第一篇:剖析检察信息系统的安全防范体系
剖析检察信息系统的安全防范体系
我国检察机关的信息化建设从XX年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。
随着检察机关信息网络建设的全面开展以及应用的逐步深入,信息安全系统的建设便显得更为迫在眉睫,对这项工作的丝毫懈怠都将会给未来检察机关的网络信息系统带来致命的危险。因此,加强检察信息系统的安全防范体系建设成为影响检察事业发展的重要课题。
一、检察信息网络建设的现状
按照高检院“151”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一”也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中。同时,依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院 之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。
目前在我国,检察机关已不同程度地将计算机作办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,发布信息、收集反馈,形成了具有自身特点的网络工作平台。
二、流行在检察信息系统中的埃博拉网络不安全因素
网络中的不安全因素,之所以称其为埃博拉,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。
1.病毒入侵与黑客攻击。网络病毒的入侵、感染与黑客的恶决击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2.网络硬件、软件方面存在的缺陷与漏洞。与银行、邮 电等行业相比,目前,检察机关的局域网建设还存在首明显的差距。从硬件上讲,检察系统的网络产品尤其是关键部位的配套设施还相对较为落后,核心部件的性能还不能完全满足检察机关信息化的发展要求。在软件方面,由于网络的基础协议TCP/IP本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前广泛运行在检察网络中的微软件windows操作系统更是破绽百出,再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的病毒,前的网络“风雨飘摇”一点也不为过。
3.使用人员的不良习惯与非法操作。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
4.网络管理与相关制度的不足。网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息 系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。
检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到那些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。
健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制 度化建设需要做好两方面的工作。首先,要建立明确的安全管理组织体系,设置相应的领导机构。机构以院主管领导、办公室部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任事故进行制度化约束,追究责任人的主观过错。
第三,提高网络应用与管理的技术水平,弥补自身缺陷,减少外来风险。
在当前检察信息网络的安全威胁中,病毒及恶意攻击可能是其最主要的方面。要解决这一问题,首先要使网络用户对网络病毒及黑客攻击有必要的认识,并了解病毒感染的主要渠道,同时要加强网络应用的规范化培训,整体提高操作的技术水平,最大程度地减少人为因素造成的安全隐患。此外,在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期发布的安全公告,关闭操作系统中并不 常用的默认端口,防止为恶意攻击留下“后门”。同时,对网络中的应用软件进行全面检查,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道。
第四,加强应急策略下的物理安全、数据保护与日志管理,健全管理保障体系。
