基层央行客户端信息安全管理工作存在的问题与建议

基层央行客户端信息安全管理工作存在的问题与建议
张祯
【摘要】@@ 近年来,随着计算机技术和网络技术在金融领域的广泛应用,人民银行大小额支付系统、国库会计核算系统、征信系统、货币金银信息系统、人民币结算账户管理系统等核心业务系统的推广应用,重要信息系统正逐渐向总行和省会中心支行两级集中.
【期刊名称】《中国金融电脑》
【年(卷),期】2010(000)011
【总页数】2页(P83-84)
【作者】张祯
【作者单位】中国人民银行福安市支行
【正文语种】中文
近年来，随着计算机技术和网络技术在金融领域的广泛应用，人民银行大小额支付系统、国库会计核算系统、征信系统、货币金银信息系统、人民币结算账户管理系统等核心业务系统的推广应用，重要信息系统正逐渐向总行和省会中心支行两级集中。

基层央行作为信息网络的“末梢神经”，与全国数据库直接相连，如何有效加强基层央行计算机客户端信息安全管理，直接关系到全行业务系统的正常运行，确保人民银行业务系统以及网络系统的安全,防范有组织和个体的恶意攻击是基层央行长期面临的一项艰巨且紧迫的任务。

一、客户端信息安全管理工作存在的问题
1.思想认识不到位
在日常工作中，部分基层央行从领导到普通员工对计算机客户端信息安全管理没有足够的重视，片面认为计算机客户端信息安全管理是科技部门的事情。

2.制度落实难
虽然近几年从总行到县支行均制订了大量的规章制度，但有的制度在基层央行执行存在阻力。

如按照人民银行总行《关于印发〈中国人民银行信息安全管理规定〉的通知》精神，各部门要指派素质好、较熟悉计算机知识的人员担任计算机安全员，并报本单位科技部门备案。

部门计算机安全员负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况，但该规定在县支行就得不到有效落实。

3.人员整体素质参差不齐
基层央行员工队伍整体素质参差不齐，影响基层央行计算机客户端信息安全管理工作。

目前，基层央行员工队伍老化严重，同时培训不系统，学习积极性不高，工作主动性不强，不少人对计算机操作不熟练，严重依赖科技人员，增加科技人员工作量。

4.片面理解“专机专用”，给安全管理埋下隐患
个别业务部门要求每个业务系统都要配备专门的主备机，而有的业务系统一年才使用一次，主备机又没按照规定定期切换，不能保障有关计算机业务系统补丁齐全和杀毒软件病毒库更新。

5.有关规定不够明确
《中国人民银行信息安全管理规定》规定不得在操作终端上安装与业务系统无关的软件，但没有明确何为无关软件，个别业务部门形而上学理解该规定，要求不能在业务机上安装如Word、Excel、Notes等办公软件。

由于人民银行各项业务不断地发展，业务范围不断地扩大，所涉及的内容也不断变化，可能以往无关软件现在
会变成正常业务软件，以往正常业务软件会变成无关软件，因此无关软件界定依据在计算机安全管理中相当重要。

6.对安全管理重视程度不够
科技部门重科技服务，轻安全管理，同级监督使基层行计算机安全管理流于形式。

目前，宁德中心支行8个县支行仅有一名专职科技人员，其他7个县支行均配备
一名兼职科技人员，挂靠在其他部门管理，由于县支行多年不进人，无法及时补充新的科技力量，人员老化严重，缺乏专业知识，科技人员工作兼职较多，仅能保障日常科技服务工作。

同时，科技人员政治待遇差，科技人员开展计算机客户端检查心存顾虑，计算机日常监督检查的质量和效果就可能打了折扣。

二、对基层央行计算机客户端信息安全管理的建议
1.强化计算机信息安全责任制
要加强有关制度宣传学习，切实提高基层央行全体干部员工对计算机安全工作的重视程度和理解，明确各部门责任，做到职责明确，引入考核和激励机制，把安全管理工作与各业务部门及部门安全员的利益结合起来,充分调动员工的积极性和责任心,使安全管理部门和业务部门之间形成良性互动的关系。

2.进一步加强对制度落实情况的检查、监督，提升制度的执行力
一是抓好制度落实。

基层行应与部门及部门计算机安全员签订计算机安全责任书，明确部门计算机安全员和职责，人员变更后，及时调整，严格按照已经制订的制度、办法、规程进行操作，规范计算机安全管理。

二是以福州中心支行开发的计算机客户端安全配置检测软件为依托，开展计算机客户端安全管理非现场监督检查。

要在全行在用计算机推广安装计算机客户端安全配置检测软件，并开展定期或不定期计算机客户端安全管理非现场监督检查，同时，上级行应加强计算机客户端安全管理现场监督检查。

三是加强责任追究。

加强对制度落实情况的检查和监督，并建立责任追究机制，兑
现奖惩。

在内联网设立计算机安全管理栏目，对制度落实不到位，造成风险的人员进行通报，从而形成内在约束的良好氛围。

3.加强员工培训教育，建立科学合理的用人机制
一是加强技术人员的培养和重点业务人员的培训，提高全员的信息安全意识。

要最大限度利用好现有的人力资源，选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作，加大基层人员的信息安全技术培训，提升基层行信息安全管理人员的专业技术水平和综合防护能力。

二是要将员工计算机操作综合水平作为员工提拔、职称评聘及评优评先的依据，提高计算机安全员和部门计算机安全员的待遇。

4.明确“专机专用”
上级行应按照安全与节约兼顾的原则明确“专机专用”，提高计算机使用效率。

随着人民银行重要信息系统数据向总行和省会两级集中，基层行计算机仅作为业务系统客户端，应按照安全与节约兼顾的原则，物尽其用。

5.对“无关软件”进行明确界定
应在全面分析人民银行业务发展方向的基础上，针对“无关软件”进行明确界定。

要明确指出“无关软件”的性质和特点，确定“无关软件”的范围和类型，使得在安全管理工作中能更好地处理日常工作、业务处理中辅助软件和实质上无关软件的关系。

同时建议各级人民银行的加强培训，从根本上解决“无关软件”的问题。

6.转变思想观念，实事求是
正确把握基层央行科技工作重心，转变思想观念，做到有所为。

基层央行科技工作应从规范管理、提高效率上下工夫，使科技、安全和业务三者都不耽误，要加强计算机客户端安全管理，上级行应加强对基层行计算机安全管理的日常检查指导，对发现的问题应明确责任人。

要加强信息安全管理人员和技术人员专业知识、专业技
能培训,让他们掌握信息安全技术,学会监控、防范、处置、查证。