【正文】 觸不良、設(shè)備老化、電腦超期服役、損壞性的使用計(jì)算機(jī)去做非法業(yè)務(wù)性活動(dòng)，人為減少計(jì)算機(jī)運(yùn)行壽命等由計(jì)算機(jī)本身及相關(guān)設(shè)備、部件或元件帶來(lái)的風(fēng)險(xiǎn)。 軟件風(fēng)險(xiǎn)是指由于各種程序開發(fā)、使用過(guò)程中包含的潛在錯(cuò)誤導(dǎo)致系統(tǒng)不能正常工作而帶來(lái)的風(fēng)險(xiǎn)。（ 3）自然消失風(fēng)險(xiǎn)。對(duì)運(yùn)行主要業(yè)務(wù)系統(tǒng)的服 第 6 頁(yè) 共 24 頁(yè) 務(wù)器及網(wǎng)絡(luò)設(shè)備要做到雙機(jī)備份，雙機(jī)備份要求主機(jī)型號(hào)必須相同，每套系統(tǒng)控制外設(shè)的能力要一致，通信控制設(shè)備最好能通過(guò)電子開關(guān)實(shí)現(xiàn)自動(dòng)切換，以減少系統(tǒng)中斷運(yùn)行時(shí)間；數(shù)據(jù) 傳輸、保存過(guò)程中對(duì)涉及機(jī)密的數(shù)據(jù)信息首先要加密，然后再傳輸、存儲(chǔ)；對(duì)數(shù)據(jù)庫(kù)本身的安全脆弱問(wèn)題，更要作相應(yīng)處理，對(duì)數(shù)據(jù)要進(jìn)行多重備份、異地異處存放，以便發(fā)生類似意外掉電這類不可預(yù)見性故障時(shí)能提供快速恢復(fù)手段，以保證數(shù)據(jù)信息的完整性。 （ 2）支行每年會(huì)抽取一定的網(wǎng)點(diǎn)人員進(jìn)行培訓(xùn)和演練，并書寫心得和體會(huì)，確保網(wǎng)點(diǎn)人員能夠正確的應(yīng)對(duì)突發(fā)狀況。 科技部 第 9 頁(yè) 共 24 頁(yè) 第四篇：銀行、信 用社科技信息風(fēng)險(xiǎn)自查報(bào)告 xx 農(nóng)村信用合作聯(lián)社科技信息部風(fēng)險(xiǎn)自 查報(bào)告 一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn) 來(lái)自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。 為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求，對(duì)日常計(jì)算機(jī)信息管理中存在的問(wèn)題經(jīng)行重點(diǎn)監(jiān)督和整改： 嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無(wú)法隔離的要隨時(shí)升級(jí)殺毒程序，同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。其次， 全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實(shí)時(shí)監(jiān)管，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行整改，消除風(fēng)險(xiǎn)隱患。信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組負(fù)責(zé)組織制定全轄?wèi)?yīng)急處置的實(shí)施細(xì)則，統(tǒng)一組織、協(xié)調(diào)、指導(dǎo)、檢查全轄?wèi)?yīng)急處置的管理；負(fù)責(zé)全轄信息系統(tǒng)突發(fā)事件的應(yīng)急指揮、組織協(xié)調(diào)和過(guò)程控制 （ 2）我行成立了科技管理部和科技開 發(fā)部，做到科技運(yùn)維和科技開發(fā)有效分離，加強(qiáng)了信息科技治理。重要系統(tǒng)均配備 a/b 角，a/b 角定期輪換。 （ 7）機(jī)房技術(shù)文檔完備、有效。 （ 2）外網(wǎng)的安全管理情況； 第 17 頁(yè) 共 24 頁(yè) 辦公網(wǎng)網(wǎng)絡(luò)安全建設(shè)：天融信防火墻安全防護(hù)建設(shè)：在 **農(nóng)商行辦公網(wǎng) inter 出口部署兩臺(tái)天融信防火墻提供了強(qiáng)大的網(wǎng)絡(luò)應(yīng)用控制功能。根據(jù)業(yè)務(wù)系統(tǒng)的特點(diǎn)選擇對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行 傳輸加密；對(duì)于網(wǎng)絡(luò)設(shè)備認(rèn)證過(guò)程中敏感的信息進(jìn)行加密。核心網(wǎng)絡(luò)設(shè)備，核心生產(chǎn)系統(tǒng)設(shè)備均采用雙機(jī)熱備，同城設(shè)有災(zāi)備機(jī)房，確保關(guān)鍵生產(chǎn)設(shè)備運(yùn)行的可靠性 ，無(wú)網(wǎng)絡(luò)擁塞現(xiàn)象。