顧品永

（中國(guó)人民銀行華坪縣支行，云南 麗江 677300）

近年來(lái)，金融業(yè)面臨的信息安全形勢(shì)越來(lái)越復(fù)雜，工作越來(lái)越艱巨，并日益成為社會(huì)各界關(guān)注的焦點(diǎn)和維護(hù)金融穩(wěn)定工作的一個(gè)重要組成部分。通過(guò)對(duì)華坪縣工行、農(nóng)行、建行、郵儲(chǔ)銀行、農(nóng)村信用社5家銀行業(yè)金融機(jī)構(gòu)信息安全方面的調(diào)查，發(fā)現(xiàn)縣域銀行業(yè)金融機(jī)構(gòu)在信息安全認(rèn)識(shí)、科技資源配置以及網(wǎng)絡(luò)資源備份等方面存在“短板現(xiàn)象”。

一、縣級(jí)金融信息安全基本狀況

由于金融信息系統(tǒng)全國(guó)或全省數(shù)據(jù)集中以及第三方外包服務(wù)的增多，縣域金融機(jī)構(gòu)科技維護(hù)任務(wù)逐步減少，科技崗位職能逐步弱化，信息安全管理存在著“短板現(xiàn)象”。從基礎(chǔ)設(shè)施建設(shè)情況，幾家金融機(jī)構(gòu)機(jī)房建設(shè)選址合適，主機(jī)房都采取了防火、防水、防盜措施，具有防直擊雷、感應(yīng)雷措施，采取了接地措施，采用UPS電源對(duì)主機(jī)房不間斷供電，機(jī)房管理制度較為全面，建設(shè)基本符合《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》相關(guān)要求；網(wǎng)絡(luò)建設(shè)方面，大多數(shù)金融機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)了冗余線路，有2家機(jī)構(gòu)網(wǎng)絡(luò)采用負(fù)載均衡方式運(yùn)行，2家機(jī)構(gòu)采取冷備方式，1家機(jī)構(gòu)沒(méi)有冗余線路和冗余設(shè)備。從信息系統(tǒng)建設(shè)情況來(lái)看，主要業(yè)務(wù)采取C/S或者B/S方式，服務(wù)器集中到對(duì)應(yīng)的省級(jí)金融機(jī)構(gòu)；銀行卡及ATM機(jī)和POS機(jī)管理方面，以華坪縣農(nóng)村信用合作聯(lián)社為例，目前安裝了ATM機(jī)器11臺(tái)，建立了巡檢登記簿，通過(guò)抽查2011年維護(hù)和巡查登記簿，發(fā)現(xiàn)維護(hù)和巡查記錄要素齊全，每日進(jìn)行3次巡查，建立了維護(hù)審批登記簿及重要區(qū)域出入登記簿，共發(fā)生13次維修情況，維修時(shí)有相關(guān)人員全程陪同，發(fā)行的銀行卡卡片符合《銀行卡卡片規(guī)范》，采取了安全措施，POS機(jī)推廣了45臺(tái)，建立了相應(yīng)的管理制度。

二、信息安全方面存在的主要問(wèn)題

（一）縣域金融機(jī)構(gòu)信息安全協(xié)調(diào)機(jī)制有待建立完善

金融是現(xiàn)代經(jīng)濟(jì)的核心，也是高度依賴信息技術(shù)的重要行業(yè)，而金融信息安全不僅是人民銀行各種重要業(yè)務(wù)開(kāi)展的重要保障，還涉及其他商業(yè)金融機(jī)構(gòu)，因此，建立金融信息安全協(xié)調(diào)機(jī)制，加強(qiáng)當(dāng)?shù)厝嗣胥y行與金融機(jī)構(gòu)之間金融信息安全溝通協(xié)調(diào)，促進(jìn)金融業(yè)信息安全保障和應(yīng)急工作十分必要，但就目前華坪縣而言，還沒(méi)有建立縣域金融機(jī)構(gòu)信息安全協(xié)調(diào)機(jī)制，還未開(kāi)展過(guò)信息安全檢查。

（二）金融機(jī)構(gòu)科技人員和部門資源配置缺失

華坪縣域有5家銀行業(yè)金融機(jī)構(gòu)，從人員配置情況來(lái)看，僅有1家金融機(jī)構(gòu)，由于縣域機(jī)構(gòu)網(wǎng)點(diǎn)數(shù)多，專門設(shè)置了科技部門，配備有專職科技人員，有1家具有兼職科技人員，其余3家未配置專職或者兼職科技人員，總的來(lái)說(shuō)，由于信息系統(tǒng)全國(guó)或全省集中，加之外包服務(wù)增多，縣域存在著科技崗位弱化趨勢(shì)。

