丁建軍

在當(dāng)今社會(huì)科學(xué)不斷革新的大背景下，計(jì)算機(jī)領(lǐng)域變化日新月異，新技術(shù)新平臺(tái)日漸成熟，為我們的工作提供了空前的便利。隨著人民銀行信息自動(dòng)化系統(tǒng)的推廣應(yīng)用，各基層行現(xiàn)代化辦公水平不斷提高，如何有效防范計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)已然成為一個(gè)重要課題。2017年勒索病毒的大規(guī)模爆發(fā)，在全球數(shù)百個(gè)國家瘋狂肆虐醫(yī)院、教育等領(lǐng)域，造成了不可估量的經(jīng)濟(jì)損失，如何維護(hù)計(jì)算機(jī)系統(tǒng)安全，更是得到了全民真正意義上的關(guān)注，被擺到了更高的研究位置。本文通過剖析人民銀行基層計(jì)算機(jī)系統(tǒng)的現(xiàn)狀，總結(jié)存在的安全風(fēng)險(xiǎn)及隱患，并針對(duì)性提出防控建議。

一、計(jì)算機(jī)系統(tǒng)管理現(xiàn)狀

（一）科技人員配備不足

結(jié)合本地區(qū)兄弟行的實(shí)際情況，崗位設(shè)置與人員不足之間的矛盾沖突明顯。科技科配備人數(shù)未能達(dá)到標(biāo)準(zhǔn)要求的專人專崗人數(shù)，存在兼崗、聘請(qǐng)臨時(shí)工上崗工作的現(xiàn)象。部分科技工作者甚至沒有經(jīng)過專門的技術(shù)培訓(xùn)，就承擔(dān)起了電腦安全管理、業(yè)務(wù)網(wǎng)系統(tǒng)維護(hù)、軟件升級(jí)、資產(chǎn)管理等工作，大量工作容易導(dǎo)致力不從心、顧此失彼的情況發(fā)生。

（二）制度體系建設(shè)不完善

當(dāng)今世界計(jì)算機(jī)領(lǐng)域發(fā)展迅速，人民銀行基層部門制度建設(shè)方面，存在明顯的滯后現(xiàn)象，計(jì)算機(jī)安全管理制度和應(yīng)急處置流程等不能夠有效的涵蓋全部業(yè)務(wù)領(lǐng)域，存在著一定的安全風(fēng)險(xiǎn)點(diǎn)。

（三）硬件設(shè)施不健全

經(jīng)過排查，部分地區(qū)中支在硬件設(shè)施建設(shè)上存在很多短板弱項(xiàng)，大多數(shù)單位仍然使用手動(dòng)滅火設(shè)備，未安裝消防自動(dòng)報(bào)警系統(tǒng)；部分單位只有建筑物防雷，沒有重要設(shè)備及重要線路的二、三級(jí)防雷；有些中支UPS保養(yǎng)不當(dāng)?shù)葐栴}屢見不鮮，未配備雙路供電；部分中支網(wǎng)絡(luò)關(guān)鍵設(shè)備老舊，存在過保繼續(xù)使用的情況。

二、計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)產(chǎn)生的原因

（一）專業(yè)人員技術(shù)不過硬增加操作風(fēng)險(xiǎn)

當(dāng)前科技部門業(yè)務(wù)發(fā)展迅速，由于專業(yè)培訓(xùn)沒有達(dá)到全員額要求，部分科技人員業(yè)務(wù)水平不過硬，難以滿足業(yè)務(wù)發(fā)展需求，在很大程度上增加了一手工作者的操作風(fēng)險(xiǎn)隱患。具體到部分支行的科技工作人員配備不齊全，相關(guān)業(yè)務(wù)工作人員缺乏計(jì)算機(jī)安全方面的知識(shí)，無法進(jìn)行針對(duì)性的系統(tǒng)安全檢查，也不能對(duì)本單位計(jì)算機(jī)系統(tǒng)的安全狀況作出客觀的分析，這就導(dǎo)致計(jì)算機(jī)運(yùn)行過程中存在的風(fēng)險(xiǎn)隱患無法及時(shí)發(fā)現(xiàn)并解決。

