縣域銀行業(yè)金融信息安全管理存在“短板現(xiàn)象”

顧品永

（中國人民銀行華坪縣支行，云南 麗江 677300）

近年來，金融業(yè)面臨的信息安全形勢越來越復(fù)雜，工作越來越艱巨，并日益成為社會各界關(guān)注的焦點和維護(hù)金融穩(wěn)定工作的一個重要組成部分。通過對華坪縣工行、農(nóng)行、建行、郵儲銀行、農(nóng)村信用社5家銀行業(yè)金融機(jī)構(gòu)信息安全方面的調(diào)查，發(fā)現(xiàn)縣域銀行業(yè)金融機(jī)構(gòu)在信息安全認(rèn)識、科技資源配置以及網(wǎng)絡(luò)資源備份等方面存在“短板現(xiàn)象”。

一、縣級金融信息安全基本狀況

由于金融信息系統(tǒng)全國或全省數(shù)據(jù)集中以及第三方外包服務(wù)的增多，縣域金融機(jī)構(gòu)科技維護(hù)任務(wù)逐步減少，科技崗位職能逐步弱化，信息安全管理存在著“短板現(xiàn)象”。從基礎(chǔ)設(shè)施建設(shè)情況，幾家金融機(jī)構(gòu)機(jī)房建設(shè)選址合適，主機(jī)房都采取了防火、防水、防盜措施，具有防直擊雷、感應(yīng)雷措施，采取了接地措施，采用UPS電源對主機(jī)房不間斷供電，機(jī)房管理制度較為全面，建設(shè)基本符合《金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》相關(guān)要求；網(wǎng)絡(luò)建設(shè)方面，大多數(shù)金融機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計了冗余線路，有2家機(jī)構(gòu)網(wǎng)絡(luò)采用負(fù)載均衡方式運行，2家機(jī)構(gòu)采取冷備方式，1家機(jī)構(gòu)沒有冗余線路和冗余設(shè)備。從信息系統(tǒng)建設(shè)情況來看，主要業(yè)務(wù)采取C/S或者B/S方式，服務(wù)器集中到對應(yīng)的省級金融機(jī)構(gòu)；銀行卡及ATM機(jī)和POS機(jī)管理方面，以華坪縣農(nóng)村信用合作聯(lián)社為例，目前安裝了ATM機(jī)器11臺，建立了巡檢登記簿，通過抽查2011年維護(hù)和巡查登記簿，發(fā)現(xiàn)維護(hù)和巡查記錄要素齊全，每日進(jìn)行3次巡查，建立了維護(hù)審批登記簿及重要區(qū)域出入登記簿，共發(fā)生13次維修情況，維修時有相關(guān)人員全程陪同，發(fā)行的銀行卡卡片符合《銀行卡卡片規(guī)范》，采取了安全措施，POS機(jī)推廣了45臺，建立了相應(yīng)的管理制度。

二、信息安全方面存在的主要問題

（一）縣域金融機(jī)構(gòu)信息安全協(xié)調(diào)機(jī)制有待建立完善

金融是現(xiàn)代經(jīng)濟(jì)的核心，也是高度依賴信息技術(shù)的重要行業(yè)，而金融信息安全不僅是人民銀行各種重要業(yè)務(wù)開展的重要保障，還涉及其他商業(yè)金融機(jī)構(gòu)，因此，建立金融信息安全協(xié)調(diào)機(jī)制，加強當(dāng)?shù)厝嗣胥y行與金融機(jī)構(gòu)之間金融信息安全溝通協(xié)調(diào)，促進(jìn)金融業(yè)信息安全保障和應(yīng)急工作十分必要，但就目前華坪縣而言，還沒有建立縣域金融機(jī)構(gòu)信息安全協(xié)調(diào)機(jī)制，還未開展過信息安全檢查。

（二）金融機(jī)構(gòu)科技人員和部門資源配置缺失

華坪縣域有5家銀行業(yè)金融機(jī)構(gòu)，從人員配置情況來看，僅有1家金融機(jī)構(gòu)，由于縣域機(jī)構(gòu)網(wǎng)點數(shù)多，專門設(shè)置了科技部門，配備有專職科技人員，有1家具有兼職科技人員，其余3家未配置專職或者兼職科技人員，總的來說，由于信息系統(tǒng)全國或全省集中，加之外包服務(wù)增多，縣域存在著科技崗位弱化趨勢。