在信息安全的所有方面中,计算机的物理安全是最基本的问题。计算机的物理安全的保护中,除了要有必要的安全防护设备外,更重要是必须建立完善的管理制度,以管理来保障安全。
安全审计可以说是整个安全体系中最后一个保障手段。在全面实施了winXX系统的域结构并对进行了所有用户绑定后,我们就可以在安全策略中部署对所有敏感性操作进行安全审计和记录,并且可以在发生安全事故后依据绑定一直追查到底。在实际工作中,我们可以审计各种操作成功和失败的情况,失败的情况通常比成功的情况少得多,但从安全性的角底考虑,失败事件更值得注意。另外不常用的操作也值得注意,如安全性策略的再启动往往反映了未经授权的行为。
第二篇:计算机系统安全防范
计算机系统安全防范
一、计算机安全概述
计算机系统自身存在缺陷且有一定的脆弱性,已被各种人为因素和自然因素破坏,例如:温湿度、水灾、火灾、雷击和空气污染等。
1.1计算机信息系统的物理安全计算机信息系统的物理安全是指计算机自身与其相关、配套的设备的安全,这是实体安全。硬件设备是信息载体,它的安全是信息系统安全的前提条件。若想保证网络系统的物理安全,保证机房安全是关键。依照国家规定和标准建设机房,通常建设在建筑的避光处,有时候可以利用窗帘避免阳光照射,同时,机房中还应配备防火、救火设备。设置满足路由器等设备总功率的电源设备,且能够提供UPS不间断的稳定电压电源。配备空调,以此来保证机房的温湿度。机房重地禁止不相关人员的进入,对于服务器和交换器等重要设备,应该定期进行双机备份。
1.2软件安全软件安全是信息系统功能正常发挥的必要条件。操作系统是计算机的支撑软件之一,应该保证程序或者其它系统在计算中的正常运行。操作系统主要管理硬件资源和软件资源这两个方面。一旦操作系统开发设计时存在缺陷,自身不安全,也会给整个网络带来安全隐患。操作系统管理系统内存CPU和外部设备,各个管理对象和模块或者程序密切相关,任何一个模块或者程序出现问题都会给计算机系统带来损失。
1.3网络传输安全困扰计算机系统安全的相关因素及防范对策目前,主要有局域网和广域网这两种网络形式,且计算机网络构成形式多样,因此,网络覆盖跨度存在差异,这种覆盖跨度差异在传送方面遗留了安全链接隐患。
1.4信息安全信息系统的保护内容包括:保护信息有效性、完整性和保密性,避免删除、修改、泄露和盗窃信息。计算机信息涉及国计民生、科学技术、经济财政和军事外交等重要领域,如果没有科学、系统的保障系统,将会危及国家、社会的发展。
二、计算机系统问题组成
2.1无法保证系统硬件的安全来自系统硬件的电磁干扰。例如:电源变化、漏电、静电等会对系统安全中造成一定的威胁,另外,设备老化等各种不安全因素也可能危及计算机硬件系统,使其处于不安全状态。这类威胁影响计算机本身和周围环境,进而阻碍计算机的正常运行。
2.2计算机系统的软件数据易被主观破坏和利用不合理管理人员的不合理利用可能引起计算机系统的运行故障,主观随意修改、删除、复制和调整计算机数据,导致软件系统在运行过程中可能存在设计、程序编制和使用的错误。目前,网络黑客攻击是计算机系统最大的威胁,容易引起系统瘫痪。
2.3计算机自身硬件故障计算机系统的核心内容是数据处理,计算机系统是一个复杂的人机系统,具有一定的脆弱性,各个设备的故障都会直接影响数据的安全性,一旦发生计算机硬件故障将会造成严重的损失。
2.4计算机系统较为复杂,不确定因素较多计算机研发系统初期,系统不够成熟,存在一定的缺陷,开发人员的疏忽可能会引发各种漏洞,计算机系统管理员对系统的操作不合理会极大降低系统的安全性,系统操作人员没有严格遵循相关规定进行操作,会使提前制定的保护措施失去预期效果。
2.5计算机病毒的威胁随着互联网的不断发展,计算机病毒的传播速度逐渐增加。计算机病毒会对系统软件或者数据造成损坏,有些还会损坏计算机硬件,进而威胁计算机系统安全。
三、计算机系统安全的重要性
3.1计算机中涉及国家政治、经济和军事等内容计算机存储的安全性直接影响相应的保密性,尤其应该加强对一些重大信息的保密,但是由于计算机系统自身脆弱性,导致计算机容易被破坏或者不正当利用。
3.2随着社会的不断发展和信息技术的不断进步计算机系统的功能越来越强大,规模也越来越大,同时,人们对于计算机系统的需求不断增加,这是社会和科技进步的必然需求,计算机也被广泛的应用到社会生活的各个方面。
3.3计算机系统安全问题涵盖面比较广,涉及到很多学科知识它是一个相当复杂的综合问题,同时,计算机技术、方法和防护、控制措施应该随着计算机系统应用环境的变化而变化,及时更新、改进。另外,随着计算机学科的不断发展,与之相对应的计算机系统安全也会不断升级更新。
