龚利明

摘要：当前银行业信息化正处于高速发展的新阶段，网络安全也面临更加复杂、多变、隐蔽的严峻形势。对于技术能力相对薄弱的基层银行业金融机构，如何在确保数据安全和业务连续性的前提下，做好网络安全管理工作，是一个非常值得探讨的课题。本文结合笔者多年的基层管理工作经验，分析当前形势、指出存在的不足、提出解决方案，为今后更好的落实银行业金融机构网络安全管理工作提供思路。

关键词：基层 金融机构 网络安全

基层银行业金融机构是金融行业不可或缺的重要组成部分，是普惠金融的直接参与者和提供者。在当前网络时代背景下，绝大部分金融服务都需要网络技术提供支撑，为确保业务连续性和安全性，网络安全显的尤为重要。

一、基础银行业金融机构网络安全总体概况

中国人民银行金华市中心支行作为中国人民银行的派出机构，积极贯彻落实相关金融行业网络安全监管要求，加强等级保护和网络安全评价，督促各银行业金融机构不断加强网络安全管理工作，提升业务连续性保障水平。近见年辖区内未发生重大网络安全事故。

（一）领导重视，加大科技投入

各银行业金融机构进一步提高对网络安全工作的重视，继续加强对网络安全工作的支持力度，保障相关经费和资源投入。地方法人银行投入资金建设“两地三中心”，其中浙江稠州商业银行完成生产数据中心和灾备数据中心“双活”架构改造，极大提升容灾能力，相关工作获得2015年度银行科技发展奖三等奖;金华银行异地新建生产机房。在队伍建设方面，金華银行新增信息安全管理岗、配置管理岗、测试管理岗等多个重要岗位;农业发展银行金华市分行将科技部门单独分开，成立了独立的科技队伍，有效保障全行的网络安全工作。

（二）架构管控，确保规划先行

各银行业金融机构结合业务发展需求，提前规划，不断完善技术架构，为业务发展提供坚实的基础设施支撑。金华银行通过修订信息科技规划，进一步明晰IT治理、组织架构、IT基础设施架构、应用系统架构等方面的远景蓝图和实施路线图;顺利完成了核心网络改造，增加网络冗余，消除了核心网络的单点故障安全隐患，提高了网络系统的安全性;在强化永康数据灾备中心的基础上，基本完成白龙桥数据中心机房建设工作。浙江稠州商业银行为实现“双活”的高可用性，在两个重要机房间部署了波分设备，实现了核心系统的“双活”甚至“多活”模式。成泰农村合作银行、省联社金华办事处为降低系统风险，与广电签订合同租用广电机房作为同城灾备中心，有效提升了重要系统安全性。

（三）部署系统，完善安全措施

在安全防范方面，大部分银行业金融机构能根据监管要求，在准入控制、病毒防范、网络监控等环节，采取不同的技术手段，确保信息安全。工商银行金华分行实施和推进了工行客户端管理系统、服务器多网卡聚合、趋势防病毒系统等网络安全防护项目;中国银行金华分行将所有办公网计算机使用域功能进行接入认证，同时将所有设备进行了IP、MAC地址绑定，并对空闲端口进行了关闭，极大地提高了网络及信息系统的安全保障及信息防泄漏保护能力;浦东发展银行金华分行通过域功能，实现对客户端的准入控制和非授权使用;金华银行部署了内网安全威胁侦测设备，有效降低了网络风险事件发生，部署了内网管理软件，禁止非授权的应用程序运行，部署了LANDESK系统，杜绝外来移动存储介质的使用;浙江稠州商业银行应用系统数据库口令通过运维审计系统进行了有效管理。

（四）加强检查，落实管理职能

各银行业金融机构基本能落实对所辖分支机构的网络安全管理职能，定期开展对下属机构的网络安全检查。

（五）开展培训，提高安全意识

为提高科技人员的业务水平及员工的网络安全意识，各银行业金融机构采取多种渠道进行网络安全培训工作。金华银行派员参加数据网络运维培训、系统安全培训、中心运维管理培训、oracle数据库知识培训，多人次通过全国计算机技术与软件专业技术资格考试、oracle OCP论证考试、信息化工程师考试;在业务操作层面，采取出试卷、纳入柜员理论考试题库等培训手段，形成网络安全教育和培训的常态化机制。中国银行金华分行部署了网上课程系统，集听课、提问、讨论为一体，并可直接在线参与，有效提升全行员工的网络安全意识。

二、基层银行业金融机构网络安全管理工作存在的不足

（一）机构设置和人员配备不够到位

在科技管理部门设置上，部分银行业金融机构未设立专职科技管理部门，科技管理工作隶属综合管理部、办公室等部门;在科技人员配备上，多家机构科技人员多年未进行充实和更新，人员老化严重;个别股份制商业银行和城市商业银行的分行科技力量薄弱，仅配备2名及以下科技人员的机构有7家;个别机构未成立网络安全领导小组;大部分机构未配备安全管理员。

