■楊勝基 嚴(yán)弘宇

數(shù)據(jù)集中后基層央行信息安全工作的現(xiàn)狀及對策

■楊勝基 嚴(yán)弘宇

近年來中國人民銀行逐步取消地市級數(shù)據(jù)服務(wù)器，逐步實現(xiàn)數(shù)據(jù)集中遠(yuǎn)程存儲。數(shù)據(jù)集中對數(shù)據(jù)管理、備份和網(wǎng)絡(luò)穩(wěn)定性、實時性提出了更高的要求，深刻影響了基層央行風(fēng)險管理工作。目前在撫州市中支機關(guān)有各類電子設(shè)備600多臺，已推廣應(yīng)用了四大類 100多個計算機應(yīng)用系統(tǒng)，覆蓋了人民銀行所有的業(yè)務(wù)，對基層央行的科技運維能力提出了更高更新的要求。目前信息系統(tǒng)的運行維護(hù)成為基層央行信息安全工作的核心。

一、數(shù)據(jù)集中后基層央行信息安全的現(xiàn)狀

1.科技運維和科技管理能力不足。

首先，表現(xiàn)在基層行科技人員數(shù)量明顯不足。按工作量測算，地市中支配備科技人員的合理人數(shù)應(yīng)在 7～9人。實際上大多數(shù)地市中支科技人員嚴(yán)重不足，有的科技部門還要承擔(dān)許多非技術(shù)工作。以撫州市中支為例：科技科應(yīng)設(shè)有科技管理、綜合、信息安全、網(wǎng)絡(luò)管理、軟件運維、硬件維護(hù)六個崗位。實際上主要科技人員只有4人，每個科技人員都身兼數(shù)職，人均負(fù)責(zé)二十多個系統(tǒng)的運行，人均維護(hù)設(shè)備上百臺，工作量相當(dāng)飽和。從轄內(nèi)縣支行看，幾乎沒有專兼職的科技人員。應(yīng)由支行科技人員承擔(dān)的網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)的運維管理，基本要靠中心支行。近幾年，雖然通過各種培訓(xùn)使得業(yè)務(wù)部門科技協(xié)管員的計算機信息安全意識和計算機應(yīng)用水平有了一定程度的提高，但是“等、靠”思想和“多一事不如少一事”的想法仍比較普遍，科技人員疲于奔命，常常扮演救火隊員角色，沒有時間和精力去做些前瞻性和開拓性的工作，處于被動運維狀態(tài)。致使一些隱蔽的安全隱患仍然存在。其次，表現(xiàn)在基層行科技人員業(yè)務(wù)水平有待提高。隨著信息技術(shù)發(fā)展，新技術(shù)新知識更新極快，信息技術(shù)用一日千里來形容毫不夸張。目前，基層行普遍存在科技人員青黃不接的狀況。以撫州市中支為例：老科技人員年齡在 42歲以上，新科技人員年齡在 25歲以下，年齡跨度近 20歲，一定程度上存在斷層。一方面，新入行科技人員在大學(xué)學(xué)習(xí)的專業(yè)普遍比較寬泛，操作性和針對性不強，與人民銀行現(xiàn)有應(yīng)用技術(shù)差別很大，需要較長時間去熟悉人民銀行科技業(yè)務(wù)。新入行科技人員在相當(dāng)長時間內(nèi)都處于熟悉摸索階段，很難獨當(dāng)一面，對比較復(fù)雜的人民銀行業(yè)務(wù)系統(tǒng)的運維能力明顯不足。第三，基層行科技人員溝通協(xié)調(diào)能力不足。數(shù)據(jù)集中后，基層央行科技工作除了要保障信息系統(tǒng)的安全穩(wěn)定運行以外，還要把信息科技工作點前移，變被動的技術(shù)保障為主動業(yè)務(wù)創(chuàng)新。因此要求科技人員不僅要有主動熱情的服務(wù)態(tài)度，還要具備與業(yè)務(wù)科室溝通協(xié)調(diào)能力。但是基層行科技人員往往對業(yè)務(wù)不夠熟悉，對業(yè)務(wù)經(jīng)辦類的信息系統(tǒng)不能有效的輔導(dǎo)和管理，形成業(yè)務(wù)操作與科技應(yīng)用的脫節(jié)，更談不上主動創(chuàng)新了。

2.應(yīng)對突發(fā)事件應(yīng)急響應(yīng)能力不足。

首先，隨著數(shù)據(jù)大集中，系統(tǒng)運行模式有很大改變，信息系統(tǒng)的架構(gòu)變得更加復(fù)雜，涉及面更加廣泛。尤其像大小額支付系統(tǒng)等實時系統(tǒng)一旦出現(xiàn)故障，單靠基層行科技人員是很難及時發(fā)現(xiàn)故障原因和解決問題的，必須借助上級行甚至總行的力量才能解決，基層央行科技部門應(yīng)對能力就相對削弱了。