四、困扰计算机系统安全的相关因素
计算机安全是保证计算机系统资源和信息资源不因自然和人为因素的影响而损坏,保证信息安全可靠,保证计算机系统的安全、高效运行。
4.1自然因素
很难预料和预防的火灾、水灾、雷击、地震等的作用引起计算机设备的损坏,计算机运行环境无法满足安全运行环境标准,例如线路设置不合理、供电系统不稳定、连接不严等引起计算机设备故障、数据信息损坏或者被破坏。
4.2人为因素
人既是计算机系统的设计、使用和维护者,又是损坏和破坏者。计算机系统是一个复杂的人机系统,人与计算机关系微妙且密切。
4.2.1在具体的应用过程中,操作人员不严格按照规范操作,无意中泄露了口令或者密码,导致犯罪分子或者敌对势力非法进入计算机系统,对系统安全构成威胁。
4.2.2窃取、破坏计算机设备,窃取相应的计算机系统信息;管理人员和操作人员没有定期维护、保养设备,导致计算机系统因长期运行出现故障、信息丢失或者损坏。
4.2.3计算机网络黑客利用各种手段,例如:监听密保钥匙的分配过程、网络侦听获得网络用户密码或者口令,非法攻击密保钥匙管理服务器,通过隐蔽渠道进行非法活动,突破防火墙,利用系统漏洞非法登录网络系统,修改、破坏重要数据信息,造成严重的损失。
4.2.4计算机系统中没有制定或者设计病毒防范程序,导致计算机病毒入侵,破坏数据文件,有些严重导致计算机系统和网络系统瘫痪。
4.3安全管理制度因素
安全管理制度能够有效保证计算机系统的安全,但现阶段的安全管理制度规范不完善、内控能力不足和落实不到位。
4.3.1计算机安全管理规范不完善
随着社会的不断发展,计算机安全管理规范已经不能完全适用,需要不断的完善、改进。特别是计算机技术的迅猛发展,新问题的涌现,而相应的安全管理规范滞后于科学技术的发展,这为不法分子提供了机会。
4.3.2落实不到位
人们对计算机技术的认识深度不够,给相应的管理、检查、监督工作带来较大的困难。另外,计算机系统运行管理制度科学性不足,不够严格,例如:对计算机技术人员资格审查不严、缺少相应的思想教育;过于注重使用,忽略管理,缺少相应的监控;没有指派专人保管计算机设备;没有详细的计算机维护记录。
五、计算机系统的安全防护措施
5.1完善计算机安全管理制度
制度是计算机系统安全运的前提条件,制定标准化的管理流程,杜绝凭借个人才能和影响力来管理;综合考虑各方面影响因素,制定长远的、系统的信息化建设计划,计算机是一个复杂、综合的电子系统,各个部门之间的团结协作影响着计算机系统的安全,能够科学的规划计算机系统的采购、管理、维护等,以较少的努力换取较高的经济收益;树立计算机系统安全意识,加强网络安全教育。
5.2加大网络安全建设
对网络整体进行系统建设,从最低层到最高层,从硬件到软件。
5.2.1采取加密和加权措施
加密是指采用数字方法重新组合数据,使得除合法介绍介绍者外,任何人都很难恢复原始数据,常用的数字加密技术有:对成性、不对称性和不可逆加密技术。加权措施是指对计算机进行权利管理和存储控制,依照规范的认证,赋予用户相应的操作权限,保证用户行使有效范围内的权利,不得越权操作。
5.2.2不断更新系统
Windows系统是目前较为常用的计算机操作系统,由于Windows系统规模较大,不可避免的会存在一些容易忽视的漏洞。如果不法分子发现这些漏洞,就会研制针对该漏洞的病毒或者攻击手段。因此,需要在客户机上安装最新的补丁程序,禁止已知系统漏洞,且实践效果较好。
5.2.3建立防火墙
建立网络防火墙,抑制外部用户利用非法手段由外部网络进入内部网路,访问内部资源,是一种保护内部资源操作环境的网络互联网设备。防火墙无法防范通过自身以外的途径的攻击,也不能完全阻止已经感染病毒的软件或者文件的传输。
5.2.4充分利用防病毒技术
有效的防病毒技术能够增加计算机系统的安全性,例如多层防病毒技术较为常见,防病毒不是某个人的责任,是所有用户的共同责任。
六、结语
随之互联网技术的不断发展,人们更加关注网络安全问题,尤其是当用户计算机系统中存在安全漏洞时,給黑客提供了可乘之机。因此,全社会应该深刻认识计算机系统安全的重要性,共同努力、积极参与,树立计算机安全意识,保证计算机系统的安全、可靠、有效运行。
第三篇:药监系统安全防范制度
范县食品药品监督管理局安全防范制度
一、保护局机关办公大楼安全。维护正常办公秩序是局机关每位干部职工、保卫人员的职责,大家必须同心协力,共同做好安全保卫及防范工作,做到警钟长鸣,万无一失。