（二）网络安全基础设施存风险隐患

部分银行业金融机构仍在基础设施上存在安全盲区，主要问题表现为：机房布局不合理，机房门禁设施不完善;机房采用市电单路供电，未配备备用发电机，机房供电缺少发电机接入装置;机房未采用UPS双路供电，UPS维护不够完善，UPS供电时间过短;机房消防设施不完善如未配置机房专用手动灭火器和氧气呼吸器，未配置机房专用自动灭火系统;未配备浪涌电压吸收装置，未进行年度防雷检测;未部署运维监控系统，机房无防漏水、防鼠等防范措施;未对机房进行风险评估和应急演练。

（三）网络安全管理不到位

部分银行业金融机构存在网络建设外包管理缺失、无入侵检测措施、无非法外联监控、无专用的网管软件对网络运行状态进行监测、部分网络设备安全配置与对应等保定级要求不符等情况;个别机构核心网络设备使用年限过长，个别机构网络规划存在单点故障风险。

（四）应急管理不完善

个别银行业金融机构未开展应急预案修订，部分应急处理流程及恢复流程缺乏可操作性，可能影响在发生应急事件时做出正确处置措施。

（五）管理措施不到位

个别银行业金融机构重大事件报告流程不够完善，不能在出现重大事件时做出及时响应，从而有效降低风险事件等级;未制定涉密管理制度;未建立移动存储介质管控体系;大堂中存在裸露信息点，无法对外来设备做出有效控制，可能引发泄密事件;客户端安全管理不够严格，如未对计算机屏保、账户密码、审计策略进行设置。

三、提升基层银行业金融机构网络安全水平的对策建议

（一）树立正确的风险意识

网络安全与风险管理是一个永恒的话题，需要持续要求银行业金融机构科技人员树立正确的风险意识，高度统一思想认识。一是要加强纵向联动。随着IT系统化的发展，IT系统的各级使用者都要承担自身的网络安全职责，加强其风险意识和防范意识尤为重要。二是加强横向联系。加强与人民银行等监管部门的联系，发现问题及时报告，通过监管部门切实提高辖内金融机构的横向联动，防范区域性金融風险。

（二）落实重要岗位的人员配备

银行业金融机构要重视IT人员配备，按照相关要求对重要岗位人员进行定员、定岗、定责，落实重要岗位人员A、B角制度并定期进行轮岗，提高事件应急处理的效率。一是要确保关键岗位的人员配置，尤其是网络管理员、系统管理员等;二是要落实B岗职责，要求各银行业金融机构切实重视B岗人员的能力培养，通过定期培训、业务交流、定时轮岗等策略确保重要岗位人员均能胜任岗位要求，落实岗位责任。

（三）制定切实可行的应急方案

应急预案是在风险或意外情况发生时的应急处置流程，直接与风险处置结果相关，重要性不言而喻。要求各银行业金融机构高度重视应急管理，制定切实可行，符合实际的应急方案，定期对应急方案进行演练、评估，及时发现应急方案中存在的问题，着重对应急联系人、应急资源等内容进行修订更新，确保应急演练方案真实可行。应急方案作为应急事件发生时的操作依据，不能照搬照套上级行的，须按照本地实际情况进行完善。要有较强的实际性和可操作性，要有明确的应急流程，处置步骤，相关应急人员，应急资源列表，应急联络方式等。应敢于按照应急方案进行实战演练，不能只简单的流于形式，确保应急事件发生时能迅速准确的将事件处理完善。

（四）加强网络安全的规范管理

各银行业金融机构要进一步规范网络安全管理工作，细化网络安全管理规范，严格按照规范做好网络安全保障工作。一是加强保密管理，要建立完善的保密管理制度，加强对移动存储介质的管控，有外包服务的机构要加强对外包商资质、保密协议的审核，及外包商机构变化情况监测等等外包服务管理;二是加强对机房、供电、重要网络设备的日常巡检工作，发现问题及时解决;三是认真做好等级保护工作，按照等保标准，做好备案及测评工作，严格落实网络安全规范管理;四是建立规范的变更审批制度，做好信息系统变更的审批报备等工作，杜绝随意性，系统变更操作选择在非业务或业务低峰时间;五是建立完善的网络安全档案，对各环节的网络安全资料做好梳理，汇编成册便于查阅。

（五）统筹研究网络安全行业监管措施

随着信息技术的不断深入应用，防范网络安全威胁成为当下金融行业科技工作的重要内容之一。需要思考以下三方面的工作，一是组织研究可操作强的行业监管措施;二是为提高监管效果，在人民银行分支行设置专职行业网络安全监管部门或监管岗位;三是加强对基层行业管理人员的技能培训。

参考文献：

[1]马国胜.对地方法人金融机构信息安全管理的难点分析[J].金融科技时代，2017年第5期.

[2]陈庆来.网络安全精细化管理实践[J].金融电子化，2017年8期.

[3]路万里.网络安全技术在网络安全维护中的应用探讨[J].网络安全技术与应用，2019年3期.

（作者单位：中国人民银行金华市中心支行）