基层银行业金融机构网络安全现状、问题及对策研究以河北省秦皇岛市为例.docx

《基层银行业金融机构网络安全现状、问题及对策研究以河北省秦皇岛市为例.docx》由会员分享，可在线阅读，更多相关《基层银行业金融机构网络安全现状、问题及对策研究以河北省秦皇岛市为例.docx（9页珍藏版）》请在第一文库网上搜索。

1、基层银行业金融机构网络安全现状、问题及对策研究以河北省秦皇岛市为例近年来，人民银行和银保监会陆续出台金融科技发展规划(20232025年)关于银行业保险业数字化转型的指导意见等指导性文件，强化金融科技赋能，推动金融业数字化转型。金融机构自身也通过系统升级改造、业务流程重构、业务场景创新等多种方式加快数字化转型步伐。随着科技与金融融合的不断深入，金融科技在满足金融需求和促进金融行业更好服务实体经济的同时，也使得金融系统成为网络攻击的重灾区。根据威胁情报公司FIaShPOint的数据，在全球范围内，金融服务行业组织在2023年遭受的已知漏洞攻击数量位居第二，仅次于政府组织。基层银行业金融机构作为普

2、惠金融的直接参与者，网点数量众多、人员庞杂、技术力量相对薄弱，其网络安全管理应得到重点关注。本文以河北省秦皇岛市为例，通过量化分析手段，对地市分行及以下的非法人银行业金融机构网络安全现状进行调研，指出基层银行业金融机构在网络安全工作中存在的差距和不足，并提出对策建议。一、秦皇岛市基层银行业金融机构网络安全现状秦皇岛市辖区有非法人银行业金融机构14家，其中政策性银行1家，国有商业银行6家，股份制商业银行1家，城市商业银行6家。近年来，全市基层银行业金融机构全面落实网络安全责任制，持续推进网络安全保障体系和治理能力建设，“技防+人防”双向发力，网络安全防护能力和防护水平得到显著提升。(-)网络安全

3、体系建设情况全市14家机构均成立了“一把手”负责的网络安全领导委员会或网络安全领导小组，全面负责本单位的网络安全工作。制定了机房管理、人员管理、终端管理等网络安全管理制度，明确网络安全工作内容，强化责任分工，并认真执行。每年开展网络安全应急演练，定期组织网络安全技能培训及开展网络安全知识宣传，投入一定的人力、物力和财力，为网络安全防护和重大网络事件处置提供充分保障。（二）技术手段和防护措施情况辖内基层银行业金融机构采取了一系列的技术手段，具备一定的网络安全防护能力。从机房建设来看，大多数机构机房能够满足日常业务需求。所有机构部署了机房门禁系统并实现通信网络双路运营商接入。9家机构采用双路市电输

4、入，13家机构配备了UPS不间断电源，11家机构备有发电机,12家机构部署了机房环境动力监测系统。从网络设备和安全设备配置情况来看，基层银行业金融机构主要以核心网络设备为主，全市仅2家机构机房部署服务器。其中，3家机构核心网络设备购置年限在3年以下，7家购置年限为35年，绝大多数机构核心网络设备实现双机热备，7家机构部署了入侵检测系统，11家机构部署了防火墙。从终端管理来看，所有机构部署了终端管理系统，并安装了杀毒软件，部分机构对终端IP地址和MAC地址进行了绑定。（三）科技队伍建设情况目前，辖内基层银行业金融机构科技工作人员189人，其中专职科技人员44人，兼职科技人员145人（担任部门网络

5、安全员等），网络安全岗专职人员18人。基层科技人员主要负责检查机房设备运行状态、更新杀毒软件病毒库、组织开展网络安全应急演练、处置网络设备和计算机等电子设备故障、排查网络安全事件，少数机构科技人员需负责防火墙及入侵检测系统的策略管理、优化网络配置等工作。二、基层银行业金融机构网络安全工作中存在的差距和不足（-）机构设置与制度建设不完善辖内仅有4家机构成立了单独的科技部门，其余10家机构由办公室、运营管理部等部门履行科技工作职责，科技人员混岗、兼岗现象严重，不利于网络安全工作的全面开展。辖内11家机构沿用上级行或总行的网络安全管理制度，仅有3家机构制定了本级管理制度，5家机构没有制定本级应急预案

