數(shù)據(jù)集中后基層央行信息安全工作的現(xiàn)狀及對(duì)策

■楊勝基 嚴(yán)弘宇

數(shù)據(jù)集中后基層央行信息安全工作的現(xiàn)狀及對(duì)策

■楊勝基 嚴(yán)弘宇

近年來(lái)中國(guó)人民銀行逐步取消地市級(jí)數(shù)據(jù)服務(wù)器，逐步實(shí)現(xiàn)數(shù)據(jù)集中遠(yuǎn)程存儲(chǔ)。數(shù)據(jù)集中對(duì)數(shù)據(jù)管理、備份和網(wǎng)絡(luò)穩(wěn)定性、實(shí)時(shí)性提出了更高的要求，深刻影響了基層央行風(fēng)險(xiǎn)管理工作。目前在撫州市中支機(jī)關(guān)有各類電子設(shè)備600多臺(tái)，已推廣應(yīng)用了四大類 100多個(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)，覆蓋了人民銀行所有的業(yè)務(wù)，對(duì)基層央行的科技運(yùn)維能力提出了更高更新的要求。目前信息系統(tǒng)的運(yùn)行維護(hù)成為基層央行信息安全工作的核心。

一、數(shù)據(jù)集中后基層央行信息安全的現(xiàn)狀

1.科技運(yùn)維和科技管理能力不足。

首先，表現(xiàn)在基層行科技人員數(shù)量明顯不足。按工作量測(cè)算，地市中支配備科技人員的合理人數(shù)應(yīng)在 7～9人。實(shí)際上大多數(shù)地市中支科技人員嚴(yán)重不足，有的科技部門還要承擔(dān)許多非技術(shù)工作。以撫州市中支為例：科技科應(yīng)設(shè)有科技管理、綜合、信息安全、網(wǎng)絡(luò)管理、軟件運(yùn)維、硬件維護(hù)六個(gè)崗位。實(shí)際上主要科技人員只有4人，每個(gè)科技人員都身兼數(shù)職，人均負(fù)責(zé)二十多個(gè)系統(tǒng)的運(yùn)行，人均維護(hù)設(shè)備上百臺(tái)，工作量相當(dāng)飽和。從轄內(nèi)縣支行看，幾乎沒(méi)有專兼職的科技人員。應(yīng)由支行科技人員承擔(dān)的網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)的運(yùn)維管理，基本要靠中心支行。近幾年，雖然通過(guò)各種培訓(xùn)使得業(yè)務(wù)部門科技協(xié)管員的計(jì)算機(jī)信息安全意識(shí)和計(jì)算機(jī)應(yīng)用水平有了一定程度的提高，但是“等、靠”思想和“多一事不如少一事”的想法仍比較普遍，科技人員疲于奔命，常常扮演救火隊(duì)員角色，沒(méi)有時(shí)間和精力去做些前瞻性和開拓性的工作，處于被動(dòng)運(yùn)維狀態(tài)。致使一些隱蔽的安全隱患仍然存在。其次，表現(xiàn)在基層行科技人員業(yè)務(wù)水平有待提高。隨著信息技術(shù)發(fā)展，新技術(shù)新知識(shí)更新極快，信息技術(shù)用一日千里來(lái)形容毫不夸張。目前，基層行普遍存在科技人員青黃不接的狀況。以撫州市中支為例：老科技人員年齡在 42歲以上，新科技人員年齡在 25歲以下，年齡跨度近 20歲，一定程度上存在斷層。一方面，新入行科技人員在大學(xué)學(xué)習(xí)的專業(yè)普遍比較寬泛，操作性和針對(duì)性不強(qiáng)，與人民銀行現(xiàn)有應(yīng)用技術(shù)差別很大，需要較長(zhǎng)時(shí)間去熟悉人民銀行科技業(yè)務(wù)。新入行科技人員在相當(dāng)長(zhǎng)時(shí)間內(nèi)都處于熟悉摸索階段，很難獨(dú)當(dāng)一面，對(duì)比較復(fù)雜的人民銀行業(yè)務(wù)系統(tǒng)的運(yùn)維能力明顯不足。第三，基層行科技人員溝通協(xié)調(diào)能力不足。數(shù)據(jù)集中后，基層央行科技工作除了要保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行以外，還要把信息科技工作點(diǎn)前移，變被動(dòng)的技術(shù)保障為主動(dòng)業(yè)務(wù)創(chuàng)新。因此要求科技人員不僅要有主動(dòng)熱情的服務(wù)態(tài)度，還要具備與業(yè)務(wù)科室溝通協(xié)調(diào)能力。但是基層行科技人員往往對(duì)業(yè)務(wù)不夠熟悉，對(duì)業(yè)務(wù)經(jīng)辦類的信息系統(tǒng)不能有效的輔導(dǎo)和管理，形成業(yè)務(wù)操作與科技應(yīng)用的脫節(jié)，更談不上主動(dòng)創(chuàng)新了。

