數據集中后基層央行信息安全工作的現狀及對策

2017-06-05 14:19:51楊勝基嚴弘宇

審計與理財 2017年5期

■楊勝基嚴弘宇

■楊勝基嚴弘宇

近年來中國人民銀行逐步取消地市級數據服務器，逐步實現數據集中遠程存儲。數據集中對數據管理、備份和網絡穩定性、實時性提出了更高的要求，深刻影響了基層央行風險管理工作。目前在撫州市中支機關有各類電子設備600多臺，已推廣應用了四大類 100多個計算機應用系統，覆蓋了人民銀行所有的業務，對基層央行的科技運維能力提出了更高更新的要求。目前信息系統的運行維護成為基層央行信息安全工作的核心。

一、數據集中后基層央行信息安全的現狀

1.科技運維和科技管理能力不足。

首先，表現在基層行科技人員數量明顯不足。按工作量測算，地市中支配備科技人員的合理人數應在 7～9人。實際上大多數地市中支科技人員嚴重不足，有的科技部門還要承擔許多非技術工作。以撫州市中支為例：科技科應設有科技管理、綜合、信息安全、網絡管理、軟件運維、硬件維護六個崗位。實際上主要科技人員只有4人，每個科技人員都身兼數職，人均負責二十多個系統的運行，人均維護設備上百臺，工作量相當飽和。從轄內縣支行看，幾乎沒有專兼職的科技人員。應由支行科技人員承擔的網絡系統和業務系統的運維管理，基本要靠中心支行。近幾年，雖然通過各種培訓使得業務部門科技協管員的計算機信息安全意識和計算機應用水平有了一定程度的提高，但是“等、靠”思想和“多一事不如少一事”的想法仍比較普遍，科技人員疲于奔命，常常扮演救火隊員角色，沒有時間和精力去做些前瞻性和開拓性的工作，處于被動運維狀態。致使一些隱蔽的安全隱患仍然存在。其次，表現在基層行科技人員業務水平有待提高。隨著信息技術發展，新技術新知識更新極快，信息技術用一日千里來形容毫不夸張。目前，基層行普遍存在科技人員青黃不接的狀況。以撫州市中支為例：老科技人員年齡在 42歲以上，新科技人員年齡在 25歲以下，年齡跨度近 20歲，一定程度上存在斷層。一方面，新入行科技人員在大學學習的專業普遍比較寬泛，操作性和針對性不強，與人民銀行現有應用技術差別很大，需要較長時間去熟悉人民銀行科技業務。新入行科技人員在相當長時間內都處于熟悉摸索階段，很難獨當一面，對比較復雜的人民銀行業務系統的運維能力明顯不足。第三，基層行科技人員溝通協調能力不足。數據集中后，基層央行科技工作除了要保障信息系統的安全穩定運行以外，還要把信息科技工作點前移，變被動的技術保障為主動業務創新。因此要求科技人員不僅要有主動熱情的服務態度，還要具備與業務科室溝通協調能力。但是基層行科技人員往往對業務不夠熟悉，對業務經辦類的信息系統不能有效的輔導和管理，形成業務操作與科技應用的脫節，更談不上主動創新了。

2.應對突發事件應急響應能力不足。

首先，隨著數據大集中，系統運行模式有很大改變，信息系統的架構變得更加復雜，涉及面更加廣泛。尤其像大小額支付系統等實時系統一旦出現故障，單靠基層行科技人員是很難及時發現故障原因和解決問題的，必須借助上級行甚至總行的力量才能解決，基層央行科技部門應對能力就相對削弱了。

其次，地市中支目前逐步采用一些技術手段來幫助提高運維能力，諸如 IT環境監控系統、信息系統運維監控系統等技術手段的應用對加強用戶端計算機、機房環境、網絡實行有效地監控和管理，發揮了積極作用，但是在縣支行還是主要依靠人工巡查等手段進行監控，不能及時發現問題。

第三，基層央行信息系統應急預案制定大多參照上級行，與基層行真實環境有較大的差距。由于數據集中，大量應用系統應急演練需要省會中支甚至總行的配合才能完成，基層行獨自演練意義不大，往往采取紙上推演的形式，容易流于形式。缺乏有效的應急演練，使得基層行對突發事件的應對能力不足。

3.信息安全培訓教育工作不足。

總行推廣應用的業務系統由于種種原因普遍存在“重系統推廣、重業務培訓、輕技術培訓”的狀況，對系統背景知識和背景技術介紹很少，偶爾通過電視會議系統簡單說明下，深度不夠。在近幾年總行大規模推廣、升級更新系統的情況下，幾乎沒有組織過集中培訓，明顯滯后于形勢發展。基層行科技人員在日常超負荷工作，加班加點是家常便飯的情況下，指望單靠業余時間自學來全面提高自身技能成為幾乎不可能完成的任務，造成基層行科技人員技術知識儲備嚴重不足。

二、數據集中后加強基層央行信息安全管理的建議

數據集中后，幾乎沒有重要系統軟件開發任務，重要系統服務器和應用系統管理職能也上移了，地市中支要認真研究在后集中時代如何更好地發揮科技工作的管理、服務和保障職能，確保信息系統的安全。

