摘 要：筆者結(jié)合多年基層央行科技工作實(shí)踐，從人員配備、應(yīng)急準(zhǔn)備、病毒防范、政策法律、介質(zhì)管理、風(fēng)險(xiǎn)意識(shí)等方面探討了基層央行信息安全工作實(shí)際存在的六個(gè)方面的問題，并分析提出強(qiáng)化信息安全工作的可行性建議：增加年輕、專業(yè)的科技人員配備，提升技術(shù)力量；加強(qiáng)應(yīng)急管理，使應(yīng)急預(yù)案真能應(yīng)急；進(jìn)一步增強(qiáng)內(nèi)聯(lián)網(wǎng)、國(guó)際互聯(lián)網(wǎng)防病毒等信息安全措施；明確信息安全管理的相關(guān)政策法規(guī)，提高基層行的執(zhí)行力；嚴(yán)謹(jǐn)規(guī)范地做好存儲(chǔ)介質(zhì)管理，避免失密、泄密事件發(fā)生；加強(qiáng)人員教育和管理，提高警惕，防范風(fēng)險(xiǎn)。

關(guān)鍵詞：信息安全；問題；工作建議

近年來，基層央行網(wǎng)絡(luò)和信息系統(tǒng)安全措施不斷加強(qiáng)，有力地保障了各部門眾多業(yè)務(wù)處理應(yīng)用系統(tǒng)的正常運(yùn)行。但是，面對(duì)日益嚴(yán)峻的信息安全新形勢(shì)，基層央行信息安全工作仍然面臨一些困難、存在一些風(fēng)險(xiǎn)隱患。筆者結(jié)合人行漢中市中心支行多年科技工作實(shí)踐，對(duì)如何進(jìn)一步加強(qiáng)基層央行信息系統(tǒng)安全工作談一些意見，提出相關(guān)改進(jìn)建議。

1 信息安全工作存在的主要問題

1.1 科技人員配備不足，科技隊(duì)伍結(jié)構(gòu)不合理。尤其是縣支行科技人員缺乏，信息安全工作力量薄弱，部分信息安全措施難以落實(shí)。信息技術(shù)更新速度很快，學(xué)習(xí)掌握需要較長(zhǎng)時(shí)間和大量精力，對(duì)“年輕化”要求較高，而且需要專門的知識(shí)技能做基礎(chǔ)，系統(tǒng)掌握比較困難。目前中心支行科技部門人員偏少，平均年齡偏大，對(duì)新知識(shí)新技術(shù)的掌握普遍偏少，知識(shí)老化現(xiàn)象比較嚴(yán)重，科技維護(hù)中只能處理日常外圍故障，對(duì)諸如數(shù)據(jù)庫(kù)操作、軟件編程、系統(tǒng)底層等故障等一些深層問題難以解決。

人民銀行縣支行大多都沒有專門的科技人員，科技工作由其它業(yè)務(wù)崗位人員兼職，這些兼職科技人員年齡多在40歲以上，而且沒有接受過專門正規(guī)訓(xùn)練。由于業(yè)務(wù)工作繁忙，事務(wù)性工作較多，加之計(jì)算機(jī)技術(shù)本身的深度和難度，其學(xué)習(xí)掌握信息安全技術(shù)的積極性、時(shí)間和精力遠(yuǎn)遠(yuǎn)不夠。另一方面各縣支行科技工作的業(yè)務(wù)量較大、要求也較高，相形之下信息安全工作難以落到實(shí)處。

1.2 信息系統(tǒng)應(yīng)急工作薄弱。由于科技力量不足，導(dǎo)致信息系統(tǒng)應(yīng)急工作薄弱，尤其是縣支行。目前大多數(shù)縣支行信息系統(tǒng)應(yīng)急預(yù)案沒有很好地結(jié)合本單位實(shí)際情況進(jìn)行修訂，存在應(yīng)急宣傳培訓(xùn)不到位、應(yīng)急預(yù)案更新不及時(shí)、可操作性差等問題；受技術(shù)水平等因素限制，中心支行組織的應(yīng)急演練項(xiàng)目，多數(shù)支行只能配合進(jìn)行一些簡(jiǎn)單的切換、監(jiān)測(cè)、記錄、反饋等操作，對(duì)于網(wǎng)絡(luò)中斷、路由器、交換機(jī)、光端機(jī)故障等相對(duì)技術(shù)含量較高的項(xiàng)目無力演練；此外信息系統(tǒng)應(yīng)急物資不能滿足應(yīng)急需要，若遭受毀滅性破壞，缺乏迅速搭建網(wǎng)絡(luò)等重要業(yè)務(wù)應(yīng)用系統(tǒng)的資源；由于縣支行應(yīng)急工作不到位而缺少完整、系統(tǒng)的突發(fā)事件應(yīng)急處置經(jīng)驗(yàn)，在重大災(zāi)害、故障面前，明顯力不從心。