（二）制度體系建設(shè)不完善帶來風(fēng)險(xiǎn)隱患

目前，部分中支計(jì)算機(jī)安全管理制度體系建設(shè)還不夠完善，部分重要業(yè)務(wù)系統(tǒng)未建立相應(yīng)的風(fēng)險(xiǎn)防控應(yīng)急處置預(yù)案，在重要業(yè)務(wù)系統(tǒng)出現(xiàn)突發(fā)狀況時(shí)，沒有整套系統(tǒng)的處理措施，導(dǎo)致特情處置不及時(shí)，影響業(yè)務(wù)的正常開展。此外，部分中支計(jì)算機(jī)安全管理崗位人員安排其他部門人員兼職，人員配備上存在一定的局限性，也給制度的執(zhí)行帶來了相當(dāng)大的難度，導(dǎo)致某些內(nèi)控制度形同虛設(shè)。

（三）安全意識(shí)薄弱埋下安全隱患

部分中支業(yè)務(wù)工作人員對(duì)計(jì)算機(jī)系統(tǒng)安全的重要性認(rèn)識(shí)不夠全面，安全意識(shí)相對(duì)薄弱，掌握計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)防控的知識(shí)就更加難以說起，業(yè)務(wù)部門普遍存在對(duì)計(jì)算機(jī)安全管理工作講得多、落實(shí)少，抓計(jì)算機(jī)安全工作沒有重點(diǎn)和針對(duì)性，導(dǎo)致計(jì)算機(jī)安全事故時(shí)有發(fā)生。

（四）系統(tǒng)應(yīng)用及不規(guī)范維護(hù)暗存風(fēng)險(xiǎn)

各工作人員在使用業(yè)務(wù)網(wǎng)時(shí)不設(shè)置系統(tǒng)密碼，對(duì)相應(yīng)的重要文檔沒有加密，有些沒有實(shí)現(xiàn)崗位互控的作用，當(dāng)長時(shí)間離機(jī)時(shí)沒有強(qiáng)制簽退等功能。系統(tǒng)維護(hù)方面，存在某些老舊程序只能在xp系統(tǒng)上運(yùn)行和特定程序在專崗計(jì)算機(jī)上安裝的情況，由于人員變動(dòng)等原因備份工作為未及時(shí)跟上，有的甚至安裝資料不齊全，一旦出現(xiàn)故障維護(hù)起來十分困難，給業(yè)務(wù)系統(tǒng)帶來極大的安全風(fēng)險(xiǎn)。

（五）缺乏行之有效的內(nèi)控監(jiān)管，導(dǎo)致業(yè)務(wù)人員操作不規(guī)范

管理人員與非管理人員的權(quán)限仍界定不清，沒有全面系統(tǒng)的監(jiān)管，部分業(yè)務(wù)人員未按規(guī)章制度操作，存在密碼使用混亂的現(xiàn)象，例如系統(tǒng)操作員、管理員的分工沒有明確的權(quán)限設(shè)置，操作員之間賬號(hào)混用，密碼不能及時(shí)更換，都為業(yè)務(wù)系統(tǒng)埋下了安全隱患。

三、防控風(fēng)險(xiǎn)點(diǎn)的對(duì)策建議

（一）統(tǒng)一全員思想認(rèn)識(shí)

“計(jì)算機(jī)安全是用百分之九十九的努力去堵百分之一的漏洞。”各級(jí)人民銀行要高度重視計(jì)算機(jī)系統(tǒng)安全管理工作，積極成立由分管行領(lǐng)導(dǎo)為組長，各部門負(fù)責(zé)人為成員的計(jì)算機(jī)系統(tǒng)安全管理領(lǐng)導(dǎo)小組，按照相關(guān)要求將本行的計(jì)算機(jī)安全工作落實(shí)到位，定期組織開展全行人員計(jì)算機(jī)安全技能培訓(xùn)，找準(zhǔn)本單位存在的風(fēng)險(xiǎn)隱患，及易發(fā)生問題的重點(diǎn)部位和重要環(huán)節(jié)，針對(duì)性制定安全防范措施，確保工作有章可循。通過組織全員自上而下簽訂責(zé)任書，引導(dǎo)各類人員認(rèn)識(shí)到計(jì)算機(jī)安全工作的重要性，統(tǒng)一思想、責(zé)任到人，形成大事大抓的強(qiáng)勁態(tài)勢(shì)和思想共識(shí)。

（二）強(qiáng)化骨干隊(duì)伍建設(shè)

