基層金融機構加強電腦管理的思考與建議

隨著我國金融電子化建設的快速發展，電腦在人民銀行的套用範圍越來越廣，地位越來越重要，從會計、國庫、發行、金融統計、信貸登記、外匯管理乃至工資、養老保險等業務都廣泛套用了電腦管理。但是，電腦技術是一把「雙刃劍」，在給金融業務帶來巨大發展的同時，也同樣帶來巨大的風險，如電腦系統本身的不安全性，人為的攻擊破壞，以及安全管理製度的不完善等，都潛伏著很多安全隱患，嚴重時可導致系統癱瘓，進而影響基層金融機構的業務和聲譽，造成巨大的經濟損失和不良的社會影響。近年來，我們對電腦安全工作的重視已提升到前所未有的程度，電腦安全管理規範化水準有了很大的提高，但由於基層金融機構科技力量相對比較薄弱，電腦管理沒有完全遵循信息系統安全管理規範，存在著不少安全隱患，主要表現在：   

1、普遍存在著重套用、輕安全管理的現象。沒有把電腦安全管理工作作為日常工作的重點。內控製度不建全或不能嚴格執行，很大程度上依賴於技術人員、業務操作人員的自律，安全管理製度滯後於業務發展，缺乏具體的先進安全設備和安全技術，缺乏智慧型化監督安全軟體，電腦安全管理隊伍力量薄弱。
2、科技人員嚴重不足，管理缺乏有效性。隨著各項業務普遍使用電腦套用系統，科技工作任務越來越重，科技人員長期處在高度緊張的日常工作當中，很少有機會學習新知識、新業務，僅靠一名科技人員來專管電腦工作，行使科技管理職能，往往顧此失彼，工作無法有效開展。同時，科技人員又兼任電腦安全員，監督者與被監督者同為一人，所有工作也一手清，電腦安全管理無從談起。
3、製度建設不到位，缺乏針對性。基層金融機構雖然也製定了電腦管理製度，但為了應付檢查，互相抄襲的多，結合本單位、本部門、本套用系統製定的製度少，往往執行起來難，製度與管理工作脫節。
4、系統資料檔案不全、管理不規範。存儲資料的管理不到位，部分套用系統的使用者使用許可權未進行有效的管理，出現人員交接而不更換操作代碼及口令的現象，同時由於基層人員少，崗位設定與人員產生矛盾，沒有相互製約。個別重要業務套用系統有串崗、混崗現象，隨時可能出現安全風險。
5、設備配備不完善。由於種種原因，基層金融機構的電腦設備檔次較底，設備老化，大部分辦公用機無備用電源，出現過因UPS掉電或停電後不能正常工作的情況，造成檔案或資料丟失的現象。
6、電腦病毒防範意識差，措施不力。主要表現在：預防不力，管理混亂，沒有建立一整套病毒預防措施及製度。病毒檢測、診斷、殺除心有餘而力不足，主要是查防毒軟體更新不及時、跟不上病毒發展的步伐。

面對金融電子化的快速發展和電腦網路犯罪的新情況，我們應充分認識面臨的嚴峻挑戰，把防範金融電腦犯罪作為基層金融機構履行職能、開展業務的重要安全保障。一方面要繼續做好科技服務，不斷提高服務水準；另一方面，對現有的技術設施、技術手段全面檢查，切實提高電腦安全防範水準，全面防範科技設施引入的風險，構築金融電腦安全「防護堤」。

1、提高認識，轉變觀念。從管理層到技術人員、業務人員都要高度認識電腦犯罪對基層金融機構信譽和資金危害性的認識，把防範電腦犯罪作為一項重要工作來抓，認真部署電腦安全防範工作，提高防範能力。組織業務人員轉變觀念，自覺加強電腦及網路知識的學習，不斷提高自身貭素，充分利用和發揮科技功能，強化內部管理，加大監管力度，確保金融業務安全、快速發展。

2、加強製度建設。基層行要建立健全電腦安全製度和操作規程，做到有章可循，操作規程應具有科學性、超前性、可操作性。要嚴格按製度和操作規程執行，做到有章必循。各業務部門製訂相關的業務操作規範，對原來已有的製度，可以根據電腦安全管理要求進行修改後實施。建立、完善各種業務套用系統管理維護製度，如各種電腦操作規程、定期檢查製度、密鑰管理製度等。並堅持嚴格紀律、嚴格管理、嚴格分工的原則，做到重要業務套用系統的人員不準串崗、不準混崗。終端操作員離開終端必須退出登錄畫面，避免其它人員非法進入。專職電腦安全管理人員要具體負責電腦安全策略的實施，負責整個系統的安全維護、對整個系統授權、修改、特權、口令、違章報告、報警記錄處理，負責日誌審閱。對接入國際網際網路的電腦，更應加強安全管理；要建立全方位的電腦病毒防護體系，以動態防護為主、靜態防毒為輔，在系統執行拷貝、運行、改名、建立、收發電子郵件等操作前，自動檢測檔案是否感染病毒，發現病毒自動消除或由使用者選擇處理。定期實施靜態防毒，對電腦和大量軟碟進行防毒處理。

3、加強人員管理，完善監督機製。電腦犯罪不一定具有很高明的電腦專業技術，但是能發現和利用電腦或監控系統中的一些弱點，因此人事管理是防範金融機構電腦犯罪的重要環節。要對電腦操作人員進行必要的審查、考核、教育和培訓，建立和不斷完善要害崗位人員管理製度，努力做好職工的政治思想和道德品質教育，教育員工努力樹立正確的世界觀人生觀。在管理中要分工明確，嚴格規章製度，形成必要的監督製約機製，對科技人員、電腦機安全人員應採取適當的方式進行定期檢查，對電腦安全員、科技人員、操作人員實行定期輪換製度。 同時，每台電腦的任何使用都需要有超級使用者給予授權，以便能控製誰使用機器和機器的使用目的。

4、開展電腦安全檢查，強化製度執行力度。在電腦安全管理領導小組的領導下，加強電腦日常管理和風險控製，查找電腦安全管理存在的漏洞，要定期不定期的對電腦房、電腦中心及其各種管理、業務電腦的安全工作進行檢查。檢查的內容包括：電腦房安全防護設施的狀況、防火情況、人員出入情況；電腦密碼、口令的保密狀況；電腦軟體、程式等電子檔案和金融機構卡的保管、使用情況等。通過經常性安全檢查，做到及時發現問題，及時進行整改，消除電腦安全隱患。

5、加強部門協調配合，聯手防範電腦風險。電腦系統的安全涉及的面很寬，包括作業系統安全、資料庫安全、網路安全、病毒防護、訪問控製、鑒別等多方面因素，需依靠業務、科技、保衛、內審、監管等各部門密切配合，攜手聯動，齊抓共管才能作好。各部門間應明確各自的安全職責，加強信息交流和安全技術交流，製定科學的安全策略，採取有效措施和步驟，形成整體的防範力量，構建起強有力的銀行電腦安全體系。