【正文】 Et:系統(tǒng)暴露的時(shí)間，表示系統(tǒng)的不安全時(shí)間。表示需要從系統(tǒng)的本身的漏洞和是否受到攻 擊兩個(gè)方面進(jìn)行監(jiān)測(cè)。在金融業(yè)的網(wǎng) 絡(luò)系統(tǒng)內(nèi)，是不可能絕對(duì)阻止攻擊者的入侵，我們真正需要做到的是延遲攻擊者 侵入系統(tǒng)的時(shí)間，這個(gè)時(shí)間被延遲的越長(zhǎng)越好。這就是基于時(shí)間的 PDR安全模型，即把防護(hù)、監(jiān)測(cè)和反應(yīng)放在 一起，從而構(gòu)成的安全體系。 (3) 業(yè)務(wù)系統(tǒng)運(yùn)行 主要用來(lái)監(jiān)控前臺(tái)柜面業(yè)務(wù)系統(tǒng)的運(yùn)行情況，根據(jù)業(yè)務(wù)統(tǒng)計(jì)指標(biāo)的異常數(shù)據(jù) 產(chǎn)生報(bào)警。 (2) 系統(tǒng)實(shí)體運(yùn)行 主要對(duì)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)等服務(wù)實(shí)體的異常情況進(jìn)行報(bào)警。監(jiān)控系統(tǒng)和預(yù)警系統(tǒng)應(yīng) 建立在三層次上： (1) 網(wǎng)絡(luò)和信息傳輸 這一層面主要是用來(lái)監(jiān)控網(wǎng)絡(luò)信息傳輸時(shí)的完整性、可靠性和穩(wěn)定性，并對(duì) 不可信的傳輸、可能的攻擊等情況產(chǎn)生報(bào)警。我們建立統(tǒng)一的安全運(yùn)行監(jiān)控系統(tǒng)和預(yù)警系統(tǒng)，一定要立足于 甘肅省農(nóng)村信用社的現(xiàn)有的系統(tǒng)構(gòu)成、現(xiàn)行的業(yè)務(wù)情況和實(shí)際運(yùn)作的特點(diǎn)。 安全監(jiān)控和 PDR模型 安全監(jiān)控的原則是安全第一，預(yù)防為主。只要定期對(duì) 系統(tǒng)進(jìn)行安全檢測(cè)和分析，并且及時(shí)發(fā)現(xiàn)和修正漏洞，才能最大限度地保證系統(tǒng) 的安全性。檢測(cè)和發(fā)現(xiàn)是為了及時(shí)做出反應(yīng)，并且盡快修復(fù)漏洞和避免損失。 信息安全的檢測(cè)，網(wǎng)絡(luò)攻擊與犯罪行為的防護(hù) 安全防護(hù)、安全檢測(cè)、安全事件反應(yīng)是信息系統(tǒng)安全的幾個(gè)主要環(huán)節(jié)。在具備了安全標(biāo)準(zhǔn)和安全評(píng)估人員的基礎(chǔ) 上，我們還應(yīng)該對(duì)現(xiàn)有系統(tǒng)和新建設(shè)的系統(tǒng)，開(kāi)展有效的評(píng)估活動(dòng)，這種評(píng)估活 動(dòng)，一方面可以評(píng)估現(xiàn)有系統(tǒng)或新建系統(tǒng)的安全成熟度，并及時(shí)發(fā)現(xiàn)安全漏洞。這些專業(yè)評(píng)估人員包括：高 級(jí)系統(tǒng)分析員、高級(jí)軟件技術(shù)專家、審計(jì)專家、法律專家、實(shí)體其環(huán)境保護(hù)專家、 高級(jí)通訊技術(shù)專家、高級(jí)硬件技術(shù)專家、保衛(wèi)專家和人事管理專家等。 我省農(nóng)村信用社在評(píng)估檢測(cè)方面一直處于空白狀態(tài)，亟待完善。自中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心 1999年 2月 9日掛牌運(yùn)行以來(lái)。并通過(guò)評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性，被威 脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，根據(jù)安全事件發(fā)生的可能性、負(fù)面影響的嚴(yán) 重程度等來(lái)判別信息系統(tǒng)的安全風(fēng)險(xiǎn)。目前我省農(nóng)村信用社還沒(méi)有 建立系統(tǒng)安全評(píng)估與檢測(cè)體系，存在著極大地風(fēng)險(xiǎn)隱患。 (三）建立網(wǎng)絡(luò)信息安全評(píng)估與檢測(cè)體系 由于計(jì)算機(jī)系統(tǒng)的安全是一個(gè)相對(duì)、動(dòng)態(tài)的狀態(tài)，定期進(jìn)行安全評(píng)估對(duì)于甘 肅省農(nóng)村信用社應(yīng)用的大型計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是十分重要的。因此，無(wú)論在制度政策方面還是現(xiàn)實(shí)環(huán)境方面，盡 快建設(shè)全省綜合業(yè)務(wù)災(zāi)備中心勢(shì)在必行。