導(dǎo)語：人民銀行科技管理審計重點的探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著計算機(jī)及網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人民銀行日常辦公和業(yè)務(wù)處理的電子化程度越來越高。TCBS、ACS等重要業(yè)務(wù)系統(tǒng)的上線，標(biāo)志著人民銀行重要業(yè)務(wù)系統(tǒng)已經(jīng)成功實現(xiàn)了數(shù)據(jù)集中功能，這也導(dǎo)致了人民銀行分支行的科技管理審計內(nèi)容發(fā)生重大變化。本文從人民銀行基層科技管理現(xiàn)狀、科技管理審計內(nèi)容、風(fēng)險發(fā)展趨勢、應(yīng)對措施四個方面，對數(shù)據(jù)集中趨勢下的人民銀行分支行科技管理審計重點的變化情況進(jìn)行初步探討。

關(guān)鍵詞：數(shù)據(jù)集中；科技管理；審計重點

一、數(shù)據(jù)集中趨勢下人民銀行基層行科技管理現(xiàn)狀

2004年以來，人民銀行總行對信息化發(fā)展戰(zhàn)略做出重大調(diào)整，加快了數(shù)據(jù)集中與資源整合的步伐。據(jù)不完全統(tǒng)計，目前央行各分支行至少已建成或平穩(wěn)運(yùn)行著大大小小90多個計算機(jī)應(yīng)用系統(tǒng)，其中總行統(tǒng)一推廣系統(tǒng)29個，外管局使用系統(tǒng)12個，省內(nèi)建設(shè)推廣的系統(tǒng)10個，地市中支自行開發(fā)運(yùn)行的系統(tǒng)若干。各個系統(tǒng)功能越來越多，覆蓋了人民銀行所有的業(yè)務(wù)，涉及各部門、各崗位，如：辦公類的OA系統(tǒng)、電子郵件系統(tǒng)等；業(yè)務(wù)類的ACS系統(tǒng)、TCBS系統(tǒng)、財務(wù)管理系統(tǒng)等；信息管理類的會計報表系統(tǒng)、利率報備系統(tǒng)等。與此同時，實現(xiàn)數(shù)據(jù)集中后，大部分業(yè)務(wù)系統(tǒng)采用B/S架構(gòu)，或者服務(wù)器和主機(jī)在總行或省一級中心支行，各市中心支行下一級人行通過終端或前置機(jī)的方式使用業(yè)務(wù)系統(tǒng)，只需完成業(yè)務(wù)數(shù)據(jù)的原始錄入，因為數(shù)據(jù)庫全部在上級行，應(yīng)用程序升級維護(hù)的主要工作由上級行科技部門承擔(dān)，本級科技人員只需對客戶端軟件進(jìn)行升級。簡而言之，各市中心支行和縣支行人民銀行科技維護(hù)管理工作日趨簡單。

二、對人民銀行科技管理審計重點的探討

（一）科技管理審計的內(nèi)容

根據(jù)近年來科技綜合管理專項審計方案，科技管理審計主要包括內(nèi)控機(jī)制建設(shè)情況，機(jī)房與設(shè)施管理，業(yè)務(wù)網(wǎng)管理情況，業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行維護(hù)管理情況，涉密管理情況，電子化設(shè)備采購和外包服務(wù)管理情況，應(yīng)急、備份和文檔管理情況等七大類。審計重點圍繞設(shè)備安全、系統(tǒng)安全、信息安全三點。