2.應(yīng)對(duì)突發(fā)事件應(yīng)急響應(yīng)能力不足。

首先，隨著數(shù)據(jù)大集中，系統(tǒng)運(yùn)行模式有很大改變，信息系統(tǒng)的架構(gòu)變得更加復(fù)雜，涉及面更加廣泛。尤其像大小額支付系統(tǒng)等實(shí)時(shí)系統(tǒng)一旦出現(xiàn)故障，單靠基層行科技人員是很難及時(shí)發(fā)現(xiàn)故障原因和解決問(wèn)題的，必須借助上級(jí)行甚至總行的力量才能解決，基層央行科技部門應(yīng)對(duì)能力就相對(duì)削弱了。

其次，地市中支目前逐步采用一些技術(shù)手段來(lái)幫助提高運(yùn)維能力，諸如 IT環(huán)境監(jiān)控系統(tǒng)、信息系統(tǒng)運(yùn)維監(jiān)控系統(tǒng)等技術(shù)手段的應(yīng)用對(duì)加強(qiáng)用戶端計(jì)算機(jī)、機(jī)房環(huán)境、網(wǎng)絡(luò)實(shí)行有效地監(jiān)控和管理，發(fā)揮了積極作用，但是在縣支行還是主要依靠人工巡查等手段進(jìn)行監(jiān)控，不能及時(shí)發(fā)現(xiàn)問(wèn)題。

第三，基層央行信息系統(tǒng)應(yīng)急預(yù)案制定大多參照上級(jí)行，與基層行真實(shí)環(huán)境有較大的差距。由于數(shù)據(jù)集中，大量應(yīng)用系統(tǒng)應(yīng)急演練需要省會(huì)中支甚至總行的配合才能完成，基層行獨(dú)自演練意義不大，往往采取紙上推演的形式，容易流于形式。缺乏有效的應(yīng)急演練，使得基層行對(duì)突發(fā)事件的應(yīng)對(duì)能力不足。

3.信息安全培訓(xùn)教育工作不足。

總行推廣應(yīng)用的業(yè)務(wù)系統(tǒng)由于種種原因普遍存在“重系統(tǒng)推廣、重業(yè)務(wù)培訓(xùn)、輕技術(shù)培訓(xùn)”的狀況，對(duì)系統(tǒng)背景知識(shí)和背景技術(shù)介紹很少，偶爾通過(guò)電視會(huì)議系統(tǒng)簡(jiǎn)單說(shuō)明下，深度不夠。在近幾年總行大規(guī)模推廣、升級(jí)更新系統(tǒng)的情況下，幾乎沒(méi)有組織過(guò)集中培訓(xùn)，明顯滯后于形勢(shì)發(fā)展。基層行科技人員在日常超負(fù)荷工作，加班加點(diǎn)是家常便飯的情況下，指望單靠業(yè)余時(shí)間自學(xué)來(lái)全面提高自身技能成為幾乎不可能完成的任務(wù)，造成基層行科技人員技術(shù)知識(shí)儲(chǔ)備嚴(yán)重不足。

二、數(shù)據(jù)集中后加強(qiáng)基層央行信息安全管理的建議

數(shù)據(jù)集中后，幾乎沒(méi)有重要系統(tǒng)軟件開發(fā)任務(wù)，重要系統(tǒng)服務(wù)器和應(yīng)用系統(tǒng)管理職能也上移了，地市中支要認(rèn)真研究在后集中時(shí)代如何更好地發(fā)揮科技工作的管理、服務(wù)和保障職能，確保信息系統(tǒng)的安全。

