周國濤

[關(guān)鍵詞]? 縣域金融;金融科技;金融信息安全

[作者單位]? 中國人民銀行武漢分行營業(yè)管理部科技處

近年來，隨著金融科技的迅速發(fā)展，各金融機(jī)構(gòu)的信息化程度普遍提升，工作效率和服務(wù)水平得到了大幅提高，但同時信息安全的重要性也進(jìn)一步凸顯。加強(qiáng)信息安全管理、防范信息安全風(fēng)險是各金融機(jī)構(gòu)不容忽視的工作，這對縣域金融機(jī)構(gòu)來說無疑是一個考驗?？h域金融機(jī)構(gòu)的信息安全管理是否到位，科技保障能力能否滿足新形勢的要求，信息安全風(fēng)險能否及時化解等均將直接影響到信貸、支付、財稅、征信等重要業(yè)務(wù)的順利開展，也將影響縣域經(jīng)濟(jì)的高效發(fā)展。本文在對中西部多個縣域金融機(jī)構(gòu)進(jìn)行調(diào)查的基礎(chǔ)上，分析了縣域金融機(jī)構(gòu)信息安全管理存在的問題及風(fēng)險，并提出了相關(guān)建議及對策。

——信息安全風(fēng)險意識有待增強(qiáng)。在信息安全管理方面，縣域金融機(jī)構(gòu)存在安全意識較為淡薄、重視度不夠等現(xiàn)象。一是對信息安全風(fēng)險的認(rèn)識不到位，不能主動分析本單位信息安全現(xiàn)狀和存在的安全隱患，更未制定完善的信息安全防范措施。二是在信息安全管理工作上依賴上級科技部門或外包服務(wù)單位，安全管理崗位設(shè)置不合理，普遍存在科技管理崗位由業(yè)務(wù)人員兼任的現(xiàn)象。三是安全隱患長期得不到有效解決，例如：計算機(jī)及業(yè)務(wù)系統(tǒng)口令設(shè)置簡單甚至長期使用缺省口令或空口令，手機(jī)、相機(jī)等具有存儲功能的設(shè)備連接到業(yè)務(wù)計算機(jī)上充電，計算機(jī)使用者臨時離開辦公室時不關(guān)機(jī)或鎖屏，工作內(nèi)容直接存放在互聯(lián)網(wǎng)計算機(jī)上等。

——信息安全管理制度有待完善。一是縣域金融機(jī)構(gòu)對信息安全制度認(rèn)識不夠全面，存在對主管部門、上級單位制度要求不清楚、不理解，甚至存在不學(xué)習(xí)制度的情況。二是未制定適用于本單位的信息安全制度，部分縣域金融機(jī)構(gòu)制定了信息安全制度，但其內(nèi)容存在照抄上級單位制度、不切實際、操作性差、未及時更新、執(zhí)行不到位等問題。三是信息安全制度宣傳不到位，業(yè)務(wù)人員經(jīng)常不清楚信息安全管理制度要求，在使用計算機(jī)及網(wǎng)絡(luò)的過程中隨意性較大或過度依賴科技人員，缺乏主動防范意識。

——信息安全管理理念有待更新?？h域金融機(jī)構(gòu)信息安全管理目標(biāo)不夠明確，科技人員對其職責(zé)的重要性認(rèn)識不到位，對具體工作任務(wù)理解不深不透，導(dǎo)致信息安全管理理念滯后，不能主動將信息安全風(fēng)險消除在萌芽狀態(tài)。一是監(jiān)督檢查存在寬松軟現(xiàn)象，縣域金融機(jī)構(gòu)科技人員日常監(jiān)督檢查工作經(jīng)常流于形式，對檢查出來的問題未督促當(dāng)事人及時解決或由自己幫助解決，未能起到警示作用，導(dǎo)致相同問題重復(fù)出現(xiàn)。二是科技人員配備不足，縣域金融機(jī)構(gòu)科技人員普遍較少，部分機(jī)構(gòu)只有一名專業(yè)科技人員，在專業(yè)科技人員休假或出差時，經(jīng)常出現(xiàn)科技工作無人接管的現(xiàn)象。

