论基层央行计算机系统的风险管理

计算机系统风险产生的原因

（一）制度建设的滞后性带来风险隐患。由于县支行计算机安全管理制度的局限性，部分重要业务系统也没有建立应急预案，当系统出现故障时，难以及时处理，影响业务的正常开展。此外，由于重要岗位人员配备不足及兼岗现象的存在，加大了基本内控制度执行的难度，某些内控制度形同虚设，形成较大风险隐患。

（二）专业人员培训不到位导致操作风险增加。从操作人员实际情况看，由于培训没有及时跟上，部分人员的业务素质不能适应业务发展新形势要求，导致操作风险隐患增加。从县支行安全工作主管部门看，保卫人员由于缺乏计算机方面的知识，不能进行有针对性的安全检查，也无法对本单位计算机安全状况做出全面客观的分析，这就导致计算机运行中的风险隐患无法及时发现并解决。

（三）系统设计防毒等潜存风险。一是病毒风险。如国库会计核算系统通过MT及NOTES系统向上级国库上报日报，这种半开放的网络模式极易使处在中心的国库核算系统受到病毒侵害。二是网络风险。内联网上，一些重要系统业务用机和其他机器处于同等地位，只要安装了相同系统，就有可能作为客户端登陆服务器进行非法操作。三是系统本身设计缺陷风险。如系统在超级用户下运行，文件权限设置不正确，访问控制不严密；缺少对通信传输操作的控制；系统内部控制功能不足，未能实现岗位互控的作用；没有强制签退功能；业务数据以明码形式存放、自我防御能力差等，可能出现数据混乱甚至系统瘫痪的风险。四是维护风险。目前各类应用软件及升级补订的下发渠道不统一，有的不通过科技部门自行下发，有的直接通过内联网下传；有的业务部门不通过科技人员自行安装或升级业务系统，甚至连备份也不做，致使科技人员软件资料不齐全，一旦出现故障维护十分困难，给重要业务系统安全带来隐患。

（四）内控监管乏力导致业务人员操作不规范。部分业务人员在离机时不及时退出操作界面，给非法操作者提供可乘之机。管理人员与业务人员操作权限界定不清，密码使用混乱，系统管理员往往可以操作业务管理系统，而操作员之间代号混用，密码不按规定定期更换，有的操作员甚至以系统管理员身份登录业务系统，这些都埋下了风险隐患。

（五）数据丢失或泄露风险较大。目前基层人民银行普遍缺少有效的数据备份措施和专门的磁介质资料保存设备，信息丢失或无法读取现象时有发生，当系统发生故障时，无法有效恢复数据，导致较大风险。同时，数据保管不严密、不规范，无形中扩大了知悉范围，也埋下了风险隐患。

（六）硬件配套设配老化加大自然风险隐患。由于县支行现有基础硬件设施老化，更新力度不够，无法有效抵抗风霜雷电等自然灾害，可能导致机器损毁，甚至数据丢失。

降低风险的对策建议

（一）提高思想认识。基层人民银行要重视计算机安全工作，将其纳入工作管理目标之中，要成立计算机安全领导小组，坚持定期召开计算机安全形势分析会，找出易发生问题的部位和环节，研究安全防范措施。同时，要自上而下签订责任状，责任落实到人，真正做到计算机安全管理常抓不懈。

（二）强化队伍建设。一方面要深入开展思想政治、职业道德和法律法规教育，使广大员工树立正确的人生观、世界观和价值观，提高政治素质、道德水准和法制意识，强化自我约束，从思想上筑起一道防范计算机犯罪风险的“防火墙”。另一方面要加强业务培训，通过开展多层次、多渠道的培训工作，提高科技人员处置计算机风险的能力，提高业务操作人员操作水平和防范计算机风险的综合能力，提高全行员工计算机理论与操作技能。同时，上级行也应注重为基层人行引进或内部培养科技人员，以适应计算机安全管理的需要。

（三）完善落实制度。计算机事故的发生，往往都与管理制度不健全、违规操作等相关。为此，必须进一步完善和落实计算机管理制度，严防操作风险。针对业务系统发展的新要求，对现有的计算机安全制度进行全面清理，及时修订完善，在制度中明确每个人的岗位职责和考核标准，使日常的各项工作有章可循，增强制度的可操作性。加强要害岗位管理，落实岗位轮换和强制休假制度。加强内控制度落实，严格区分权限，严禁混岗操作。加强维护管理，实行所有软件资料由科技部门登记备份、集中管理制度，严格按规定进行系统维护工作，减少风险隐患。加强数据备份和安全管理，对运行主要业务系统的服务器及网络设备实行同型号双机备份，对重要业务系统的程序和数据进行多介质、多重备份，异地存放，保证数据信息安全完整。要加大计算机安全检查力度，定期和不定期进行计算机安全检查，及时纠正问题和消除隐患，发现未落实规章制度的，一定要严肃查处。

（四）强化技术防范。要加大科技投入，改善消防、防雷、UPS供电等基础硬件设施，发展和使用计算机加密技术、访问控制技术、防火墙技术、病毒防治技术和监控技术，筑起多道计算机安全防范屏障，切实防范和保障计算机安全。

（五）加强安全监管。基层人民银行及上级行应将计算机安全列为监督的重要内容之一，建立计算机风险预警机制和安全防范体系，保障计算机各类应用系统安全平稳运行。（本文作者：田亮 单位：中国人民银行石家庄中心支行）