断发展,风险愈加剧烈。  网络风险不断增大  在数据集中的情况下,受实际网络条件限制,各业务系统之间的网络未达到物理隔离。而网络安全是相互依赖的,每个计算机应用系统遭受攻击的可能性取决于连接到同一网络上其他系统的安全状态。故在数据集中的情况下,人民银行科技管理中,对网络安全的需求愈来愈高。  发现安全漏洞越来越快  在互联网上,相关的统计信息新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞。尤其值得注意的是,人民银行的诸多重大业务系统

6、,都是基于Unix平台开发的,尽管相对于Windows系统而言,Unix平台的系统安全性更高,但并不等于不存在漏洞。2014年4月与9月就先后发现了Heartbleed漏洞与Bash漏洞两个影响基于Unix平台的操作系统的重大漏洞,尤其是后者,其严重性达到了10级,意味着它的影响在各类漏洞中处于最高级别,而它的破解难度却很低,只需要借助相对简单的方式即可发起攻击。  获取涉密信息的技术不断增多  随着技术的不断发展,以往认为不可能突破的物理隔离这一安全手段将逐渐变得可能,甚至变得更加容易。根据信息安全方面的报道,目前可突破计算机物理隔离的方法有很多

7、,如可通过捕捉计算机CPU加解密时的高频声音“听译”密钥、通过声卡获得数据、通过触碰电脑测量释放到皮肤上的电势获取计算机秘钥、通过一体式打印机拷贝关键数据等。而最近发现的,利用电脑或服务器硬件发出的电磁波窃取信息的方式更让人吃惊,这意味着即使电脑完全不联网也会遭到黑客的袭击,甚至安全人员还开发出了Android手机应用AirHopper,可以隔空获取未联网电脑的键盘输入、网卡、存储卡等通讯信息,这使得结合这种新式“物理攻击”的APT攻击更加难以防范。同时也意味着任何一位Android手机用户都有可能不知不觉变成被操控的“超级黑客”。由上述系统新漏洞

8、的发现和窃取信息新手段可以看出,网络风险的发展呈现出漏洞利用难度简单化,信息获取手段隐秘化,窃取设备要求平民化的趋势。  

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。