人民银行科技管理审计重点的探讨

时间:2022-04-18 11:13:53

人民银行科技管理审计重点的探讨

摘要:随着计算机及网络技术的飞速发展,人民银行日常办公和业务处理的电子化程度越来越高。TCBS、ACS等重要业务系统的上线,标志着人民银行重要业务系统已经成功实现了数据集中功能,这也导致了人民银行分支行的科技管理审计内容发生重大变化。本文从人民银行基层科技管理现状、科技管理审计内容、风险发展趋势、应对措施四个方面,对数据集中趋势下的人民银行分支行科技管理审计重点的变化情况进行初步探讨。

关键词:数据集中;科技管理;审计重点

一、数据集中趋势下人民银行基层行科技管理现状

2004年以来,人民银行总行对信息化发展战略做出重大调整,加快了数据集中与资源整合的步伐。据不完全统计,目前央行各分支行至少已建成或平稳运行着大大小小90多个计算机应用系统,其中总行统一推广系统29个,外管局使用系统12个,省内建设推广的系统10个,地市中支自行开发运行的系统若干。各个系统功能越来越多,覆盖了人民银行所有的业务,涉及各部门、各岗位,如:办公类的OA系统、电子邮件系统等;业务类的ACS系统、TCBS系统、财务管理系统等;信息管理类的会计报表系统、利率报备系统等。与此同时,实现数据集中后,大部分业务系统采用B/S架构,或者服务器和主机在总行或省一级中心支行,各市中心支行下一级人行通过终端或前置机的方式使用业务系统,只需完成业务数据的原始录入,因为数据库全部在上级行,应用程序升级维护的主要工作由上级行科技部门承担,本级科技人员只需对客户端软件进行升级。简而言之,各市中心支行和县支行人民银行科技维护管理工作日趋简单。

二、对人民银行科技管理审计重点的探讨

(一)科技管理审计的内容

根据近年来科技综合管理专项审计方案,科技管理审计主要包括内控机制建设情况,机房与设施管理,业务网管理情况,业务应用系统运行维护管理情况,涉密管理情况,电子化设备采购和外包服务管理情况,应急、备份和文档管理情况等七大类。审计重点围绕设备安全、系统安全、信息安全三点。

(二)数据集中趋势下,对科技管理审计的影响

在数据集中趋势下,原先放置于人民银行各分支行的会计ABS系统、国库TBS系统等高密级服务器将逐步取消,总行、各分行、各省会中心支行等在各自辖区推广的计算机应用系统,其服务器等重要计算机设备将放置于本级别的计算机机房内,这就造成了各市中心支行和县支行设备管理的主要内容由原先对业务系统管理、参数修改等变成了简单的系统升级维护,计算机应用系统设备的数量与种类也大幅减少,导致了进行科技管理审计时,围绕设备安全的工作量大幅减少,而在系统安全及信息安全检查方面,除了常规客户端方面的基础科技安全检查,主要的安全风险更多来自于网络风险与人员管理风险,其中网络风险的检查由于在数据集中趋势下,人民银行业务处理、报表统计、系统升级等都通过网络从上级行或总行的服务器中进行交换,如果出现信息漏洞被人利用,很容易导致大范围乃至全国人行系统故障或数据泄漏,造成的影响可能会波及全国各个层面。由此可见,人民银行科技管理对网络的要求愈来愈高,因而审计重点也应向保障网络安全正常运行方面倾斜。

三、人民银行系统网络风险发展趋势

针对常见的网络风险,人民银行采取了大量有效措施,如互联网、办公网、业务网的物理隔离等,大大提高了网络安全,但网络风险仍然存在,并且随着信息技术的不断发展,风险愈加剧烈。

(一)网络风险不断增大

在数据集中的情况下,受实际网络条件限制,各业务系统之间的网络未达到物理隔离。而网络安全是相互依赖的,每个计算机应用系统遭受攻击的可能性取决于连接到同一网络上其他系统的安全状态。故在数据集中的情况下,人民银行科技管理中,对网络安全的需求愈来愈高。

