導語：人民銀行科技管理審計重點的探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著計算機及網絡技術的飛速發展，人民銀行日常辦公和業務處理的電子化程度越來越高。TCBS、ACS等重要業務系統的上線，標志著人民銀行重要業務系統已經成功實現了數據集中功能，這也導致了人民銀行分支行的科技管理審計內容發生重大變化。本文從人民銀行基層科技管理現狀、科技管理審計內容、風險發展趨勢、應對措施四個方面，對數據集中趨勢下的人民銀行分支行科技管理審計重點的變化情況進行初步探討。

關鍵詞：數據集中；科技管理；審計重點

一、數據集中趨勢下人民銀行基層行科技管理現狀

2004年以來，人民銀行總行對信息化發展戰略做出重大調整，加快了數據集中與資源整合的步伐。據不完全統計，目前央行各分支行至少已建成或平穩運行著大大小小90多個計算機應用系統，其中總行統一推廣系統29個，外管局使用系統12個，省內建設推廣的系統10個，地市中支自行開發運行的系統若干。各個系統功能越來越多，覆蓋了人民銀行所有的業務，涉及各部門、各崗位，如：辦公類的OA系統、電子郵件系統等；業務類的ACS系統、TCBS系統、財務管理系統等；信息管理類的會計報表系統、利率報備系統等。與此同時，實現數據集中后，大部分業務系統采用B/S架構，或者服務器和主機在總行或省一級中心支行，各市中心支行下一級人行通過終端或前置機的方式使用業務系統，只需完成業務數據的原始錄入，因為數據庫全部在上級行，應用程序升級維護的主要工作由上級行科技部門承擔，本級科技人員只需對客戶端軟件進行升級。簡而言之，各市中心支行和縣支行人民銀行科技維護管理工作日趨簡單。

二、對人民銀行科技管理審計重點的探討

（一）科技管理審計的內容

根據近年來科技綜合管理專項審計方案，科技管理審計主要包括內控機制建設情況，機房與設施管理，業務網管理情況，業務應用系統運行維護管理情況，涉密管理情況，電子化設備采購和外包服務管理情況，應急、備份和文檔管理情況等七大類。審計重點圍繞設備安全、系統安全、信息安全三點。

（二）數據集中趨勢下，對科技管理審計的影響

在數據集中趨勢下，原先放置于人民銀行各分支行的會計ABS系統、國庫TBS系統等高密級服務器將逐步取消，總行、各分行、各省會中心支行等在各自轄區推廣的計算機應用系統，其服務器等重要計算機設備將放置于本級別的計算機機房內，這就造成了各市中心支行和縣支行設備管理的主要內容由原先對業務系統管理、參數修改等變成了簡單的系統升級維護，計算機應用系統設備的數量與種類也大幅減少，導致了進行科技管理審計時，圍繞設備安全的工作量大幅減少，而在系統安全及信息安全檢查方面，除了常規客戶端方面的基礎科技安全檢查，主要的安全風險更多來自于網絡風險與人員管理風險，其中網絡風險的檢查由于在數據集中趨勢下，人民銀行業務處理、報表統計、系統升級等都通過網絡從上級行或總行的服務器中進行交換，如果出現信息漏洞被人利用，很容易導致大范圍乃至全國人行系統故障或數據泄漏，造成的影響可能會波及全國各個層面。由此可見，人民銀行科技管理對網絡的要求愈來愈高，因而審計重點也應向保障網絡安全正常運行方面傾斜。

三、人民銀行系統網絡風險發展趨勢

針對常見的網絡風險，人民銀行采取了大量有效措施，如互聯網、辦公網、業務網的物理隔離等，大大提高了網絡安全，但網絡風險仍然存在，并且隨著信息技術的不斷發展，風險愈加劇烈。

（一）網絡風險不斷增大

在數據集中的情況下，受實際網絡條件限制，各業務系統之間的網絡未達到物理隔離。而網絡安全是相互依賴的，每個計算機應用系統遭受攻擊的可能性取決于連接到同一網絡上其他系統的安全狀態。故在數據集中的情況下，人民銀行科技管理中，對網絡安全的需求愈來愈高。

