基层央行信息安全工作存在的问题与建议

摘 要：笔者结合多年基层央行科技工作实践，从人员配备、应急准备、病毒防范、政策法律、介质管理、风险意识等方面探讨了基层央行信息安全工作实际存在的六个方面的问题，并分析提出强化信息安全工作的可行性建议：增加年轻、专业的科技人员配备，提升技术力量；加强应急管理，使应急预案真能应急；进一步增强内联网、国际互联网防病毒等信息安全措施；明确信息安全管理的相关政策法规，提高基层行的执行力；严谨规范地做好存储介质管理，避免失密、泄密事件发生；加强人员教育和管理，提高警惕，防范风险。

关键词：信息安全；问题；工作建议

近年来，基层央行网络和信息系统安全措施不断加强，有力地保障了各部门众多业务处理应用系统的正常运行。但是，面对日益严峻的信息安全新形势，基层央行信息安全工作仍然面临一些困难、存在一些风险隐患。笔者结合人行汉中市中心支行多年科技工作实践，对如何进一步加强基层央行信息系统安全工作谈一些意见，提出相关改进建议。

1 信息安全工作存在的主要问题

1.1 科技人员配备不足，科技队伍结构不合理。尤其是县支行科技人员缺乏，信息安全工作力量薄弱，部分信息安全措施难以落实。信息技术更新速度很快，学习掌握需要较长时间和大量精力，对“年轻化”要求较高，而且需要专门的知识技能做基础，系统掌握比较困难。目前中心支行科技部门人员偏少，平均年龄偏大，对新知识新技术的掌握普遍偏少，知识老化现象比较严重，科技维护中只能处理日常外围故障，对诸如数据库操作、软件编程、系统底层等故障等一些深层问题难以解决。

人民银行县支行大多都没有专门的科技人员，科技工作由其它业务岗位人员兼职，这些兼职科技人员年龄多在40岁以上，而且没有接受过专门正规训练。由于业务工作繁忙，事务性工作较多，加之计算机技术本身的深度和难度，其学习掌握信息安全技术的积极性、时间和精力远远不够。另一方面各县支行科技工作的业务量较大、要求也较高，相形之下信息安全工作难以落到实处。

1.2 信息系统应急工作薄弱。由于科技力量不足，导致信息系统应急工作薄弱，尤其是县支行。目前大多数县支行信息系统应急预案没有很好地结合本单位实际情况进行修订，存在应急宣传培训不到位、应急预案更新不及时、可操作性差等问题；受技术水平等因素限制，中心支行组织的应急演练项目，多数支行只能配合进行一些简单的切换、监测、记录、反馈等操作，对于网络中断、路由器、交换机、光端机故障等相对技术含量较高的项目无力演练；此外信息系统应急物资不能满足应急需要，若遭受毁灭性破坏，缺乏迅速搭建网络等重要业务应用系统的资源；由于县支行应急工作不到位而缺少完整、系统的突发事件应急处置经验，在重大灾害、故障面前，明显力不从心。

1.3 防病毒能力较弱，国际互联网业务用计算机的安全措施亟待加强。人民银行内联网络信息系统防病毒软件单一，更新相对滞后，难以有效防范比较新型的木马、黑客等病毒。在国际互联网上运行的计算机信息系统（如集中代收付、外汇管理等）缺少统一、有效的反病毒软件和其它安全防范软件。

1.4 监督管理政策不明确、法律依据缺乏。总行、西安分行科技工作会议明确指出：人民银行科技部门的工作思路需要由过去的偏重内部建设转变为内部建设与行业管理并重，要加强对辖内金融业信息化工作的协调和指导力度，探索可行的行业管理模式。

总行已经制定了金融信息安全属地化管理的思路，基层行科技部门肩负着指导、协调辖内金融业信息化工作的职责，要对信息安全工作进行指导和检查，对银行卡联网通用进行督促和检查，对辖内银行业、证券业、保险业信息化状况进行调研。在履行上述工作职责过程中，由于相关政策不够明确、法律依据缺乏，使得对金融业信息系统安全监督管理等工作难以落实。

