基層銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全形勢(shì)初探

龔利明

摘要：當(dāng)前銀行業(yè)信息化正處于高速發(fā)展的新階段，網(wǎng)絡(luò)安全也面臨更加復(fù)雜、多變、隱蔽的嚴(yán)峻形勢(shì)。對(duì)于技術(shù)能力相對(duì)薄弱的基層銀行業(yè)金融機(jī)構(gòu)，如何在確保數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性的前提下，做好網(wǎng)絡(luò)安全管理工作，是一個(gè)非常值得探討的課題。本文結(jié)合筆者多年的基層管理工作經(jīng)驗(yàn)，分析當(dāng)前形勢(shì)、指出存在的不足、提出解決方案，為今后更好的落實(shí)銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全管理工作提供思路。

關(guān)鍵詞：基層 金融機(jī)構(gòu) 網(wǎng)絡(luò)安全

基層銀行業(yè)金融機(jī)構(gòu)是金融行業(yè)不可或缺的重要組成部分，是普惠金融的直接參與者和提供者。在當(dāng)前網(wǎng)絡(luò)時(shí)代背景下，絕大部分金融服務(wù)都需要網(wǎng)絡(luò)技術(shù)提供支撐，為確保業(yè)務(wù)連續(xù)性和安全性，網(wǎng)絡(luò)安全顯的尤為重要。

一、基礎(chǔ)銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全總體概況

中國人民銀行金華市中心支行作為中國人民銀行的派出機(jī)構(gòu)，積極貫徹落實(shí)相關(guān)金融行業(yè)網(wǎng)絡(luò)安全監(jiān)管要求，加強(qiáng)等級(jí)保護(hù)和網(wǎng)絡(luò)安全評(píng)價(jià)，督促各銀行業(yè)金融機(jī)構(gòu)不斷加強(qiáng)網(wǎng)絡(luò)安全管理工作，提升業(yè)務(wù)連續(xù)性保障水平。近見年轄區(qū)內(nèi)未發(fā)生重大網(wǎng)絡(luò)安全事故。

（一）領(lǐng)導(dǎo)重視，加大科技投入

各銀行業(yè)金融機(jī)構(gòu)進(jìn)一步提高對(duì)網(wǎng)絡(luò)安全工作的重視，繼續(xù)加強(qiáng)對(duì)網(wǎng)絡(luò)安全工作的支持力度，保障相關(guān)經(jīng)費(fèi)和資源投入。地方法人銀行投入資金建設(shè)“兩地三中心”，其中浙江稠州商業(yè)銀行完成生產(chǎn)數(shù)據(jù)中心和災(zāi)備數(shù)據(jù)中心“雙活”架構(gòu)改造，極大提升容災(zāi)能力，相關(guān)工作獲得2015年度銀行科技發(fā)展獎(jiǎng)三等獎(jiǎng);金華銀行異地新建生產(chǎn)機(jī)房。在隊(duì)伍建設(shè)方面，金華銀行新增信息安全管理崗、配置管理崗、測(cè)試管理崗等多個(gè)重要崗位;農(nóng)業(yè)發(fā)展銀行金華市分行將科技部門單獨(dú)分開，成立了獨(dú)立的科技隊(duì)伍，有效保障全行的網(wǎng)絡(luò)安全工作。

（二）架構(gòu)管控，確保規(guī)劃先行

各銀行業(yè)金融機(jī)構(gòu)結(jié)合業(yè)務(wù)發(fā)展需求，提前規(guī)劃，不斷完善技術(shù)架構(gòu)，為業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的基礎(chǔ)設(shè)施支撐。金華銀行通過修訂信息科技規(guī)劃，進(jìn)一步明晰IT治理、組織架構(gòu)、IT基礎(chǔ)設(shè)施架構(gòu)、應(yīng)用系統(tǒng)架構(gòu)等方面的遠(yuǎn)景藍(lán)圖和實(shí)施路線圖;順利完成了核心網(wǎng)絡(luò)改造，增加網(wǎng)絡(luò)冗余，消除了核心網(wǎng)絡(luò)的單點(diǎn)故障安全隱患，提高了網(wǎng)絡(luò)系統(tǒng)的安全性;在強(qiáng)化永康數(shù)據(jù)災(zāi)備中心的基礎(chǔ)上，基本完成白龍橋數(shù)據(jù)中心機(jī)房建設(shè)工作。浙江稠州商業(yè)銀行為實(shí)現(xiàn)“雙活”的高可用性，在兩個(gè)重要機(jī)房間部署了波分設(shè)備，實(shí)現(xiàn)了核心系統(tǒng)的“雙活”甚至“多活”模式。成泰農(nóng)村合作銀行、省聯(lián)社金華辦事處為降低系統(tǒng)風(fēng)險(xiǎn)，與廣電簽訂合同租用廣電機(jī)房作為同城災(zāi)備中心，有效提升了重要系統(tǒng)安全性。