制定了變更管理的主要準(zhǔn)則和規(guī)章制度， 第 20 頁(yè) 共 24 頁(yè) 變更管理的審批授權(quán)機(jī)制和工作流程；對(duì)變更管理進(jìn)行登記、備案和存檔，制定了非計(jì)劃性緊急變更的實(shí)施方案、備份和恢復(fù)。 （ 3）不定期對(duì)數(shù)據(jù)進(jìn)行抽檢，與業(yè)務(wù)所在日期數(shù)據(jù)進(jìn)行比對(duì)核實(shí)。 每天有人員 24 小時(shí)值班，檢查系統(tǒng)及網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)發(fā)現(xiàn)問(wèn)題，監(jiān)測(cè)預(yù)警專人負(fù)責(zé)，按照警報(bào)級(jí)別逐級(jí)上報(bào)，確保故障的及時(shí)排除。采用基于角色的授權(quán)機(jī)制，按照內(nèi)部的組織結(jié)構(gòu)劃分角色，并為用戶綁定角色。從而有效地防范科技風(fēng)險(xiǎn)。平臺(tái)依靠記錄追蹤用戶和管理人員的訪問(wèn)過(guò)程，建立一套全面的、有效的回溯和追查機(jī)制。 第 23 頁(yè) 共 24 頁(yè) 有監(jiān)測(cè)預(yù)警文檔說(shuō)明，但不夠完善。 （ 1）敏感數(shù)據(jù)的傳輸和存儲(chǔ)加密： 敏感數(shù)據(jù)傳輸實(shí)行加密管理，存儲(chǔ)的一些敏感數(shù)據(jù)實(shí)行加密亂碼顯示。 及時(shí)關(guān)注系統(tǒng)安全漏洞最新情況，及時(shí)對(duì)新發(fā)現(xiàn)的安全漏洞打上相關(guān)的安全補(bǔ)丁。 我行根據(jù)文件要求，對(duì)關(guān)鍵服務(wù)器、存儲(chǔ)器運(yùn)行的可靠性，生產(chǎn)系統(tǒng)資源冗余度等進(jìn)行了全面自查，情況如下： 第 19 頁(yè) 共 24 頁(yè) 經(jīng)自查，關(guān)鍵生產(chǎn)設(shè)備均采用雙電源，服務(wù)器有 ups 電源支持，且有 raid 保護(hù)。 （ 4）防火墻的設(shè)置、維護(hù)和管理情況； 在網(wǎng)銀系統(tǒng)設(shè)置兩層物理防火墻，將網(wǎng)絡(luò)分為三個(gè)邏輯區(qū)域，及非授信區(qū)、?；饏^(qū)及安全區(qū)。還提供了定制功能，可以對(duì)用戶所關(guān)心的網(wǎng)絡(luò)應(yīng)用進(jìn)行全面控制。 我行根據(jù)文件要求，對(duì)重要網(wǎng)絡(luò)設(shè)施（包括網(wǎng)絡(luò)傳輸線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備）進(jìn)行了詳細(xì)的自查，情況如下： （ 1）內(nèi)網(wǎng)的安全管理情況； 內(nèi)網(wǎng)網(wǎng)絡(luò)安全管理：外聯(lián)單位互聯(lián)安全保護(hù)措施：通過(guò)兩臺(tái)pix525 防火墻連接外聯(lián)單位，兩臺(tái)防火墻通過(guò) failover 形成熱備，在防火墻上配置安全策略，嚴(yán)格控制進(jìn)出生產(chǎn)網(wǎng)的數(shù)據(jù)。 二、信息系統(tǒng)的技術(shù)措施情況 （ 1）機(jī)房的 物理訪問(wèn)控制。 （ 4）在支行層面則設(shè)立合規(guī)員，負(fù)責(zé)各支行科技信息相關(guān)風(fēng)險(xiǎn)監(jiān)控和報(bào)告 （ 1）安全管理 對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度，制定了由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理總則《江蘇 **農(nóng)村商業(yè)銀行計(jì)算機(jī)信息系統(tǒng)安全管理制度》，安全管理制度經(jīng)信息安全領(lǐng)導(dǎo)小組審定，審定周期 為一年一次，并且及時(shí)發(fā)現(xiàn)缺漏或不足對(duì)制度進(jìn)行修訂，并有修訂記錄 （ 2）事件管理 制訂了安全事件報(bào)告和處置管理制度 —— 《信息安全事件管 第 14 頁(yè) 共 24 頁(yè) 理制度》明確安全事件類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)，并根據(jù)國(guó)家相關(guān)管理部門對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)安全事件進(jìn)行等級(jí)劃分，制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置方法等，并對(duì)發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件有《異常情況上