（三）金融機(jī)構(gòu)對(duì)信息安全重視程度不高

經(jīng)過(guò)對(duì)縣域金融機(jī)構(gòu)的走訪調(diào)查，發(fā)現(xiàn)主要存在以下幾個(gè)問(wèn)題。一是部分金融機(jī)構(gòu)沒(méi)有向當(dāng)?shù)厝嗣胥y行報(bào)送計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組名單，且只具有形式，沒(méi)有真正按要求運(yùn)作；二是華坪縣域金融機(jī)構(gòu)均未設(shè)置專職信息安全員，或者系統(tǒng)管理員和信息安全員都為一個(gè)人；三是機(jī)房建設(shè)不規(guī)范，存在部分金融機(jī)構(gòu)機(jī)房未獨(dú)立設(shè)置，基礎(chǔ)設(shè)施不全、不規(guī)范等情況。通過(guò)以上分析，存在基層金融機(jī)構(gòu)對(duì)信息安全重視度不夠的安全隱患。

（四）網(wǎng)絡(luò)管理水平參差不齊

比如農(nóng)行信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)考慮了線路冗余和網(wǎng)絡(luò)核心設(shè)備冗余，且采用了網(wǎng)絡(luò)流量負(fù)載均衡技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)較為合理；而農(nóng)村信用社網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)有明顯缺陷，盡管廣域網(wǎng)設(shè)計(jì)考慮了冗余線路，但網(wǎng)絡(luò)設(shè)備存在單點(diǎn)故障隱患，目前還采取網(wǎng)絡(luò)設(shè)備發(fā)生故障后，再用其他設(shè)備去替換的方式，并且網(wǎng)絡(luò)設(shè)備配置參數(shù)未進(jìn)行備份，這種方式與現(xiàn)代金融的要求明顯存在差距。

（五）金融業(yè)信息安全管理的法規(guī)依據(jù)建設(shè)滯后，部分領(lǐng)域存在缺失情況

在金融業(yè)信息化飛速發(fā)展的今天，部分法規(guī)依據(jù)還是沿用十幾年前建立的制度，這些規(guī)定已難于適應(yīng)現(xiàn)代金融信息安全規(guī)范管理要求，而自助銀行信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)還沒(méi)有行業(yè)級(jí)的標(biāo)準(zhǔn)規(guī)范等。

三、相關(guān)建議

（一）盡快建立縣級(jí)銀行業(yè)金融機(jī)構(gòu)信息安全協(xié)調(diào)機(jī)制

為增強(qiáng)金融機(jī)構(gòu)對(duì)信息安全的重視程度，促進(jìn)當(dāng)?shù)厝嗣胥y行與金融機(jī)構(gòu)之間金融信息安全溝通協(xié)調(diào)，加強(qiáng)信息共享、資源共享，進(jìn)一步提高金融業(yè)信息安全保障和應(yīng)急能力，建立協(xié)調(diào)機(jī)制十分必要，同時(shí)還要繼續(xù)深化協(xié)調(diào)機(jī)制建設(shè)，保證協(xié)調(diào)機(jī)制持續(xù)運(yùn)作。

（二）建議加強(qiáng)金融機(jī)構(gòu)信息安全管理的制度建設(shè)

為提高金融信息安全標(biāo)準(zhǔn)化程度，開(kāi)展信息安全檢查提供強(qiáng)有力的依據(jù)，一是以相關(guān)法規(guī)和制度為依據(jù)，制定詳細(xì)的金融機(jī)構(gòu)信息安全管理的制度，進(jìn)一步明確各主體間的法律責(zé)任和義務(wù)，如制定詳細(xì)的信息安全檢查實(shí)施細(xì)則，統(tǒng)一檢查內(nèi)容和檢查流程。二是對(duì)責(zé)任追究制度的細(xì)化，就違反的相應(yīng)事項(xiàng)，明確違反了法規(guī)哪一條哪一款，進(jìn)行量化的處罰，增強(qiáng)約束力和可操作性。

（三）強(qiáng)化對(duì)各縣域金融機(jī)構(gòu)信息安全的檢查和指導(dǎo)工作

針對(duì)各種金融業(yè)務(wù)的違法犯罪活動(dòng)快速增長(zhǎng)，信息安全形勢(shì)越來(lái)越復(fù)雜的情況，金融信息安全已成為維護(hù)金融穩(wěn)定工作的一個(gè)重要組成部分，為轄區(qū)內(nèi)各金融機(jī)構(gòu)共同維護(hù)轄區(qū)金融信息安全，做好金融穩(wěn)定工作，提高金融業(yè)信息安全保障和應(yīng)急工作能力，強(qiáng)化對(duì)各縣域金融機(jī)構(gòu)信息安全的檢查和指導(dǎo)工作尤為重要。