（三）金融機(jī)構(gòu)對信息安全重視程度不高

經(jīng)過對縣域金融機(jī)構(gòu)的走訪調(diào)查，發(fā)現(xiàn)主要存在以下幾個問題。一是部分金融機(jī)構(gòu)沒有向當(dāng)?shù)厝嗣胥y行報送計算機(jī)信息安全領(lǐng)導(dǎo)小組名單，且只具有形式，沒有真正按要求運作；二是華坪縣域金融機(jī)構(gòu)均未設(shè)置專職信息安全員，或者系統(tǒng)管理員和信息安全員都為一個人；三是機(jī)房建設(shè)不規(guī)范，存在部分金融機(jī)構(gòu)機(jī)房未獨立設(shè)置，基礎(chǔ)設(shè)施不全、不規(guī)范等情況。通過以上分析，存在基層金融機(jī)構(gòu)對信息安全重視度不夠的安全隱患。

（四）網(wǎng)絡(luò)管理水平參差不齊

比如農(nóng)行信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計考慮了線路冗余和網(wǎng)絡(luò)核心設(shè)備冗余，且采用了網(wǎng)絡(luò)流量負(fù)載均衡技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)較為合理；而農(nóng)村信用社網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計有明顯缺陷，盡管廣域網(wǎng)設(shè)計考慮了冗余線路，但網(wǎng)絡(luò)設(shè)備存在單點故障隱患，目前還采取網(wǎng)絡(luò)設(shè)備發(fā)生故障后，再用其他設(shè)備去替換的方式，并且網(wǎng)絡(luò)設(shè)備配置參數(shù)未進(jìn)行備份，這種方式與現(xiàn)代金融的要求明顯存在差距。

（五）金融業(yè)信息安全管理的法規(guī)依據(jù)建設(shè)滯后，部分領(lǐng)域存在缺失情況

在金融業(yè)信息化飛速發(fā)展的今天，部分法規(guī)依據(jù)還是沿用十幾年前建立的制度，這些規(guī)定已難于適應(yīng)現(xiàn)代金融信息安全規(guī)范管理要求，而自助銀行信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)還沒有行業(yè)級的標(biāo)準(zhǔn)規(guī)范等。

三、相關(guān)建議

（一）盡快建立縣級銀行業(yè)金融機(jī)構(gòu)信息安全協(xié)調(diào)機(jī)制

為增強金融機(jī)構(gòu)對信息安全的重視程度，促進(jìn)當(dāng)?shù)厝嗣胥y行與金融機(jī)構(gòu)之間金融信息安全溝通協(xié)調(diào)，加強信息共享、資源共享，進(jìn)一步提高金融業(yè)信息安全保障和應(yīng)急能力，建立協(xié)調(diào)機(jī)制十分必要，同時還要繼續(xù)深化協(xié)調(diào)機(jī)制建設(shè)，保證協(xié)調(diào)機(jī)制持續(xù)運作。

（二）建議加強金融機(jī)構(gòu)信息安全管理的制度建設(shè)

為提高金融信息安全標(biāo)準(zhǔn)化程度，開展信息安全檢查提供強有力的依據(jù)，一是以相關(guān)法規(guī)和制度為依據(jù)，制定詳細(xì)的金融機(jī)構(gòu)信息安全管理的制度，進(jìn)一步明確各主體間的法律責(zé)任和義務(wù)，如制定詳細(xì)的信息安全檢查實施細(xì)則，統(tǒng)一檢查內(nèi)容和檢查流程。二是對責(zé)任追究制度的細(xì)化，就違反的相應(yīng)事項，明確違反了法規(guī)哪一條哪一款，進(jìn)行量化的處罰，增強約束力和可操作性。

（三）強化對各縣域金融機(jī)構(gòu)信息安全的檢查和指導(dǎo)工作

針對各種金融業(yè)務(wù)的違法犯罪活動快速增長，信息安全形勢越來越復(fù)雜的情況，金融信息安全已成為維護(hù)金融穩(wěn)定工作的一個重要組成部分，為轄區(qū)內(nèi)各金融機(jī)構(gòu)共同維護(hù)轄區(qū)金融信息安全，做好金融穩(wěn)定工作，提高金融業(yè)信息安全保障和應(yīng)急工作能力，強化對各縣域金融機(jī)構(gòu)信息安全的檢查和指導(dǎo)工作尤為重要。