機房環境監控系統審計案例

隨著業務發展和信息技術進步，人民銀行計算機系統及網絡通信設備數量與日俱增，規模越來越大，各級行中心機房安全穩定運行的重要性也愈加突出。為保證機房配套的動力、空調、消防等系統穩定協調運行，及時發現問題隱患，各級行機房內普遍安裝了環境監控系統，對供配電、UPS、空調、門禁等方面實行統一監測與管理，并在預設的報警條件被觸發時，通過短信或語音方式向相關管理人員報警，這對人民銀行基層行中心機房而言，環境監控系統的重要性不言而喻。

一、案例介紹

2016年11月27日中午11:20，人民銀行某中心支行配電房實施有計劃停電，由外包維保單位對高壓進線柜的市電線路三相連接處加裝絕緣護套，12:10配電房恢復供電。當日晚8:00，保衛科技防人員偶然進入安防系統運行場地，發現UPS持續鳴叫，面板顯示市電進線相序錯誤，UPS處于電池供電狀態。技防人員隨即通知后勤、科技等部門，待科技人員檢查后發現，2臺UPS的狀態、顯示信息情況與保衛部門UPS完全一樣。緊急排查后顯示，造成這一事件的原因是維保單位實施維護操作時改變了市電進線的相序，導致電梯、UPS等使用三相電源供電的設備均出現故障，無法正常工作。由于科技部門對環境監控系統參數的設置不夠全面和合理，發生上述問題時系統沒有向相關人員發出報警信息，如果不是偶然因素發現問題并及時處置，將導致UPS電池耗盡、設備中斷運行的事故發生。

因此，要使環境監控系統發揮應有的作用，不僅需要一定的軟硬件條件，還要有合理有效的參數配置。人民銀行系統內部審計部門遂決定將環境監控系統覆蓋全面性、功能有效性、參數合理性作為機房管理審計的一項重要內容，對該系統各類風險事件進行分析總結，以提高機房管理水平和風險防范能力，保障業務系統和設備設施的安全、穩定、連續運行。

二、審計過程及方法

（一）審前準備

審計人員堅持風險和問題導向，按照相關制度要求，通過收集資料、實地調查、風險評估、數據分析等方法，將審前準備工作做細、做實。

1.收集整理資料。一是學習總行制度依據，認真學習《中國人民銀行計算機機房規范化工作指引》《中國人民銀行電子信息系統機房基礎設施運行維護規范》等制度文件中對環境監控系統的各項要求，掌握制度規定。二是與后勤、科技部門聯系，收集高低壓電氣知識、UPS工作原理以及相關國家標準和行業規范方面的技術資料，學習、了解有關技術知識。

2.實地走訪調查。在科技部門協助下，實地勘查環境監控系統的主要功能、參數管理、報警設置、用戶界面等內容，了解基本情況，增強感性認識。

3.開展風險評估。審計人員在收集資料、實地調研基礎上，結合審計工作經驗，列出環境監控系統管理方面可能存在的問題及潛在風險，具體如下：一是監控范圍不全面，如未將機房精密空調漏水情況、市電配電柜通斷情況納入監控范圍。二是監測參數設置不全面，如對機房電力參數的監測中，僅監測電壓一項參數值。三是監測閾值范圍設置不合理，一些參數的設置范圍不符合制度規定的標準。四是監控報警僅在監控界面提示，缺少遠程報警功能。五是環境監控系統缺乏相應的訪問控制措施，存在外部訪問風險。六是對監控報警信息重視不足，未定期對環境監控系統中各類報警信息進行研究分析。七是系統用戶管理不嚴格，口令設置簡單或多個管理人員共用一個用戶。