（三）部署系統(tǒng)，完善安全措施

在安全防范方面，大部分銀行業(yè)金融機(jī)構(gòu)能根據(jù)監(jiān)管要求，在準(zhǔn)入控制、病毒防范、網(wǎng)絡(luò)監(jiān)控等環(huán)節(jié)，采取不同的技術(shù)手段，確保信息安全。工商銀行金華分行實(shí)施和推進(jìn)了工行客戶端管理系統(tǒng)、服務(wù)器多網(wǎng)卡聚合、趨勢(shì)防病毒系統(tǒng)等網(wǎng)絡(luò)安全防護(hù)項(xiàng)目;中國銀行金華分行將所有辦公網(wǎng)計(jì)算機(jī)使用域功能進(jìn)行接入認(rèn)證，同時(shí)將所有設(shè)備進(jìn)行了IP、MAC地址綁定，并對(duì)空閑端口進(jìn)行了關(guān)閉，極大地提高了網(wǎng)絡(luò)及信息系統(tǒng)的安全保障及信息防泄漏保護(hù)能力;浦東發(fā)展銀行金華分行通過域功能，實(shí)現(xiàn)對(duì)客戶端的準(zhǔn)入控制和非授權(quán)使用;金華銀行部署了內(nèi)網(wǎng)安全威脅偵測(cè)設(shè)備，有效降低了網(wǎng)絡(luò)風(fēng)險(xiǎn)事件發(fā)生，部署了內(nèi)網(wǎng)管理軟件，禁止非授權(quán)的應(yīng)用程序運(yùn)行，部署了LANDESK系統(tǒng)，杜絕外來移動(dòng)存儲(chǔ)介質(zhì)的使用;浙江稠州商業(yè)銀行應(yīng)用系統(tǒng)數(shù)據(jù)庫口令通過運(yùn)維審計(jì)系統(tǒng)進(jìn)行了有效管理。

（四）加強(qiáng)檢查，落實(shí)管理職能

各銀行業(yè)金融機(jī)構(gòu)基本能落實(shí)對(duì)所轄分支機(jī)構(gòu)的網(wǎng)絡(luò)安全管理職能，定期開展對(duì)下屬機(jī)構(gòu)的網(wǎng)絡(luò)安全檢查。

（五）開展培訓(xùn)，提高安全意識(shí)

為提高科技人員的業(yè)務(wù)水平及員工的網(wǎng)絡(luò)安全意識(shí)，各銀行業(yè)金融機(jī)構(gòu)采取多種渠道進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)工作。金華銀行派員參加數(shù)據(jù)網(wǎng)絡(luò)運(yùn)維培訓(xùn)、系統(tǒng)安全培訓(xùn)、中心運(yùn)維管理培訓(xùn)、oracle數(shù)據(jù)庫知識(shí)培訓(xùn)，多人次通過全國計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格考試、oracle OCP論證考試、信息化工程師考試;在業(yè)務(wù)操作層面，采取出試卷、納入柜員理論考試題庫等培訓(xùn)手段，形成網(wǎng)絡(luò)安全教育和培訓(xùn)的常態(tài)化機(jī)制。中國銀行金華分行部署了網(wǎng)上課程系統(tǒng)，集聽課、提問、討論為一體，并可直接在線參與，有效提升全行員工的網(wǎng)絡(luò)安全意識(shí)。

二、基層銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全管理工作存在的不足

（一）機(jī)構(gòu)設(shè)置和人員配備不夠到位

在科技管理部門設(shè)置上，部分銀行業(yè)金融機(jī)構(gòu)未設(shè)立專職科技管理部門，科技管理工作隸屬綜合管理部、辦公室等部門;在科技人員配備上，多家機(jī)構(gòu)科技人員多年未進(jìn)行充實(shí)和更新，人員老化嚴(yán)重;個(gè)別股份制商業(yè)銀行和城市商業(yè)銀行的分行科技力量薄弱，僅配備2名及以下科技人員的機(jī)構(gòu)有7家;個(gè)別機(jī)構(gòu)未成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組;大部分機(jī)構(gòu)未配備安全管理員。

