縣域銀行業(yè)金融信息安全管理存在“短板現(xiàn)象”

【摘要】本文以云南省華坪縣縣域銀行業(yè)金融信息安全調查為依據，從縣域銀行業(yè)金融機構在信息安全認識、科技資源配置、網絡基礎建設、網絡資源備份等方面入手，討論縣域銀行業(yè)金融信息安全管理方面的“短板現(xiàn)象”，并針對性的提出了解決辦法，以供領導參考。

【關鍵詞】縣域 金融 信息安全 管理

近年來，金融業(yè)面臨的信息安全形勢越來越復雜，工作越來越艱巨，并日益成為社會各界關注的焦點和維護金融穩(wěn)定工作的一個重要組成部分。通過對華坪縣工行、農行、建行、郵儲銀行、農村信用社5家銀行業(yè)金融機構信息安全方面的調查，發(fā)現(xiàn)縣域銀行業(yè)金融機構在信息安全認識、科技資源配置以及網絡資源備份等方面存在“短板現(xiàn)象”。

一、縣級金融信息安全基本狀況

由于金融信息系統(tǒng)全國或全省數(shù)據集中以及第三方外包服務的增多，縣域金融機構科技維護任務逐步減少，科技崗位職能逐步弱化，信息安全管理存在著“短板現(xiàn)象”。從基礎設施建設情況，幾家金融機構機房建設選址合適，主機房都采取了防火、防水、防盜措施，具有防直擊雷、感應雷措施，采取了接地措施，采用UPS電源對主機房不間斷供電，機房管理制度較為全面，建設基本符合《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》相關要求；網絡建設方面，大多數(shù)金融機構的網絡結構設計了冗余線路，有2家機構網絡采用負載均衡方式運行，2家機構采取冷備方式，1家機構沒有冗余線路和冗余設備。從信息系統(tǒng)建設情況來看，主要業(yè)務采取C/S或者B/S方式，服務器集中到對應的省級金融機構；銀行卡及ATM機和POS機管理方面，以華坪縣農村信用合作聯(lián)社為例，目前安裝了ATM機器11臺，建立了巡檢登記簿，通過抽查2011年維護和巡查登記簿，發(fā)現(xiàn)維護和巡查記錄要素齊全，每日進行3次巡查，建立了維護審批登記簿及重要區(qū)域出入登記簿，共發(fā)生13次維修情況，維修時有相關人員全程陪同，發(fā)行的銀行卡卡片符合《銀行卡卡片規(guī)范》，采取了安全措施，POS機推廣了45臺，建立了相應的管理制度。

二、信息安全方面存在的主要問題

（一）縣域金融機構信息安全協(xié)調機制有待建立完善

金融是現(xiàn)代經濟的核心，也是高度依賴信息技術的重要行業(yè)，而金融信息安全不僅是人民銀行各種重要業(yè)務開展的重要保障，還涉及其他商業(yè)金融機構，因此，建立金融信息安全協(xié)調機制，加強當?shù)厝嗣胥y行與金融機構之間金融信息安全溝通協(xié)調，促進金融業(yè)信息安全保障和應急工作十分必要，但就目前華坪縣而言，還沒有建立縣域金融機構信息安全協(xié)調機制，還未開展過信息安全檢查。

（二）金融機構科技人員和部門資源配置缺失

華坪縣域有5家銀行業(yè)金融機構，從人員配置情況來看，僅有1家金融機構，由于縣域機構網點數(shù)多，專門設置了科技部門，配備有專職科技人員，有1家具有兼職科技人員，其余3家未配置專職或者兼職科技人員，總的來說，由于信息系統(tǒng)全國或全省集中，加之外包服務增多，縣域存在著科技崗位弱化趨勢。

（三）金融機構對信息安全重視程度不高

經過對縣域金融機構的走訪調查，發(fā)現(xiàn)主要存在以下幾個問題。一是部分金融機構沒有向當?shù)厝嗣胥y行報送計算機信息安全領導小組名單，且只具有形式，沒有真正按要求運作；二是華坪縣域金融機構均未設置專職信息安全員，或者系統(tǒng)管理員和信息安全員都為一個人；三是機房建設不規(guī)范，存在部分金融機構機房未獨立設置，基礎設施不全、不規(guī)范等情況。通過以上分析，存在基層金融機構對信息安全重視度不夠的安全隱患。

（四）網絡管理水平參差不齊

比如農行信息網絡拓撲結構設計考慮了線路冗余和網絡核心設備冗余，且采用了網絡流量負載均衡技術，網絡結構較為合理；而農村信用社網絡拓撲結構設計有明顯缺陷，盡管廣域網設計考慮了冗余線路，但網絡設備存在單點故障隱患，目前還采取網絡設備發(fā)生故障后，再用其他設備去替換的方式，并且網絡設備配置參數(shù)未進行備份，這種方式與現(xiàn)代金融的要求明顯存在差距。

（五）金融業(yè)信息安全管理的法規(guī)依據建設滯后，部分領域存在缺失情況

在金融業(yè)信息化飛速發(fā)展的今天，部分法規(guī)依據還是沿用十幾年前建立的制度，這些規(guī)定已難于適應現(xiàn)代金融信息安全規(guī)范管理要求，而自助銀行信息系統(tǒng)基礎設施建設還沒有行業(yè)級的標準規(guī)范等。

三、相關建議

（一）盡快建立縣級銀行業(yè)金融機構信息安全協(xié)調機制

為增強金融機構對信息安全的重視程度，促進當?shù)厝嗣胥y行與金融機構之間金融信息安全溝通協(xié)調，加強信息共享、資源共享，進一步提高金融業(yè)信息安全保障和應急能力，建立協(xié)調機制十分必要，同時還要繼續(xù)深化協(xié)調機制建設，保證協(xié)調機制持續(xù)運作。

（二）建議加強金融機構信息安全管理的制度建設

為提高金融信息安全標準化程度，開展信息安全檢查提供強有力的依據，一是以相關法規(guī)和制度為依據，制定詳細的金融機構信息安全管理的制度，進一步明確各主體間的法律責任和義務，如制定詳細的信息安全檢查實施細則，統(tǒng)一檢查內容和檢查流程。二是對責任追究制度的細化，就違反的相應事項，明確違反了法規(guī)哪一條哪一款，進行量化的處罰，增強約束力和可操作性。

（三）強化對各縣域金融機構信息安全的檢查和指導工作

針對各種金融業(yè)務的違法犯罪活動快速增長，信息安全形勢越來越復雜的情況，金融信息安全已成為維護金融穩(wěn)定工作的一個重要組成部分，為轄區(qū)內各金融機構共同維護轄區(qū)金融信息安全，做好金融穩(wěn)定工作，提高金融業(yè)信息安全保障和應急工作能力，強化對各縣域金融機構信息安全的檢查和指導工作尤為重要。

作者簡介：顧品永（1975-），男，云南永勝人，就職于中國人民銀行華坪縣支行，大學學士，高級工程師，研究方向：計算機網絡規(guī)劃及應用。