网络建设与运营管理问题及对策

时间:2022-01-16 11:13:42

网络建设与运营管理问题及对策

一、人民银行分支行网络建设与运营管理现状

(一)网络建设情况。人民银行分支行网络是由人民银行分支行负责管辖的重要信息基础设施。目前,海南省人民银行系统主要建有业务网、金融城域网、互联网等相对独立的网络信息系统,按网络功能定位与信息保护要求的不同,为辖区各级人民银行分支行对外履行中央银行职能和开展内部管理提供网络服务。1.业务网。业务网是承载人民银行内部会计核算、国库核算、征信管理、支付结算、货币金银等核心业务及开展日常办公与内部管理的专用非涉密网络,与国际互联网物理隔离。辖区业务网覆盖全辖19家分支行,以人民银行海口中心支行(以下简称“人行海口中支”)为中心,上联人总行、外管总局,下联18家地市中支、县市支行,纵向与金融城域网互联但逻辑隔离。2.金融城域网。金融城域网是人行海口中支与辖区金融机构、支付机构、政府部门等联网单位交换信息的专用通信网络,与业务网互联逻辑隔离,主要承载人民银行向联网机构提供的资金清算、人民币账户管理、公民身份信息核查、征信查询、调查统计、反洗钱监管、利率监测、人民币跨境收付、国库收付、公文交换等服务。截至2017年6月末,辖区金融城域网接入各类机构47家,其中,银行机构40家、非银行支付机构一家、政府部门4家、财务公司两家,接入线路65条。3.互联网。互联网是辖区分支行获取公共信息、金融资讯、开展外汇监管和舆情监测、与外部机构进行联系沟通的网络通信平台。辖区互联网覆盖全辖19家分支行,以人行海口中支为中心,下联18家地市中支、县市支行,并“集中一点接入”国际互联网,全网租用运营商专线18条、互联网出口专线一条,统一出口带宽300M。4.网络相关基础设施。网络信息系统依托辖区分支行各级中心机房运行,并向人民银行系统及联网机构提供网络服务,共涉及省级数据中心、同城通信转接中心以及辖区各地市中支、县市支行数据中心等20处机房。其中,省级数据中心与同城通信转接中心业务网互为备份,实现网络级“双活”,两中心可同时承载业务,也可在应急情况下单独承载业务,实现省级节点业务网“一地两中心”运行。(二)运营管理情况。1.管理制度。辖区分支行网络运营管理主要以人总行下发的《金融城域网入网管理办法》《金融城域网技术指引V1.0》《网络故障防范与处置指南(试行)》等管理办法与技术规范为指导,结合人行海口中支自行制定的《业务网运行管理办法》《互联网管理办法》《海南省金融城域网接入管理办法》《网络运行安全突发事件应急预案》等一系列管理制度,开展网络准入、日常管理、变更管理、安全管理、应急管理、设备管理、网络资源与档案管理等运营管理工作。为应对辖区金融业网络、供电等重大突发事件,人行海口中支还联合公安、通信、电力等有关部门建立了跨行业、跨部门的海南省金融业信息安全协调工作机制,协同处置突发事件。2.管理机构。辖区各级分支行保密管理部门负责对网络接入的保密合规性进行审核与监督,科技部门负责辖内网络系统的规划建设、安全防护、网络资源管理、日常运维与接入实施工作。3.人员配置。辖区各级分支行设有网络管理岗,其中,地市(含)以上分支行网络管理岗设有A/B角,且大多具有研究生学历,部分取得网络、安全等相关资质认证证书。从年龄结构上看,地市(含)以上分支行网络管理员平均年龄也较县支行网络管理员要小。从全辖情况看,网络管理员兼任机房管理岗、信息安全管理岗、系统管理岗等其他岗位的情况普遍存在。4.运行保障。为及时掌握网络及其相关基础设施的运行情况,先后建成网管监控系统、机房监控系统、IP资源管理平台等一系列辅助管理系统,实现“用技术管技术”,对提升网络、机房等IT基础设施的运行保障能力起到积极作用。其中,网管监控系统覆盖包括辖区业务网、金融城域网和互联网在内的各网络系统,机房监控系统覆盖海口中心机房、同城通信转接中心机房及人行三亚中支中心机房,IP资源管理平台覆盖省会节点与地市节点业务网。以上各监控系统与短信平台无缝对接,实现“7×24小时”全天候监控和值守。一旦发生故障,警告信息将通过电话、短信等方式及时通知管理员。另外,通过为关键网络设备、部件购置维保服务,持续优化网络架构并适时调整网络带宽,不断提升辖区网络服务保障能力。

