外汇局分支局信息安全的思考和对策

摘要：随着外汇管理系统数据大集中以及涉外收支数据的快速增长，信息安全工作已是外汇局科技工作的重点，本文将从制度制定，网络管理、数据安全、安全检查和安全评估等方向对外汇局分支局信息安全管理进行分析。

关键词：外汇局；信息安全；数据管理；安全评估

中图分类号：TP393 文献识别码：A 文章编号：1001-828X（2015）024-000-01

随着外汇管理改革的推进，外汇业务系统已大部分实行了数据大集中的模式，同时，互联网的发展带动了外汇管理信息化建设的发展，外汇局与外部门信息的电子交互日益增多。新一届政府已将信息安全上升到国家层面的战略高度，因此信息安全是外汇局信息化建设的重要工作。随着国家外汇管理的逐步放开，外汇局数据信息的安全更加的重要。本文结合近期总局对分局的信息安全检查，针对省一级外汇局目前信息安全的现状，提出外汇局系统信息安全管理的工作和建议。

一、健全信息安全管理制度是首要任务

制度的建立是信息安全管理的重要依据，应从人员管理，数据管理，网络管理、系统授权管理、应急管理等方面给予完善。制度的制定应遵循“谁主管谁负责、谁运行谁负责”的原则，切实做到制度能被有效执行。海南省分局制定了《信息安全管理办法》等15项制度，明确信息安全工作总体目标。从内容上涵盖了分局子网站、系统授权等方面。

二、重点转好网络和客户端安全管理

抓好运维安全管理，特别是网络和客户端安全管理，提升分局防御信息安全风险的能力。为了做到“一人一IP”原则，对分局的办公网和业务网客户端没进行信息登记管理，且IP地址、MAC地址和工作区的物理端口进行绑定，防止未经授权的计算机接入办公网或业务网。实施防火墙访问控制制度，对于需要访问分局局域网上的服务器的外部网络，需要申请授权，并且仅允许外部网络的制定IP可以访问分局局域网，做到最大限度的禁止不被授权的访问。通过设置访问控制策略，海南分局允许所以IP能访问总局门户网站，仅有申请授权的访问才能访问对应的业务应用。严格按照人民银行科技部门的要求，在每个业务终端上安装防病毒软件、非法外联以及补丁分发的软件，确保业务终端抵御入侵。

三、定期开展应急演练

应急演练是检验处理信息安全重大突发事故的能力，比如海南外汇局模拟影响较大的网络主干出故障，通过主路由器断电模拟主路由器故障。对于应急演练，事前应做好应急演练方案，对网络配置进行备份，及时与通信提供商联系。应急演练应协调好含业务人员在内的全体相关人员，演练后要进行评估，对存在的不足要及时进行改正。如对数据库系统开展应急演练，应对被演练的数据库数据进行全量备份，并应对数据库系统做好备机准备，若演练失败，应能及时切换到备机工作，保证了数据信息的安全和业务的实时性。

四、数据信息安全管理

数据信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。近来来，随着涉外经济的发展，涉外收支数据快速增长，数据是外汇管理的支撑，按照国际收支申报办法，申报数据是保密，因此应从人员管理和技术管理上保证数据的安全。外汇局有多个部分均有检查和核查的职责，因此存在数据采集和使用的需要。从业务系统数据应严格按照授权的权限采集，将数据带到银行检查，必须存储在专用的不连互联网的电脑上，禁止将数据存储在互联网上使用的移动存储设备上，避免外汇管理数据的丢失。对于有些机密数据可以选择加密工具进行加密。对于存储过涉外收支数据的光盘应该用碎光盘机器予以销毁。

五、强化信息安全教育培训

信息安全管理以意识为先，因此提高全体人员的信息安全意识是至关重要的。可以通过举办信息安全培训班，通过在内部网上才一些信息安全案件的信息，提高对信息安全的敏感度。不定期地通过电子邮件向全体人员发送近期信息安全技术等内容，提高对新的问题处置能力。

六、深入开展信息安全检查工作

开展信息安全检查是确保信息安全的重要手段，需要建立长效机制，加强日常管理。分局每年应定期或不定期按照总局信息安全检查规范开展自查，也可以结合分局内控检查对中心支局、支局开展现场检查，扩大检查的广度和深度，跟踪存在的问题的整改，排查隐藏的风险。

七、及时开展信息安全评估

除了开展自查和对辖内中心支局和支局开展检查外，开展信息安全风险评估是信息安全的出发点。信息安全风险评估依据国家信息安全保障要求和有关信息技术标准，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御威胁的防护对策和整改措施。主要内容含资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议。2007年，外汇局各分局按照总局统一部署进行了评估，存在一些问题。外汇局的信息安全评估可以采用自评估和第三方机构（如中国测评中心）评估结合的方式，选取合适的风险评估工具，建立适合外汇局系统信息安全风险评估的标准，并根据外汇管理改革逐步更新，风险评估应涵盖网络管理、系统管理、数据管理以及用户管理等全方面，不留死角，对评估存在的问题，应由分管局长牵头各部门进行整改和完善。

总之，信息安全是一个长期重要的工作，是外汇管理工作的重要的组成部分。外汇局分局的信息安全保障工作应在外汇局总局部署下，结合实际开展。科技人员应该加强新技术的学习，不断更新信息安全管理方法，提高信息安全管理水平，确保外汇管理工作的正常开展。

参考文献：

[1]吴亚非.信息安全风险评估[J].2007.