基層銀行業金融機構網絡安全形勢初探

龔利明

摘要：當前銀行業信息化正處于高速發展的新階段，網絡安全也面臨更加復雜、多變、隱蔽的嚴峻形勢。對于技術能力相對薄弱的基層銀行業金融機構，如何在確保數據安全和業務連續性的前提下，做好網絡安全管理工作，是一個非常值得探討的課題。本文結合筆者多年的基層管理工作經驗，分析當前形勢、指出存在的不足、提出解決方案，為今后更好的落實銀行業金融機構網絡安全管理工作提供思路。

關鍵詞：基層 金融機構 網絡安全

基層銀行業金融機構是金融行業不可或缺的重要組成部分，是普惠金融的直接參與者和提供者。在當前網絡時代背景下，絕大部分金融服務都需要網絡技術提供支撐，為確保業務連續性和安全性，網絡安全顯的尤為重要。

一、基礎銀行業金融機構網絡安全總體概況

中國人民銀行金華市中心支行作為中國人民銀行的派出機構，積極貫徹落實相關金融行業網絡安全監管要求，加強等級保護和網絡安全評價，督促各銀行業金融機構不斷加強網絡安全管理工作，提升業務連續性保障水平。近見年轄區內未發生重大網絡安全事故。

（一）領導重視，加大科技投入

各銀行業金融機構進一步提高對網絡安全工作的重視，繼續加強對網絡安全工作的支持力度，保障相關經費和資源投入。地方法人銀行投入資金建設“兩地三中心”，其中浙江稠州商業銀行完成生產數據中心和災備數據中心“雙活”架構改造，極大提升容災能力，相關工作獲得2015年度銀行科技發展獎三等獎;金華銀行異地新建生產機房。在隊伍建設方面，金華銀行新增信息安全管理崗、配置管理崗、測試管理崗等多個重要崗位;農業發展銀行金華市分行將科技部門單獨分開，成立了獨立的科技隊伍，有效保障全行的網絡安全工作。

（二）架構管控，確保規劃先行

各銀行業金融機構結合業務發展需求，提前規劃，不斷完善技術架構，為業務發展提供堅實的基礎設施支撐。金華銀行通過修訂信息科技規劃，進一步明晰IT治理、組織架構、IT基礎設施架構、應用系統架構等方面的遠景藍圖和實施路線圖;順利完成了核心網絡改造，增加網絡冗余，消除了核心網絡的單點故障安全隱患，提高了網絡系統的安全性;在強化永康數據災備中心的基礎上，基本完成白龍橋數據中心機房建設工作。浙江稠州商業銀行為實現“雙活”的高可用性，在兩個重要機房間部署了波分設備，實現了核心系統的“雙活”甚至“多活”模式。成泰農村合作銀行、省聯社金華辦事處為降低系統風險，與廣電簽訂合同租用廣電機房作為同城災備中心，有效提升了重要系統安全性。

（三）部署系統，完善安全措施

在安全防范方面，大部分銀行業金融機構能根據監管要求，在準入控制、病毒防范、網絡監控等環節，采取不同的技術手段，確保信息安全。工商銀行金華分行實施和推進了工行客戶端管理系統、服務器多網卡聚合、趨勢防病毒系統等網絡安全防護項目;中國銀行金華分行將所有辦公網計算機使用域功能進行接入認證，同時將所有設備進行了IP、MAC地址綁定，并對空閑端口進行了關閉，極大地提高了網絡及信息系統的安全保障及信息防泄漏保護能力;浦東發展銀行金華分行通過域功能，實現對客戶端的準入控制和非授權使用;金華銀行部署了內網安全威脅偵測設備，有效降低了網絡風險事件發生，部署了內網管理軟件，禁止非授權的應用程序運行，部署了LANDESK系統，杜絕外來移動存儲介質的使用;浙江稠州商業銀行應用系統數據庫口令通過運維審計系統進行了有效管理。

（四）加強檢查，落實管理職能

各銀行業金融機構基本能落實對所轄分支機構的網絡安全管理職能，定期開展對下屬機構的網絡安全檢查。

（五）開展培訓，提高安全意識

為提高科技人員的業務水平及員工的網絡安全意識，各銀行業金融機構采取多種渠道進行網絡安全培訓工作。金華銀行派員參加數據網絡運維培訓、系統安全培訓、中心運維管理培訓、oracle數據庫知識培訓，多人次通過全國計算機技術與軟件專業技術資格考試、oracle OCP論證考試、信息化工程師考試;在業務操作層面，采取出試卷、納入柜員理論考試題庫等培訓手段，形成網絡安全教育和培訓的常態化機制。中國銀行金華分行部署了網上課程系統，集聽課、提問、討論為一體，并可直接在線參與，有效提升全行員工的網絡安全意識。

二、基層銀行業金融機構網絡安全管理工作存在的不足

（一）機構設置和人員配備不夠到位

在科技管理部門設置上，部分銀行業金融機構未設立專職科技管理部門，科技管理工作隸屬綜合管理部、辦公室等部門;在科技人員配備上，多家機構科技人員多年未進行充實和更新，人員老化嚴重;個別股份制商業銀行和城市商業銀行的分行科技力量薄弱，僅配備2名及以下科技人員的機構有7家;個別機構未成立網絡安全領導小組;大部分機構未配備安全管理員。