（二）網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施存風(fēng)險(xiǎn)隱患

部分銀行業(yè)金融機(jī)構(gòu)仍在基礎(chǔ)設(shè)施上存在安全盲區(qū)，主要問題表現(xiàn)為：機(jī)房布局不合理，機(jī)房門禁設(shè)施不完善;機(jī)房采用市電單路供電，未配備備用發(fā)電機(jī)，機(jī)房供電缺少發(fā)電機(jī)接入裝置;機(jī)房未采用UPS雙路供電，UPS維護(hù)不夠完善，UPS供電時(shí)間過短;機(jī)房消防設(shè)施不完善如未配置機(jī)房專用手動(dòng)滅火器和氧氣呼吸器，未配置機(jī)房專用自動(dòng)滅火系統(tǒng);未配備浪涌電壓吸收裝置，未進(jìn)行年度防雷檢測(cè);未部署運(yùn)維監(jiān)控系統(tǒng)，機(jī)房無防漏水、防鼠等防范措施;未對(duì)機(jī)房進(jìn)行風(fēng)險(xiǎn)評(píng)估和應(yīng)急演練。

（三）網(wǎng)絡(luò)安全管理不到位

部分銀行業(yè)金融機(jī)構(gòu)存在網(wǎng)絡(luò)建設(shè)外包管理缺失、無入侵檢測(cè)措施、無非法外聯(lián)監(jiān)控、無專用的網(wǎng)管軟件對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)、部分網(wǎng)絡(luò)設(shè)備安全配置與對(duì)應(yīng)等保定級(jí)要求不符等情況;個(gè)別機(jī)構(gòu)核心網(wǎng)絡(luò)設(shè)備使用年限過長(zhǎng)，個(gè)別機(jī)構(gòu)網(wǎng)絡(luò)規(guī)劃存在單點(diǎn)故障風(fēng)險(xiǎn)。

（四）應(yīng)急管理不完善

個(gè)別銀行業(yè)金融機(jī)構(gòu)未開展應(yīng)急預(yù)案修訂，部分應(yīng)急處理流程及恢復(fù)流程缺乏可操作性，可能影響在發(fā)生應(yīng)急事件時(shí)做出正確處置措施。

（五）管理措施不到位

個(gè)別銀行業(yè)金融機(jī)構(gòu)重大事件報(bào)告流程不夠完善，不能在出現(xiàn)重大事件時(shí)做出及時(shí)響應(yīng)，從而有效降低風(fēng)險(xiǎn)事件等級(jí);未制定涉密管理制度;未建立移動(dòng)存儲(chǔ)介質(zhì)管控體系;大堂中存在裸露信息點(diǎn)，無法對(duì)外來設(shè)備做出有效控制，可能引發(fā)泄密事件;客戶端安全管理不夠嚴(yán)格，如未對(duì)計(jì)算機(jī)屏保、賬戶密碼、審計(jì)策略進(jìn)行設(shè)置。

三、提升基層銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全水平的對(duì)策建議

（一）樹立正確的風(fēng)險(xiǎn)意識(shí)

網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理是一個(gè)永恒的話題，需要持續(xù)要求銀行業(yè)金融機(jī)構(gòu)科技人員樹立正確的風(fēng)險(xiǎn)意識(shí)，高度統(tǒng)一思想認(rèn)識(shí)。一是要加強(qiáng)縱向聯(lián)動(dòng)。隨著IT系統(tǒng)化的發(fā)展，IT系統(tǒng)的各級(jí)使用者都要承擔(dān)自身的網(wǎng)絡(luò)安全職責(zé)，加強(qiáng)其風(fēng)險(xiǎn)意識(shí)和防范意識(shí)尤為重要。二是加強(qiáng)橫向聯(lián)系。加強(qiáng)與人民銀行等監(jiān)管部門的聯(lián)系，發(fā)現(xiàn)問題及時(shí)報(bào)告，通過監(jiān)管部門切實(shí)提高轄內(nèi)金融機(jī)構(gòu)的橫向聯(lián)動(dòng)，防范區(qū)域性金融風(fēng)險(xiǎn)。

（二）落實(shí)重要崗位的人員配備

銀行業(yè)金融機(jī)構(gòu)要重視IT人員配備，按照相關(guān)要求對(duì)重要崗位人員進(jìn)行定員、定崗、定責(zé)，落實(shí)重要崗位人員A、B角制度并定期進(jìn)行輪崗，提高事件應(yīng)急處理的效率。一是要確保關(guān)鍵崗位的人員配置，尤其是網(wǎng)絡(luò)管理員、系統(tǒng)管理員等;二是要落實(shí)B崗職責(zé)，要求各銀行業(yè)金融機(jī)構(gòu)切實(shí)重視B崗人員的能力培養(yǎng)，通過定期培訓(xùn)、業(yè)務(wù)交流、定時(shí)輪崗等策略確保重要崗位人員均能勝任崗位要求，落實(shí)崗位責(zé)任。