二、人行分支行网络运行面临的形势与挑战

(一)国家层面对基础设施的重视程度空前现代金融业务高度依赖信息技术网络,党的十八届三中全会明确提出要“加强金融基础设施建设,保障金融市场安全高效运行和整体稳定”。作为承载金融业务的重要信息化基础设施,人民银行网络已成为国家金融基础设施的重要组成部分。2017年6月1日起实施的《中华人民共和国网络安全法》明确规定,将金融领域网络定义为关键信息基础设施,在网络安全统、通风系统、防雷接地系统、消防系统、综合布线系统等与现行技术标准的要求存在明显差距,且存在基础设施维护保养不及时、应急措施不到位、管理制度跟不上等问题,难以保障网络系统安全、连续运行。另一方面,网络设备升级更新不及时,部分设备服役时间过长,功能陈旧,难以满足业务承载与安全管控的需要,网络运行风险不断增大。(二)网络建设规划滞后,与应用创新步伐不协调一方面,随着人民银行应用架构向虚拟化、分布式、“双活”“多活”模式转型,分支行省级节点网络结构性缺陷不断显现,难以适应业务创新要求,呈现被动调整的态势,网络建设与应用建设脱节问题日益突出。另一方面,网络承载业务的划分与实际应用需求错位,造成网络使用不便,阻碍业务开展。如总行与分支行综合办公平台部署在不同网络系统,造成公文流转、邮件沟通不便,金融机构有关业务数据在互联网上采集整理需通过金融城域网方能报送而造成数据交换不便等,相关网络服务渠道亟待畅通。(三)网络安全保障体系不完善,防护能力有限近年来,分支行网络安全管理机制与技术防护措施建设取得长足进步,部署了防病毒、补丁分发、非法外联等一系列安全防护工具。然而,从整体上看,现有防护手段局限于具体的某个点、线或面,协调防御能力差,网络安全整体态势感知与纵深防御机制欠缺,网络安全评估指标与评估手段落后,数据安全保护体系也不健全,难以应对隐藏水平高、渗透能力强、有预谋、有组织的规模化网络攻击。(四)网络服务覆盖面不足,难满足履职要求随着小微金融企业和民营金融机构的不断增多以及金融扶贫、金融监管与普惠金融进程的不断推进,货币信贷、征信、调查统计等业务的网络服务需求快速增加,金融扶贫信息、金融监管与统计数据、普惠金融数据亟需采集、传输、交换、整理和分析。但分支行网络尚未覆盖相关数据来源机构和企业,部分信息数等级保护制度的基础上,实行重点保护。

