【摘要】近幾年來，隨著我國信息化建設(shè)的不斷發(fā)展，人民銀行逐步實現(xiàn)了業(yè)務(wù)系統(tǒng)的數(shù)據(jù)集中。數(shù)據(jù)大集中后，基層央行科技部門的重點也隨之發(fā)生了變化，從以前的系統(tǒng)維護、數(shù)據(jù)管理轉(zhuǎn)移到系統(tǒng)的運行管理和網(wǎng)絡(luò)管理，基層央行的IT風(fēng)險點也在變化。本文將結(jié)合基層央行實際，概述數(shù)據(jù)大集中下基層央行的IT主要風(fēng)險，并提出風(fēng)險控制的相關(guān)建議。

【關(guān)鍵詞】數(shù)據(jù)大集中 IT風(fēng)險 控制

一、數(shù)據(jù)大集中下基層央行IT工作現(xiàn)狀

根據(jù)人民銀行信息化發(fā)展實現(xiàn)應(yīng)用系統(tǒng)整合和數(shù)據(jù)共享的總體思路，近幾年來，人民銀行已經(jīng)先后實現(xiàn)了貨幣金銀管理系統(tǒng)、金融統(tǒng)計調(diào)查系統(tǒng)、征信系統(tǒng)、國庫核算類系統(tǒng)、中央銀行會計核算系統(tǒng)等重要業(yè)務(wù)系統(tǒng)和郵件系統(tǒng)、人事信息系統(tǒng)、防病毒系統(tǒng)等系統(tǒng)的數(shù)據(jù)集中及整合。數(shù)據(jù)集中后的基層央行IT系統(tǒng)現(xiàn)狀如下：

（一）中心機房服務(wù)器群規(guī)模迅速縮小，科技部門系統(tǒng)維護的工作量減少

隨著數(shù)據(jù)大集中的推進(jìn)，基層央行撤消了原來的信貸登記系統(tǒng)服務(wù)器、國庫類服務(wù)器以及中央銀行會計核算類服務(wù)器。服務(wù)器的撤銷減輕了基層央行科技部門的日常運維、數(shù)據(jù)管理、系統(tǒng)升級等工作量。

（二）基層央行科技部門的工作重點發(fā)生變化

在數(shù)據(jù)大集中前，基層央行科技部門的主要工作是保障各個重要業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行，在數(shù)據(jù)大集中后，形成了以總、分行為數(shù)據(jù)中心的業(yè)務(wù)格局，各個業(yè)務(wù)系統(tǒng)的操作通過網(wǎng)絡(luò)進(jìn)行，網(wǎng)絡(luò)安全和客戶端安全成了基層央行科技部門的重點工作。

（三）在人民銀行爭先創(chuàng)優(yōu)背景下，基層央行各業(yè)務(wù)部門在現(xiàn)有的業(yè)務(wù)系統(tǒng)體系下結(jié)合實踐開發(fā)創(chuàng)新系統(tǒng)的需求增加

業(yè)務(wù)需求不是一層不變的，基層央行業(yè)務(wù)部門作為業(yè)務(wù)系統(tǒng)的操作者和實踐者，對業(yè)務(wù)需求的變化和改進(jìn)最具發(fā)言權(quán)。在爭先創(chuàng)優(yōu)的政策鼓勵下，基層科技部門也會投入更多精力配合業(yè)務(wù)部門實現(xiàn)創(chuàng)新業(yè)務(wù)系統(tǒng)的開發(fā)。

二、數(shù)據(jù)大集中下基層央行主要IT風(fēng)險

數(shù)據(jù)大集中改變了基層央行IT部門的工作重點，同時也使得IT風(fēng)險不斷變化。結(jié)合基層央行現(xiàn)形勢下的實際工作，基層央行數(shù)據(jù)大集中后面臨的主要風(fēng)險有：

（一）IT風(fēng)險管理工作流于形式

自2007年以來，人民銀行一直在開展信息安全風(fēng)險評估工作。此項評估要求人民銀行各級機構(gòu)通過對機房環(huán)境、網(wǎng)絡(luò)安全、應(yīng)用安全、保密技術(shù)、信息安全管理、安全運維等幾方面進(jìn)行自查評估并定時整改。整體上來講，信息安全風(fēng)險評估囊括了人民銀行IT系統(tǒng)的方方面面，從管理、運維、審計等多個角度促進(jìn)了IT系統(tǒng)的不斷完善。但是，信息安全風(fēng)險評估執(zhí)行多年來，已經(jīng)成為了一項流于形式的考核工作。多數(shù)基層央行除了在第一次評估時投入了較多的精力，在一年一度的信息安全基線工作中，沒有認(rèn)真核實當(dāng)下信息安全風(fēng)險點的變化，對IT風(fēng)險管理工作不夠重視。

（二）網(wǎng)絡(luò)安全風(fēng)險問題突出

數(shù)據(jù)大集中后基層央行的網(wǎng)絡(luò)成了IT部門保障的重點，但就目前來看，基層央行網(wǎng)絡(luò)風(fēng)險問題是IT系統(tǒng)風(fēng)險中最突出的。

第一，基層央行網(wǎng)絡(luò)信息安全意識仍然處于被動的封堵漏洞狀態(tài)，網(wǎng)絡(luò)監(jiān)測、防護、響應(yīng)、恢復(fù)和抗擊能力較弱，網(wǎng)絡(luò)信息安全防范機制有待提升；