——科技人員知識能力有待提高。一是縣域金融機(jī)構(gòu)科技人員年齡普遍較大，水平有限，難以跟上科技發(fā)展節(jié)奏，且部分科技人員為兼職，平時以業(yè)務(wù)工作為主，很少學(xué)習(xí)新的科技知識。二是近年來，縣域金融機(jī)構(gòu)陸續(xù)由新進(jìn)大學(xué)生承擔(dān)信息安全管理工作，新進(jìn)大學(xué)生雖然具有基本的科技知識，但少有計算機(jī)專業(yè)出身，而且對縣域金融機(jī)構(gòu)的信息安全管理制度、工作內(nèi)容及要求不熟悉。三是主管部門或上級單位對縣域金融機(jī)構(gòu)科技人員培訓(xùn)較少，而且針對性不足，對其知識能力、信息安全管理水平的提升有限。

——信息安全資金投入有待加大?？h域金融機(jī)構(gòu)信息基礎(chǔ)設(shè)施建設(shè)薄弱，主要體現(xiàn)在機(jī)房環(huán)境欠佳，強(qiáng)弱電路老化且施工不規(guī)范，無環(huán)境監(jiān)控平臺，視頻監(jiān)控存在死角，不間斷電源未及時更換，維護(hù)保養(yǎng)不到位，支付、財稅、征信等重要業(yè)務(wù)未建立應(yīng)急環(huán)境等問題。近年來，部分縣域金融機(jī)構(gòu)已經(jīng)開始實施基礎(chǔ)設(shè)施改造，但多數(shù)縣域金融機(jī)構(gòu)仍未完成。縣域金融機(jī)構(gòu)經(jīng)費較緊張，在保障業(yè)務(wù)正常運轉(zhuǎn)基礎(chǔ)上，難以在信息基礎(chǔ)設(shè)施建設(shè)上投入足夠的資金。

——高度重視信息安全管理?？h域金融機(jī)構(gòu)要增強(qiáng)信息安全管理及風(fēng)險防范意識，充分認(rèn)識到信息安全風(fēng)險可能帶來的嚴(yán)重后果，同時上級單位要營造信息安全管理高壓態(tài)勢，切實引導(dǎo)縣域金融機(jī)構(gòu)將信息安全管理工作由被動轉(zhuǎn)變?yōu)橹鲃??？h域金融機(jī)構(gòu)要與各部門簽訂信息安全責(zé)任狀，明確各部門信息安全責(zé)任。科技人員要定期向縣域金融機(jī)構(gòu)領(lǐng)導(dǎo)匯報所面臨的信息安全風(fēng)險，得到領(lǐng)導(dǎo)的足夠重視，并在主管部門及上級單位科技部門的指導(dǎo)下切實落實好信息安全管理工作各項規(guī)定，消除信息安全隱患，杜絕信息安全事件發(fā)生。

——加強(qiáng)制度建設(shè)并嚴(yán)格執(zhí)行。一是強(qiáng)化信息安全管理指導(dǎo)，由上級單位科技部門組織縣域金融機(jī)構(gòu)科技人員學(xué)習(xí)并充分理解有關(guān)信息安全管理制度，在廣泛調(diào)研的基礎(chǔ)上制定適用于縣域金融機(jī)構(gòu)實際情況的管理制度，用制度規(guī)范工作行為，提升工作實效。二是加強(qiáng)制度學(xué)習(xí)與宣傳，通過信息安全制度學(xué)習(xí)與宣傳，使整個單位清楚信息安全要求，培養(yǎng)良好的安全意識及工作習(xí)慣。三是加大信息安全檢查力度，主管單位或上級單位可將信息安全管理納入考核范圍，并定期開展安全檢查，對發(fā)現(xiàn)的問題限時整改，拒不整改的要追究責(zé)任。

