人民銀行計算機系統風險及防控建議

丁建軍

在當今社會科學不斷革新的大背景下，計算機領域變化日新月異，新技術新平臺日漸成熟，為我們的工作提供了空前的便利。隨著人民銀行信息自動化系統的推廣應用，各基層行現代化辦公水平不斷提高，如何有效防范計算機系統風險已然成為一個重要課題。2017年勒索病毒的大規模爆發，在全球數百個國家瘋狂肆虐醫院、教育等領域，造成了不可估量的經濟損失，如何維護計算機系統安全，更是得到了全民真正意義上的關注，被擺到了更高的研究位置。本文通過剖析人民銀行基層計算機系統的現狀，總結存在的安全風險及隱患，并針對性提出防控建議。

一、計算機系統管理現狀

（一）科技人員配備不足

結合本地區兄弟行的實際情況，崗位設置與人員不足之間的矛盾沖突明顯。科技科配備人數未能達到標準要求的專人專崗人數，存在兼崗、聘請臨時工上崗工作的現象。部分科技工作者甚至沒有經過專門的技術培訓，就承擔起了電腦安全管理、業務網系統維護、軟件升級、資產管理等工作，大量工作容易導致力不從心、顧此失彼的情況發生。

（二）制度體系建設不完善

當今世界計算機領域發展迅速，人民銀行基層部門制度建設方面，存在明顯的滯后現象，計算機安全管理制度和應急處置流程等不能夠有效的涵蓋全部業務領域，存在著一定的安全風險點。

（三）硬件設施不健全

經過排查，部分地區中支在硬件設施建設上存在很多短板弱項，大多數單位仍然使用手動滅火設備，未安裝消防自動報警系統；部分單位只有建筑物防雷，沒有重要設備及重要線路的二、三級防雷；有些中支UPS保養不當等問題屢見不鮮，未配備雙路供電；部分中支網絡關鍵設備老舊，存在過保繼續使用的情況。

二、計算機系統風險產生的原因

（一）專業人員技術不過硬增加操作風險

當前科技部門業務發展迅速，由于專業培訓沒有達到全員額要求，部分科技人員業務水平不過硬，難以滿足業務發展需求，在很大程度上增加了一手工作者的操作風險隱患。具體到部分支行的科技工作人員配備不齊全，相關業務工作人員缺乏計算機安全方面的知識，無法進行針對性的系統安全檢查，也不能對本單位計算機系統的安全狀況作出客觀的分析，這就導致計算機運行過程中存在的風險隱患無法及時發現并解決。

（二）制度體系建設不完善帶來風險隱患

目前，部分中支計算機安全管理制度體系建設還不夠完善，部分重要業務系統未建立相應的風險防控應急處置預案，在重要業務系統出現突發狀況時，沒有整套系統的處理措施，導致特情處置不及時，影響業務的正常開展。此外，部分中支計算機安全管理崗位人員安排其他部門人員兼職，人員配備上存在一定的局限性，也給制度的執行帶來了相當大的難度，導致某些內控制度形同虛設。

（三）安全意識薄弱埋下安全隱患

部分中支業務工作人員對計算機系統安全的重要性認識不夠全面，安全意識相對薄弱，掌握計算機系統風險防控的知識就更加難以說起，業務部門普遍存在對計算機安全管理工作講得多、落實少，抓計算機安全工作沒有重點和針對性，導致計算機安全事故時有發生。

（四）系統應用及不規范維護暗存風險

各工作人員在使用業務網時不設置系統密碼，對相應的重要文檔沒有加密，有些沒有實現崗位互控的作用，當長時間離機時沒有強制簽退等功能。系統維護方面，存在某些老舊程序只能在xp系統上運行和特定程序在專崗計算機上安裝的情況，由于人員變動等原因備份工作為未及時跟上，有的甚至安裝資料不齊全，一旦出現故障維護起來十分困難，給業務系統帶來極大的安全風險。