第二，基層央行網(wǎng)絡(luò)安全管理水平不高。對于基層央行特別是縣市支行，缺乏專業(yè)的網(wǎng)絡(luò)管理人員，一方面，網(wǎng)絡(luò)維護人員的風(fēng)險防范意識較差，另一方面，網(wǎng)絡(luò)維護人員缺乏網(wǎng)絡(luò)安全相關(guān)知識的系統(tǒng)培訓(xùn)，知識結(jié)構(gòu)相對老化，無法正確把握網(wǎng)絡(luò)系統(tǒng)中存在的安全問題；

第三，網(wǎng)絡(luò)客戶端的安全隱患仍然存在，雖然人民銀行對網(wǎng)絡(luò)客戶端實施了病毒防護、軟件補丁升級控制等操作，但是不能防范由于內(nèi)部人員違規(guī)操作、人為破壞等因素造成的網(wǎng)絡(luò)風(fēng)險。

（三）客戶端隱患嚴(yán)重

一直以來，基層央行客戶端的操作系統(tǒng)和應(yīng)用軟件無法正版化是困擾基層央行科技部門的大問題，直至近幾年，總行實施集中采購，操作系統(tǒng)正版化才逐步得到解決。但是客戶端隱患仍然嚴(yán)重，舉兩個例子來說，基層央行無法使用正版的WINDOWS7系統(tǒng)，一旦安裝該系統(tǒng)，人民銀行非法外聯(lián)系統(tǒng)就會報警，顯示該機器有非法外聯(lián)行為；微軟已經(jīng)停止了對OFFICE2003的技術(shù)支持，但基層央行的大部分機器仍然使用該軟件。

（四）新系統(tǒng)開發(fā)缺乏控制

由于數(shù)據(jù)大集中，基層央行業(yè)務(wù)部門對自身業(yè)務(wù)的需求大多數(shù)是通過本級科技部門開發(fā)新系統(tǒng)實現(xiàn)。為了提高系統(tǒng)開發(fā)標(biāo)準(zhǔn)化和軟件開發(fā)質(zhì)量，人民銀行科技司發(fā)布了《中國人民銀行軟件開發(fā)規(guī)范V3.3》，作為各級人民銀行科技部門的開發(fā)指引。對于基層央行，系統(tǒng)開發(fā)存在的主要問題有：科技力量有限，系統(tǒng)開發(fā)過程中使用的相關(guān)技術(shù)可能不符合安全指引；對于有共性需求的小業(yè)務(wù)，各地存在獨自開發(fā)、重復(fù)建設(shè)的問題；缺乏規(guī)范的控制措施檢驗基層央行自行開發(fā)的系統(tǒng)。

三、數(shù)據(jù)大集中下基層央行主要IT風(fēng)險控制

針對基層央行現(xiàn)階段的主要IT風(fēng)險，建議主要從制度、人員、監(jiān)督等幾方面加強控制。

（一）加強風(fēng)險認(rèn)識、完善IT風(fēng)險管理制度

基層央行應(yīng)該正確認(rèn)識IT風(fēng)險，不斷完善IT 風(fēng)險管理制度。在人民銀行信息安全風(fēng)險評估的基礎(chǔ)上，制定人員管理、崗位管理、網(wǎng)絡(luò)管理、應(yīng)用管理等多方面的安全管理規(guī)范指引，對可能出現(xiàn)的風(fēng)險問題進(jìn)行細(xì)化并通過完善應(yīng)急預(yù)案來保障IT系統(tǒng)安全。

（二）加大基層央行科技人員培訓(xùn)力度

基層央行特別是縣市支行的科技力量不足是制約基層央行技術(shù)發(fā)展的一個瓶頸?；鶎友胄袘?yīng)加強科技人員培訓(xùn)力度、提高科技人員素質(zhì)，一方面組織基層科技人員積極參加上級行推廣的業(yè)務(wù)應(yīng)用系統(tǒng)培訓(xùn)，可以及時了解業(yè)務(wù)系統(tǒng)使用中的風(fēng)險管理要點，另一方面，上級行定期組織科技專業(yè)知識培訓(xùn)包括網(wǎng)絡(luò)管理、安全防范、軟件開發(fā)等，及時更新基層科技人員的知識結(jié)構(gòu)，增強技術(shù)人員發(fā)現(xiàn)安全問題并處理問題的能力，適應(yīng)央行信息化發(fā)展的工作需求。

（三）上級部門加強指引和監(jiān)督

在數(shù)據(jù)大集中下，總行的軟件開發(fā)規(guī)范、分行的網(wǎng)絡(luò)運行管理規(guī)定等都是對基層央行IT技術(shù)管理的有效指引。除了將指引通過文件形式下發(fā)到基層央行外，上級行應(yīng)該建立獎懲制度，通過審核、監(jiān)督等行為督促基層央行實現(xiàn)IT風(fēng)險有效管理，使得規(guī)范、指引落實到位。同時上級部門也可以通過調(diào)研、實地考察等手段收集基層央行IT風(fēng)險工作中的要點、難點，提供合理的建議幫助基層央行解決IT風(fēng)險問題。

作者簡介：周丹（1982-），女，任職于中國人民銀行宜昌市中心支行，初級工程師，研究方向：網(wǎng)絡(luò)。