(二)发现安全漏洞越来越快

在互联网上,相关的统计信息新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞。尤其值得注意的是,人民银行的诸多重大业务系统,都是基于Unix平台开发的,尽管相对于Windows系统而言,Unix平台的系统安全性更高,但并不等于不存在漏洞。2014年4月与9月就先后发现了Heartbleed漏洞与Bash漏洞两个影响基于Unix平台的操作系统的重大漏洞,尤其是后者,其严重性达到了10级,意味着它的影响在各类漏洞中处于最高级别,而它的破解难度却很低,只需要借助相对简单的方式即可发起攻击。

(三)获取涉密信息的技术不断增多

随着技术的不断发展,以往认为不可能突破的物理隔离这一安全手段将逐渐变得可能,甚至变得更加容易。根据信息安全方面的报道,目前可突破计算机物理隔离的方法有很多,如可通过捕捉计算机CPU加解密时的高频声音“听译”密钥、通过声卡获得数据、通过触碰电脑测量释放到皮肤上的电势获取计算机秘钥、通过一体式打印机拷贝关键数据等。而最近发现的,利用电脑或服务器硬件发出的电磁波窃取信息的方式更让人吃惊,这意味着即使电脑完全不联网也会遭到黑客的袭击,甚至安全人员还开发出了Android手机应用AirHopper,可以隔空获取未联网电脑的键盘输入、网卡、存储卡等通讯信息,这使得结合这种新式“物理攻击”的APT攻击更加难以防范。同时也意味着任何一位Android手机用户都有可能不知不觉变成被操控的“超级黑客”。由上述系统新漏洞的发现和窃取信息新手段可以看出,网络风险的发展呈现出漏洞利用难度简单化,信息获取手段隐秘化,窃取设备要求平民化的趋势。

四、人民银行应对网络风险的措施

(一)继续发挥五大安全防护系统优势

以不变应万变,在数据集中和网络共享的发展趋势下,加大对“入侵检测系统”,“非法外联系统”、“网络防病毒系统”、“补丁分法系统”和“IT运维监控系统”的监督检查力度,合理有效审计五大安全系统,保证可疑入侵事件有效甄别,杜绝类似手机充电的人为外联情况,及时查找并清理网络病毒,适时更新最新补丁,保证内联网络安全稳健运行。

(二)加强对网络日志的监督管理

切实加强网络结构和资源安全管理,加大应用系统的操作使用和安全管理力度,严格访问控制,加强日志管理,进一步完善安全防护措施。一方面,优化网络安全认证系统和运维监控系统,全面收集各类网络设备管理用户的登录和操作日志、网络设备运行日志,合理控制日志访问权限,检查网络管理员是否定期查看、备份相关日志,是否能及时、有效发现各类运行安全隐患;另一方面,对未按照网络运行手册配置网络拓扑功能的现象,深入剖析原因,从网络正常运行的角度出发,探寻发挥网络效用最大化的有力途径,将网络风险漏洞降至最低。

(三)加强人员培训,提高安全防范意识

加强对业务系统操作员、部门安全员和网络管理员的培训力度,对业务系统操作员培训重点放到提高网络安全意识上,防范违反安全的运行事件,将部门安全员培训重点放到系统运行自查和甄别风险隐患方面,对网络管理员培训重点放到网络知识的更新和经典案例的交流,从终端管理到网络宏观维护两方面入手,实现网络的良好运行。

综上所述,一方面新的信息技术发展很快,对网络安全和审计人员的信息技术水平提出了更高的要求;另一方面,随着技术的发现,如不联网窃取信息技术的出现,会对接触相关设备的人员提出更高的内控要求,而制度的制定需要有一个较长的时间,会出现制度落后于实际需求的情况。所以在数据集中趋势下,科技管理审计中应侧重网络管理与新技术对内控管理的新要求,同时注意加强对审计人员的业务培训工作。

作者:谢永智 单位:中国人民银行石家庄中心支行