2008年歷史罕見的暴風雪、5.12汶川8級地震、水災等自然災害以及“熊貓燒香”、“AV終結(jié)者”等影響較大的計算機病毒事件相繼發(fā)生，利用病毒、木馬技術進行網(wǎng)絡犯罪活動猖獗，這些事件所引發(fā)的安全應急響應、災難恢復和連續(xù)性管理等安全防護問題令人深思。面對日益嚴峻的安全形勢，計算機信息安全正經(jīng)受著越來越多的挑戰(zhàn)，尤其是人民銀行大小額支付系統(tǒng)、國庫會計核算系統(tǒng)、征信系統(tǒng)、貨幣金銀信息系統(tǒng)、人民幣結(jié)算賬戶管理系統(tǒng)等核心業(yè)務系統(tǒng)的高可用性越來越受到人們的關注。做好計算機信息安全工作，確保人民銀行支付系統(tǒng)等核心業(yè)務系統(tǒng)以及網(wǎng)絡系統(tǒng)的安全，防范有組織和個體的惡意攻擊是我們長期面臨的一項艱巨和緊迫的任務。

一、問題分析

應該說，目前基層央行計算機信息安全工作形勢比較好，硬件設施配備基本滿足業(yè)務發(fā)展的需要，安全管理比較扎實，防范措施也比較得力，但從長遠的計算機信息安全工作的角度來分析，仍然還存在諸多問題。

1.重視安全工具投資而輕視管理投資

從基層央行的情況來看，信息安全系統(tǒng)主要由防火墻、入侵檢測、非法外聯(lián)和病毒防范等組成。這些手段只能是在外圍對非法用戶和越權訪問者進行封堵，而對訪問的源端（客戶端）防范不夠。操作系統(tǒng)的不完善導致各種漏洞層出不窮，不能從根本上解決外部攻擊，更無法防止內(nèi)部人員作案。這些問題導致信息安全系統(tǒng)越做越復雜，誤報率增多，安全投入不斷增加，維護和管理更加困難。這就不得不使我們反思：在當前信息安全的形式下，使用“老三樣”采用“防外攻、堵漏洞、防火墻”等手段，往往是防不勝防。

這些觀念的形成有諸多原因，但最根本的原因在于對計算機安全知識了解不多，對安全管理內(nèi)涵認識不夠。計算機安全管理的目的：一是保障業(yè)務系統(tǒng)穩(wěn)定運行；二是防止涉密信息泄漏；三是預防犯罪分子利用系統(tǒng)作案。這需要集責任感、科技知識和管理能力于一體，更需要安全管理部門和各業(yè)務運行部門間的通力協(xié)作和配合，還少不了強有力的政策支持。偏頗的安全觀念使計算機安全管理工作定位不準、目標不明、步調(diào)難統(tǒng)一、合力難形成。

2.重項目建設、輕安全規(guī)劃

人民銀行信息安全管理規(guī)定“計算機系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題，建設方案應滿足人民銀行信息安全保障總體規(guī)劃的相關要求”、“各單位計算機系統(tǒng)上線運行實行安全審查制度，未通過安全審查的任何新建或改造計算機系統(tǒng)不得投產(chǎn)運行”。但大多數(shù)基層行自建項目都沒有考慮這兩條要求。項目建設普遍存在“重建輕管”的問題，即建設使用優(yōu)先，安全規(guī)劃、管理制度、安全保障滯后。

3.激勵機制的不平衡影響技術人員工作的積極性

從目前基層央行的情況來看，一方面，安全管理人員大都是由計算機工程技術人員兼任，他們既是電子化工程項目的建設者、管理者，也是信息安全的管理者、監(jiān)督者，集電子化建設、信息安全管理和信息安全監(jiān)督于一身，不能有效地對安全現(xiàn)狀進行真實、客觀的評估和審計。也很難對計算機安全工作實施有效管理，使得組織管理機制、安全防范措施不能及時到位。另一方面，計算機安全的意識尚未深入人心，安全培訓、教育觀念非常淡薄，忽視了安全管理人員和業(yè)務人員的專業(yè)培訓，使得他們對銀行計算機安全問題不能深入了解，也造成了安全技術防范能力差、科技含量低的現(xiàn)狀，客觀上阻礙了安全技術的應用與發(fā)展，不能完全適應金融電子化快速發(fā)展的要求。

以某中支為例，全轄9名計算機技術人員（其中2名為兼職）70%的技術人員從事科技工作達15年，工作單調(diào)，崗位輪換在科技工作中難以實現(xiàn)。中支人均維護系統(tǒng)11個，維護電子設備達30臺（套），轄內(nèi)縣市支行人均維護系統(tǒng)數(shù)25個，維護電子設備50臺（套），日常運行維護工作任務非常繁重，技術人員就正常的休假都難以保證，而且所從事的工作絕大多數(shù)是維護，很難體現(xiàn)出看得見的成績。成就感、榮譽感淡化，加之計算機技術日新月異，工作人員掌握的知識不能與時俱進，知識普遍老化，存在著怕?lián)L險的畏難情緒。專業(yè)安全管理人員缺乏應有的積極性，在制訂安全策略、審核安全方案、開展安全評估和審計檢查等方面往往力不從心。