1.3 防病毒能力較弱，國(guó)際互聯(lián)網(wǎng)業(yè)務(wù)用計(jì)算機(jī)的安全措施亟待加強(qiáng)。人民銀行內(nèi)聯(lián)網(wǎng)絡(luò)信息系統(tǒng)防病毒軟件單一，更新相對(duì)滯后，難以有效防范比較新型的木馬、黑客等病毒。在國(guó)際互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)信息系統(tǒng)（如集中代收付、外匯管理等）缺少統(tǒng)一、有效的反病毒軟件和其它安全防范軟件。

1.4 監(jiān)督管理政策不明確、法律依據(jù)缺乏?？傂小⑽靼卜中锌萍脊ぷ鲿?huì)議明確指出：人民銀行科技部門的工作思路需要由過去的偏重內(nèi)部建設(shè)轉(zhuǎn)變?yōu)閮?nèi)部建設(shè)與行業(yè)管理并重，要加強(qiáng)對(duì)轄內(nèi)金融業(yè)信息化工作的協(xié)調(diào)和指導(dǎo)力度，探索可行的行業(yè)管理模式。

總行已經(jīng)制定了金融信息安全屬地化管理的思路，基層行科技部門肩負(fù)著指導(dǎo)、協(xié)調(diào)轄內(nèi)金融業(yè)信息化工作的職責(zé)，要對(duì)信息安全工作進(jìn)行指導(dǎo)和檢查，對(duì)銀行卡聯(lián)網(wǎng)通用進(jìn)行督促和檢查，對(duì)轄內(nèi)銀行業(yè)、證券業(yè)、保險(xiǎn)業(yè)信息化狀況進(jìn)行調(diào)研。在履行上述工作職責(zé)過程中，由于相關(guān)政策不夠明確、法律依據(jù)缺乏，使得對(duì)金融業(yè)信息系統(tǒng)安全監(jiān)督管理等工作難以落實(shí)。

1.5 存儲(chǔ)介質(zhì)管理存在風(fēng)險(xiǎn)，管理制度不夠完善。一是沒有妥善保存：工作中時(shí)常發(fā)現(xiàn)備份數(shù)據(jù)的存儲(chǔ)介質(zhì)隨處亂放、不及時(shí)入柜上鎖保存的情況。二是警惕性不高：存在涉密數(shù)據(jù)和普通文檔存放在同一個(gè)存儲(chǔ)介質(zhì)的情況。三是未及時(shí)定密：存在涉密數(shù)據(jù)存儲(chǔ)介質(zhì)未及時(shí)確定密級(jí)、未按涉密存儲(chǔ)介質(zhì)管理的問題。四是備份數(shù)據(jù)的規(guī)定不太明確：有的系統(tǒng)僅僅要求做好數(shù)據(jù)備份，但對(duì)采用何種存儲(chǔ)介質(zhì)、數(shù)據(jù)備份周期、存儲(chǔ)介質(zhì)的保存時(shí)間、存儲(chǔ)介質(zhì)的翻新時(shí)間、銷毀時(shí)間等沒有明確的規(guī)定。

1.6 信息安全的全員意識(shí)需要增強(qiáng)，信息安全風(fēng)險(xiǎn)管理意識(shí)有待進(jìn)一步提高。經(jīng)過多年的信息系統(tǒng)安全教育，全員信息安全意識(shí)已顯著提高，但是部分部門、一些員工的信息安全意識(shí)依然薄弱，工作人員安全保密的常識(shí)缺乏，警惕性不高，制度執(zhí)行中存在不堅(jiān)持原則、用信任代替原則、用人情代替制度情況；工作中存在人員離開不退出涉密應(yīng)用系統(tǒng)或鎖定計(jì)算機(jī)、重要資料信息在網(wǎng)絡(luò)上隨意共享等現(xiàn)象；密碼設(shè)置存在復(fù)雜度不夠易于破解、易被套取的情況，反映出信息安全風(fēng)險(xiǎn)管理意識(shí)亟待加強(qiáng)。

