【正文】 觸不良、設備老化、電腦超期服役、損壞性的使用計算機去做非法業(yè)務性活動，人為減少計算機運行壽命等由計算機本身及相關設備、部件或元件帶來的風險。 軟件風險是指由于各種程序開發(fā)、使用過程中包含的潛在錯誤導致系統(tǒng)不能正常工作而帶來的風險。（ 3）自然消失風險。對運行主要業(yè)務系統(tǒng)的服 第 6 頁 共 24 頁 務器及網(wǎng)絡設備要做到雙機備份，雙機備份要求主機型號必須相同，每套系統(tǒng)控制外設的能力要一致，通信控制設備最好能通過電子開關實現(xiàn)自動切換，以減少系統(tǒng)中斷運行時間；數(shù)據(jù) 傳輸、保存過程中對涉及機密的數(shù)據(jù)信息首先要加密，然后再傳輸、存儲；對數(shù)據(jù)庫本身的安全脆弱問題，更要作相應處理，對數(shù)據(jù)要進行多重備份、異地異處存放，以便發(fā)生類似意外掉電這類不可預見性故障時能提供快速恢復手段，以保證數(shù)據(jù)信息的完整性。 （ 2）支行每年會抽取一定的網(wǎng)點人員進行培訓和演練，并書寫心得和體會，確保網(wǎng)點人員能夠正確的應對突發(fā)狀況。 科技部 第 9 頁 共 24 頁 第四篇：銀行、信 用社科技信息風險自查報告 xx 農(nóng)村信用合作聯(lián)社科技信息部風險自 查報告 一、網(wǎng)絡運行風險 來自互聯(lián)網(wǎng)和移動磁介質(zhì)上病毒的攻擊。 為此我們將嚴格按照省市聯(lián)社關于計算機管理的一系列相關要求，對日常計算機信息管理中存在的問題經(jīng)行重點監(jiān)督和整改： 嚴格業(yè)務系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質(zhì)的使用范圍、殺毒流程。其次， 全面落實以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實時監(jiān)管，及時發(fā)現(xiàn)問題，及時進行整改，消除風險隱患。信息系統(tǒng)應急處理領導小組負責組織制定全轄應急處置的實施細則，統(tǒng)一組織、協(xié)調(diào)、指導、檢查全轄應急處置的管理；負責全轄信息系統(tǒng)突發(fā)事件的應急指揮、組織協(xié)調(diào)和過程控制 （ 2）我行成立了科技管理部和科技開 發(fā)部，做到科技運維和科技開發(fā)有效分離，加強了信息科技治理。重要系統(tǒng)均配備 a/b 角，a/b 角定期輪換。 （ 7）機房技術文檔完備、有效。 （ 2）外網(wǎng)的安全管理情況； 第 17 頁 共 24 頁 辦公網(wǎng)網(wǎng)絡安全建設：天融信防火墻安全防護建設：在 **農(nóng)商行辦公網(wǎng) inter 出口部署兩臺天融信防火墻提供了強大的網(wǎng)絡應用控制功能。根據(jù)業(yè)務系統(tǒng)的特點選擇對業(yè)務數(shù)據(jù)進行 傳輸加密；對于網(wǎng)絡設備認證過程中敏感的信息進行加密。核心網(wǎng)絡設備，核心生產(chǎn)系統(tǒng)設備均采用雙機熱備，同城設有災備機房，確保關鍵生產(chǎn)設備運行的可靠性 ，無網(wǎng)絡擁塞現(xiàn)象。制定了變更管理的主要準則和規(guī)章制度， 第 20 頁 共 24 頁 變更管理的審批授權(quán)機制和工作流程；對變更管理進行登記、備案和存檔，制定了非計劃性緊急變更的實施方案、備份和恢復。 （ 3）不定期對數(shù)據(jù)進行抽檢，與業(yè)務所在日期數(shù)據(jù)進行比對核實。 每天有人員 24 小時值班，檢查系統(tǒng)及網(wǎng)絡運行狀況，及時發(fā)現(xiàn)問題，監(jiān)測預警專人負責，按照警報級別逐級上報，確保故障的及時排除。采用基于角色的授權(quán)機制，按照內(nèi)部的組織結(jié)構(gòu)劃分角色，并為用戶綁定角色。從而有效地防范科技風險。平臺依靠記錄追蹤用戶和管理人員的訪問過程，建立一套全面的、有效的回溯和追查機制。 第 23 頁 共 24 頁 有監(jiān)測預警文檔說明，但不夠完善。 （ 1）敏感數(shù)據(jù)的傳輸和存儲加密： 敏感數(shù)據(jù)傳輸實行加密管理，存儲的一些敏感數(shù)據(jù)實行加密亂碼顯示。 及時關注系統(tǒng)安全漏洞最新情況，及時對新發(fā)現(xiàn)的安全漏洞打上相關的安全補丁。 我行根據(jù)文件要求，對關鍵服務器、存儲器運行的可靠性，生產(chǎn)系統(tǒng)資源冗余度等進行了全面自查，情況如下： 第 19 頁 共 24 頁 經(jīng)自查，關鍵生產(chǎn)設備均采用雙電源，服務器有 ups 電源支持，且有 raid 保護。 （ 4）防火墻的設置、維護和管理情況； 在網(wǎng)銀系統(tǒng)設置兩層物理防火墻，將網(wǎng)絡分為三個邏輯區(qū)域，及非授信區(qū)、?；饏^(qū)及安全區(qū)。還提供了定制功能，可以對用戶所關心的網(wǎng)絡應用進行全面控制。 我行根據(jù)文件要求，對重要網(wǎng)絡設施（包括網(wǎng)絡傳輸線路、網(wǎng)絡設備、網(wǎng)絡安全設備）進行了詳細的自查，情況如下： （ 1）內(nèi)網(wǎng)的安全管理情況； 內(nèi)網(wǎng)網(wǎng)絡安全管理：外聯(lián)單位互聯(lián)安全保護措施：通過兩臺pix525 防火墻連接外聯(lián)單位，兩臺防火墻通過 failover 形成熱備，在防火墻上配置安全策略，嚴格控制進出生產(chǎn)網(wǎng)的數(shù)據(jù)。 二、信息系統(tǒng)的技術措施情況 （ 1）機房的 物理訪問控制。 （ 4）在支行層面則設立合規(guī)員，負責各支行科技信息相關風險監(jiān)控和報告 （ 1）安全管理 對安全管理活動中的各類管理內(nèi)容建立安全管理制度，制定了由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理總則《江蘇 **農(nóng)村商業(yè)銀行計算機信息系統(tǒng)安全管理制度》，安全管理制度經(jīng)信息安全領導小組審定，審定周期 為一年一次，并且及時發(fā)現(xiàn)缺漏或不足對制度進行修訂，并有修訂記錄 （ 2）事件管理 制訂了安全事件報告和處置管理制度 —— 《信息安全事件管 第 14 頁 共 24 頁 理制度》明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責，并根據(jù)國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對安全事件進行等級劃分，制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置方法等，并對發(fā)現(xiàn)的安全弱點和可疑事件有《異常情況上