（二）數(shù)據(jù)集中趨勢下，對科技管理審計的影響

在數(shù)據(jù)集中趨勢下，原先放置于人民銀行各分支行的會計ABS系統(tǒng)、國庫TBS系統(tǒng)等高密級服務(wù)器將逐步取消，總行、各分行、各省會中心支行等在各自轄區(qū)推廣的計算機(jī)應(yīng)用系統(tǒng)，其服務(wù)器等重要計算機(jī)設(shè)備將放置于本級別的計算機(jī)機(jī)房內(nèi)，這就造成了各市中心支行和縣支行設(shè)備管理的主要內(nèi)容由原先對業(yè)務(wù)系統(tǒng)管理、參數(shù)修改等變成了簡單的系統(tǒng)升級維護(hù)，計算機(jī)應(yīng)用系統(tǒng)設(shè)備的數(shù)量與種類也大幅減少，導(dǎo)致了進(jìn)行科技管理審計時，圍繞設(shè)備安全的工作量大幅減少，而在系統(tǒng)安全及信息安全檢查方面，除了常規(guī)客戶端方面的基礎(chǔ)科技安全檢查，主要的安全風(fēng)險更多來自于網(wǎng)絡(luò)風(fēng)險與人員管理風(fēng)險，其中網(wǎng)絡(luò)風(fēng)險的檢查由于在數(shù)據(jù)集中趨勢下，人民銀行業(yè)務(wù)處理、報表統(tǒng)計、系統(tǒng)升級等都通過網(wǎng)絡(luò)從上級行或總行的服務(wù)器中進(jìn)行交換，如果出現(xiàn)信息漏洞被人利用，很容易導(dǎo)致大范圍乃至全國人行系統(tǒng)故障或數(shù)據(jù)泄漏，造成的影響可能會波及全國各個層面。由此可見，人民銀行科技管理對網(wǎng)絡(luò)的要求愈來愈高，因而審計重點也應(yīng)向保障網(wǎng)絡(luò)安全正常運(yùn)行方面傾斜。

三、人民銀行系統(tǒng)網(wǎng)絡(luò)風(fēng)險發(fā)展趨勢

針對常見的網(wǎng)絡(luò)風(fēng)險，人民銀行采取了大量有效措施，如互聯(lián)網(wǎng)、辦公網(wǎng)、業(yè)務(wù)網(wǎng)的物理隔離等，大大提高了網(wǎng)絡(luò)安全，但網(wǎng)絡(luò)風(fēng)險仍然存在，并且隨著信息技術(shù)的不斷發(fā)展，風(fēng)險愈加劇烈。

（一）網(wǎng)絡(luò)風(fēng)險不斷增大

在數(shù)據(jù)集中的情況下，受實際網(wǎng)絡(luò)條件限制，各業(yè)務(wù)系統(tǒng)之間的網(wǎng)絡(luò)未達(dá)到物理隔離。而網(wǎng)絡(luò)安全是相互依賴的，每個計算機(jī)應(yīng)用系統(tǒng)遭受攻擊的可能性取決于連接到同一網(wǎng)絡(luò)上其他系統(tǒng)的安全狀態(tài)。故在數(shù)據(jù)集中的情況下，人民銀行科技管理中，對網(wǎng)絡(luò)安全的需求愈來愈高。

（二）發(fā)現(xiàn)安全漏洞越來越快

在互聯(lián)網(wǎng)上，相關(guān)的統(tǒng)計信息新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞。尤其值得注意的是，人民銀行的諸多重大業(yè)務(wù)系統(tǒng)，都是基于Unix平臺開發(fā)的，盡管相對于Windows系統(tǒng)而言，Unix平臺的系統(tǒng)安全性更高，但并不等于不存在漏洞。2014年4月與9月就先后發(fā)現(xiàn)了Heartbleed漏洞與Bash漏洞兩個影響基于Unix平臺的操作系統(tǒng)的重大漏洞，尤其是后者，其嚴(yán)重性達(dá)到了10級，意味著它的影響在各類漏洞中處于最高級別，而它的破解難度卻很低，只需要借助相對簡單的方式即可發(fā)起攻擊。

（三）獲取涉密信息的技術(shù)不斷增多

隨著技術(shù)的不斷發(fā)展，以往認(rèn)為不可能突破的物理隔離這一安全手段將逐漸變得可能，甚至變得更加容易。根據(jù)信息安全方面的報道，目前可突破計算機(jī)物理隔離的方法有很多，如可通過捕捉計算機(jī)CPU加解密時的高頻聲音“聽譯”密鑰、通過聲卡獲得數(shù)據(jù)、通過觸碰電腦測量釋放到皮膚上的電勢獲取計算機(jī)秘鑰、通過一體式打印機(jī)拷貝關(guān)鍵數(shù)據(jù)等。而最近發(fā)現(xiàn)的，利用電腦或服務(wù)器硬件發(fā)出的電磁波竊取信息的方式更讓人吃驚，這意味著即使電腦完全不聯(lián)網(wǎng)也會遭到黑客的襲擊，甚至安全人員還開發(fā)出了Android手機(jī)應(yīng)用AirHopper，可以隔空獲取未聯(lián)網(wǎng)電腦的鍵盤輸入、網(wǎng)卡、存儲卡等通訊信息，這使得結(jié)合這種新式“物理攻擊”的APT攻擊更加難以防范。同時也意味著任何一位Android手機(jī)用戶都有可能不知不覺變成被操控的“超級黑客”。由上述系統(tǒng)新漏洞的發(fā)現(xiàn)和竊取信息新手段可以看出，網(wǎng)絡(luò)風(fēng)險的發(fā)展呈現(xiàn)出漏洞利用難度簡單化，信息獲取手段隱秘化，竊取設(shè)備要求平民化的趨勢。

