摘要:网络技术推动了金融业务的发展,同时也给金融业务带来风险隐患。从基层央行角度看,存在操作系统国产化进度缓慢、科技基础设施存在运行风险、金融科技管理存在一定难度等问题。因此,应积极推进操作系统国产化、加强金融科技风险管控、注重沟通协调、重视人才培养,努力提升基层央行金融科技工作水平。
关键词:金融科技;网络安全;信息安全
随着科技不断进步和网络的迅猛发展,网络已融入到社会生活的各个领域,并已从狭义的网络概念扩展为更宽的范畴,网络安全已上升为事关国家和主权、社会稳定的重要问题。因此,预防网络和信息安全风险是全社会的共同责任。从中央银行角度看,2010年印发的《中国人民银行计算机系统信息安全管理规定》已经废止,取而代之的是《中国人民银行网络安全管理规定》。制度的变更足以说明,网络安全已经覆盖到网络线路、设备运行、信息传输和披露、数据存储与使用、岗位职责和培训、风险教育等各个方面。新的规定重新规范了人民银行总行机关、各分支机构的网络安全行为和管理措施。本文从人民银行承德市中心支行(简称承德中支)角度出发,研究和探讨基层央行内部的网络安全管控、预防网络风险和应对策略,为基层央行做好内部网络和信息安全工作提供借鉴和启示。
一、网络和信息安全面临的形势
网络技术已对人类社会发展产生深刻影响,并改变着人们的工作和生活习惯。然而,网络也是一把“双刃剑”,在给人类带来巨大红利的同时,也出现诸多的网络安全问题,大量的网络隐患、网络诈骗、信息泄露使我们处于危险之中,威胁着我们的系统、财富,甚至是人身安全。从金融网络安全角度看,业务系统面临着诸多的风险。一是核心设备和技术依赖于国外,大量使用国外厂商生产的设备,对于操作系统和数据库等核心技术,难以判断是否存在“后门”“陷阱”“系统漏洞”“软件炸弹”等安全隐患。一旦这些安全隐患被人利用,有可能威胁设备的运行和数据信息的安全。二是信息泄露和金融诈骗的形势依然严峻,网络违法犯罪活动呈增长和多发趋势,新技术的应用使我们金融系统面临更大的挑战。三是科技基础设施存在薄弱环节,个别设备老化存在运行风险,可能导致应用系统的“停运”。四是存在网络安全管理风险,网络安全风险防范意识有些薄弱,管理存在漏洞,网络信息安全事件有可能来源于单位或部门内部。基于以上的安全风险,网络攻击的重点已从个人用户转向金融基础设施,不法分子利用挖漏洞、找缺陷的网络攻击手段不断翻新,网络攻击不仅能造成财富的损失,还会扰乱金融秩序和社会稳定。
二、基层央行网络和信息安全基本情况
目前,承德中支充分发挥科技管理和服务职责,有效保障基层央行网络和信息系统的安全。在科技基础设施方面,承德中支网络线路分别连接上级行、县(市)支行。重要网络采取双线路、互相备份的方式,保证网络系统的畅通。在网络安全物理环境方面,机房设置了配电系统、空调系统、消防系统、防水报警、机房动力环境监测等重要系统和关键设备,通过设备的巡检和及时更新,维护机房基础设施的运行安全。在内部管理方面,承德中支积极落实科技管理要求,有效预防网络安全风险。一是开展年度性网络安全专项检查工作,对市县两级的网络安全管理、信息化项目管理、科技基础设施运行等情况全面检查,对发现的问题及时整改,注重提升基层央行网络安全防护能力。二是做好科技基础设施更新改造工作,严格落实电子设备的更新改造要求,解决设备老化问题,消除风险隐患,保证科技基础设施的运行安全。三是做好通信线路的升级改造,积极与电信运营商沟通协调,及时进行网络线路扩容和升级,提升网络资源性能和安全可靠性。四是加强对网络系统、配电系统、防火防水等重要系统和关键设备的日常巡检、维护保养和风险排查,消除风险隐患,保证疫情防控以及“”、全国“两会”、冬奥会等重要时期网络和基础设施的安全运行。五是组织金融机构开展“网络安全宣传周”活动,向全社会宣传网络安全知识,增强社会公众网络安全意识、提升预防金融诈骗的能力。六是开展科技应急演练工作,组织和协调县(市)支行和相关部门,开展网络系统、计算机供电系统应急演练活动,增强应急预案的有效性,提升科技人员的应急能力。承德中支通过强化网络和信息安全管理,有效发挥科技管理和服务的职责,为业务工作起到保驾护航的作用。
三、网络和信息安全管理存在的问题
(一)操作系统的国产化进度较为缓慢
金融业务和日常办公深度依赖美国微软Windows操作系统和数据库,核心技术被外商垄断,存在技术封锁和“卡脖子”的问题。对于系统存在的漏洞和“后门”排查难度很大,网络黑客可以利用安全漏洞入侵系统、修改数据、窃取机密,网络安全风险无法有效解决。对此,我国正在积极推进操作系统和数据库的国产化工作,金融信息系统和硬件国产化工作取得阶段性成果。但是,由于操作系统国产化是一个极为复杂的系统和社会工程,国产系统“生态”环境还没有完全建立,金融重要业务系统和国产操作系统不相互兼容,必须依赖Windows操作系统进行操作和运行,基层央行的国产化工作还停留在测试和升级过程当中,业务系统的科技风险凸显。