二、各科室办公地点,必须加强安全防范工作。下班时一定要关闭好门窗,房间一定要上锁。上班时间人离开房间时,要关闭房门,不得搞“空城计”。
三、要注意做好防火灾工作。人离开单位时,要关闭房间所有电器,水壶、空调、电脑等,特别是节假日更不能掉以轻心。办公时间,反对吸烟,空调运行时,禁止吸烟。偶有吸烟时,不要乱丢烟头、乱弹烟灰以消除可能酿成火灾的隐患。
四、到洗手间用水时,人离开必须关闭水龙头,避免水流外溢引起电路短路而产生危险。
五、门卫是局机关安全的第一道防线,保卫人员应保持高度警惕,要24小时值班。
六、对进入局机关办事访问的人员,要询问登记,要通过电话同被访科室取得联系,征得被访科室同志同意后,方可放行,来访或办事人员离局时,要预注销。
七、外来车辆进入局机关时,要登记并指示按规定停车,不得随意停放车辆,外来摩托车进入局机关时,要发放出入卡,登记车
号码,车离开局机关时,回收出入卡并予注销。
八、门卫设有报警电话,如有异常情况,应及时报警,不得延误。门卫保安人员应于晚上7:00关闭大门,早上6:30打开大门。
九、局全体干部职工要提高警惕,如发现在局内游荡人员,都应有责任上前过问,对那些到局内办事而不知所措的人,应予热情地指点,对于那些行迹可疑的人,应及时同保安联系并请其离局。以保证局机关工作的安全。
十、本制度自颁布之日起执行,对能遵守制度的人员将予通报表扬,对违反制度的,将视其情节及后果作出相应处理。
十一、本制度本着与时俱进的理念,将及时进行修改完善。
第四篇:剖析检察信息系统的安全防范体系
剖析检察信息系统的安全防范体系
剖析检察信息系统的安全防范体系2007-02-17 16:40:
53我国检察机关的信息化建设从年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。
随着检察机关信息网络建设的全面开展以及应用的逐步深入,信息安全系统的建设便显得更为迫在眉睫,对这项工作的丝毫懈怠都将会给未来检察机关的网络信息系统带来致命的危险。因此,加强检察信息系统的安全防范体系建设成为影响检察事业发展的重要课题。
一、检察信息网络建设的现状
按照高检院“”工程和全国检察机关信息化建设工作“统一规划、统一技
术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一”也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中。同时,依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。
目前在我国,检察机关已不同程度地将计算机作办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。
同时,相当一部分检察院已经开通了网站,并通过这一媒介,发布信息、收集反馈,形成了具有自身特点的网络工作平台。
二、流行在检察信息系统中的埃博拉网络不安全因素
网络中的不安全因素,之所以称其为埃博拉,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。
病毒入侵与黑客攻击。网络病毒的入侵、感染与黑客的恶决击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是
毁灭性的。
网络硬件、软件方面存在的缺陷与漏洞。与银行、邮电等行业相比,目前,检察机关的局域网建设还存在首明显的差距。从硬件上讲,检察系统的网络产品尤其是关键部位的配套设施还相对较为落后,核心部件的性能还不能完全满足检察机关信息化的发展要求。在软件方面,由于网络的基础协议本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前广泛运行在检察网络中的微软件操作系统更是破绽百出,再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的病毒,前的网络“风雨飘摇”一点也不为过。
使用人员的不良习惯与非法操作。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密
意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
网络管理与相关制度的不足。网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。