（二）網絡安全基礎設施存風險隱患

部分銀行業金融機構仍在基礎設施上存在安全盲區，主要問題表現為：機房布局不合理，機房門禁設施不完善;機房采用市電單路供電，未配備備用發電機，機房供電缺少發電機接入裝置;機房未采用UPS雙路供電，UPS維護不夠完善，UPS供電時間過短;機房消防設施不完善如未配置機房專用手動滅火器和氧氣呼吸器，未配置機房專用自動滅火系統;未配備浪涌電壓吸收裝置，未進行年度防雷檢測;未部署運維監控系統，機房無防漏水、防鼠等防范措施;未對機房進行風險評估和應急演練。

（三）網絡安全管理不到位

部分銀行業金融機構存在網絡建設外包管理缺失、無入侵檢測措施、無非法外聯監控、無專用的網管軟件對網絡運行狀態進行監測、部分網絡設備安全配置與對應等保定級要求不符等情況;個別機構核心網絡設備使用年限過長，個別機構網絡規劃存在單點故障風險。

（四）應急管理不完善

個別銀行業金融機構未開展應急預案修訂，部分應急處理流程及恢復流程缺乏可操作性，可能影響在發生應急事件時做出正確處置措施。

（五）管理措施不到位

個別銀行業金融機構重大事件報告流程不夠完善，不能在出現重大事件時做出及時響應，從而有效降低風險事件等級;未制定涉密管理制度;未建立移動存儲介質管控體系;大堂中存在裸露信息點，無法對外來設備做出有效控制，可能引發泄密事件;客戶端安全管理不夠嚴格，如未對計算機屏保、賬戶密碼、審計策略進行設置。

三、提升基層銀行業金融機構網絡安全水平的對策建議

（一）樹立正確的風險意識

網絡安全與風險管理是一個永恒的話題，需要持續要求銀行業金融機構科技人員樹立正確的風險意識，高度統一思想認識。一是要加強縱向聯動。隨著IT系統化的發展，IT系統的各級使用者都要承擔自身的網絡安全職責，加強其風險意識和防范意識尤為重要。二是加強橫向聯系。加強與人民銀行等監管部門的聯系，發現問題及時報告，通過監管部門切實提高轄內金融機構的橫向聯動，防范區域性金融風險。

（二）落實重要崗位的人員配備

銀行業金融機構要重視IT人員配備，按照相關要求對重要崗位人員進行定員、定崗、定責，落實重要崗位人員A、B角制度并定期進行輪崗，提高事件應急處理的效率。一是要確保關鍵崗位的人員配置，尤其是網絡管理員、系統管理員等;二是要落實B崗職責，要求各銀行業金融機構切實重視B崗人員的能力培養，通過定期培訓、業務交流、定時輪崗等策略確保重要崗位人員均能勝任崗位要求，落實崗位責任。

（三）制定切實可行的應急方案

應急預案是在風險或意外情況發生時的應急處置流程，直接與風險處置結果相關，重要性不言而喻。要求各銀行業金融機構高度重視應急管理，制定切實可行，符合實際的應急方案，定期對應急方案進行演練、評估，及時發現應急方案中存在的問題，著重對應急聯系人、應急資源等內容進行修訂更新，確保應急演練方案真實可行。應急方案作為應急事件發生時的操作依據，不能照搬照套上級行的，須按照本地實際情況進行完善。要有較強的實際性和可操作性，要有明確的應急流程，處置步驟，相關應急人員，應急資源列表，應急聯絡方式等。應敢于按照應急方案進行實戰演練，不能只簡單的流于形式，確保應急事件發生時能迅速準確的將事件處理完善。

（四）加強網絡安全的規范管理

各銀行業金融機構要進一步規范網絡安全管理工作，細化網絡安全管理規范，嚴格按照規范做好網絡安全保障工作。一是加強保密管理，要建立完善的保密管理制度，加強對移動存儲介質的管控，有外包服務的機構要加強對外包商資質、保密協議的審核，及外包商機構變化情況監測等等外包服務管理;二是加強對機房、供電、重要網絡設備的日常巡檢工作，發現問題及時解決;三是認真做好等級保護工作，按照等保標準，做好備案及測評工作，嚴格落實網絡安全規范管理;四是建立規范的變更審批制度，做好信息系統變更的審批報備等工作，杜絕隨意性，系統變更操作選擇在非業務或業務低峰時間;五是建立完善的網絡安全檔案，對各環節的網絡安全資料做好梳理，匯編成冊便于查閱。

（五）統籌研究網絡安全行業監管措施

隨著信息技術的不斷深入應用，防范網絡安全威脅成為當下金融行業科技工作的重要內容之一。需要思考以下三方面的工作，一是組織研究可操作強的行業監管措施;二是為提高監管效果，在人民銀行分支行設置專職行業網絡安全監管部門或監管崗位;三是加強對基層行業管理人員的技能培訓。

參考文獻：

[1]馬國勝.對地方法人金融機構信息安全管理的難點分析[J].金融科技時代，2017年第5期.

[2]陳慶來.網絡安全精細化管理實踐[J].金融電子化，2017年8期.

[3]路萬里.網絡安全技術在網絡安全維護中的應用探討[J].網絡安全技術與應用，2019年3期.

（作者單位：中國人民銀行金華市中心支行）