中心機(jī)房一旦發(fā)生災(zāi)難性的事故，將會(huì)給全 省農(nóng)村信用社的業(yè)務(wù)、聲譽(yù)帶來(lái)重 大損失。因此，建立有效的監(jiān)控和審計(jì)管理制度是當(dāng)務(wù)之急。因此，各個(gè)系統(tǒng)的運(yùn) 行維護(hù)人員應(yīng)該仔細(xì)分析收集到的各類事件的審計(jì)記錄，對(duì)可疑用戶進(jìn)行監(jiān)控和 跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞行為進(jìn)行有效的 控制。我們可以通 過(guò)審計(jì)過(guò)程中的記錄，確定事件發(fā)生的日期和時(shí)間、事件的主體和客體、類型和 結(jié)果等等，以此判斷是否有違反安全的事件，并且，這些記錄也成為事故處理的 重要依據(jù)。審計(jì)從管理角 度來(lái)看：是對(duì)計(jì)算機(jī) 相關(guān)人員和與計(jì)算機(jī)相關(guān)行為的記錄和審査。 建立有效地監(jiān)控和審計(jì)管理制度 監(jiān)控和審計(jì)制度是保證安全管理體系建設(shè)并得以實(shí)現(xiàn)的重要手段。并建立監(jiān)督機(jī)制， 定期或不定期對(duì)各縣（區(qū)、市）農(nóng)村信用合作聯(lián)社，農(nóng)村合作銀行及基層網(wǎng)點(diǎn)的 計(jì)算機(jī)安全工作進(jìn)行抽查，以檢查制度的貫徹落實(shí)情況，加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng) 的內(nèi)控審計(jì)。 我省農(nóng)村信用社目前雖已建立了部分計(jì)算機(jī)系統(tǒng)安全管理的制度辦法，但 是 還沒(méi)有形成完整全面的制度體系。 今年以來(lái)，甘肅省農(nóng)村信用社結(jié)合實(shí)際，在 總結(jié)過(guò)去內(nèi)控管理工作得失與經(jīng) 驗(yàn)的基礎(chǔ)上，依照《商業(yè)銀行內(nèi)部控制指引》和《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指 引》，相繼完善了各項(xiàng)規(guī)章制度，出臺(tái)了《甘肅省農(nóng)村信用社科技信息系統(tǒng)運(yùn)行 管理辦法》、《甘肅省農(nóng)村信用社重要信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法》、《甘肅省 農(nóng)村信用社新會(huì)計(jì)準(zhǔn)則改造項(xiàng)目管理規(guī)范》、《甘肅省信用社新會(huì)計(jì)準(zhǔn)則改造項(xiàng)目 協(xié)同控制計(jì)劃表》、《甘肅省農(nóng)村信用社計(jì)算機(jī)系統(tǒng)用戶口令（密碼）安全管理規(guī) 定》、《重新省聯(lián)社中心機(jī)房值班管理規(guī)程》、《值班交接班登記簿》、《日終操作登 記簿》《機(jī)房環(huán)境變更登 記簿》、《數(shù)據(jù)維護(hù)登記簿》、《甘肅省農(nóng)村信用社核心及 外圍系統(tǒng)維護(hù)計(jì)劃》、《甘肅省農(nóng)村信用社項(xiàng)目管理辦法》，《甘肅省農(nóng)村信用社系 統(tǒng)上線（軟件變更）管理規(guī)程》等各類管理辦法、規(guī)定及日志登記簿。因此，我們需要從信息化建設(shè)的全局入手，將管理手段和技 術(shù)手段相互結(jié)合，不斷優(yōu)化信息資源配置，并在此過(guò)程中消除隱患、堵塞漏洞， 達(dá)到標(biāo)本兼治的目的。 優(yōu)化配置和整合信息資源，達(dá)到管理和技術(shù)并進(jìn)的目的 由于技術(shù)人員的水平差異，不同系統(tǒng)的設(shè)備和產(chǎn)品不同，我省農(nóng)村信用社各 縣（區(qū)、市）農(nóng)村信用聯(lián)社、農(nóng)村合作銀行、基層網(wǎng)點(diǎn)的科技信息管理水平不同， 這種不均衡和不規(guī)范，極大地限制了信息化建設(shè)的推進(jìn)和開(kāi)展。另外，還要加強(qiáng)對(duì) 技術(shù)人員的專業(yè)知識(shí)培訓(xùn)，努力打造我省農(nóng)村信用社自己的專業(yè)技術(shù)人員的團(tuán) 隊(duì)。同時(shí)，由 于沒(méi)有長(zhǎng)效建立運(yùn)行維護(hù)人員的定期培訓(xùn)機(jī)制， 只注重和關(guān)注短期效應(yīng)，只解決當(dāng)前出現(xiàn)的問(wèn)題 ,對(duì)問(wèn)題的解決沒(méi)有長(zhǎng)遠(yuǎn)的規(guī)劃， 這是很大的弊端所在。我省農(nóng)村 信用社各應(yīng)用系統(tǒng)的變更雖然都由專人負(fù)責(zé)，但是缺乏專業(yè)型人才。