導語：人民銀行科技管理審計重點的探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著計算機及網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人民銀行日常辦公和業(yè)務處理的電子化程度越來越高。TCBS、ACS等重要業(yè)務系統(tǒng)的上線，標志著人民銀行重要業(yè)務系統(tǒng)已經(jīng)成功實現(xiàn)了數(shù)據(jù)集中功能，這也導致了人民銀行分支行的科技管理審計內(nèi)容發(fā)生重大變化。本文從人民銀行基層科技管理現(xiàn)狀、科技管理審計內(nèi)容、風險發(fā)展趨勢、應對措施四個方面，對數(shù)據(jù)集中趨勢下的人民銀行分支行科技管理審計重點的變化情況進行初步探討。

關(guān)鍵詞：數(shù)據(jù)集中；科技管理；審計重點

一、數(shù)據(jù)集中趨勢下人民銀行基層行科技管理現(xiàn)狀

2004年以來，人民銀行總行對信息化發(fā)展戰(zhàn)略做出重大調(diào)整，加快了數(shù)據(jù)集中與資源整合的步伐。據(jù)不完全統(tǒng)計，目前央行各分支行至少已建成或平穩(wěn)運行著大大小小90多個計算機應用系統(tǒng)，其中總行統(tǒng)一推廣系統(tǒng)29個，外管局使用系統(tǒng)12個，省內(nèi)建設(shè)推廣的系統(tǒng)10個，地市中支自行開發(fā)運行的系統(tǒng)若干。各個系統(tǒng)功能越來越多，覆蓋了人民銀行所有的業(yè)務，涉及各部門、各崗位，如：辦公類的OA系統(tǒng)、電子郵件系統(tǒng)等；業(yè)務類的ACS系統(tǒng)、TCBS系統(tǒng)、財務管理系統(tǒng)等；信息管理類的會計報表系統(tǒng)、利率報備系統(tǒng)等。與此同時，實現(xiàn)數(shù)據(jù)集中后，大部分業(yè)務系統(tǒng)采用B/S架構(gòu)，或者服務器和主機在總行或省一級中心支行，各市中心支行下一級人行通過終端或前置機的方式使用業(yè)務系統(tǒng)，只需完成業(yè)務數(shù)據(jù)的原始錄入，因為數(shù)據(jù)庫全部在上級行，應用程序升級維護的主要工作由上級行科技部門承擔，本級科技人員只需對客戶端軟件進行升級。簡而言之，各市中心支行和縣支行人民銀行科技維護管理工作日趨簡單。

二、對人民銀行科技管理審計重點的探討

（一）科技管理審計的內(nèi)容

根據(jù)近年來科技綜合管理專項審計方案，科技管理審計主要包括內(nèi)控機制建設(shè)情況，機房與設(shè)施管理，業(yè)務網(wǎng)管理情況，業(yè)務應用系統(tǒng)運行維護管理情況，涉密管理情況，電子化設(shè)備采購和外包服務管理情況，應急、備份和文檔管理情況等七大類。審計重點圍繞設(shè)備安全、系統(tǒng)安全、信息安全三點。

（二）數(shù)據(jù)集中趨勢下，對科技管理審計的影響

在數(shù)據(jù)集中趨勢下，原先放置于人民銀行各分支行的會計ABS系統(tǒng)、國庫TBS系統(tǒng)等高密級服務器將逐步取消，總行、各分行、各省會中心支行等在各自轄區(qū)推廣的計算機應用系統(tǒng)，其服務器等重要計算機設(shè)備將放置于本級別的計算機機房內(nèi)，這就造成了各市中心支行和縣支行設(shè)備管理的主要內(nèi)容由原先對業(yè)務系統(tǒng)管理、參數(shù)修改等變成了簡單的系統(tǒng)升級維護，計算機應用系統(tǒng)設(shè)備的數(shù)量與種類也大幅減少，導致了進行科技管理審計時，圍繞設(shè)備安全的工作量大幅減少，而在系統(tǒng)安全及信息安全檢查方面，除了常規(guī)客戶端方面的基礎(chǔ)科技安全檢查，主要的安全風險更多來自于網(wǎng)絡(luò)風險與人員管理風險，其中網(wǎng)絡(luò)風險的檢查由于在數(shù)據(jù)集中趨勢下，人民銀行業(yè)務處理、報表統(tǒng)計、系統(tǒng)升級等都通過網(wǎng)絡(luò)從上級行或總行的服務器中進行交換，如果出現(xiàn)信息漏洞被人利用，很容易導致大范圍乃至全國人行系統(tǒng)故障或數(shù)據(jù)泄漏，造成的影響可能會波及全國各個層面。由此可見，人民銀行科技管理對網(wǎng)絡(luò)的要求愈來愈高，因而審計重點也應向保障網(wǎng)絡(luò)安全正常運行方面傾斜。