——強(qiáng)化科技隊伍建設(shè)。一是縣域金融機(jī)構(gòu)在招錄員工時，可考慮適當(dāng)引進(jìn)部分計算機(jī)專業(yè)人才充實科技力量。二是上級單位科技部門對縣域金融機(jī)構(gòu)科技人員加大培訓(xùn)力度，具體可采取跟班學(xué)習(xí)、有針對性的培訓(xùn)、建立多渠道的溝通機(jī)制、在實踐中指導(dǎo)等方式。三是建立A、B角制度，配備名副其實的B角，將B角納入跟班學(xué)習(xí)、培訓(xùn)、考核的對象范圍。四是加強(qiáng)激勵與考核，重視科技人員的工作，激發(fā)科技人員的工作熱情，促使不斷學(xué)習(xí)提高，成為新型復(fù)合人才，同時科技人員的考核要以科技工作為主，兼職業(yè)務(wù)工作為輔。

——加大基礎(chǔ)設(shè)施投入。一是按照相關(guān)規(guī)范對縣域金融機(jī)構(gòu)信息基礎(chǔ)設(shè)施進(jìn)行改造，主要對強(qiáng)弱電路、不間斷電源、空調(diào)、消防、視頻監(jiān)控、通信設(shè)施等進(jìn)行標(biāo)準(zhǔn)化建設(shè)。二是建立統(tǒng)一的環(huán)境監(jiān)控平臺，按省或地市集中進(jìn)行環(huán)境監(jiān)控統(tǒng)一管理，縣域金融機(jī)構(gòu)可監(jiān)控本單位的情況，上級單位可監(jiān)控全轄的情況，異常情況發(fā)生時通過短信、郵件、聲音等多種方式及時通知科技人員。三是加大信息基礎(chǔ)設(shè)施維護(hù)保養(yǎng)力度，選擇可靠的第三方專業(yè)公司并簽署維保合同及保密協(xié)議，嚴(yán)格按照相關(guān)制度要求進(jìn)行巡檢和保養(yǎng)，發(fā)現(xiàn)隱患及時排除。

——探索新技術(shù)運用。嘗試運用虛擬技術(shù)，建設(shè)以省或市為中心的桌面云系統(tǒng)，實現(xiàn)對虛擬計算機(jī)的統(tǒng)一集中管控，可實施強(qiáng)制使用高強(qiáng)度密碼、統(tǒng)一安裝安全軟件、規(guī)范移動存儲設(shè)備等管理措施，縣域金融機(jī)構(gòu)通過終端設(shè)備與網(wǎng)絡(luò)使用虛擬計算機(jī)。一方面可以有效提高計算機(jī)客戶端的安全性，另一方面可以緩解縣域金融機(jī)構(gòu)科技人員在計算機(jī)客戶端部署、維護(hù)、升級等方面的壓力。

縣域金融機(jī)構(gòu)無論從地理位置還是服務(wù)區(qū)域來說都與農(nóng)村、農(nóng)業(yè)、小微企業(yè)等有著緊密的聯(lián)系，是城鄉(xiāng)金融服務(wù)的前沿陣地，更是實施鄉(xiāng)村振興戰(zhàn)略的主力軍，不間斷地開展金融服務(wù)是推動縣域經(jīng)濟(jì)可持續(xù)發(fā)展的必然要求。在信息化時代里，信息基礎(chǔ)設(shè)施可靠，網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)平穩(wěn)等是縣域金融機(jī)構(gòu)持續(xù)提供金融服務(wù)的基本保障。因此，需要高度重視縣域金融機(jī)構(gòu)信息安全工作，嚴(yán)防信息安全風(fēng)險，為各項業(yè)務(wù)平穩(wěn)開展、金融服務(wù)不間斷保駕護(hù)航。