(二)基层央行金融科技工作缺乏权威性,指导和协调
金融机构网络安全工作存在一定难度主要表现为:基层央行具有指导、推动和协调金融机构网络安全工作职能。但在实际工作中,金融机构能否有效落实网络安全工作要求,取决于各自上级行的规划部署、系统改造进度、基础设施建设、科技项目成本、市场效益等综合因素。因此,基层央行只能从政策要求、服务民生等方面进行推动和协调,无法强制性地组织应用和项目实施,没有最终的决定权。同时,对于金融机构态度不积极、不主动、工作滞后等问题,基层央行无惩戒措施,致使基层央行的网络和信息安全管理工作处于两难的境地。
(三)基层央行的科技力量偏弱
随着技术进步和数据集中的发展趋势,基层央行的科技职能发生转型,科技人员已从应用开发型转为运行维护型。对于“大数据”“区块链”“人工智能”“信息安全”等深层次的网络安全前沿技术缺乏掌握和了解,部分科技人员钻研新技术的动力不足,技术水平有“停滞”和“吃老本”的问题。同时,承德属于河北北部经济欠发达地区,不能及时补充新生力量,科技人员“断档”问题较为突出,不利于队伍建设和人才培养,影响了网络安全和信息管理职能发挥。
四、工作建议
(一)助力操作系统国产化的应用
目前,操作系统国产化工作已取得阶段性进展,已处于从“可用”向“好用”迈进阶段。从国家层面,应建立国产操作系统的建设标准,加大政府投资力度和应用力度,采取“由简单到复杂、由低级到高级”应用策略,逐步建立起国产系统的软件应用生态。从金融层面,应做好业务应用从Windows系统向国产系统的“迁移”工作,满足兼容性要求,推进业务系统国产化应用步伐。从基层央行方面,要积极做好国产系统的测试工作,认真反馈应用情况,及时提出改进建议,丰富和完善系统功能,做到上下联动,相互配合,齐抓共管,实现操作系统国产化替代,提升金融网络与信息系统抵御风险的能力。
(二)强化对科技基础设施风险管控工作
一是加强基层央行内部风险管控,对网络设备、配电系统等重要系统和关键设备进行安全巡检,及早发现安全隐患,有效规避安全风险。及时更换老旧设备,防止设备“带病工作”,确保基础设施的运行安全。二是加强对金融机构的网络和信息安全管理,积极开展应用系统等级保护、信息数据的风险控制、客户信息的防护情况、终端安全管理、业务系统的连续性风险排查等工作,达到人民银行技术标准“符合性”要求。三是发挥人民银行“两管理、两综合”职能,开展对金融科技的检查和评价工作,督促问题整改,推动金融科技管理工作达标升级。
(三)增强金融科技的管理和协调职能
一是在金融标准化方面,应从总行层面统一制定规划和建设方案,各级分支机构积极推动、协调促进,确保得到有效落实。二是在涉及移动支付等服务民生应用领域,应突破金融行别界限,集金融行业之所长,确定实施计划和应用目标,创造出高效快捷、易于接受、安全可靠的金融产品有效服务民生。三是赋予基层央行金融科技的管理手段和处罚措施,对于不积极履行人民银行工作要求的机构,可以通过一定的处罚或制约手段,提升金融科技的管理力度,确保金融科技工作的有效推动和落实。
(四)加强网络安全宣传和警示教育工作
应有效发挥辖区金融业网络安全协调机制的作用,分析网络安全工作形势和任务,掌握辖区金融业网络安全工作情况,定期通报网络安全风险事件和信息,制定网络安全风险防控措施,提升辖区金融业网络安全防范能力。同时,强化内部管理,加强教育培训,发挥科技人员和部门网络安全员的作用,做到相互配合,齐抓共管,积极开展风险隐患排查和应急演练工作,增强全员的网络安全防护意识,共同承担网络安全工作职责,努力提升网络和信息安全工作水平。
(五)重视科技人才培养和梯队建设
一是做好科技培训工作。把技能培训纳入基层央行日常教育工作的整体规划,定期举办各种技术培训,包括数据库、操作系统、网络管理等方面的基础性内容。同时,定期举办“大数据”“云计算”“区块链”“人工智能”前沿技术培训,提升科技人员适应新时期的技术工作需要。二是重视科技人员的引进和培养,上级行应为基层行增加科技专业招聘指标,不断为科技工作注入新的活力,推动科技工作的有效开展。三是采取“走出去、请进来”的方式,选送科技人员到上级行、高校或专业机构重点培养,采取“以干代训”的方式,提升科技人员的技术能力。同时,可将单位内部有责任心、善于学习和钻研的人员调整到科技岗位,打造和培养懂技术、懂业务的复合型人才,让优秀的人才脱颖而出,营造科技发展良好的人才环境,促进金融科技事业的健康发展。
作者:郭金奎 单位:中国人民银行承德市中心支行