6、。由于上级行或总行与基层机构在机房部署、网络部署和科技工作职能上均有较大的不同，照搬照套上级行管理制度和应急预案会与实际情况脱节，一旦发生突发事件将无法应对。（二）网络安全技术措施存在漏洞辖内3家机构没有配备发电机，其中1家机构没有配置UPS,停电时该机构将无法办理柜面业务，存在较大风险。2家机构未部署机房动力环境监测系统且无法实现24小时在岗值班，一旦机房发生火灾、空调故障等突发状况，科技人员无法第一时间发现并采取措施。少数机构部署的网络安全防护硬件设备过少，5家机构本级仅部署了防火墙和入侵检测系统中的一种，1家机构本级未部署任何网络安全硬件设备，在发生网络安全事件时，不利于追踪溯源，还可能

7、导致风险向同级机构和上级行蔓延。（三）科技人员队伍建设存在不足从人员数量来看，辖内基层银行业金融机构总职工数为5899人，专职科技人员为44人，科技人员占比仅为0.74%。可见，基层机构的科技人员不足，且自2023年以来科技人员数量连年递减，50%以上机构认为本单位科技人员不足或者严重不足。从年龄和学历来看，全市30岁以下的科技人员仅9人，研究生及以上学历科技人员2人，具有网络安全资质人员2人,3家机构的专职科技人员全部没有计算机专业背景。同时，科技人员年龄结构极不合理，高层次科技人才严重不足。从人员能力来看，9家机构具有独立配置交换机、防火墙等网络和安全设备的能力，4家机构电子设备的维修以外

8、包公司为主，1家机构全部由外包公司负责，科技人员专业能力不足。三、对策建议(-)强化组织机构建设，完善网络安全应急体系机构和岗位设置方面，各机构应结合自身情况成立专门的科技部门，如不具备此条件也要进一步明确专岗科技人员，并实行A/B角制度，网络安全管理员应尽可能选派具有计算机专业背景的人员担任。制度建设方面,各机构应制定切实可行的网络安全管理制度，不能照搬照套上级行规定，须结合本地实际情况进行完善。对于常规性科技工作，应建立统一的、标准的、执行性强的业务操作流程。应急管理方面，各机构要高度重视应急管理工作，建立健全网络安全应急管理协调联络机制，发生网络安全事件时立即向上级行和行业主管部门报告，

9、并根据事态严重情况研判是否需要向社会发布情况通告。要制定本级网络安全应急预案，定期对应急预案进行演练、评估，及时发现并修改应急预案中存在的问题和不足。要严格按照应急预案开展应急演练，不打折扣、不搞变通、不走形式，确保突发事件发生时能够迅速准确地进行处置，切实增强网络安全防护的实战能力。(二)丰富网络安全防御手段，筑牢网络安全屏障部署边界防火墙，加强安全访问控制。分支行网点在网络边界处部署下一代防火墙，通过防火墙强大的访问控制技术进行行为管控，同时在防火墙内部部署入侵防御、UR1管控、防病毒等手段，有效应对从网络层到应用层的攻击行为。部署终端准入设备，增强终端管控手段。未经检查的终端接入内网，存

10、在将木马程序、恶意代码等带入内部网络，从而造成敏感信息泄露、业务办公网络瘫痪等潜在风险。通过对接入终端进行病毒软件安装、最新补丁升级、登录密码复杂度等安全因子的检查，研判终端安全指数，能够及时阻断不安全终端的接入，进而降低内部网络安全风险。部署终端杀毒软件，强化终端恶意代码防护能力。在广域网侧和互联网侧均部署杀毒软件，及时查杀病毒，防止中毒终端成为病毒攻击内部网络的“桥”，提高终端和内部网络抵御风险的能力。部署上网行为管理系统，加强用户行为审计。通过部署上网行为管理系统对网络使用者进行行为管控，阻止非法的浏览和外发行为，并根据用户的身份进行实名审计，做到事后有据可查。构建拟态网络，实现主动安全

11、防护。目前各机构网络安全防护体系以传统的安全措施为主，如防火墙、I党史、IPS、防病毒等。该防护体系的特点是安全防护能力均基于规则和经验，一旦新的未知安全威胁出现，其可能存在被穿透的风险。各机构可以结合实际情况建立以拟态防御技术为基础的蜜网，通过蜜网诱捕功能，对关键区域或关键系统进行安全监测，一旦发生网络攻击，拟态防御蜜网会智能识别、自动预警和快速阻断，及时捕获已知和未知风险。（三）加强网络安全日常管理，消除网络安全隐患加强对机房、供电、重要网络设备的日常巡检工作，对发现的问题及时解决。保证短期的备用电力供应，应至少满足在断电情况下的正常运行要求。核心网络设备要有备份，在条件允许的情况下应以热