（五）缺乏行之有效的內控監管，導致業務人員操作不規范

管理人員與非管理人員的權限仍界定不清，沒有全面系統的監管，部分業務人員未按規章制度操作，存在密碼使用混亂的現象，例如系統操作員、管理員的分工沒有明確的權限設置，操作員之間賬號混用，密碼不能及時更換，都為業務系統埋下了安全隱患。

三、防控風險點的對策建議

（一）統一全員思想認識

“計算機安全是用百分之九十九的努力去堵百分之一的漏洞。”各級人民銀行要高度重視計算機系統安全管理工作，積極成立由分管行領導為組長，各部門負責人為成員的計算機系統安全管理領導小組，按照相關要求將本行的計算機安全工作落實到位，定期組織開展全行人員計算機安全技能培訓，找準本單位存在的風險隱患，及易發生問題的重點部位和重要環節，針對性制定安全防范措施，確保工作有章可循。通過組織全員自上而下簽訂責任書，引導各類人員認識到計算機安全工作的重要性，統一思想、責任到人，形成大事大抓的強勁態勢和思想共識。

（二）強化骨干隊伍建設

人是落實計算機安全工作的核心和關鍵，強化骨干隊伍需要從以下三個方面下功夫。一是要重點突出“思想政治”、“職業道德”、“法律法規”三個方面教育灌輸，引導廣大員工樹立正確的風險防范意識，不斷提高自身政治素養、道德水準和法律意識，持續強化自我約束能力，從思想上筑起預防計算機風險的防火墻。二是要不斷深化風險防控技能培訓，培訓工作從處置計算機風險能力、業務操作人員操作水平和防范計算機風險綜合能力、全行員工計算機理論及操作水平三個方面持續用力，力爭有所提高。三是拓寬人才培養渠道，按照“引進來、走出去”的思路，上級部門應積極提供人才交流途徑，重視基層行科技人員的引進和業務能力培養，以進一步保障計算機安全管理的需求。

（三）完善工作管理制度

從數據分析和原因剖析中得出，計算機系統安全事故很大程度上是由于管理制度不健全、操作流程不合規、缺乏行之有效的監管措施，不斷完善和細化計算機安全管理制度、嚴防違規操作風險是保證計算機安全的重要保障。一是全面系統梳理存在的漏洞隱患，針對計算機系統的更新換代，對現有的安全管理制度中存在的不足和漏洞進行梳理和完善，明確每個崗位的職責要求和考核標準，使日常的各項工作有章可循，增強制度的可操作性。二是嚴格落實規定和一手操作，加強內控制度落實，明確崗位權限和職責劃分，嚴禁越權違規操作；加強系統資料的維護與管理，實行所有系統軟件資料由科技部門集中統一管理，嚴格按審批流程開展系統運維工作，減少因資料泄露導致的風險隱患；加強要害崗位管理，落實崗位輪換和強制休假制度；加強重要系統數據備份和應急機制，對運行重要業務系統的服務器和數據存儲設備實行同型號雙機備份，定期對系統數據進行備份和異地存放，保證數據信息安全性和完整性。三是加大計算機信息安全檢查力度，各中支計算機安全領導小組應定期組織開展行內計算機信息安全檢查，及時發現存在的問題，消除安全隱患，嚴肅查處違規操作行為。

（四）拓寬技術防范手段

技術防范是計算機安全工作的重要環節。豐富技術手段要加大科技投入力度，重點從消防、防雷、UPS供電等三個方面改善基礎硬件設施，突出計算機加密技術、訪問控制技術、防火墻技術、病毒防治技術和監控技術四個技術的發展和使用，多方位筑牢計算機安全防范屏障，切實防范和保障計算機安全。

（五）加強安全監管力度

各級人民銀行應將計算機安全列為監督檢查的重要內容之一，進一步加強監管力度，建立完善的計算機風險預警機制和安全防范體系，保障計算機各類應用系統安全平穩運行。endprint