数据集中后基层央行信息安全工作的现状及对策
2017-06-05杨胜基严弘宇
■杨胜基 严弘宇
数据集中后基层央行信息安全工作的现状及对策
■杨胜基 严弘宇
近年来中国人民银行逐步取消地市级数据服务器,逐步实现数据集中远程存储。数据集中对数据管理、备份和网络稳定性、实时性提出了更高的要求,深刻影响了基层央行风险管理工作。目前在抚州市中支机关有各类电子设备600多台,已推广应用了四大类 100多个计算机应用系统,覆盖了人民银行所有的业务,对基层央行的科技运维能力提出了更高更新的要求。目前信息系统的运行维护成为基层央行信息安全工作的核心。
一、数据集中后基层央行信息安全的现状
1.科技运维和科技管理能力不足。
首先,表现在基层行科技人员数量明显不足。按工作量测算,地市中支配备科技人员的合理人数应在 7~9人。实际上大多数地市中支科技人员严重不足,有的科技部门还要承担许多非技术工作。以抚州市中支为例:科技科应设有科技管理、综合、信息安全、网络管理、软件运维、硬件维护六个岗位。实际上主要科技人员只有4人,每个科技人员都身兼数职,人均负责二十多个系统的运行,人均维护设备上百台,工作量相当饱和。从辖内县支行看,几乎没有专兼职的科技人员。应由支行科技人员承担的网络系统和业务系统的运维管理,基本要靠中心支行。近几年,虽然通过各种培训使得业务部门科技协管员的计算机信息安全意识和计算机应用水平有了一定程度的提高,但是“等、靠”思想和“多一事不如少一事”的想法仍比较普遍,科技人员疲于奔命,常常扮演救火队员角色,没有时间和精力去做些前瞻性和开拓性的工作,处于被动运维状态。致使一些隐蔽的安全隐患仍然存在。其次,表现在基层行科技人员业务水平有待提高。随着信息技术发展,新技术新知识更新极快,信息技术用一日千里来形容毫不夸张。目前,基层行普遍存在科技人员青黄不接的状况。以抚州市中支为例:老科技人员年龄在 42岁以上,新科技人员年龄在 25岁以下,年龄跨度近 20岁,一定程度上存在断层。一方面,新入行科技人员在大学学习的专业普遍比较宽泛,操作性和针对性不强,与人民银行现有应用技术差别很大,需要较长时间去熟悉人民银行科技业务。新入行科技人员在相当长时间内都处于熟悉摸索阶段,很难独当一面,对比较复杂的人民银行业务系统的运维能力明显不足。第三,基层行科技人员沟通协调能力不足。数据集中后,基层央行科技工作除了要保障信息系统的安全稳定运行以外,还要把信息科技工作点前移,变被动的技术保障为主动业务创新。因此要求科技人员不仅要有主动热情的服务态度,还要具备与业务科室沟通协调能力。但是基层行科技人员往往对业务不够熟悉,对业务经办类的信息系统不能有效的辅导和管理,形成业务操作与科技应用的脱节,更谈不上主动创新了。
2.应对突发事件应急响应能力不足。
首先,随着数据大集中,系统运行模式有很大改变,信息系统的架构变得更加复杂,涉及面更加广泛。尤其像大小额支付系统等实时系统一旦出现故障,单靠基层行科技人员是很难及时发现故障原因和解决问题的,必须借助上级行甚至总行的力量才能解决,基层央行科技部门应对能力就相对削弱了。
其次,地市中支目前逐步采用一些技术手段来帮助提高运维能力,诸如 IT环境监控系统、信息系统运维监控系统等技术手段的应用对加强用户端计算机、机房环境、网络实行有效地监控和管理,发挥了积极作用,但是在县支行还是主要依靠人工巡查等手段进行监控,不能及时发现问题。
第三,基层央行信息系统应急预案制定大多参照上级行,与基层行真实环境有较大的差距。由于数据集中,大量应用系统应急演练需要省会中支甚至总行的配合才能完成,基层行独自演练意义不大,往往采取纸上推演的形式,容易流于形式。缺乏有效的应急演练,使得基层行对突发事件的应对能力不足。
3.信息安全培训教育工作不足。
总行推广应用的业务系统由于种种原因普遍存在“重系统推广、重业务培训、轻技术培训”的状况,对系统背景知识和背景技术介绍很少,偶尔通过电视会议系统简单说明下,深度不够。在近几年总行大规模推广、升级更新系统的情况下,几乎没有组织过集中培训,明显滞后于形势发展。基层行科技人员在日常超负荷工作,加班加点是家常便饭的情况下,指望单靠业余时间自学来全面提高自身技能成为几乎不可能完成的任务,造成基层行科技人员技术知识储备严重不足。
二、数据集中后加强基层央行信息安全管理的建议
数据集中后,几乎没有重要系统软件开发任务,重要系统服务器和应用系统管理职能也上移了,地市中支要认真研究在后集中时代如何更好地发挥科技工作的管理、服务和保障职能,确保信息系统的安全。