其次，地市中支目前逐步采用一些技術(shù)手段來幫助提高運維能力，諸如 IT環(huán)境監(jiān)控系統(tǒng)、信息系統(tǒng)運維監(jiān)控系統(tǒng)等技術(shù)手段的應(yīng)用對加強用戶端計算機、機房環(huán)境、網(wǎng)絡(luò)實行有效地監(jiān)控和管理，發(fā)揮了積極作用，但是在縣支行還是主要依靠人工巡查等手段進(jìn)行監(jiān)控，不能及時發(fā)現(xiàn)問題。

第三，基層央行信息系統(tǒng)應(yīng)急預(yù)案制定大多參照上級行，與基層行真實環(huán)境有較大的差距。由于數(shù)據(jù)集中，大量應(yīng)用系統(tǒng)應(yīng)急演練需要省會中支甚至總行的配合才能完成，基層行獨自演練意義不大，往往采取紙上推演的形式，容易流于形式。缺乏有效的應(yīng)急演練，使得基層行對突發(fā)事件的應(yīng)對能力不足。

3.信息安全培訓(xùn)教育工作不足。

總行推廣應(yīng)用的業(yè)務(wù)系統(tǒng)由于種種原因普遍存在“重系統(tǒng)推廣、重業(yè)務(wù)培訓(xùn)、輕技術(shù)培訓(xùn)”的狀況，對系統(tǒng)背景知識和背景技術(shù)介紹很少，偶爾通過電視會議系統(tǒng)簡單說明下，深度不夠。在近幾年總行大規(guī)模推廣、升級更新系統(tǒng)的情況下，幾乎沒有組織過集中培訓(xùn)，明顯滯后于形勢發(fā)展?；鶎有锌萍既藛T在日常超負(fù)荷工作，加班加點是家常便飯的情況下，指望單靠業(yè)余時間自學(xué)來全面提高自身技能成為幾乎不可能完成的任務(wù)，造成基層行科技人員技術(shù)知識儲備嚴(yán)重不足。

二、數(shù)據(jù)集中后加強基層央行信息安全管理的建議

數(shù)據(jù)集中后，幾乎沒有重要系統(tǒng)軟件開發(fā)任務(wù)，重要系統(tǒng)服務(wù)器和應(yīng)用系統(tǒng)管理職能也上移了，地市中支要認(rèn)真研究在后集中時代如何更好地發(fā)揮科技工作的管理、服務(wù)和保障職能，確保信息系統(tǒng)的安全。

1.建立上下聯(lián)動、橫向到邊的運維平臺。

設(shè)立技術(shù)支持中心，統(tǒng)一管理和指導(dǎo)信息系統(tǒng)的運行維護(hù)工作，形成中支機關(guān)與縣支行、科技部門與業(yè)務(wù)部門之間的應(yīng)急聯(lián)動機制。利用內(nèi)聯(lián)網(wǎng)絡(luò)，建立在線服務(wù)中心，基層用戶可以隨時反饋需求，科技人員及時響應(yīng)，提高工作效率。在內(nèi)聯(lián)網(wǎng)上建立技術(shù)支持平臺，科技人員對各類運維事件、常見問題進(jìn)行全面采集記錄，為全行員工提供技術(shù)維護(hù)經(jīng)驗的交流平臺，借助這一平臺實現(xiàn)故障自助處理，達(dá)到減少科技人員維護(hù)量，實現(xiàn)運行維護(hù)工作的智能化。要根據(jù)集中業(yè)務(wù)的實時性強、安全要求高的需要，建立起一套預(yù)防為主的主動工作方式。把業(yè)務(wù)系統(tǒng)運維的重心前移，以“積極預(yù)防，強化運維”為抓手，以網(wǎng)絡(luò)保障、信息安全為工作重點，建立日常業(yè)務(wù)運行監(jiān)控體系，不斷在保障系統(tǒng)穩(wěn)定性和安全性上下功夫。

