人民银行科技管理审计重点的探讨.docVIP

人民银行科技管理审计重点的探讨 摘要：随着计算机及网络技术的飞速发展，人民银行日常办公和业务处理的电子化程度越来越高。TCBS、ACS等重要业务系统的上线，标志着人民银行重要业务系统已经成功实现了数据集中功能，这也导致了人民银行分支行的科技管理审计内容发生重大变化。本文从人民银行基层科技管理现状、科技管理审计内容、风险发展趋势、应对措施四个方面，对数据集中趋势下的人民银行分支行科技管理审计重点的变化情况进行初步探讨。 关键词：数据集中；科技管理；审计重点 一、数据集中趋势下人民银行基层行科技管理现状 2004年以来，人民银行总行对信息化发展战略做出重大调整，加快了数据集中与资源整合的步伐。据不完全统计，目前央行各分支行至少已建成或平稳运行着大大小小90多个计算机应用系统，其中总行统一推广系统29个，外管局使用系统12个，省内建设推广的系统10个，地市中支自行开发运行的系统若干。各个系统功能越来越多，覆盖了人民银行所有的业务，涉及各部门、各岗位，如：办公类的OA系统、电子邮件系统等；业务类的ACS系统、TCBS系统、财务管理系统等；信息管理类的会计报表系统、利率报备系统等。与此同时，实现数据集中后，大部分业务系统采用B/S架构，或者服务器和主机在总行或省一级中心支行，各市中心支行下一级人行通过终端或前置机的方式使用业务系统，只需完成业务数据的原始录入，因为数据库全部在上级行，应用程序升级维护的主要工作由上级行科技部门承担，本级科技人员只需对客户端软件进行升级。简而言之，各市中心支行和县支行人民银行科技维护管理工作日趋简单。 二、对人民银行科技管理审计重点的探讨 （一）科技管理审计的内容 根据近年来科技综合管理专项审计方案，科技管理审计主要包括内控机制建设情况，机房与设施管理，业务网管理情况，业务应用系统运行维护管理情况，涉密管理情况，电子化设备采购和外包服务管理情况，应急、备份和文档管理情况等七大类。审计重点围绕设备安全、系统安全、信息安全三点。 （二）数据集中趋势下，对科技管理审计的影响 在数据集中趋势下，原先放置于人民银行各分支行的会计ABS系统、国库TBS系统等高密级服务器将逐步取消，总行、各分行、各省会中心支行等在各自辖区推广的计算机应用系统，其服务器等重要计算机设备将放置于本级别的计算机机房内，这就造成了各市中心支行和县支行设备管理的主要内容由原先对业务系统管理、参数修改等变成了简单的系统升级维护，计算机应用系统设备的数量与种类也大幅减少，导致了进行科技管理审计时，围绕设备安全的工作量大幅减少，而在系统安全及信息安全检查方面，除了常规客户端方面的基础科技安全检查，主要的安全风险更多来自于网络风险与人员管理风险，其中网络风险的检查由于在数据集中趋势下，人民银行业务处理、报表统计、系统升级等都通过网络从上级行或总行的服务器中进行交换，如果出现信息漏洞被人利用，很容易导致大范围乃至全国人行系统故障或数据泄漏，造成的影响可能会波及全国各个层面。由此可见，人民银行科技管理对网络的要求愈来愈高，因而审计重点也应向保障网络安全正常运行方面倾斜。 三、人民银行系统网络风险发展趋势 针对常见的网络风险，人民银行采取了大量有效措施，如互联网、办公网、业务网的物理隔离等，大大提高了网络安全，但网络风险仍然存在，并且随着信息技术的不断发展，风险愈加剧烈。 （一）网络风险不断增大 在数据集中的情况下，受实际网络条件限制，各业务系统之间的网络未达到物理隔离。而网络安全是相互依赖的，每个计算机应用系统遭受攻击的可能性取决于连接到同一网络上其他系统的安全状态。故在数据集中的情况下，人民银行科技管理中，对网络安全的需求愈来愈高。 （二）发现安全漏洞越来越快 在互联网上，相关的统计信息新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞。尤其值得注意的是，人民银行的诸多重大业务系统，都是基于Unix平台开发的，尽管相对于Windows系统而言，Unix平台的系统安全性更高，但并不等于不存在漏洞。2014年4月与9月就先后发现了Heartbleed漏洞与Bash漏洞两个影响基于Unix平台的操作系统的重大漏洞，尤其是后者，其严重性达到了10级，意味着它的影响在各类漏洞中处于最高级别，而它的破解难度却很低，只需要借助相对简单的方式即可发起攻击。 （三）获取涉密信息的技术不断增多 随着技术的不断发展，以往认为不可能突破的物理隔离这一安全手段将逐渐变得可能，甚至变得更加容易。根据信息安全方面的报道，目前可突破计算机物理隔离的方法有很多，如可通过捕捉计算机CPU加解密时的高频声