（二）發現安全漏洞越來越快

在互聯網上，相關的統計信息新發現的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞。尤其值得注意的是，人民銀行的諸多重大業務系統，都是基于Unix平臺開發的，盡管相對于Windows系統而言，Unix平臺的系統安全性更高，但并不等于不存在漏洞。2014年4月與9月就先后發現了Heartbleed漏洞與Bash漏洞兩個影響基于Unix平臺的操作系統的重大漏洞，尤其是后者，其嚴重性達到了10級，意味著它的影響在各類漏洞中處于最高級別，而它的破解難度卻很低，只需要借助相對簡單的方式即可發起攻擊。

（三）獲取涉密信息的技術不斷增多

隨著技術的不斷發展，以往認為不可能突破的物理隔離這一安全手段將逐漸變得可能，甚至變得更加容易。根據信息安全方面的報道，目前可突破計算機物理隔離的方法有很多，如可通過捕捉計算機CPU加解密時的高頻聲音“聽譯”密鑰、通過聲卡獲得數據、通過觸碰電腦測量釋放到皮膚上的電勢獲取計算機秘鑰、通過一體式打印機拷貝關鍵數據等。而最近發現的，利用電腦或服務器硬件發出的電磁波竊取信息的方式更讓人吃驚，這意味著即使電腦完全不聯網也會遭到黑客的襲擊，甚至安全人員還開發出了Android手機應用AirHopper，可以隔空獲取未聯網電腦的鍵盤輸入、網卡、存儲卡等通訊信息，這使得結合這種新式“物理攻擊”的APT攻擊更加難以防范。同時也意味著任何一位Android手機用戶都有可能不知不覺變成被操控的“超級黑客”。由上述系統新漏洞的發現和竊取信息新手段可以看出，網絡風險的發展呈現出漏洞利用難度簡單化，信息獲取手段隱秘化，竊取設備要求平民化的趨勢。

四、人民銀行應對網絡風險的措施

（一）繼續發揮五大安全防護系統優勢

以不變應萬變，在數據集中和網絡共享的發展趨勢下，加大對“入侵檢測系統”，“非法外聯系統”、“網絡防病毒系統”、“補丁分法系統”和“IT運維監控系統”的監督檢查力度，合理有效審計五大安全系統，保證可疑入侵事件有效甄別，杜絕類似手機充電的人為外聯情況，及時查找并清理網絡病毒，適時更新最新補丁，保證內聯網絡安全穩健運行。

（二）加強對網絡日志的監督管理

切實加強網絡結構和資源安全管理，加大應用系統的操作使用和安全管理力度，嚴格訪問控制，加強日志管理，進一步完善安全防護措施。一方面，優化網絡安全認證系統和運維監控系統，全面收集各類網絡設備管理用戶的登錄和操作日志、網絡設備運行日志，合理控制日志訪問權限，檢查網絡管理員是否定期查看、備份相關日志，是否能及時、有效發現各類運行安全隱患；另一方面，對未按照網絡運行手冊配置網絡拓撲功能的現象，深入剖析原因，從網絡正常運行的角度出發，探尋發揮網絡效用最大化的有力途徑，將網絡風險漏洞降至最低。

（三）加強人員培訓，提高安全防范意識

加強對業務系統操作員、部門安全員和網絡管理員的培訓力度，對業務系統操作員培訓重點放到提高網絡安全意識上，防范違反安全的運行事件，將部門安全員培訓重點放到系統運行自查和甄別風險隱患方面，對網絡管理員培訓重點放到網絡知識的更新和經典案例的交流，從終端管理到網絡宏觀維護兩方面入手，實現網絡的良好運行。

綜上所述，一方面新的信息技術發展很快，對網絡安全和審計人員的信息技術水平提出了更高的要求；另一方面，隨著技術的發現，如不聯網竊取信息技術的出現，會對接觸相關設備的人員提出更高的內控要求，而制度的制定需要有一個較長的時間，會出現制度落后于實際需求的情況。所以在數據集中趨勢下，科技管理審計中應側重網絡管理與新技術對內控管理的新要求，同時注意加強對審計人員的業務培訓工作。

作者:謝永智 單位:中國人民銀行石家莊中心支行