（三）制定切實(shí)可行的應(yīng)急方案

應(yīng)急預(yù)案是在風(fēng)險(xiǎn)或意外情況發(fā)生時(shí)的應(yīng)急處置流程，直接與風(fēng)險(xiǎn)處置結(jié)果相關(guān)，重要性不言而喻。要求各銀行業(yè)金融機(jī)構(gòu)高度重視應(yīng)急管理，制定切實(shí)可行，符合實(shí)際的應(yīng)急方案，定期對(duì)應(yīng)急方案進(jìn)行演練、評(píng)估，及時(shí)發(fā)現(xiàn)應(yīng)急方案中存在的問題，著重對(duì)應(yīng)急聯(lián)系人、應(yīng)急資源等內(nèi)容進(jìn)行修訂更新，確保應(yīng)急演練方案真實(shí)可行。應(yīng)急方案作為應(yīng)急事件發(fā)生時(shí)的操作依據(jù)，不能照搬照套上級(jí)行的，須按照本地實(shí)際情況進(jìn)行完善。要有較強(qiáng)的實(shí)際性和可操作性，要有明確的應(yīng)急流程，處置步驟，相關(guān)應(yīng)急人員，應(yīng)急資源列表，應(yīng)急聯(lián)絡(luò)方式等。應(yīng)敢于按照應(yīng)急方案進(jìn)行實(shí)戰(zhàn)演練，不能只簡(jiǎn)單的流于形式，確保應(yīng)急事件發(fā)生時(shí)能迅速準(zhǔn)確的將事件處理完善。

（四）加強(qiáng)網(wǎng)絡(luò)安全的規(guī)范管理

各銀行業(yè)金融機(jī)構(gòu)要進(jìn)一步規(guī)范網(wǎng)絡(luò)安全管理工作，細(xì)化網(wǎng)絡(luò)安全管理規(guī)范，嚴(yán)格按照規(guī)范做好網(wǎng)絡(luò)安全保障工作。一是加強(qiáng)保密管理，要建立完善的保密管理制度，加強(qiáng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管控，有外包服務(wù)的機(jī)構(gòu)要加強(qiáng)對(duì)外包商資質(zhì)、保密協(xié)議的審核，及外包商機(jī)構(gòu)變化情況監(jiān)測(cè)等等外包服務(wù)管理;二是加強(qiáng)對(duì)機(jī)房、供電、重要網(wǎng)絡(luò)設(shè)備的日常巡檢工作，發(fā)現(xiàn)問題及時(shí)解決;三是認(rèn)真做好等級(jí)保護(hù)工作，按照等保標(biāo)準(zhǔn)，做好備案及測(cè)評(píng)工作，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全規(guī)范管理;四是建立規(guī)范的變更審批制度，做好信息系統(tǒng)變更的審批報(bào)備等工作，杜絕隨意性，系統(tǒng)變更操作選擇在非業(yè)務(wù)或業(yè)務(wù)低峰時(shí)間;五是建立完善的網(wǎng)絡(luò)安全檔案，對(duì)各環(huán)節(jié)的網(wǎng)絡(luò)安全資料做好梳理，匯編成冊(cè)便于查閱。

（五）統(tǒng)籌研究網(wǎng)絡(luò)安全行業(yè)監(jiān)管措施

隨著信息技術(shù)的不斷深入應(yīng)用，防范網(wǎng)絡(luò)安全威脅成為當(dāng)下金融行業(yè)科技工作的重要內(nèi)容之一。需要思考以下三方面的工作，一是組織研究可操作強(qiáng)的行業(yè)監(jiān)管措施;二是為提高監(jiān)管效果，在人民銀行分支行設(shè)置專職行業(yè)網(wǎng)絡(luò)安全監(jiān)管部門或監(jiān)管崗位;三是加強(qiáng)對(duì)基層行業(yè)管理人員的技能培訓(xùn)。

參考文獻(xiàn)：

[1]馬國勝.對(duì)地方法人金融機(jī)構(gòu)信息安全管理的難點(diǎn)分析[J].金融科技時(shí)代，2017年第5期.

[2]陳慶來.網(wǎng)絡(luò)安全精細(xì)化管理實(shí)踐[J].金融電子化，2017年8期.

[3]路萬里.網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019年3期.

（作者單位：中國人民銀行金華市中心支行）