人是落實(shí)計(jì)算機(jī)安全工作的核心和關(guān)鍵，強(qiáng)化骨干隊(duì)伍需要從以下三個(gè)方面下功夫。一是要重點(diǎn)突出“思想政治”、“職業(yè)道德”、“法律法規(guī)”三個(gè)方面教育灌輸，引導(dǎo)廣大員工樹立正確的風(fēng)險(xiǎn)防范意識(shí)，不斷提高自身政治素養(yǎng)、道德水準(zhǔn)和法律意識(shí)，持續(xù)強(qiáng)化自我約束能力，從思想上筑起預(yù)防計(jì)算機(jī)風(fēng)險(xiǎn)的防火墻。二是要不斷深化風(fēng)險(xiǎn)防控技能培訓(xùn)，培訓(xùn)工作從處置計(jì)算機(jī)風(fēng)險(xiǎn)能力、業(yè)務(wù)操作人員操作水平和防范計(jì)算機(jī)風(fēng)險(xiǎn)綜合能力、全行員工計(jì)算機(jī)理論及操作水平三個(gè)方面持續(xù)用力，力爭(zhēng)有所提高。三是拓寬人才培養(yǎng)渠道，按照“引進(jìn)來、走出去”的思路，上級(jí)部門應(yīng)積極提供人才交流途徑，重視基層行科技人員的引進(jìn)和業(yè)務(wù)能力培養(yǎng)，以進(jìn)一步保障計(jì)算機(jī)安全管理的需求。

（三）完善工作管理制度

從數(shù)據(jù)分析和原因剖析中得出，計(jì)算機(jī)系統(tǒng)安全事故很大程度上是由于管理制度不健全、操作流程不合規(guī)、缺乏行之有效的監(jiān)管措施，不斷完善和細(xì)化計(jì)算機(jī)安全管理制度、嚴(yán)防違規(guī)操作風(fēng)險(xiǎn)是保證計(jì)算機(jī)安全的重要保障。一是全面系統(tǒng)梳理存在的漏洞隱患，針對(duì)計(jì)算機(jī)系統(tǒng)的更新?lián)Q代，對(duì)現(xiàn)有的安全管理制度中存在的不足和漏洞進(jìn)行梳理和完善，明確每個(gè)崗位的職責(zé)要求和考核標(biāo)準(zhǔn)，使日常的各項(xiàng)工作有章可循，增強(qiáng)制度的可操作性。二是嚴(yán)格落實(shí)規(guī)定和一手操作，加強(qiáng)內(nèi)控制度落實(shí)，明確崗位權(quán)限和職責(zé)劃分，嚴(yán)禁越權(quán)違規(guī)操作；加強(qiáng)系統(tǒng)資料的維護(hù)與管理，實(shí)行所有系統(tǒng)軟件資料由科技部門集中統(tǒng)一管理，嚴(yán)格按審批流程開展系統(tǒng)運(yùn)維工作，減少因資料泄露導(dǎo)致的風(fēng)險(xiǎn)隱患；加強(qiáng)要害崗位管理，落實(shí)崗位輪換和強(qiáng)制休假制度；加強(qiáng)重要系統(tǒng)數(shù)據(jù)備份和應(yīng)急機(jī)制，對(duì)運(yùn)行重要業(yè)務(wù)系統(tǒng)的服務(wù)器和數(shù)據(jù)存儲(chǔ)設(shè)備實(shí)行同型號(hào)雙機(jī)備份，定期對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份和異地存放，保證數(shù)據(jù)信息安全性和完整性。三是加大計(jì)算機(jī)信息安全檢查力度，各中支計(jì)算機(jī)安全領(lǐng)導(dǎo)小組應(yīng)定期組織開展行內(nèi)計(jì)算機(jī)信息安全檢查，及時(shí)發(fā)現(xiàn)存在的問題，消除安全隱患，嚴(yán)肅查處違規(guī)操作行為。

（四）拓寬技術(shù)防范手段

技術(shù)防范是計(jì)算機(jī)安全工作的重要環(huán)節(jié)。豐富技術(shù)手段要加大科技投入力度，重點(diǎn)從消防、防雷、UPS供電等三個(gè)方面改善基礎(chǔ)硬件設(shè)施，突出計(jì)算機(jī)加密技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、病毒防治技術(shù)和監(jiān)控技術(shù)四個(gè)技術(shù)的發(fā)展和使用，多方位筑牢計(jì)算機(jī)安全防范屏障，切實(shí)防范和保障計(jì)算機(jī)安全。

（五）加強(qiáng)安全監(jiān)管力度

各級(jí)人民銀行應(yīng)將計(jì)算機(jī)安全列為監(jiān)督檢查的重要內(nèi)容之一，進(jìn)一步加強(qiáng)監(jiān)管力度，建立完善的計(jì)算機(jī)風(fēng)險(xiǎn)預(yù)警機(jī)制和安全防范體系，保障計(jì)算機(jī)各類應(yīng)用系統(tǒng)安全平穩(wěn)運(yùn)行。endprint