12、备为主。要加强外包管理，审核外包供应商资质，签订保密协议，当外包人员提供服务时要有科技人员全程陪同，保障数据安全。积极开展网络安全等级保护工作，根据信息系统重要程度和业务影响范围的变化情况，对系统级别进行动态评议。（四）加快科技队伍建设，提升运维保障能力人才是筑牢网络安全防线的重要保障，没有一支专业的科技队伍，任何防御措施都是空谈，各机构应加强人才队伍建设。一是建立和完善一系列人才引进措施。根据不同的学历、资历、工作经历和工作能力等，为引进的人才制定不同的福利待遇政策和职业生涯规划。二是拓宽引才视野，丰富引才渠道。持续建立校园招聘、社会招聘、外部推荐、内部选拔、银企交流等引才渠道，实现人才队伍

13、结构的有效优化调整。及某区全面从严治党调研报告作为区全面从严治党第一责任人，我坚持把抓好党的建设作为最大政绩，认真履行“第一责任人职责，全面推进基层党建工作。今年以来，我深入基层党组织调研党建，详细了解全区从严治党整体情况,现将调研情况报告如下。一、全面从严治党工作开展现状（一）抓好理论学习。把政治理论学习摆在突出位置，以党史学习教育为抓手，严格落实“第一议题”制度，及时跟进学习习近平总书记重要讲话、重要指示批示精神，今年以来，共开展区委理论中心组学习X次,切实锤炼了党性，武装了头脑。同时，把党的二十大精神、省市区党代会精神作为干部教育培训必学内容，共举办各类干部培训班X个，培训干部X人次，广

14、大干部理想信念进一步坚定，理论素养进一步提高。此外，组建了区委宣讲团、“百姓宣讲团”，组织开展各类主题宣讲X场，教育引导广大党员干部、群众增强“四个意识”、坚定“四个自信”、做到“两个维护”，真正让党史学习教育入脑入心。（二）抓实基层基础。在区党代会等会议上，对党建工作进行安排部署，多次召开区委常委会会议，对基层党建议题进行了研究。常委同志带头领办党建项目，带头落实党支部联系点制度，共带动全区X名领导干部协调解决阵地建设、产业发展等方面问题X个。坚持把两个引领作为“一把手”工程，组建了两大主导产业及八个特色产业双联盟，下沉X名党员干部分包联系街道社区，为街道社区赋权增能。深入实施强基固本工程，

15、严把发展党员“入口关”，高质量完成村（社区）“两委”换届，建立社区工作者“三岗十八级”薪酬体系，成功创建省市党建示范村X个、全国先进基层党组织X个，基层“驱动力”得到有效激发。（三）抓强干部队伍。坚持新时代好干部标准，高质量完成区乡两级党委、村（社区）“两委”换届，干部队伍结构持续优化、专业素养有力提升，整体战斗力进一步增强。进一步强化干部日常管理，完成了X名科级干部考察转正和X名股级干部备案工作。抽调优秀年轻干部参与区“万人助万企”、疫情防控以及主导产业发展等中心工作，年轻干部在石上磨、在事上练，工作本领全面提高。对全区X名干部开展网络培训，学习完成率位居全市第一，干部队伍培训工作进一步抓好

16、做实。（四）抓稳责任落实。区委能坚持不懈落实省委、市委关于全面从严治党的各项要求，多次召开常委会议，专题研究党风廉政建设工作，把党风廉政建设与经济社会发展同部署、同落实、同检查、同考核。我本人认真落实主体责任，其他班子成员认真履行“一岗双责”，切实抓好分管领域的党风廉政建设。自觉加强党内政治生活，严肃党的政治纪律和政治规矩，坚持民主集中制，凡“三重一大”事项，都严格做到会前提出议题,广泛征求意见，集体会议讨论决定。召开了巡视整改、党史学习教育等专题民主生活会和年度民主生活会，带头开展批评和自我批评，有效维护了党内政治生活的严肃性。强化对“一把手”的监督，督促制定一把手正面负面清单，把主体责任和监督责任一体联动推进，通过逐级约谈提醒、定期督促指导，层层传导压力，压实责任，有效杜绝在党风廉政建设工作中的缺位、错位现象。持续深化以案促改，共召开警示教育大会X场次，警示教育X万人次。一体推进不敢腐、不能腐、不想腐，