基層央行信息安全工作存在的問題與建議

摘 要：筆者結合多年基層央行科技工作實踐，從人員配備、應急準備、病毒防范、政策法律、介質管理、風險意識等方面探討了基層央行信息安全工作實際存在的六個方面的問題，并分析提出強化信息安全工作的可行性建議：增加年輕、專業的科技人員配備，提升技術力量；加強應急管理，使應急預案真能應急；進一步增強內聯網、國際互聯網防病毒等信息安全措施；明確信息安全管理的相關政策法規，提高基層行的執行力；嚴謹規范地做好存儲介質管理，避免失密、泄密事件發生；加強人員教育和管理，提高警惕，防范風險。

關鍵詞：信息安全；問題；工作建議

近年來，基層央行網絡和信息系統安全措施不斷加強，有力地保障了各部門眾多業務處理應用系統的正常運行。但是，面對日益嚴峻的信息安全新形勢，基層央行信息安全工作仍然面臨一些困難、存在一些風險隱患。筆者結合人行漢中市中心支行多年科技工作實踐，對如何進一步加強基層央行信息系統安全工作談一些意見，提出相關改進建議。

1 信息安全工作存在的主要問題

1.1 科技人員配備不足，科技隊伍結構不合理。尤其是縣支行科技人員缺乏，信息安全工作力量薄弱，部分信息安全措施難以落實。信息技術更新速度很快，學習掌握需要較長時間和大量精力，對“年輕化”要求較高，而且需要專門的知識技能做基礎，系統掌握比較困難。目前中心支行科技部門人員偏少，平均年齡偏大，對新知識新技術的掌握普遍偏少，知識老化現象比較嚴重，科技維護中只能處理日常外圍故障，對諸如數據庫操作、軟件編程、系統底層等故障等一些深層問題難以解決。

人民銀行縣支行大多都沒有專門的科技人員，科技工作由其它業務崗位人員兼職，這些兼職科技人員年齡多在40歲以上，而且沒有接受過專門正規訓練。由于業務工作繁忙，事務性工作較多，加之計算機技術本身的深度和難度，其學習掌握信息安全技術的積極性、時間和精力遠遠不夠。另一方面各縣支行科技工作的業務量較大、要求也較高，相形之下信息安全工作難以落到實處。

1.2 信息系統應急工作薄弱。由于科技力量不足，導致信息系統應急工作薄弱，尤其是縣支行。目前大多數縣支行信息系統應急預案沒有很好地結合本單位實際情況進行修訂，存在應急宣傳培訓不到位、應急預案更新不及時、可操作性差等問題；受技術水平等因素限制，中心支行組織的應急演練項目，多數支行只能配合進行一些簡單的切換、監測、記錄、反饋等操作，對于網絡中斷、路由器、交換機、光端機故障等相對技術含量較高的項目無力演練；此外信息系統應急物資不能滿足應急需要，若遭受毀滅性破壞，缺乏迅速搭建網絡等重要業務應用系統的資源；由于縣支行應急工作不到位而缺少完整、系統的突發事件應急處置經驗，在重大災害、故障面前，明顯力不從心。

1.3 防病毒能力較弱，國際互聯網業務用計算機的安全措施亟待加強。人民銀行內聯網絡信息系統防病毒軟件單一，更新相對滯后，難以有效防范比較新型的木馬、黑客等病毒。在國際互聯網上運行的計算機信息系統（如集中代收付、外匯管理等）缺少統一、有效的反病毒軟件和其它安全防范軟件。

1.4 監督管理政策不明確、法律依據缺乏。總行、西安分行科技工作會議明確指出：人民銀行科技部門的工作思路需要由過去的偏重內部建設轉變為內部建設與行業管理并重，要加強對轄內金融業信息化工作的協調和指導力度，探索可行的行業管理模式。

總行已經制定了金融信息安全屬地化管理的思路，基層行科技部門肩負著指導、協調轄內金融業信息化工作的職責，要對信息安全工作進行指導和檢查，對銀行卡聯網通用進行督促和檢查，對轄內銀行業、證券業、保險業信息化狀況進行調研。在履行上述工作職責過程中，由于相關政策不夠明確、法律依據缺乏，使得對金融業信息系統安全監督管理等工作難以落實。