大量管理經(jīng)驗(yàn)顯 示：大部分的系統(tǒng)宕機(jī)是由各類變更所導(dǎo)致，變更前準(zhǔn)備不充分，變更中的操作 失誤，變更后有效性驗(yàn)證缺失等等，都是導(dǎo)致系統(tǒng)宕機(jī)的主要原因。規(guī)定系統(tǒng)安全 管理人員定期對(duì)在線運(yùn)行系統(tǒng)，尤其是重要業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估和分析，有效 防護(hù)發(fā)現(xiàn)的風(fēng)險(xiǎn)，做好查漏補(bǔ)缺工作。 同吋將生產(chǎn)系統(tǒng)的安全管理作為各項(xiàng)工作的重中之重，建立了雙機(jī)熱備機(jī)制，要 求冷備介質(zhì)異地保存，災(zāi)備中心同步更新維護(hù)等制度進(jìn)一步保障了業(yè)務(wù)運(yùn)行環(huán)境 的安全。我省農(nóng)村信用社已針對(duì)各類重要信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、電源供 電等組織制訂相配套的應(yīng)急預(yù)案，預(yù)案中對(duì)可能發(fā)生的故障和場(chǎng)景進(jìn)行分析，并 針對(duì)各類突發(fā)故障形成相對(duì)應(yīng)的應(yīng)急手段和措施。 積極防御，建立應(yīng)急機(jī)制，及時(shí)制止并能控制風(fēng)險(xiǎn)事件帶來(lái)的損失 信息安全風(fēng)險(xiǎn)管理工作的最終目標(biāo)是：事前積極防御、事中 有效遏制事情的 進(jìn)一步惡化、事后減少損失，并盡快恢復(fù)營(yíng)業(yè)。一定要從主管領(lǐng)導(dǎo)做起，領(lǐng)導(dǎo)一 定要親力親為，統(tǒng)籌指揮和協(xié)調(diào)，建立起專職的信息安全風(fēng)險(xiǎn)管理部門，也可以 在科技信息部下面設(shè)立專職的信息安全風(fēng)險(xiǎn)管理小組，形成所有部門（尤其是業(yè) 務(wù)部門）共同參與、協(xié)調(diào)開(kāi)展的工作機(jī)制。并且，也沒(méi)有信息安全風(fēng)險(xiǎn)管理方面的專業(yè)人才。 四、甘肅省農(nóng)村信用社網(wǎng)絡(luò)信息安全管理策略 (一）樹(shù)立信息安全風(fēng)險(xiǎn)觀念 全面統(tǒng)籌安排，建立專職的信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì) 信息安全風(fēng)險(xiǎn)管理工作，如果依靠企業(yè)內(nèi)部一個(gè)部門的單獨(dú)推動(dòng)，是無(wú)法有 效開(kāi)展的，信息安全風(fēng)險(xiǎn)事關(guān)全局。 關(guān)鍵業(yè)務(wù)傳輸質(zhì)量無(wú)法保障 對(duì)于當(dāng)前我省農(nóng)村信用社來(lái)說(shuō)，作為關(guān)鍵業(yè)務(wù)的金融數(shù)據(jù)業(yè)務(wù)系統(tǒng)獨(dú)占線路 帶寬和路由器處 理性能，就目前而言不會(huì)產(chǎn)生關(guān)鍵業(yè)務(wù)傳輸質(zhì)量瓶頸，但隨著今 后其它業(yè)務(wù)系統(tǒng)，比如監(jiān)控系統(tǒng)、 OA辦公自動(dòng)化系統(tǒng)、語(yǔ)音和視頻系統(tǒng)等的應(yīng) 用后，如何在現(xiàn)有網(wǎng)絡(luò)條件下權(quán)衡這幾類業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸質(zhì)量，哪種業(yè)務(wù)系統(tǒng) 數(shù)據(jù)優(yōu)先傳輸，哪種業(yè)務(wù)系統(tǒng)數(shù)據(jù)可以延后再傳，所以如何保障關(guān)鍵業(yè)務(wù)的傳輸 質(zhì)量尤為重要，而目前網(wǎng)點(diǎn)交換機(jī)沒(méi)有此類功能。 不能區(qū)分不同業(yè)務(wù)系統(tǒng) 我省農(nóng)村信用社目前 的綜合業(yè)務(wù)網(wǎng)里只有金融數(shù)據(jù)業(yè)務(wù)在運(yùn)行，還不存在此 問(wèn)題，但當(dāng)所有應(yīng)用系統(tǒng)全部上線后，對(duì)不同業(yè)務(wù)系統(tǒng)的隔離就非常重要了，對(duì) 不對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行隔離，將會(huì)有效地阻止不同系統(tǒng)之間的相互干擾，所有的營(yíng)業(yè) 網(wǎng)點(diǎn)終端都處于一個(gè)廣播域內(nèi)，一臺(tái)終端的某些數(shù)據(jù)報(bào)文會(huì)被其它非本業(yè)務(wù)系統(tǒng) 終端獲知，網(wǎng)點(diǎn)局域網(wǎng)將會(huì)