1.5 存储介质管理存在风险，管理制度不够完善。一是没有妥善保存：工作中时常发现备份数据的存储介质随处乱放、不及时入柜上锁保存的情况。二是警惕性不高：存在涉密数据和普通文档存放在同一个存储介质的情况。三是未及时定密：存在涉密数据存储介质未及时确定密级、未按涉密存储介质管理的问题。四是备份数据的规定不太明确：有的系统仅仅要求做好数据备份，但对采用何种存储介质、数据备份周期、存储介质的保存时间、存储介质的翻新时间、销毁时间等没有明确的规定。

1.6 信息安全的全员意识需要增强，信息安全风险管理意识有待进一步提高。经过多年的信息系统安全教育，全员信息安全意识已显著提高，但是部分部门、一些员工的信息安全意识依然薄弱，工作人员安全保密的常识缺乏，警惕性不高，制度执行中存在不坚持原则、用信任代替原则、用人情代替制度情况；工作中存在人员离开不退出涉密应用系统或锁定计算机、重要资料信息在网络上随意共享等现象；密码设置存在复杂度不够易于破解、易被套取的情况，反映出信息安全风险管理意识亟待加强。

2 加强信息安全工作的建议

2.1 增加年轻、专业的科技人员配备，加强技术力量。建议在条件允许的情况下，加快人才选配步伐，适当给中心支行，尤其是县支行配备信息安全、软件开发等相关专业的本科生或研究生，提高科技力量储备。

2.2 进一步加强县支行的信息应急工作。在尽可能增配县支行科技力量基础上，结合实际组织安排攻坚性的应急预案更新和修订工作，增强可操作性和实战性，适时开展演练，同时加强应急措施和应急步骤的宣传培训；在条件许可情况下，储备比较充分的网络暨信息系统应急物资。

2.3 进一步强化信息安全措施。建议在统一测试、选型的基础上为内联网络增配反病毒软件，为国际互联网上运行的计算机增加统一、有效的反病毒工具，执行反病毒程序的实时监控和调度扫描，对客户端的升级、系统定期检查、清除病毒等操作进行集约控制，加强病毒防范能力。

2.4 加强法规建设规范监管工作。建议在条件成熟时，制定央行对金融业信息系统管理监督工作的法律规章，规范操作内容和程序，促进基层行执行力的提高。

2.5 进行存储介质管理知识培训，规范、强化存储介质管理工作。应将一般数据和涉密数据分别保存到不同的介质中；对涉密存储介质及时标注密级，入柜上锁保管；强化操作人员安全保密意识和工作责任感；建议对每个业务处理系统的数据备份周期、存储介质的保存时间、存储内容的删除时间、存储介质的翻新时间、销毁时间等方面进行明确的规定。

2.6 加强人员教育和管理，提高警惕，防范风险

（1）制定员工学习信息系统安全和保密知识的制度，增加学习密度，努力提高全体员工的信息安全意识和思想觉悟，养成敢于坚持原则、严格遵守安全保密规定、谨慎工作的良好习惯。

（2）通过“工具化”、“专业化”方式实施信息安全检查。通过实用的、完备的软硬件工具，实现安全检查工具化、专业化和安全防范清晰化、可控化，加大对基层行信息系统安全工作的检查力度，促进信息安全管理措施落到实处。

参考文献

[1]王宇，闫慧.信息安全保密技术[T].北京：国防工业出版，2010.

[2]范红，冯登国.信息安全风险评估实施教程[T].北京：清华大学出版社，2007.

[3]程兴财.银行业计算机信息系统安全风险识别与控制[T].西部金融，2010，（4）.

[4]孟爱科.把好“五关”确保信息安全[T].西部金融，2008，（5）.

[5]孟爱科.信息系统保密工作存在的问题和建议[T].信息安全与技术，2012，（11）.

作者简介：孟爱科（1971，3-），男，陕西汉中人，本科，网络工程师，现供职于中国人民银行汉中市中心支行。endprint