數據大集中下基層央行IT風險及控制

【摘要】近幾年來，隨著我國信息化建設的不斷發展，人民銀行逐步實現了業務系統的數據集中。數據大集中后，基層央行科技部門的重點也隨之發生了變化，從以前的系統維護、數據管理轉移到系統的運行管理和網絡管理，基層央行的IT風險點也在變化。本文將結合基層央行實際，概述數據大集中下基層央行的IT主要風險，并提出風險控制的相關建議。

【關鍵詞】數據大集中 IT風險 控制

一、數據大集中下基層央行IT工作現狀

根據人民銀行信息化發展實現應用系統整合和數據共享的總體思路，近幾年來，人民銀行已經先后實現了貨幣金銀管理系統、金融統計調查系統、征信系統、國庫核算類系統、中央銀行會計核算系統等重要業務系統和郵件系統、人事信息系統、防病毒系統等系統的數據集中及整合。數據集中后的基層央行IT系統現狀如下：

（一）中心機房服務器群規模迅速縮小，科技部門系統維護的工作量減少

隨著數據大集中的推進，基層央行撤消了原來的信貸登記系統服務器、國庫類服務器以及中央銀行會計核算類服務器。服務器的撤銷減輕了基層央行科技部門的日常運維、數據管理、系統升級等工作量。

（二）基層央行科技部門的工作重點發生變化

在數據大集中前，基層央行科技部門的主要工作是保障各個重要業務系統的安全穩定運行，在數據大集中后，形成了以總、分行為數據中心的業務格局，各個業務系統的操作通過網絡進行，網絡安全和客戶端安全成了基層央行科技部門的重點工作。

（三）在人民銀行爭先創優背景下，基層央行各業務部門在現有的業務系統體系下結合實踐開發創新系統的需求增加

業務需求不是一層不變的，基層央行業務部門作為業務系統的操作者和實踐者，對業務需求的變化和改進最具發言權。在爭先創優的政策鼓勵下，基層科技部門也會投入更多精力配合業務部門實現創新業務系統的開發。

二、數據大集中下基層央行主要IT風險

數據大集中改變了基層央行IT部門的工作重點，同時也使得IT風險不斷變化。結合基層央行現形勢下的實際工作，基層央行數據大集中后面臨的主要風險有：

（一）IT風險管理工作流于形式

自2007年以來，人民銀行一直在開展信息安全風險評估工作。此項評估要求人民銀行各級機構通過對機房環境、網絡安全、應用安全、保密技術、信息安全管理、安全運維等幾方面進行自查評估并定時整改。整體上來講，信息安全風險評估囊括了人民銀行IT系統的方方面面，從管理、運維、審計等多個角度促進了IT系統的不斷完善。但是，信息安全風險評估執行多年來，已經成為了一項流于形式的考核工作。多數基層央行除了在第一次評估時投入了較多的精力，在一年一度的信息安全基線工作中，沒有認真核實當下信息安全風險點的變化，對IT風險管理工作不夠重視。

（二）網絡安全風險問題突出

數據大集中后基層央行的網絡成了IT部門保障的重點，但就目前來看，基層央行網絡風險問題是IT系統風險中最突出的。

第一，基層央行網絡信息安全意識仍然處于被動的封堵漏洞狀態，網絡監測、防護、響應、恢復和抗擊能力較弱，網絡信息安全防范機制有待提升；

第二，基層央行網絡安全管理水平不高。對于基層央行特別是縣市支行，缺乏專業的網絡管理人員，一方面，網絡維護人員的風險防范意識較差，另一方面，網絡維護人員缺乏網絡安全相關知識的系統培訓，知識結構相對老化，無法正確把握網絡系統中存在的安全問題；

第三，網絡客戶端的安全隱患仍然存在，雖然人民銀行對網絡客戶端實施了病毒防護、軟件補丁升級控制等操作，但是不能防范由于內部人員違規操作、人為破壞等因素造成的網絡風險。

（三）客戶端隱患嚴重

一直以來，基層央行客戶端的操作系統和應用軟件無法正版化是困擾基層央行科技部門的大問題，直至近幾年，總行實施集中采購，操作系統正版化才逐步得到解決。但是客戶端隱患仍然嚴重，舉兩個例子來說，基層央行無法使用正版的WINDOWS7系統，一旦安裝該系統，人民銀行非法外聯系統就會報警，顯示該機器有非法外聯行為；微軟已經停止了對OFFICE2003的技術支持，但基層央行的大部分機器仍然使用該軟件。

（四）新系統開發缺乏控制

由于數據大集中，基層央行業務部門對自身業務的需求大多數是通過本級科技部門開發新系統實現。為了提高系統開發標準化和軟件開發質量，人民銀行科技司發布了《中國人民銀行軟件開發規范V3.3》，作為各級人民銀行科技部門的開發指引。對于基層央行，系統開發存在的主要問題有：科技力量有限，系統開發過程中使用的相關技術可能不符合安全指引；對于有共性需求的小業務，各地存在獨自開發、重復建設的問題；缺乏規范的控制措施檢驗基層央行自行開發的系統。

三、數據大集中下基層央行主要IT風險控制

針對基層央行現階段的主要IT風險，建議主要從制度、人員、監督等幾方面加強控制。

（一）加強風險認識、完善IT風險管理制度

基層央行應該正確認識IT風險，不斷完善IT 風險管理制度。在人民銀行信息安全風險評估的基礎上，制定人員管理、崗位管理、網絡管理、應用管理等多方面的安全管理規范指引，對可能出現的風險問題進行細化并通過完善應急預案來保障IT系統安全。

（二）加大基層央行科技人員培訓力度

基層央行特別是縣市支行的科技力量不足是制約基層央行技術發展的一個瓶頸。基層央行應加強科技人員培訓力度、提高科技人員素質，一方面組織基層科技人員積極參加上級行推廣的業務應用系統培訓，可以及時了解業務系統使用中的風險管理要點，另一方面，上級行定期組織科技專業知識培訓包括網絡管理、安全防范、軟件開發等，及時更新基層科技人員的知識結構，增強技術人員發現安全問題并處理問題的能力，適應央行信息化發展的工作需求。

（三）上級部門加強指引和監督

在數據大集中下，總行的軟件開發規范、分行的網絡運行管理規定等都是對基層央行IT技術管理的有效指引。除了將指引通過文件形式下發到基層央行外，上級行應該建立獎懲制度，通過審核、監督等行為督促基層央行實現IT風險有效管理，使得規范、指引落實到位。同時上級部門也可以通過調研、實地考察等手段收集基層央行IT風險工作中的要點、難點，提供合理的建議幫助基層央行解決IT風險問題。

作者簡介：周丹（1982-），女，任職于中國人民銀行宜昌市中心支行，初級工程師，研究方向：網絡。