1.建立上下聯(lián)動(dòng)、橫向到邊的運(yùn)維平臺(tái)。

設(shè)立技術(shù)支持中心，統(tǒng)一管理和指導(dǎo)信息系統(tǒng)的運(yùn)行維護(hù)工作，形成中支機(jī)關(guān)與縣支行、科技部門與業(yè)務(wù)部門之間的應(yīng)急聯(lián)動(dòng)機(jī)制。利用內(nèi)聯(lián)網(wǎng)絡(luò)，建立在線服務(wù)中心，基層用戶可以隨時(shí)反饋需求，科技人員及時(shí)響應(yīng)，提高工作效率。在內(nèi)聯(lián)網(wǎng)上建立技術(shù)支持平臺(tái)，科技人員對(duì)各類運(yùn)維事件、常見問(wèn)題進(jìn)行全面采集記錄，為全行員工提供技術(shù)維護(hù)經(jīng)驗(yàn)的交流平臺(tái)，借助這一平臺(tái)實(shí)現(xiàn)故障自助處理，達(dá)到減少科技人員維護(hù)量，實(shí)現(xiàn)運(yùn)行維護(hù)工作的智能化。要根據(jù)集中業(yè)務(wù)的實(shí)時(shí)性強(qiáng)、安全要求高的需要，建立起一套預(yù)防為主的主動(dòng)工作方式。把業(yè)務(wù)系統(tǒng)運(yùn)維的重心前移，以“積極預(yù)防，強(qiáng)化運(yùn)維”為抓手，以網(wǎng)絡(luò)保障、信息安全為工作重點(diǎn)，建立日常業(yè)務(wù)運(yùn)行監(jiān)控體系，不斷在保障系統(tǒng)穩(wěn)定性和安全性上下功夫。

2.完善應(yīng)急預(yù)案，提升響應(yīng)能力。

制訂切實(shí)可行的網(wǎng)絡(luò)故障應(yīng)急方案，努力降低網(wǎng)絡(luò)突發(fā)故障給業(yè)務(wù)帶來(lái)的影響。重視網(wǎng)絡(luò)運(yùn)行各環(huán)節(jié)的實(shí)時(shí)熱備份體系建設(shè)，尤其是廣域網(wǎng)、局域網(wǎng)線路和核心路由器、核心交換機(jī)的熱備份，保證網(wǎng)絡(luò)在出現(xiàn)故障情況下能夠?qū)崟r(shí)切換。首先，保證所有重要業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)雙機(jī)備份；其次，對(duì)計(jì)算機(jī)系統(tǒng)的所有軟件包括操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行可靠的備份，并且要確保備份的是最新數(shù)據(jù)并適時(shí)切換演練；第三，建立業(yè)務(wù)數(shù)據(jù)的集中異地備份，添置專用的數(shù)據(jù)備份服務(wù)器，盡可能實(shí)現(xiàn)各種業(yè)務(wù)數(shù)據(jù)的自動(dòng)備份：第四，采用雙回路、UPS、白備發(fā)電機(jī)等方式實(shí)現(xiàn)電力供應(yīng)備份。數(shù)據(jù)集中后，也不能把備份數(shù)據(jù)的壓力全部推給兩級(jí)數(shù)據(jù)中心。條件允許的情況下，基層行科技部門應(yīng)督促配合業(yè)務(wù)部門按要求繼續(xù)做好本地?cái)?shù)據(jù)備份，實(shí)施多種方式的備份。實(shí)施網(wǎng)絡(luò)管理人員的A、B角負(fù)責(zé)制，確保任何情況下網(wǎng)絡(luò)人員不能缺崗。認(rèn)真進(jìn)行網(wǎng)絡(luò)系統(tǒng)和設(shè)備的維護(hù)，定期或不定期地對(duì)設(shè)備進(jìn)行徹底的檢查，對(duì)備份設(shè)備和主、備線路進(jìn)行全面的測(cè)試，加強(qiáng)和通訊運(yùn)營(yíng)商的溝通聯(lián)系，確保主、備線路的運(yùn)行質(zhì)量。通過(guò)日常維護(hù)和檢查，提升應(yīng)急響應(yīng)能力。