2.完善應(yīng)急預(yù)案，提升響應(yīng)能力。

制訂切實可行的網(wǎng)絡(luò)故障應(yīng)急方案，努力降低網(wǎng)絡(luò)突發(fā)故障給業(yè)務(wù)帶來的影響。重視網(wǎng)絡(luò)運行各環(huán)節(jié)的實時熱備份體系建設(shè)，尤其是廣域網(wǎng)、局域網(wǎng)線路和核心路由器、核心交換機的熱備份，保證網(wǎng)絡(luò)在出現(xiàn)故障情況下能夠?qū)崟r切換。首先，保證所有重要業(yè)務(wù)系統(tǒng)實現(xiàn)雙機備份；其次，對計算機系統(tǒng)的所有軟件包括操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行可靠的備份，并且要確保備份的是最新數(shù)據(jù)并適時切換演練；第三，建立業(yè)務(wù)數(shù)據(jù)的集中異地備份，添置專用的數(shù)據(jù)備份服務(wù)器，盡可能實現(xiàn)各種業(yè)務(wù)數(shù)據(jù)的自動備份：第四，采用雙回路、UPS、白備發(fā)電機等方式實現(xiàn)電力供應(yīng)備份。數(shù)據(jù)集中后，也不能把備份數(shù)據(jù)的壓力全部推給兩級數(shù)據(jù)中心。條件允許的情況下，基層行科技部門應(yīng)督促配合業(yè)務(wù)部門按要求繼續(xù)做好本地數(shù)據(jù)備份，實施多種方式的備份。實施網(wǎng)絡(luò)管理人員的A、B角負(fù)責(zé)制，確保任何情況下網(wǎng)絡(luò)人員不能缺崗。認(rèn)真進(jìn)行網(wǎng)絡(luò)系統(tǒng)和設(shè)備的維護(hù)，定期或不定期地對設(shè)備進(jìn)行徹底的檢查，對備份設(shè)備和主、備線路進(jìn)行全面的測試，加強和通訊運營商的溝通聯(lián)系，確保主、備線路的運行質(zhì)量。通過日常維護(hù)和檢查，提升應(yīng)急響應(yīng)能力。

3.加大風(fēng)險識別，重視預(yù)警防范。

對各部門計算機協(xié)管員、業(yè)務(wù)操作和管理人員加大培訓(xùn)宣傳力度，提高其計算機應(yīng)用水平，增強全行人員計算機信息安全的意識，促使其嚴(yán)格執(zhí)行各項管理規(guī)定。充分發(fā)揮現(xiàn)有計算機信息安全產(chǎn)品的作用，建立多系統(tǒng)聯(lián)動體系。首先，針對辦公、資金、視頻等不同業(yè)務(wù)劃分不同VLAN，實施不同的訪問控制策略，嚴(yán)格區(qū)分，分道傳輸。在此基礎(chǔ)上，充分利用防病毒系統(tǒng)、補丁分發(fā)系統(tǒng)、入侵檢測系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、CAMS端點準(zhǔn)入控制、移動存儲介質(zhì)管理系統(tǒng)、網(wǎng)管系統(tǒng)等作用，依托網(wǎng)管軟件、運維監(jiān)控軟件以及桌面安全管理系統(tǒng)“三位一體”，層層把控，處處設(shè)防，通過建立多系統(tǒng)聯(lián)動體系，來提升系統(tǒng)故障早期發(fā)現(xiàn)能力。定期對計算機尤其運行集中業(yè)務(wù)的計算機進(jìn)行安全檢查，按照“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)”的原則，落實每個系統(tǒng)、每臺設(shè)備的安全領(lǐng)導(dǎo)責(zé)任制、安全維護(hù)責(zé)任制、安全使用責(zé)任制。對計算機系統(tǒng)采取人力檢查與應(yīng)用桌面安全管理系統(tǒng)等技術(shù)手段相結(jié)合的方式，“日巡查、周自查、季檢查”。對發(fā)現(xiàn)的隱患，采取電話通知、下書面整改通知書、直至追究責(zé)任等形式，力爭把安全隱患消滅在萌芽狀態(tài)。

4.強化教育培訓(xùn)，提升綜合素質(zhì)。

基層行科技隊伍決不僅僅單純指科技部門人員，而應(yīng)該包括科技部門專業(yè)人員和業(yè)務(wù)部門科技協(xié)管員。首先，要注重科技部門人員梯度結(jié)構(gòu)，在注重人員素質(zhì)基礎(chǔ)上逐年配置合適人員，同時把合適的科技人員交流到業(yè)務(wù)部門，“鐵打的營盤，流水的兵”，把科技部門當(dāng)做基層行科技專業(yè)的黃埔軍校。其次，基層行要根據(jù)自身業(yè)務(wù)需要，加強對本行科技人員和科技協(xié)管員的技術(shù)培訓(xùn)，特別是網(wǎng)絡(luò)知識和信息安全知識的培訓(xùn)。第三，上級行科技部門要為中支科技部門人員提供更多接觸新知識、新技術(shù)的學(xué)習(xí)提高機會，強制要求基層行科技人員每年必須參加不少于一次的集中培訓(xùn)考核，以不斷提高其維護(hù)水平和業(yè)務(wù)技能?？萍既藛T也要克服自身弱點，利用維護(hù)、講課等方式強化協(xié)調(diào)溝通能力。第四，基層行要結(jié)合人民銀行績效考評辦法，建立和完善科技考核制度，制定和實施激勵機制，對科技管理和計算機安全工作做得好的科技人員給予科技貢獻(xiàn)獎。第五，要開展形式多樣的全員培訓(xùn)，全面提高員工的計算機應(yīng)用能力和安全意識。合理調(diào)配人力資源，要把以前用于科技開發(fā)的科技力量收回來，把更多的人力資源分配到科技管理和科技服務(wù)的一線，進(jìn)一步增強科技管理和科技服務(wù)的力量。

（作者單位：中國人民銀行撫州市中心支行、中國人民銀行南豐縣支行）