浅谈从国内外信息安全案件看央行资金系统信息(2)

　　二、中央资金系统信息安全隐患产生的原因

　　导致信息安全隐患产生的原因是多方面的，一是技术力量薄弱。央行独立技术开发能力不足，重要的资金系统大部分通过外包建设，系统维护特别是基层央行的系统维护必须依靠上级行或外包公司，远程维护往往给犯罪分子可乘之机。二是对资金系统的安全意识淡薄。相比金库的安全防范，央行对于资金系统的安全保护意识上还有很大的差距，而事实上一旦资金系统出现问题，损失将远大于金库的现金损失。三是规章制度不落实。近几年央行围绕信息系统安全发布了一系列规章制度，一定程度上提高了系统安全防范水平，但是有一部分规章制度特别是涉及到全员必须执行的制度，如严禁在内网上使用外来储存介质、业务系统用户名密码必须专人专用等，执行得不是很彻底，在中往往发现落实不到位的问题，在极个别地方还因此导致了案件的发生。四是重开发，轻防范。近几年央行为支持发展推出了以大小额支付系统为代表的现代化支付系统，有力地促进了全的资金流转，提高了资金利用效率，但是相应的防护措施特别是对基层行维护人员的培训少之又少。五是人手不足产生安全隐患。当前人民银行能够既懂业务又熟悉的工作人员不多，加上近来轮岗的要求，导致业务人员和系统员的岗位就在仅有的几个人之间换来换去，留下了安全隐患。

　　三、强化中央银行资金系统安全防范的措施

　　提高资金系统安全防范的根本出路在于提高自我技术开发与运维能力，尽量避免外包开发和维护。上述国内外三起案件，外包人员犯罪占了两起。在当前技术能力无法达到完全自主开发维护的情况下，加强对外包的管理就显得尤为重要。一是对外包业务实行分类管理，将资金系统与一般信息系统分开，对资金系统开发时应避免外包，如确需外包，验收时必须经过权威部门的安全评估检测。维护上要立足于人民银行内部员工维护，即使维护外包也要做到以我为主，并做到每一次外包维护时都要有内部人员全程监督，做好维护处理过程的登记。二是对于资金系统的维护严禁远程操作，关闭一切远程操作权限。在当前资金系统数据大集中的背景下，个别基层央行苦于技术力量不足，经常需要得到上级行的支持，为图简便有时对内开放远程维护权限，不仅造成权责不明，也留下了安全隐患，对此要高度重视，严格禁止。三是对超级用户实行严格的动态管理，定期对超级用户进行筛选，及时剔除不用的用户，对新用户要更新用户名和密码。

　　对于内部人员的管理，应采取以下措施。一是严格执行制度，提高执行力。主要是要加强学习和完善，通过实践不断提高规章制度的可操作性，使之人脑、人心、融入实际工作中。二是严格执行轮岗回避制度。对于担任过同一系统的操作员、系统管理员的，不得相互轮岗和兼岗，明确操作员与系统管理员间的权限划分，并对操作员实行额度控制。三是强化对账系统建设，提高对账频率，扩大对账范围。不仅人民银行与商业银行间要做到每日对账，人民银行往来机构间也要定期对账，特别是今后数据大集中后，总行与各地分支机构必须做到按日对账。四是提高全员科技素养，提升科技人员的技术技能。当前，我们已经进入“没有信息化，就没有现代”的时代，掌握信息技术基本技能应成为每个央行人的必备条件，只有全员科技素养提高了，整个央行的信息安全T作才有基础，对于科技人员应当加大技术培训尤其是有针对性的核心系统的维护培训，使之掌握针对资金系统开展的Et常维护的技能，同时在新招录的人员中科技人员要保持一定的比例。五是要注重科技人员的思想工作，引导科技人员建立正确的人生观、价值观和事业观，防范风险。具体讲就是从工作上、生活上关心科技人员的成长，对于承担核心业务系统维护、付出了艰辛的劳动并有技术特长的人员，应该在物质待遇上予以倾斜，在干部的提任上优先考虑，使科技骨干对人民银行的工作有“归属感”，从而防止科技人员的流失。

   [2]