四、人民銀行應(yīng)對網(wǎng)絡(luò)風(fēng)險的措施

（一）繼續(xù)發(fā)揮五大安全防護(hù)系統(tǒng)優(yōu)勢

以不變應(yīng)萬變，在數(shù)據(jù)集中和網(wǎng)絡(luò)共享的發(fā)展趨勢下，加大對“入侵檢測系統(tǒng)”，“非法外聯(lián)系統(tǒng)”、“網(wǎng)絡(luò)防病毒系統(tǒng)”、“補(bǔ)丁分法系統(tǒng)”和“IT運(yùn)維監(jiān)控系統(tǒng)”的監(jiān)督檢查力度，合理有效審計五大安全系統(tǒng)，保證可疑入侵事件有效甄別，杜絕類似手機(jī)充電的人為外聯(lián)情況，及時查找并清理網(wǎng)絡(luò)病毒，適時更新最新補(bǔ)丁，保證內(nèi)聯(lián)網(wǎng)絡(luò)安全穩(wěn)健運(yùn)行。

（二）加強(qiáng)對網(wǎng)絡(luò)日志的監(jiān)督管理

切實加強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)和資源安全管理，加大應(yīng)用系統(tǒng)的操作使用和安全管理力度，嚴(yán)格訪問控制，加強(qiáng)日志管理，進(jìn)一步完善安全防護(hù)措施。一方面，優(yōu)化網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)和運(yùn)維監(jiān)控系統(tǒng)，全面收集各類網(wǎng)絡(luò)設(shè)備管理用戶的登錄和操作日志、網(wǎng)絡(luò)設(shè)備運(yùn)行日志，合理控制日志訪問權(quán)限，檢查網(wǎng)絡(luò)管理員是否定期查看、備份相關(guān)日志，是否能及時、有效發(fā)現(xiàn)各類運(yùn)行安全隱患；另一方面，對未按照網(wǎng)絡(luò)運(yùn)行手冊配置網(wǎng)絡(luò)拓?fù)涔δ艿默F(xiàn)象，深入剖析原因，從網(wǎng)絡(luò)正常運(yùn)行的角度出發(fā)，探尋發(fā)揮網(wǎng)絡(luò)效用最大化的有力途徑，將網(wǎng)絡(luò)風(fēng)險漏洞降至最低。

（三）加強(qiáng)人員培訓(xùn)，提高安全防范意識

加強(qiáng)對業(yè)務(wù)系統(tǒng)操作員、部門安全員和網(wǎng)絡(luò)管理員的培訓(xùn)力度，對業(yè)務(wù)系統(tǒng)操作員培訓(xùn)重點放到提高網(wǎng)絡(luò)安全意識上，防范違反安全的運(yùn)行事件，將部門安全員培訓(xùn)重點放到系統(tǒng)運(yùn)行自查和甄別風(fēng)險隱患方面，對網(wǎng)絡(luò)管理員培訓(xùn)重點放到網(wǎng)絡(luò)知識的更新和經(jīng)典案例的交流，從終端管理到網(wǎng)絡(luò)宏觀維護(hù)兩方面入手，實現(xiàn)網(wǎng)絡(luò)的良好運(yùn)行。

綜上所述，一方面新的信息技術(shù)發(fā)展很快，對網(wǎng)絡(luò)安全和審計人員的信息技術(shù)水平提出了更高的要求；另一方面，隨著技術(shù)的發(fā)現(xiàn)，如不聯(lián)網(wǎng)竊取信息技術(shù)的出現(xiàn)，會對接觸相關(guān)設(shè)備的人員提出更高的內(nèi)控要求，而制度的制定需要有一個較長的時間，會出現(xiàn)制度落后于實際需求的情況。所以在數(shù)據(jù)集中趨勢下，科技管理審計中應(yīng)側(cè)重網(wǎng)絡(luò)管理與新技術(shù)對內(nèi)控管理的新要求，同時注意加強(qiáng)對審計人員的業(yè)務(wù)培訓(xùn)工作。

作者:謝永智 單位:中國人民銀行石家莊中心支行