三、人民銀行系統(tǒng)網(wǎng)絡(luò)風險發(fā)展趨勢

針對常見的網(wǎng)絡(luò)風險，人民銀行采取了大量有效措施，如互聯(lián)網(wǎng)、辦公網(wǎng)、業(yè)務網(wǎng)的物理隔離等，大大提高了網(wǎng)絡(luò)安全，但網(wǎng)絡(luò)風險仍然存在，并且隨著信息技術(shù)的不斷發(fā)展，風險愈加劇烈。

（一）網(wǎng)絡(luò)風險不斷增大

在數(shù)據(jù)集中的情況下，受實際網(wǎng)絡(luò)條件限制，各業(yè)務系統(tǒng)之間的網(wǎng)絡(luò)未達到物理隔離。而網(wǎng)絡(luò)安全是相互依賴的，每個計算機應用系統(tǒng)遭受攻擊的可能性取決于連接到同一網(wǎng)絡(luò)上其他系統(tǒng)的安全狀態(tài)。故在數(shù)據(jù)集中的情況下，人民銀行科技管理中，對網(wǎng)絡(luò)安全的需求愈來愈高。

（二）發(fā)現(xiàn)安全漏洞越來越快

在互聯(lián)網(wǎng)上，相關(guān)的統(tǒng)計信息新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞。尤其值得注意的是，人民銀行的諸多重大業(yè)務系統(tǒng)，都是基于Unix平臺開發(fā)的，盡管相對于Windows系統(tǒng)而言，Unix平臺的系統(tǒng)安全性更高，但并不等于不存在漏洞。2014年4月與9月就先后發(fā)現(xiàn)了Heartbleed漏洞與Bash漏洞兩個影響基于Unix平臺的操作系統(tǒng)的重大漏洞，尤其是后者，其嚴重性達到了10級，意味著它的影響在各類漏洞中處于最高級別，而它的破解難度卻很低，只需要借助相對簡單的方式即可發(fā)起攻擊。

（三）獲取涉密信息的技術(shù)不斷增多

隨著技術(shù)的不斷發(fā)展，以往認為不可能突破的物理隔離這一安全手段將逐漸變得可能，甚至變得更加容易。根據(jù)信息安全方面的報道，目前可突破計算機物理隔離的方法有很多，如可通過捕捉計算機CPU加解密時的高頻聲音“聽譯”密鑰、通過聲卡獲得數(shù)據(jù)、通過觸碰電腦測量釋放到皮膚上的電勢獲取計算機秘鑰、通過一體式打印機拷貝關(guān)鍵數(shù)據(jù)等。而最近發(fā)現(xiàn)的，利用電腦或服務器硬件發(fā)出的電磁波竊取信息的方式更讓人吃驚，這意味著即使電腦完全不聯(lián)網(wǎng)也會遭到黑客的襲擊，甚至安全人員還開發(fā)出了Android手機應用AirHopper，可以隔空獲取未聯(lián)網(wǎng)電腦的鍵盤輸入、網(wǎng)卡、存儲卡等通訊信息，這使得結(jié)合這種新式“物理攻擊”的APT攻擊更加難以防范。同時也意味著任何一位Android手機用戶都有可能不知不覺變成被操控的“超級黑客”。由上述系統(tǒng)新漏洞的發(fā)現(xiàn)和竊取信息新手段可以看出，網(wǎng)絡(luò)風險的發(fā)展呈現(xiàn)出漏洞利用難度簡單化，信息獲取手段隱秘化，竊取設(shè)備要求平民化的趨勢。