2 加強(qiáng)信息安全工作的建議

2.1 增加年輕、專業(yè)的科技人員配備，加強(qiáng)技術(shù)力量。建議在條件允許的情況下，加快人才選配步伐，適當(dāng)給中心支行，尤其是縣支行配備信息安全、軟件開發(fā)等相關(guān)專業(yè)的本科生或研究生，提高科技力量?jī)?chǔ)備。

2.2 進(jìn)一步加強(qiáng)縣支行的信息應(yīng)急工作。在盡可能增配縣支行科技力量基礎(chǔ)上，結(jié)合實(shí)際組織安排攻堅(jiān)性的應(yīng)急預(yù)案更新和修訂工作，增強(qiáng)可操作性和實(shí)戰(zhàn)性，適時(shí)開展演練，同時(shí)加強(qiáng)應(yīng)急措施和應(yīng)急步驟的宣傳培訓(xùn)；在條件許可情況下，儲(chǔ)備比較充分的網(wǎng)絡(luò)暨信息系統(tǒng)應(yīng)急物資。

2.3 進(jìn)一步強(qiáng)化信息安全措施。建議在統(tǒng)一測(cè)試、選型的基礎(chǔ)上為內(nèi)聯(lián)網(wǎng)絡(luò)增配反病毒軟件，為國(guó)際互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)增加統(tǒng)一、有效的反病毒工具，執(zhí)行反病毒程序的實(shí)時(shí)監(jiān)控和調(diào)度掃描，對(duì)客戶端的升級(jí)、系統(tǒng)定期檢查、清除病毒等操作進(jìn)行集約控制，加強(qiáng)病毒防范能力。

2.4 加強(qiáng)法規(guī)建設(shè)規(guī)范監(jiān)管工作。建議在條件成熟時(shí)，制定央行對(duì)金融業(yè)信息系統(tǒng)管理監(jiān)督工作的法律規(guī)章，規(guī)范操作內(nèi)容和程序，促進(jìn)基層行執(zhí)行力的提高。

2.5 進(jìn)行存儲(chǔ)介質(zhì)管理知識(shí)培訓(xùn)，規(guī)范、強(qiáng)化存儲(chǔ)介質(zhì)管理工作。應(yīng)將一般數(shù)據(jù)和涉密數(shù)據(jù)分別保存到不同的介質(zhì)中；對(duì)涉密存儲(chǔ)介質(zhì)及時(shí)標(biāo)注密級(jí)，入柜上鎖保管；強(qiáng)化操作人員安全保密意識(shí)和工作責(zé)任感；建議對(duì)每個(gè)業(yè)務(wù)處理系統(tǒng)的數(shù)據(jù)備份周期、存儲(chǔ)介質(zhì)的保存時(shí)間、存儲(chǔ)內(nèi)容的刪除時(shí)間、存儲(chǔ)介質(zhì)的翻新時(shí)間、銷毀時(shí)間等方面進(jìn)行明確的規(guī)定。

2.6 加強(qiáng)人員教育和管理，提高警惕，防范風(fēng)險(xiǎn)

（1）制定員工學(xué)習(xí)信息系統(tǒng)安全和保密知識(shí)的制度，增加學(xué)習(xí)密度，努力提高全體員工的信息安全意識(shí)和思想覺悟，養(yǎng)成敢于堅(jiān)持原則、嚴(yán)格遵守安全保密規(guī)定、謹(jǐn)慎工作的良好習(xí)慣。

（2）通過“工具化”、“專業(yè)化”方式實(shí)施信息安全檢查。通過實(shí)用的、完備的軟硬件工具，實(shí)現(xiàn)安全檢查工具化、專業(yè)化和安全防范清晰化、可控化，加大對(duì)基層行信息系統(tǒng)安全工作的檢查力度，促進(jìn)信息安全管理措施落到實(shí)處。

參考文獻(xiàn)

[1]王宇，閆慧.信息安全保密技術(shù)[T].北京：國(guó)防工業(yè)出版，2010.

[2]范紅，馮登國(guó).信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施教程[T].北京：清華大學(xué)出版社，2007.

[3]程興財(cái).銀行業(yè)計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)識(shí)別與控制[T].西部金融，2010，（4）.

[4]孟愛科.把好“五關(guān)”確保信息安全[T].西部金融，2008，（5）.

[5]孟愛科.信息系統(tǒng)保密工作存在的問題和建議[T].信息安全與技術(shù)，2012，（11）.

作者簡(jiǎn)介：孟愛科（1971，3-），男，陜西漢中人，本科，網(wǎng)絡(luò)工程師，現(xiàn)供職于中國(guó)人民銀行漢中市中心支行。endprint