3.加大風(fēng)險(xiǎn)識(shí)別，重視預(yù)警防范。

對(duì)各部門計(jì)算機(jī)協(xié)管員、業(yè)務(wù)操作和管理人員加大培訓(xùn)宣傳力度，提高其計(jì)算機(jī)應(yīng)用水平，增強(qiáng)全行人員計(jì)算機(jī)信息安全的意識(shí)，促使其嚴(yán)格執(zhí)行各項(xiàng)管理規(guī)定。充分發(fā)揮現(xiàn)有計(jì)算機(jī)信息安全產(chǎn)品的作用，建立多系統(tǒng)聯(lián)動(dòng)體系。首先，針對(duì)辦公、資金、視頻等不同業(yè)務(wù)劃分不同VLAN，實(shí)施不同的訪問(wèn)控制策略，嚴(yán)格區(qū)分，分道傳輸。在此基礎(chǔ)上，充分利用防病毒系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、入侵檢測(cè)系統(tǒng)、非法外聯(lián)檢測(cè)系統(tǒng)、CAMS端點(diǎn)準(zhǔn)入控制、移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)、網(wǎng)管系統(tǒng)等作用，依托網(wǎng)管軟件、運(yùn)維監(jiān)控軟件以及桌面安全管理系統(tǒng)“三位一體”，層層把控，處處設(shè)防，通過(guò)建立多系統(tǒng)聯(lián)動(dòng)體系，來(lái)提升系統(tǒng)故障早期發(fā)現(xiàn)能力。定期對(duì)計(jì)算機(jī)尤其運(yùn)行集中業(yè)務(wù)的計(jì)算機(jī)進(jìn)行安全檢查，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，落實(shí)每個(gè)系統(tǒng)、每臺(tái)設(shè)備的安全領(lǐng)導(dǎo)責(zé)任制、安全維護(hù)責(zé)任制、安全使用責(zé)任制。對(duì)計(jì)算機(jī)系統(tǒng)采取人力檢查與應(yīng)用桌面安全管理系統(tǒng)等技術(shù)手段相結(jié)合的方式，“日巡查、周自查、季檢查”。對(duì)發(fā)現(xiàn)的隱患，采取電話通知、下書面整改通知書、直至追究責(zé)任等形式，力爭(zhēng)把安全隱患消滅在萌芽狀態(tài)。

4.強(qiáng)化教育培訓(xùn)，提升綜合素質(zhì)。

基層行科技隊(duì)伍決不僅僅單純指科技部門人員，而應(yīng)該包括科技部門專業(yè)人員和業(yè)務(wù)部門科技協(xié)管員。首先，要注重科技部門人員梯度結(jié)構(gòu)，在注重人員素質(zhì)基礎(chǔ)上逐年配置合適人員，同時(shí)把合適的科技人員交流到業(yè)務(wù)部門，“鐵打的營(yíng)盤，流水的兵”，把科技部門當(dāng)做基層行科技專業(yè)的黃埔軍校。其次，基層行要根據(jù)自身業(yè)務(wù)需要，加強(qiáng)對(duì)本行科技人員和科技協(xié)管員的技術(shù)培訓(xùn)，特別是網(wǎng)絡(luò)知識(shí)和信息安全知識(shí)的培訓(xùn)。第三，上級(jí)行科技部門要為中支科技部門人員提供更多接觸新知識(shí)、新技術(shù)的學(xué)習(xí)提高機(jī)會(huì)，強(qiáng)制要求基層行科技人員每年必須參加不少于一次的集中培訓(xùn)考核，以不斷提高其維護(hù)水平和業(yè)務(wù)技能?？萍既藛T也要克服自身弱點(diǎn)，利用維護(hù)、講課等方式強(qiáng)化協(xié)調(diào)溝通能力。第四，基層行要結(jié)合人民銀行績(jī)效考評(píng)辦法，建立和完善科技考核制度，制定和實(shí)施激勵(lì)機(jī)制，對(duì)科技管理和計(jì)算機(jī)安全工作做得好的科技人員給予科技貢獻(xiàn)獎(jiǎng)。第五，要開展形式多樣的全員培訓(xùn)，全面提高員工的計(jì)算機(jī)應(yīng)用能力和安全意識(shí)。合理調(diào)配人力資源，要把以前用于科技開發(fā)的科技力量收回來(lái)，把更多的人力資源分配到科技管理和科技服務(wù)的一線，進(jìn)一步增強(qiáng)科技管理和科技服務(wù)的力量。

（作者單位：中國(guó)人民銀行撫州市中心支行、中國(guó)人民銀行南豐縣支行）