1.建立上下联动、横向到边的运维平台。
设立技术支持中心,统一管理和指导信息系统的运行维护工作,形成中支机关与县支行、科技部门与业务部门之间的应急联动机制。利用内联网络,建立在线服务中心,基层用户可以随时反馈需求,科技人员及时响应,提高工作效率。在内联网上建立技术支持平台,科技人员对各类运维事件、常见问题进行全面采集记录,为全行员工提供技术维护经验的交流平台,借助这一平台实现故障自助处理,达到减少科技人员维护量,实现运行维护工作的智能化。要根据集中业务的实时性强、安全要求高的需要,建立起一套预防为主的主动工作方式。把业务系统运维的重心前移,以“积极预防,强化运维”为抓手,以网络保障、信息安全为工作重点,建立日常业务运行监控体系,不断在保障系统稳定性和安全性上下功夫。
2.完善应急预案,提升响应能力。
制订切实可行的网络故障应急方案,努力降低网络突发故障给业务带来的影响。重视网络运行各环节的实时热备份体系建设,尤其是广域网、局域网线路和核心路由器、核心交换机的热备份,保证网络在出现故障情况下能够实时切换。首先,保证所有重要业务系统实现双机备份;其次,对计算机系统的所有软件包括操作系统、应用系统和数据库系统进行可靠的备份,并且要确保备份的是最新数据并适时切换演练;第三,建立业务数据的集中异地备份,添置专用的数据备份服务器,尽可能实现各种业务数据的自动备份:第四,采用双回路、UPS、白备发电机等方式实现电力供应备份。数据集中后,也不能把备份数据的压力全部推给两级数据中心。条件允许的情况下,基层行科技部门应督促配合业务部门按要求继续做好本地数据备份,实施多种方式的备份。实施网络管理人员的A、B角负责制,确保任何情况下网络人员不能缺岗。认真进行网络系统和设备的维护,定期或不定期地对设备进行彻底的检查,对备份设备和主、备线路进行全面的测试,加强和通讯运营商的沟通联系,确保主、备线路的运行质量。通过日常维护和检查,提升应急响应能力。
3.加大风险识别,重视预警防范。
对各部门计算机协管员、业务操作和管理人员加大培训宣传力度,提高其计算机应用水平,增强全行人员计算机信息安全的意识,促使其严格执行各项管理规定。充分发挥现有计算机信息安全产品的作用,建立多系统联动体系。首先,针对办公、资金、视频等不同业务划分不同VLAN,实施不同的访问控制策略,严格区分,分道传输。在此基础上,充分利用防病毒系统、补丁分发系统、入侵检测系统、非法外联检测系统、CAMS端点准入控制、移动存储介质管理系统、网管系统等作用,依托网管软件、运维监控软件以及桌面安全管理系统“三位一体”,层层把控,处处设防,通过建立多系统联动体系,来提升系统故障早期发现能力。定期对计算机尤其运行集中业务的计算机进行安全检查,按照“谁主管谁负责,谁运营谁负责”的原则,落实每个系统、每台设备的安全领导责任制、安全维护责任制、安全使用责任制。对计算机系统采取人力检查与应用桌面安全管理系统等技术手段相结合的方式,“日巡查、周自查、季检查”。对发现的隐患,采取电话通知、下书面整改通知书、直至追究责任等形式,力争把安全隐患消灭在萌芽状态。
4.强化教育培训,提升综合素质。
基层行科技队伍决不仅仅单纯指科技部门人员,而应该包括科技部门专业人员和业务部门科技协管员。首先,要注重科技部门人员梯度结构,在注重人员素质基础上逐年配置合适人员,同时把合适的科技人员交流到业务部门,“铁打的营盘,流水的兵”,把科技部门当做基层行科技专业的黄埔军校。其次,基层行要根据自身业务需要,加强对本行科技人员和科技协管员的技术培训,特别是网络知识和信息安全知识的培训。第三,上级行科技部门要为中支科技部门人员提供更多接触新知识、新技术的学习提高机会,强制要求基层行科技人员每年必须参加不少于一次的集中培训考核,以不断提高其维护水平和业务技能。科技人员也要克服自身弱点,利用维护、讲课等方式强化协调沟通能力。第四,基层行要结合人民银行绩效考评办法,建立和完善科技考核制度,制定和实施激励机制,对科技管理和计算机安全工作做得好的科技人员给予科技贡献奖。第五,要开展形式多样的全员培训,全面提高员工的计算机应用能力和安全意识。合理调配人力资源,要把以前用于科技开发的科技力量收回来,把更多的人力资源分配到科技管理和科技服务的一线,进一步增强科技管理和科技服务的力量。
(作者单位:中国人民银行抚州市中心支行、中国人民银行南丰县支行)