（二）現場審計

1.設備配置檢查。調閱環境監控系統建設及改造方案、相關設備技術說明書、IP地址分配表等資料，檢查以下方面：一是環境監控系統主機是否接入人民銀行業務網，是否采用雙網卡或其他方式，既方便進行管理，又滿足環境監控信息采集和數據交換的需要，評價雙網卡配置的安全性。二是監控系統主機是否安裝了電話語音卡等設備，現場撥打號碼檢查是否開啟呼入阻斷功能，評價是否存在利用該通道訪問人民銀行業務網的可能性。三是查看環境監控系統是否配置短信報警模塊，該設備是否為單電源設備，是否存在斷電無法發出報警信息的風險。調閱短信繳費記錄，查看是否因欠費而使短信報警模塊不能正常發出報警短信。

2.覆蓋范圍檢查。登錄系統查看，檢查監控范圍是否涵蓋了機房電力、溫濕度、門禁、精密空調、漏水、入侵等方面，對于火警消防監測和視頻監控，如未納入環境監控系統，則要分別檢查是否納入保衛部門相關系統進行統一控制和管理。

3.系統功能檢查。登錄系統查看各項功能設置是否滿足機房管理的需要，重點查看對風險事件的監控是否能向管理人員發出報警語音或短信，而不是僅在監控界面提示和報警。

4.參數配置檢查。登錄環境監控系統，逐項查看各類監測參數閾值范圍，與相關制度規定和技術標準進行對照，查看參數閾值范圍設置是否合理。實施現場比對，如將環境監控系統中顯示的電壓、電流、負載等數值與UPS主機顯示屏的數值進行比較，查看是否一致，判斷監控系統運行是否正常。

三、審計發現及原因

（一）審計發現

經人民銀行系統內部審計部門審計發現，該環境監控系統功能和設置存在不足。

一是監測參數不全面。該中心支行機房內的2臺UPS均為“三進三出”模式，即三相交流輸入、三相交流輸出，但環境監控系統僅監測交流輸入、輸出中的A相電壓，并設定了報警閾值，而對B相、C相電壓并無監控和報警，若因電源質量或設備故障等原因引發UPS供電問題時，則無法通過各相電壓變化情況進行全面分析和準確判斷。

二是監測范圍不完整。環境監控系統將機房電力監測設置為僅監測電壓變化情況，不監測電流情況，當發生本案例中的供電輸入線路相序連接錯誤問題時，由于電壓數值仍在正常范圍內，那么系統不會對外發出報警信息，導致管理人員難以了解UPS的真實工作狀態。

三是監控閾值范圍設置過大。環境監控系統中濕度設置的監控閾值為“10至85”，溫度設置的監控閾值為“10至30”，與《中國人民銀行計算機機房規范化工作指引》中“機房用空調夏季溫度23±2℃，冬季20±2℃，相對濕度在45%—65%之間”的量化指標范圍相比，其參數范圍設置過大，則可能造成監控系統漏報警告信息的潛在風險。

四是監控閾值設置不夠合理。環境監控系統對電池電壓監控閾值下限設置為320V（蓄電池組共32節，每節電池為12V 100AH），如達下限報警時，電池將處于過度放電狀態，對UPS蓄電池壽命產生較大影響。

五是缺乏遠程報警功能。該中心支行機房UPS蓄電池加裝了檢測儀，實現了電池狀態在線監測，但環境監控系統對電池電壓、電池溫度等參數變化超出報警閾值的情況，僅在監控界面顯示，并不發出短信或語音報警，如非工作日出現電池問題，機房管理員難以在第一時間獲取報警信息，對及時處置造成不利影響。

（二）原因分析

對審計發現的環境監控系統存在的問題，審計人員分析原因主要有以下幾方面：

一是風險意識不足。部分單位科技部門的機房管理人員對環境監控系統在保障機房各類設備設施安全高效運轉中的重要作用沒有充分理解，片面認為只要配備了系統，能夠對機房運行的各個方面進行實時監控即可，對環境監控系統配置不全面、不合理可能造成的潛在風險和危害沒有清醒的認識，也未及時采取針對性的處置措施防范問題的發生。