4.缺乏有效的安全內(nèi)控機制使制度的執(zhí)行打折扣

首先，缺乏外部監(jiān)督，對上級行安全管理制度的落實和執(zhí)行情況、對內(nèi)部安全管理制度的建立和完善情況，沒有確定有效的外部監(jiān)督機制，造成制度落實不夠、內(nèi)控制度不完善。一是計算機病毒傳播和網(wǎng)絡非法入侵十分嚴重。某中支僅一季度就出現(xiàn)病毒報警信息1475條，感染計算機317臺次。二是網(wǎng)上失密、竊密情況沒有引起足夠重視。基層央行大多數(shù)工作人員不乏存在這樣的情況：用存儲有重要信息的移動盤直接插入到互聯(lián)網(wǎng)的機子上下載和編輯資料，然后不經(jīng)過病毒和木馬檢測就在內(nèi)聯(lián)網(wǎng)上進行使用、傳輸?shù)炔僮鳎€有就是不經(jīng)過登記和審批手續(xù)攜帶存儲有重要或敏感信息的移動盤外出，給基層央行的信息安全和保密工作造成很大的隱患。三是信息安全管理不善，安全措施不到位，有令不行、有禁不止，信息系統(tǒng)運行事故時有發(fā)生。這固然有其客觀原因，但缺乏嚴格管理和崗位監(jiān)督制度，是問題的根本所在。崗位監(jiān)督機制的缺失形成信息安全管理中最大的漏洞。

第二，缺乏安全評估。目前，基層行對本單位安全狀況心里沒底。機房環(huán)境有沒有隱患，網(wǎng)絡有沒有漏洞，系統(tǒng)是否安全，說不清楚。主要是因為沒有一套完善的安全評估體系和標準，無法對本單位的安全狀況進行科學評估。

第三，缺乏定期審計。信息安全檢查很多，但大多側(cè)重于制度落實和物理安全。而對于技術安全，則需要更專業(yè)更規(guī)范的專項審計才能發(fā)現(xiàn)問題，找出漏洞?，F(xiàn)階段基層行審計部門沒有能力進行計算機安全審計，科技部門審計自己管理的業(yè)務信息系統(tǒng)，容易造成角色錯位，達不到審計效果。這些因素造成基層行計算機安全審計工作不能有效開展。

二、對策建議

1.積極創(chuàng)新計算機安全管理工作機制

一是建立信息安全風險管理保障機制，把信息安全風險管控工作擺上議事日程，建立健全信息安全風險管理部門和崗位責任制度，層層抓好落實。要加強培訓工作，提高風險管控能力和應變能力。充分發(fā)揮科技部門安全檢查、紀檢監(jiān)察部門風險監(jiān)控、內(nèi)審部門審計監(jiān)督“三道防線”的約束作用，形成完備的違規(guī)監(jiān)測和糾錯體系。加大違規(guī)行為處罰力度，提高管控措施的約束力。

二是建立信息安全風險評估和預警機制。要全面落實風險評估制度，建立信息安全風險監(jiān)測體系，及時識別風險因素，排查隱患，徹查各類問題的根源。要將信息安全風險控制前移，從業(yè)務部門需求管理開始，把風險管控貫穿于信息流動的整個過程，加強追蹤控制。要在充分分析信息安全風險對業(yè)務影響的基礎上，建立良好的風險分類分級制度，實施重點監(jiān)控。從法律法規(guī)、國家政策、業(yè)務規(guī)范等多角度區(qū)分各類信息安全風險，落實監(jiān)測和保障措施。

三是建立并完善信息安全風險應急處置機制，加強風險應急和處置機制建設。要認真研究制定信息安全風險應急管理的中長期規(guī)劃，結(jié)合實際，穩(wěn)步提高應急管理水平。要加強數(shù)據(jù)備份、災難恢復以及業(yè)務連續(xù)性的管理。完善各類應急預案，加強應急演練，通過應急演練把應急和災備工作從技術管理層面提升到全方位、多部門齊抓共管、協(xié)調(diào)一致的全行工作層面，確保極端事件發(fā)生時，能夠在最短的時間內(nèi)按照既定方案有序處置。

2.培養(yǎng)和充實安全管理人才，健全計算機安全管理組織體系

一是要充分發(fā)揮計算機安全領導小組的作用，將信息安全的責任層層分解，責任到人，落實到實處。二是要按照內(nèi)控要求，配備信息安全人員，把決策與執(zhí)行分開、執(zhí)行與監(jiān)督分開，相互約束，相互促進，防止關鍵崗位人員監(jiān)守自盜。三是要加強信息安全教育和信息安全、保密知識普及，讓廣大干部職工了解什么需要保密、失密的后果及應該如何保密。四是要加強信息安全管理人員和技術人員專業(yè)知識、專業(yè)技能培訓，讓他們掌握信息安全技術，學會監(jiān)控、防范、處置、查證。五是要引入考核和激勵機制，把安全管理工作與各業(yè)務部門及部門安全員的利益結(jié)合起來，充分調(diào)動他們的積極性和責任心，使安全管理部門和業(yè)務部門之間形成良性互動的關系。

(作者單位：人行海西中支)