1.建立上下聯動、橫向到邊的運維平臺。

設立技術支持中心，統一管理和指導信息系統的運行維護工作，形成中支機關與縣支行、科技部門與業務部門之間的應急聯動機制。利用內聯網絡，建立在線服務中心，基層用戶可以隨時反饋需求，科技人員及時響應，提高工作效率。在內聯網上建立技術支持平臺，科技人員對各類運維事件、常見問題進行全面采集記錄，為全行員工提供技術維護經驗的交流平臺，借助這一平臺實現故障自助處理，達到減少科技人員維護量，實現運行維護工作的智能化。要根據集中業務的實時性強、安全要求高的需要，建立起一套預防為主的主動工作方式。把業務系統運維的重心前移，以“積極預防，強化運維”為抓手，以網絡保障、信息安全為工作重點，建立日常業務運行監控體系，不斷在保障系統穩定性和安全性上下功夫。

2.完善應急預案，提升響應能力。

制訂切實可行的網絡故障應急方案，努力降低網絡突發故障給業務帶來的影響。重視網絡運行各環節的實時熱備份體系建設，尤其是廣域網、局域網線路和核心路由器、核心交換機的熱備份，保證網絡在出現故障情況下能夠實時切換。首先，保證所有重要業務系統實現雙機備份；其次，對計算機系統的所有軟件包括操作系統、應用系統和數據庫系統進行可靠的備份，并且要確保備份的是最新數據并適時切換演練；第三，建立業務數據的集中異地備份，添置專用的數據備份服務器，盡可能實現各種業務數據的自動備份：第四，采用雙回路、UPS、白備發電機等方式實現電力供應備份。數據集中后，也不能把備份數據的壓力全部推給兩級數據中心。條件允許的情況下，基層行科技部門應督促配合業務部門按要求繼續做好本地數據備份，實施多種方式的備份。實施網絡管理人員的A、B角負責制，確保任何情況下網絡人員不能缺崗。認真進行網絡系統和設備的維護，定期或不定期地對設備進行徹底的檢查，對備份設備和主、備線路進行全面的測試，加強和通訊運營商的溝通聯系，確保主、備線路的運行質量。通過日常維護和檢查，提升應急響應能力。

3.加大風險識別，重視預警防范。

對各部門計算機協管員、業務操作和管理人員加大培訓宣傳力度，提高其計算機應用水平，增強全行人員計算機信息安全的意識，促使其嚴格執行各項管理規定。充分發揮現有計算機信息安全產品的作用，建立多系統聯動體系。首先，針對辦公、資金、視頻等不同業務劃分不同VLAN，實施不同的訪問控制策略，嚴格區分，分道傳輸。在此基礎上，充分利用防病毒系統、補丁分發系統、入侵檢測系統、非法外聯檢測系統、CAMS端點準入控制、移動存儲介質管理系統、網管系統等作用，依托網管軟件、運維監控軟件以及桌面安全管理系統“三位一體”，層層把控，處處設防，通過建立多系統聯動體系，來提升系統故障早期發現能力。定期對計算機尤其運行集中業務的計算機進行安全檢查，按照“誰主管誰負責，誰運營誰負責”的原則，落實每個系統、每臺設備的安全領導責任制、安全維護責任制、安全使用責任制。對計算機系統采取人力檢查與應用桌面安全管理系統等技術手段相結合的方式，“日巡查、周自查、季檢查”。對發現的隱患，采取電話通知、下書面整改通知書、直至追究責任等形式，力爭把安全隱患消滅在萌芽狀態。

4.強化教育培訓，提升綜合素質。

基層行科技隊伍決不僅僅單純指科技部門人員，而應該包括科技部門專業人員和業務部門科技協管員。首先，要注重科技部門人員梯度結構，在注重人員素質基礎上逐年配置合適人員，同時把合適的科技人員交流到業務部門，“鐵打的營盤，流水的兵”，把科技部門當做基層行科技專業的黃埔軍校。其次，基層行要根據自身業務需要，加強對本行科技人員和科技協管員的技術培訓，特別是網絡知識和信息安全知識的培訓。第三，上級行科技部門要為中支科技部門人員提供更多接觸新知識、新技術的學習提高機會，強制要求基層行科技人員每年必須參加不少于一次的集中培訓考核，以不斷提高其維護水平和業務技能。科技人員也要克服自身弱點，利用維護、講課等方式強化協調溝通能力。第四，基層行要結合人民銀行績效考評辦法，建立和完善科技考核制度，制定和實施激勵機制，對科技管理和計算機安全工作做得好的科技人員給予科技貢獻獎。第五，要開展形式多樣的全員培訓，全面提高員工的計算機應用能力和安全意識。合理調配人力資源，要把以前用于科技開發的科技力量收回來，把更多的人力資源分配到科技管理和科技服務的一線，進一步增強科技管理和科技服務的力量。

（作者單位：中國人民銀行撫州市中心支行、中國人民銀行南豐縣支行）