二是深入研究不夠。目前基層行機房環境監控系統一般是購買產品和服務，由相關廠商負責安裝調試和維護，而單位科技部門的相關人員沒有對環境監控系統的工作原理、主要功能、參數配置、與相關設備間的匹配關系等方面進行細致深入地分析研究，完全依賴廠商的技術支持，對系統中各種參數的設置是否合理有效、是否滿足管理需要并沒有做到心中有數。

三是監督檢查不嚴。部分單位科技部門負責人在定期開展的機房安全管理檢查中，未將機房環境監控系統的運行情況作為檢查重點，沒有組織相關人員結合日常巡檢情況，對系統中的報警記錄等內容進行認真分析，對潛在風險隱患、問題苗頭也沒能及時發現。

四是制度不夠明確。如《中國人民銀行計算機機房規范化工作指引》作為基層行機房建設和運行管理的主要制度依據，對A、B類機房應用環境監控系統實施機房監控管理的方式和內容做了具體要求，而對C類機房卻沒有相應規定。由于上級制度不夠具體，部分單位在制定機房安全管理制度時，也淡化甚至忽略運用環境監控系統加強機房管理方面的內容，易產生管理不到位等問題。

四、審計意見及成效

（一）審計意見

一是提高思想認識。科技部門要加強風險教育和宣傳，使科技人員深刻認識到機房安全管理在保障業務系統正常運行、推動人民銀行高效履職中的重要作用，促進相關人員增強風險意識，提升工作責任心，定期將環境監控系統中反映的設備運行情況與實地巡檢結果進行比對分析，及時發現問題苗頭，及時處理風險隱患。

二是加強學習培訓。通過自主學習、參加培訓等方式，促使機房管理人員對高低壓配電技術、機房UPS和精密空調等設備設施的工作原理、機房設備維保知識等方面有較全面的了解和掌握，并結合本單位機房設施配備現狀和特點，對環境監控系統中各類參數的作用、范圍、報警條件等進行認真研究，保證監控參數設置合理、有效，使環境監控系統的作用得以切實發揮。

三是強化監督管理。各層級負責人要高度重視機房安全管理工作，分管行領導、部門負責人在開展相關檢查時，要將環境監控系統運行管理情況納入檢查內容。建立健全責任追究機制，對發現問題不及時、報警處置不規范、給機房安全管理工作造成損失的要追究相關人員責任。

（二）審計成效

本次審計發現問題及相關意見引起審計對象高度重視，召開專題行長辦公會研究審計問題整改，指示科技部門認真分析問題成因，加強制度建設，強化人員責任，進一步規范機房安全管理。該中心支行科技部門結合機房設備特點，組織人員重新梳理機房管理業務需求，與相關廠商技術人員逐條核對環境監控系統中各項參數配置，嚴格按照機房管理制度和運維規范的要求，重新確定監控參數、閾值范圍、報警條件、報警方式等，確保環境監控系統覆蓋全面、功能高效、參數合理。

審計人員秉承內部審計價值提升理念，除向科技部門發出內部審計意見書，針對性地提出整改意見外，還綜合審計發現問題的表現、原因和危害，撰寫多篇審計案例、專題分析報告等材料，并注重從體制機制層面提出改進建議，推動審計成果在更大范圍內得到運用。

五、啟示

近幾年來，機房安全管理一直是人民銀行各級行開展科技綜合管理審計的重要內容，但對環境監控系統的審計檢查還沒有足夠重視。本次審計中，審計人員從一次偶然發生的斷電事件中得到啟發，以環境監控系統為突破口，通過對軟硬件配置、監控參數設置等方面深入、細致地檢查，全面揭示機房安全管理中潛存的風險隱患，真正實現“防患于未然”，使審計視角更加獨特，審計結果也得到審計對象充分認可和高度重視，進一步彰顯了內部審計工作價值。因此，審計人員應牢固樹立價值驅動理念，更加解放思想、開拓創新，不斷提升發現問題和解決問題的水平，更好地發揮內部審計在促進履職和規范管理中的職能作用。