1.5 存儲介質管理存在風險，管理制度不夠完善。一是沒有妥善保存：工作中時常發現備份數據的存儲介質隨處亂放、不及時入柜上鎖保存的情況。二是警惕性不高：存在涉密數據和普通文檔存放在同一個存儲介質的情況。三是未及時定密：存在涉密數據存儲介質未及時確定密級、未按涉密存儲介質管理的問題。四是備份數據的規定不太明確：有的系統僅僅要求做好數據備份，但對采用何種存儲介質、數據備份周期、存儲介質的保存時間、存儲介質的翻新時間、銷毀時間等沒有明確的規定。

1.6 信息安全的全員意識需要增強，信息安全風險管理意識有待進一步提高。經過多年的信息系統安全教育，全員信息安全意識已顯著提高，但是部分部門、一些員工的信息安全意識依然薄弱，工作人員安全保密的常識缺乏，警惕性不高，制度執行中存在不堅持原則、用信任代替原則、用人情代替制度情況；工作中存在人員離開不退出涉密應用系統或鎖定計算機、重要資料信息在網絡上隨意共享等現象；密碼設置存在復雜度不夠易于破解、易被套取的情況，反映出信息安全風險管理意識亟待加強。

2 加強信息安全工作的建議

2.1 增加年輕、專業的科技人員配備，加強技術力量。建議在條件允許的情況下，加快人才選配步伐，適當給中心支行，尤其是縣支行配備信息安全、軟件開發等相關專業的本科生或研究生，提高科技力量儲備。

2.2 進一步加強縣支行的信息應急工作。在盡可能增配縣支行科技力量基礎上，結合實際組織安排攻堅性的應急預案更新和修訂工作，增強可操作性和實戰性，適時開展演練，同時加強應急措施和應急步驟的宣傳培訓；在條件許可情況下，儲備比較充分的網絡暨信息系統應急物資。

2.3 進一步強化信息安全措施。建議在統一測試、選型的基礎上為內聯網絡增配反病毒軟件，為國際互聯網上運行的計算機增加統一、有效的反病毒工具，執行反病毒程序的實時監控和調度掃描，對客戶端的升級、系統定期檢查、清除病毒等操作進行集約控制，加強病毒防范能力。

2.4 加強法規建設規范監管工作。建議在條件成熟時，制定央行對金融業信息系統管理監督工作的法律規章，規范操作內容和程序，促進基層行執行力的提高。

2.5 進行存儲介質管理知識培訓，規范、強化存儲介質管理工作。應將一般數據和涉密數據分別保存到不同的介質中；對涉密存儲介質及時標注密級，入柜上鎖保管；強化操作人員安全保密意識和工作責任感；建議對每個業務處理系統的數據備份周期、存儲介質的保存時間、存儲內容的刪除時間、存儲介質的翻新時間、銷毀時間等方面進行明確的規定。

2.6 加強人員教育和管理，提高警惕，防范風險

（1）制定員工學習信息系統安全和保密知識的制度，增加學習密度，努力提高全體員工的信息安全意識和思想覺悟，養成敢于堅持原則、嚴格遵守安全保密規定、謹慎工作的良好習慣。

（2）通過“工具化”、“專業化”方式實施信息安全檢查。通過實用的、完備的軟硬件工具，實現安全檢查工具化、專業化和安全防范清晰化、可控化，加大對基層行信息系統安全工作的檢查力度，促進信息安全管理措施落到實處。

參考文獻

[1]王宇，閆慧.信息安全保密技術[T].北京：國防工業出版，2010.

[2]范紅，馮登國.信息安全風險評估實施教程[T].北京：清華大學出版社，2007.

[3]程興財.銀行業計算機信息系統安全風險識別與控制[T].西部金融，2010，（4）.

[4]孟愛科.把好“五關”確保信息安全[T].西部金融，2008，（5）.

[5]孟愛科.信息系統保密工作存在的問題和建議[T].信息安全與技術，2012，（11）.

作者簡介：孟愛科（1971，3-），男，陜西漢中人，本科，網絡工程師，現供職于中國人民銀行漢中市中心支行。endprint