四、人民銀行應對網(wǎng)絡(luò)風險的措施

（一）繼續(xù)發(fā)揮五大安全防護系統(tǒng)優(yōu)勢

以不變應萬變，在數(shù)據(jù)集中和網(wǎng)絡(luò)共享的發(fā)展趨勢下，加大對“入侵檢測系統(tǒng)”，“非法外聯(lián)系統(tǒng)”、“網(wǎng)絡(luò)防病毒系統(tǒng)”、“補丁分法系統(tǒng)”和“IT運維監(jiān)控系統(tǒng)”的監(jiān)督檢查力度，合理有效審計五大安全系統(tǒng)，保證可疑入侵事件有效甄別，杜絕類似手機充電的人為外聯(lián)情況，及時查找并清理網(wǎng)絡(luò)病毒，適時更新最新補丁，保證內(nèi)聯(lián)網(wǎng)絡(luò)安全穩(wěn)健運行。

（二）加強對網(wǎng)絡(luò)日志的監(jiān)督管理

切實加強網(wǎng)絡(luò)結(jié)構(gòu)和資源安全管理，加大應用系統(tǒng)的操作使用和安全管理力度，嚴格訪問控制，加強日志管理，進一步完善安全防護措施。一方面，優(yōu)化網(wǎng)絡(luò)安全認證系統(tǒng)和運維監(jiān)控系統(tǒng)，全面收集各類網(wǎng)絡(luò)設(shè)備管理用戶的登錄和操作日志、網(wǎng)絡(luò)設(shè)備運行日志，合理控制日志訪問權(quán)限，檢查網(wǎng)絡(luò)管理員是否定期查看、備份相關(guān)日志，是否能及時、有效發(fā)現(xiàn)各類運行安全隱患；另一方面，對未按照網(wǎng)絡(luò)運行手冊配置網(wǎng)絡(luò)拓撲功能的現(xiàn)象，深入剖析原因，從網(wǎng)絡(luò)正常運行的角度出發(fā)，探尋發(fā)揮網(wǎng)絡(luò)效用最大化的有力途徑，將網(wǎng)絡(luò)風險漏洞降至最低。

（三）加強人員培訓，提高安全防范意識

加強對業(yè)務系統(tǒng)操作員、部門安全員和網(wǎng)絡(luò)管理員的培訓力度，對業(yè)務系統(tǒng)操作員培訓重點放到提高網(wǎng)絡(luò)安全意識上，防范違反安全的運行事件，將部門安全員培訓重點放到系統(tǒng)運行自查和甄別風險隱患方面，對網(wǎng)絡(luò)管理員培訓重點放到網(wǎng)絡(luò)知識的更新和經(jīng)典案例的交流，從終端管理到網(wǎng)絡(luò)宏觀維護兩方面入手，實現(xiàn)網(wǎng)絡(luò)的良好運行。

綜上所述，一方面新的信息技術(shù)發(fā)展很快，對網(wǎng)絡(luò)安全和審計人員的信息技術(shù)水平提出了更高的要求；另一方面，隨著技術(shù)的發(fā)現(xiàn)，如不聯(lián)網(wǎng)竊取信息技術(shù)的出現(xiàn)，會對接觸相關(guān)設(shè)備的人員提出更高的內(nèi)控要求，而制度的制定需要有一個較長的時間，會出現(xiàn)制度落后于實際需求的情況。所以在數(shù)據(jù)集中趨勢下，科技管理審計中應側(cè)重網(wǎng)絡(luò)管理與新技術(shù)對內(nèi)控管理的新要求，同時注意加強對審計人員的業(yè)務培訓工作。

作者:謝永智 單位:中國人民銀行石家莊中心支行