检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到那些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。
健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的
制度化建设需要做好两方面的工作。首先,要建立明确的安全管理组织体系,设置相应的领导机构。机构以院主管领导、办公室部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任事故进行制度化约束,追究责任人的主观过错。
第三,提高网络应用与管理的技术水平,弥补自身缺陷,减少外来风险。
在当前检察信息网络的安全威胁中,病毒及恶意攻击可能是其最主要的方面。要解决这一问题,首先要使网络用户对网络病毒及黑客攻击有必要的认识,并了解病毒感染的主要渠道,同时要加强网络应用的规范化培训,整体提高操作的技术水平,最大程度地减少人为因素造成的安全隐患。此外,在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期发布的安全公告,关闭操作系统中并不常用的默认端口,防止为恶意攻击留下“后门”。同时,对网络中的应用软件进行全面检查,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道。
第四,加强应急策略下的物理安全、数据保护与日志管理,健全管理保障体系。
在信息安全的所有方面中,计算机的物理安全是最基本的问题。计算机的物理安全的保护中,除了要有必要的安
全防护设备外,更重要是必须建立完善的管理制度,以管理来保障安全。
安全审计可以说是整个安全体系中最后一个保障手段。在全面实施了系统的域结构并对进行了所有用户绑定后,我们就可以在安全策略中部署对所有敏感性操作进行安全审计和记录,并且可以在发生安全事故后依据绑定一直追查到底。在实际工作中,我们可以审计各种操作成功和失败的情况,失败的情况通常比成功的情况少得多,但从安全性的角底考虑,失败事件更值得注意。另外不常用的操作也值得注意,如安全性策略的再启动往往反映了未经授权的行为。
第五篇:银行金融风险防范体系
银行金融风险防范体系
银行金融风险管理是银行的生命线。随着银行业竞争的日益激烈,市场环境复杂多变,尤其是在金融危机爆发之后,银行金融案件频发,经营效率降低,管理难度加大。而大多数管理者的精力投入到了查案办案之中,严重影响了银行的健康发展。实际上,多数案件都是因为核算体制落后,内控力度不足和会计工作人员业务风险意识防范淡薄等原因造成的。而且,从整体看,银行金融风险防范不是单个点上的问题,而是这个银行系统结构化,系统化的问题。
一、银行面临的主要金融风险
银行作为一个独立的会计主体,通过一定的计量方法,对银行业务进行确认、计量、记录、报告,提供有效信息给使用者。会计活动作为银行业务平台,与绝大多数风险都是有着直接或间接的联系。银行风险就存在于银行各项业务活动的始终。总的来说,银行主要面临以下几种风险:信用风险、业务风险、财务风险、违规风险等。
1、业务风险,主要是在核算业务中,由于核算方法不准确、核算程序不规范引发风险。还有为了完成上级下达的任务、吸收高成本资金、呆账、坏账或者准备金的提取比例有误、应收利息计提标准不合理等都会引发金融风险。
2、财务风险,由资本充足率下降引发的财务风险原因有很多。外部原因主要是,在金融危机的影响之下,资本市场遭遇到相当严重的打击,资本筹集出现了困难,企业盈利能力和个人收入水平有所下降,造成大量的银行贷款成为不良资产。另一方面由资本充足率不足引发的财务风险也与银行自身的一些失误经营积累不良资产有关,同时也与银行自身的会计活动密切相关,部分银行甚至将会计作为调节手段,不顾会计谨慎性、真实性原则,通过违规会计操作以达到规定标准这些都将给银行带来财务风险。以上因素都导致了银行的资本充足率下降,降低了自身抵抗风险的能力。
3、违规风险,引发违规风险的原因有很多,首先是人员违规操作引发的风险,金融机构中有相当一部分员工自己或家人投资股市、基金或实业,可能会出现亏损或参与一些违法行为,这些因素都会引发违规操作的风险,这也是银行金融风险的一个主要方面。其次是由于信贷流程关键环节的人员不尽职、人情贷款、内部控制制度不严密引发担保公司进行非法融资,在很大程度上引发和放大了信用风险,增加了经营成本,由于没有及时获得客户的风险预警,导致客户经理无法立即对企业风险做出准确的分析、判断。三是部分非法担保公司与企业客户经理暗中勾结,进行利益平分,这样的做法将会损害银行的整体利益。