三、人行分支行网络建设与运营管理存在的问题

(一)IT基础设施老化,网络运行存在风险隐患一方面,机房运行环境基础设施老化,供配电系据仍主要靠人工交换完成,数据交换成本高、传递不及时,难以满足分支行高效履职的需要。(二)业务运行对网络连续服务能力要求不断提高近年来,分支行网络承载业务量与网络接入机构不断增加,二代支付系统、网上支付跨行清算系统、境内外币支付系统、财政无纸化系统等一大批重要业务系统先后完成上线。城商行、村镇银行、财务公司、支付机构等大量新设金融机构、非金融机构接入分支行金融城域网,对分支行网络承载能力与连续服务能力的要求不断增强,对网络故障处置与应急响应的要求也日益严苛,分支行网络运营管理压力不断增大。(三)网络安全形势严峻,生产保障难度加大全球网络安全态势复杂,网络安全攻击呈现攻击来源多样、攻击手段复杂、攻击对象广泛、攻击后果严重等特征,木马植入、病毒勒索、网站入侵、数据篡改、信息窃取等攻击性事件时有发生。当前,分支行网络安全防护体系仍较为薄弱、防控措施尚不健全,网络产品也缺乏安全自主可控能力,防范网络安全风险的任务仍然十分艰巨。此外,风灾、水灾等自然灾害以及城市建设对通信基础设施造成的人为破坏也对网络安全生产保障带来严重威胁。(四)技术架构转型对网络支撑能力要求不断提升随着云计算、大数据、应用“双活”、数字货币、区块链、物联网等信息技术的日渐成熟与落地应用,人民银行信息化应用正从传统技术架构向虚拟化、分布式架构转型,对分支行网络支撑能力和数据传输处理方式提出全新要求。如何满足人民银行应用架构转型需求,采用先进网络技术优化调整分支行网络布局、化解新架构模式下网络运行风险是当前分支行网络规划建设与运营管理面临的新课题、新考验,对分支行网管人员的管理与技术能力也提出全新挑战。(五)网络运营管理手段落后,专业技术人才欠缺长期以来,分支行科技部门积极探索运用技术辅助工具提升网络运营管理的智能化、精细化、规范化和自动化水平,人行海口中支先后部署了总行统一推广的NMS网管监控平台和自建的业务网监控系统、IPAM网络资源管理系统。但从总体上看,网络运营管理的自动化、智能化水平仍然较低,规范化约束手段欠缺,精细化水平不足,对于网络响应速度慢、通信不稳定、数据丢包等复杂情形缺乏事前监测、预警、定位和快速处置的有效手段,网络运行的稳定性与健壮性难以保障。此外,受年龄结构老化、兼岗任务较重、缺乏激励机制等多方面因素的影响,分支行网管人员对网络运营管理工作重视不足,网络安全意识薄弱,对网络技能的钻研与实践不够,管理能力止步不前。

四、加强人行分支行网络建设与运营管理的建议

(一)加强顶层设计和统筹规划,明确分支行网络系统定位一是适应人行架构转型与业务创新需要,调整分支行网络建设目标,明确分支行各网络系统功能定位,制定网络升级改造近期和中长期规划并组织实施。二是完善分支行网络服务体系,紧紧围绕分支行履职需要,进一步拓展和延伸网络服务覆盖范围,丰富网络接入范围、对象、方式,提供便利化网络服务。(二)升级分支行数据中心软硬件环境,夯实网络运行基础一是结合分支行实际,合理安排资金,有序升级分支行数据中心机房软硬件环境,并将数据中心纳入区域级金融关键信息基础设施范畴,实施重点建设和保护,为网络系统运行提供保障。二是编制分支行网络设施设备升级更新计划,缩短关键网络设备在线服役年限,明确网络设备、重要部件升级更换周期,规范备品备件储备与维保服务要求。(三)完善网络安全防护体系,全方位抵御威胁一是重新梳理分支行现有网络安全防护工具和管控措施,建立网络安全态势感知与纵深防御机制,健全关键数据连续保护体系,完善分支行网络安全与数据安全规划,引入云计算、大数据、人工智能等信息技术,构建集感知、预警、防御等能力于一体的网络安全协同防护平台。二是继续推进分支行网络设备国产化,增强网络产品、技术的安全自主可控能力。(四)健全网络监测与智能分析手段,完善网络运营管理一是建设网络性能监控系统和智能回溯分析系统,对网络性能和行为异常即时发现、快速定位以及回溯倒查,增强故障处置效率。二是调整分支行网络运营管理权限,适时上收县支行网络配置管理权限,减轻县支行运营管理负担,降低变更操作风险。三是强化金融城域网外部风险管理,探索建立接入风险评估指标及其评价机制,推进网络运营管理科学化、精细化。(五)强化运营管理队伍建设,建立人才储备一是建立网络人才储备、培养与激励机制,通过在新行员招募中适当安排网络专业方向人才招聘、在辖区行员中选拔热爱信息科技、愿意从事网络工作的青年行员等渠道,不断充实分支行网管人才队伍。二是鼓励网管人员通过参加短期脱产培训、远程培训、跟班学习、考取专业认证资质、开展内外部技术交流等多种方式不断提升网络专业技能和运营管理水平。三是加强网络保密教育,防范网络失泄密风险。

参考文献:

[1]王永刚.对推进基层央行网络信息安全管理的思考[J].金融科技时代,2015(9):76.

[2]陈静.加快我国金融信息化建设的若干思考[J].金融电子化,2006(10):1-2.

作者:韩志雄 单位:中国人民银行海口中心支行