数据大集中下基层央行IT风险及控制

【摘要】近几年来，随着我国信息化建设的不断发展，人民银行逐步实现了业务系统的数据集中。数据大集中后，基层央行科技部门的重点也随之发生了变化，从以前的系统维护、数据管理转移到系统的运行管理和网络管理，基层央行的IT风险点也在变化。本文将结合基层央行实际，概述数据大集中下基层央行的IT主要风险，并提出风险控制的相关建议。

【关键词】数据大集中 IT风险 控制

一、数据大集中下基层央行IT工作现状

根据人民银行信息化发展实现应用系统整合和数据共享的总体思路，近几年来，人民银行已经先后实现了货币金银管理系统、金融统计调查系统、征信系统、国库核算类系统、中央银行会计核算系统等重要业务系统和邮件系统、人事信息系统、防病毒系统等系统的数据集中及整合。数据集中后的基层央行IT系统现状如下：

（一）中心机房服务器群规模迅速缩小，科技部门系统维护的工作量减少

随着数据大集中的推进，基层央行撤消了原来的信贷登记系统服务器、国库类服务器以及中央银行会计核算类服务器。服务器的撤销减轻了基层央行科技部门的日常运维、数据管理、系统升级等工作量。

（二）基层央行科技部门的工作重点发生变化

在数据大集中前，基层央行科技部门的主要工作是保障各个重要业务系统的安全稳定运行，在数据大集中后，形成了以总、分行为数据中心的业务格局，各个业务系统的操作通过网络进行，网络安全和客户端安全成了基层央行科技部门的重点工作。

（三）在人民银行争先创优背景下，基层央行各业务部门在现有的业务系统体系下结合实践开发创新系统的需求增加

业务需求不是一层不变的，基层央行业务部门作为业务系统的操作者和实践者，对业务需求的变化和改进最具发言权。在争先创优的政策鼓励下，基层科技部门也会投入更多精力配合业务部门实现创新业务系统的开发。

二、数据大集中下基层央行主要IT风险

数据大集中改变了基层央行IT部门的工作重点，同时也使得IT风险不断变化。结合基层央行现形势下的实际工作，基层央行数据大集中后面临的主要风险有：

（一）IT风险管理工作流于形式

自2007年以来，人民银行一直在开展信息安全风险评估工作。此项评估要求人民银行各级机构通过对机房环境、网络安全、应用安全、保密技术、信息安全管理、安全运维等几方面进行自查评估并定时整改。整体上来讲，信息安全风险评估囊括了人民银行IT系统的方方面面，从管理、运维、审计等多个角度促进了IT系统的不断完善。但是，信息安全风险评估执行多年来，已经成为了一项流于形式的考核工作。多数基层央行除了在第一次评估时投入了较多的精力，在一年一度的信息安全基线工作中，没有认真核实当下信息安全风险点的变化，对IT风险管理工作不够重视。

（二）网络安全风险问题突出

数据大集中后基层央行的网络成了IT部门保障的重点，但就目前来看，基层央行网络风险问题是IT系统风险中最突出的。

第一，基层央行网络信息安全意识仍然处于被动的封堵漏洞状态，网络监测、防护、响应、恢复和抗击能力较弱，网络信息安全防范机制有待提升；

第二，基层央行网络安全管理水平不高。对于基层央行特别是县市支行，缺乏专业的网络管理人员，一方面，网络维护人员的风险防范意识较差，另一方面，网络维护人员缺乏网络安全相关知识的系统培训，知识结构相对老化，无法正确把握网络系统中存在的安全问题；

第三，网络客户端的安全隐患仍然存在，虽然人民银行对网络客户端实施了病毒防护、软件补丁升级控制等操作，但是不能防范由于内部人员违规操作、人为破坏等因素造成的网络风险。

（三）客户端隐患严重

一直以来，基层央行客户端的操作系统和应用软件无法正版化是困扰基层央行科技部门的大问题，直至近几年，总行实施集中采购，操作系统正版化才逐步得到解决。但是客户端隐患仍然严重，举两个例子来说，基层央行无法使用正版的WINDOWS7系统，一旦安装该系统，人民银行非法外联系统就会报警，显示该机器有非法外联行为；微软已经停止了对OFFICE2003的技术支持，但基层央行的大部分机器仍然使用该软件。

（四）新系统开发缺乏控制

由于数据大集中，基层央行业务部门对自身业务的需求大多数是通过本级科技部门开发新系统实现。为了提高系统开发标准化和软件开发质量，人民银行科技司发布了《中国人民银行软件开发规范V3.3》，作为各级人民银行科技部门的开发指引。对于基层央行，系统开发存在的主要问题有：科技力量有限，系统开发过程中使用的相关技术可能不符合安全指引；对于有共性需求的小业务，各地存在独自开发、重复建设的问题；缺乏规范的控制措施检验基层央行自行开发的系统。

三、数据大集中下基层央行主要IT风险控制

针对基层央行现阶段的主要IT风险，建议主要从制度、人员、监督等几方面加强控制。

（一）加强风险认识、完善IT风险管理制度

基层央行应该正确认识IT风险，不断完善IT 风险管理制度。在人民银行信息安全风险评估的基础上，制定人员管理、岗位管理、网络管理、应用管理等多方面的安全管理规范指引，对可能出现的风险问题进行细化并通过完善应急预案来保障IT系统安全。

（二）加大基层央行科技人员培训力度

基层央行特别是县市支行的科技力量不足是制约基层央行技术发展的一个瓶颈。基层央行应加强科技人员培训力度、提高科技人员素质，一方面组织基层科技人员积极参加上级行推广的业务应用系统培训，可以及时了解业务系统使用中的风险管理要点，另一方面，上级行定期组织科技专业知识培训包括网络管理、安全防范、软件开发等，及时更新基层科技人员的知识结构，增强技术人员发现安全问题并处理问题的能力，适应央行信息化发展的工作需求。

（三）上级部门加强指引和监督

在数据大集中下，总行的软件开发规范、分行的网络运行管理规定等都是对基层央行IT技术管理的有效指引。除了将指引通过文件形式下发到基层央行外，上级行应该建立奖惩制度，通过审核、监督等行为督促基层央行实现IT风险有效管理，使得规范、指引落实到位。同时上级部门也可以通过调研、实地考察等手段收集基层央行IT风险工作中的要点、难点，提供合理的建议帮助基层央行解决IT风险问题。

作者简介：周丹（1982-），女，任职于中国人民银行宜昌市中心支行，初级工程师，研究方向：网络。