二、防范银行金融风险的建议
1、努力提高的风险防范意识
思想上的防范意识是最重要的,通过对全球金融危机的反思,我国银行业可以吸取到的一个重要教训就是:银行机构风险防范意识一定要真正建立起来。不能为了片面追求利润,降低贷款的标准或条件,进而增强不良贷款的潜在风险。银行领导要加强思想政治工作,掌握员工的思想状况和心理情况,及时发现员工对工作、业务以及自身问题的态度变化,引导、纠正员工的行为,进而从根源上加强金融风险防范。在当前的大背景下,受人民币升值等原因的影响,我国金融资产中,房地产、股票等价格上涨较快,因此,住房贷款和住房抵押消费贷款随之也增长很快,这就很容易出现银行为了追求利润而忽视风险的行为。一旦市场形势改变,就会对银行的经营活动产生很大的负面影响。因此,我国银行业要十分重视市场开拓中出现的各类风险,通过对员工进行法律法规和银行操作制度的学习,健全的银行内部风险控制的规章制度,规范职业道德和业务操作,让员工知道自我约束,促进员工自发形成行为约束,防范道德风险,全力提高风险管控能力。从长远来看,在银行内部形成共同的价值观和企业文化,充分体现科学发展观中以人为本的理念。
2、建立金融风险防范机制
完善银行金融风险防范措施,必须首先建立健全金融机构的风险预警机制。它包含银行自身和各级政府多方面的因素。对于银行自身来说,银行应制定严格的会计制度,各部门必须按照规定在统一的时间里分项目上报各种财务报表,根据财务会计分析的要求,通过盈利比率、效率比率、流动比率、杠杆比率四个财务指标进行分析,获得对企业财务真实、全面的了解面,对具体业务时,应该对借款人行业风险、经营风险、管理风险、自然、社会及银行的信贷管理等因素进行分析,掌握贷款人的经营状况和经营风险程度,准确把握贷款企业兴衰的脉搏,充分关注可能存在的风险点,掌握借款人的基本风险,并采取有效的控制措施。根据资本充足率等一系列风险预警指标以及相应的指标权数,计算出各业务的综合得分值。根据得分值的高低将各业务分别评定为A、B、C、D、E五个等级。凡被评为D、E两个的即被视为有问题,银行应当根据风险防范预测,对部门及其人员提出预警。通过这一风险预警机制,可以防患于未然,在根源上降低银行风险的发生。另外还要建立严密完整的分级授权体系,对重要程度不同的业务进行不同层次的业务授权。通过岗位设置、账务核对、监督检查等手段,对会计业务的处理过程实施有效的控制,确保向管理层提供的会计信息充分、准确、及时。对于各级政府来说必须定期听取金融情况汇报,分析金融运行情况和风险发生的可能性,从长远的角度研究风险防范和措施。还必须制定紧急预案,根据当地的既定条件和实际情况,对可能发生的各种金融风险,组织制定切实可行的紧急化解预案,有效组织应付突发事件。
3、加强银行内部控制
首先是加强内部控制的意识,在全行各个层面营造一种“内部控制文化”,尤其是银行的各级管理人员要加强自我约束,通过自己的言行强调内部控制的重要性。
其次建立和完善内部控制的组织结构,明确各单位的权利和责任,制定并完善相关的政策制度和程序,用以识别评估监测和控制银行业务中的风险,确保内部控制的有效性。银行高级管理层必对于银行的内控制度负总的责任,有义务定期检查银行的经营情况,了解银行各项业务的经营风险,明确可以接受的风险程度的范围,银行的高级管理人员有必要的措施能够识别风险,并有效的监测和控制经营中的风险。银行稽核(审计)部门是内部控制的指导组织和协调机构,主要负责内部控制的综合管理,检查银行内部控制制度,对各项业务提出意见和建议。银行的各个平行部门要提高对内部控制的思想意识,积极主动采取措施,互相配合,发挥出不同部门对内控制的整体合力,以此提高全行内控水平。下级部门要对上级部门负责,认真落实各项内控制度,上级要积极为下级落实内控制度提供保障。最后,注重开展多层次多形式的职工教育培训活动,提高员工政治思想业务素质和职业道德素质,让大家充分了解各自在内控制度中的作用。
三、结语
综上,加强银行金融风险防范策略是一项艰巨而重要的任务,在刚刚经历了全球经济危机之后,防范银行金融风险是我国银行业所面临的一项全新挑战,需要我们在今后的工作中不断进行探索和尝试。当然,金融问题是经济生活中各种矛盾的集中表现,有些问题表面上看是金融问题,但其根源并不在金融领域。要从根源上消除诱发金融风险的各种因素,除银行自身的不断完善外,还依赖于经济体制改革的进一步深入。国家经济实力的强大,市场经济体制完善,企业经营效益不断提高,才能从根本上保障金融安全。
点击咨询 