縣域銀行業金融信息安全管理存在“短板現象”

顧品永

（中國人民銀行華坪縣支行，云南 麗江 677300）

近年來，金融業面臨的信息安全形勢越來越復雜，工作越來越艱巨，并日益成為社會各界關注的焦點和維護金融穩定工作的一個重要組成部分。通過對華坪縣工行、農行、建行、郵儲銀行、農村信用社5家銀行業金融機構信息安全方面的調查，發現縣域銀行業金融機構在信息安全認識、科技資源配置以及網絡資源備份等方面存在“短板現象”。

一、縣級金融信息安全基本狀況

由于金融信息系統全國或全省數據集中以及第三方外包服務的增多，縣域金融機構科技維護任務逐步減少，科技崗位職能逐步弱化，信息安全管理存在著“短板現象”。從基礎設施建設情況，幾家金融機構機房建設選址合適，主機房都采取了防火、防水、防盜措施，具有防直擊雷、感應雷措施，采取了接地措施，采用UPS電源對主機房不間斷供電，機房管理制度較為全面，建設基本符合《金融機構計算機信息系統安全保護工作暫行規定》相關要求；網絡建設方面，大多數金融機構的網絡結構設計了冗余線路，有2家機構網絡采用負載均衡方式運行，2家機構采取冷備方式，1家機構沒有冗余線路和冗余設備。從信息系統建設情況來看，主要業務采取C/S或者B/S方式，服務器集中到對應的省級金融機構；銀行卡及ATM機和POS機管理方面，以華坪縣農村信用合作聯社為例，目前安裝了ATM機器11臺，建立了巡檢登記簿，通過抽查2011年維護和巡查登記簿，發現維護和巡查記錄要素齊全，每日進行3次巡查，建立了維護審批登記簿及重要區域出入登記簿，共發生13次維修情況，維修時有相關人員全程陪同，發行的銀行卡卡片符合《銀行卡卡片規范》，采取了安全措施，POS機推廣了45臺，建立了相應的管理制度。

二、信息安全方面存在的主要問題

（一）縣域金融機構信息安全協調機制有待建立完善

金融是現代經濟的核心，也是高度依賴信息技術的重要行業，而金融信息安全不僅是人民銀行各種重要業務開展的重要保障，還涉及其他商業金融機構，因此，建立金融信息安全協調機制，加強當地人民銀行與金融機構之間金融信息安全溝通協調，促進金融業信息安全保障和應急工作十分必要，但就目前華坪縣而言，還沒有建立縣域金融機構信息安全協調機制，還未開展過信息安全檢查。

（二）金融機構科技人員和部門資源配置缺失

華坪縣域有5家銀行業金融機構，從人員配置情況來看，僅有1家金融機構，由于縣域機構網點數多，專門設置了科技部門，配備有專職科技人員，有1家具有兼職科技人員，其余3家未配置專職或者兼職科技人員，總的來說，由于信息系統全國或全省集中，加之外包服務增多，縣域存在著科技崗位弱化趨勢。

（三）金融機構對信息安全重視程度不高

經過對縣域金融機構的走訪調查，發現主要存在以下幾個問題。一是部分金融機構沒有向當地人民銀行報送計算機信息安全領導小組名單，且只具有形式，沒有真正按要求運作；二是華坪縣域金融機構均未設置專職信息安全員，或者系統管理員和信息安全員都為一個人；三是機房建設不規范，存在部分金融機構機房未獨立設置，基礎設施不全、不規范等情況。通過以上分析，存在基層金融機構對信息安全重視度不夠的安全隱患。

（四）網絡管理水平參差不齊

比如農行信息網絡拓撲結構設計考慮了線路冗余和網絡核心設備冗余，且采用了網絡流量負載均衡技術，網絡結構較為合理；而農村信用社網絡拓撲結構設計有明顯缺陷，盡管廣域網設計考慮了冗余線路，但網絡設備存在單點故障隱患，目前還采取網絡設備發生故障后，再用其他設備去替換的方式，并且網絡設備配置參數未進行備份，這種方式與現代金融的要求明顯存在差距。

（五）金融業信息安全管理的法規依據建設滯后，部分領域存在缺失情況

在金融業信息化飛速發展的今天，部分法規依據還是沿用十幾年前建立的制度，這些規定已難于適應現代金融信息安全規范管理要求，而自助銀行信息系統基礎設施建設還沒有行業級的標準規范等。

三、相關建議

（一）盡快建立縣級銀行業金融機構信息安全協調機制

為增強金融機構對信息安全的重視程度，促進當地人民銀行與金融機構之間金融信息安全溝通協調，加強信息共享、資源共享，進一步提高金融業信息安全保障和應急能力，建立協調機制十分必要，同時還要繼續深化協調機制建設，保證協調機制持續運作。

（二）建議加強金融機構信息安全管理的制度建設

為提高金融信息安全標準化程度，開展信息安全檢查提供強有力的依據，一是以相關法規和制度為依據，制定詳細的金融機構信息安全管理的制度，進一步明確各主體間的法律責任和義務，如制定詳細的信息安全檢查實施細則，統一檢查內容和檢查流程。二是對責任追究制度的細化，就違反的相應事項，明確違反了法規哪一條哪一款，進行量化的處罰，增強約束力和可操作性。

（三）強化對各縣域金融機構信息安全的檢查和指導工作

針對各種金融業務的違法犯罪活動快速增長，信息安全形勢越來越復雜的情況，金融信息安全已成為維護金融穩定工作的一個重要組成部分，為轄區內各金融機構共同維護轄區金融信息安全，做好金融穩定工作，提高金融業信息安全保障和應急工作能力，強化對各縣域金融機構信息安全的檢查和指導工作尤為重要。