随着业务发展和信息技术进步,人民银行计算
机系统及网络通信设备数量与日俱增,规模越来越大,各级行中心机房安全稳定运行的重要性也愈加突出。为保证机房配套的动力、空调、消防等系统稳定协调运行,及时发现问题隐患,各级行机房内普遍安装了环境监控系统,对供配电、UPS、空调、门禁等方面实行统一监测与管理,并在预设的报警条件被触发时,通过短信或语音方式向相关管理人员报警,这对人民银行基层行中心机房而言,环境监控系统的重要性不言而喻。
一、案例介绍
2016年11月27日中午11:20,人民银行某中心支行配电房实施有计划停电,由外包维保单位对高压进线柜的市电线路三相连接处加装绝缘护套,12:10配电房恢复供电。当日晚8:00,保卫科技防人员偶然进入安防系统运行场地,发现UPS持续鸣叫,面板显示市电进线相序错误,UPS处于电池供电状态。技防人员随即通知后勤、科技等部门,待科技人员检查后发现,2台UPS的状态、显示信息情况与保卫部门UPS完全一样。紧急排查后显示,造成这一事件的原因是维保单位实施维护操作时改变了市电进线的相序,导致电梯、UPS等使用三相电源供电的设备均出现故障,无法正常工作。由于科技部门对环境监控系统参数的设置不够全面和合理,发生上述问题时系统没有向相关人员发出报警信息,如果不是偶然因素发现问题并及时处置,将导致UPS电池耗尽、设备中断运行的事故发生。
因此,要使环境监控系统发挥应有的作用,不仅需要一定的软硬件条件,还要有合理有效的参数配置。人民银行系统内部审计部门遂决定将环境监控系统覆盖全面性、功能有效性、参数合理性作为机房管理审计的一项重要内容,对该系统各类风险事件进行分析总结,以提高机房管理水平和风险防范能力,保障业务系统和设备设施的安全、稳定、连续运行。
二、审计过程及方法
(一)审前准备
审计人员坚持风险和问题导向,按照相关制度要求,通过收集资料、实地调查、风险评估、数据分析等方法,将审前准备工作做细、做实。
1.收集整理资料。一是学习总行制度依据,认真学习《中国人民银行计算机机房规范化工作指引》《中国人民银行电子信息系统机房基础设施运行维护规范》等制度文件中对环境监控系统的各项要求,掌握制度规定。二是与后勤、科技部门联系,收集高低压电气知识、UPS工作原理以及相关国家标准和行业规范方面的技术资料,学习、了解有关技术知识。
2.实地走访调查。在科技部门协助下,实地勘查环境监控系统的主要功能、参数管理、报警设置、用户界面等内容,了解基本情况,增强感性认识。
3.开展风险评估。审计人员在收集资料、实地调研基础上,结合审计工作经验,列出环境监控系统管理方面可能存在的问题及潜在风险,具体如下:一是监控范围不全面,如未将机房精密空调漏水情况、市电配电柜通断情况纳入监控范围。二是监测参数设置不全面,如对机房电力参数的监测中,仅监测电压一项参数值。三是监测阈值范围设置不合理,一些参数的设置范围不符合制度规定的标准。四是监控报警仅在监控界面提示,缺少远程报警功能。五是环境监控系统缺乏相应的访问控制措施,存在外部访问风险。六是对监控报警信息重视不足,未定期对环境监控系统中各类报警信息进行研究分析。七是系统用户管理不严格,口令设置简单或多个管理人员共用一个用户。
(二)现场审计
1.设备配置检查。调阅环境监控系统建设及改造方案、相关设备技术说明书、IP地址分配表等资料,检查以下方面:一是环境监控系统主机是否接入人民银行业务网,是否采用双网卡或其他方式,既方便进行管理,又满足环境监控信息采集和数据交换的需要,评价双网卡配置的安全性。二是监控系统主机是否安装了电话语音卡等设备,现场拨打号码检查是否开启呼入阻断功能,评价是否存在利用该通道访问人民银行业务网的可能性。三是查看环境监控系统是否配置短信报警模块,该设备是否为单电源设备,是否存在断电无法发出报警信息的风险。调阅短信缴费记录,查看是否因欠费而使短信报警模块不能正常发出报警短信。
2.覆盖范围检查。登录系统查看,检查监控范围是否涵盖了机房电力、温湿度、门禁、精密空调、漏水、入侵等方面,对于火警消防监测和视频监控,如未纳入环境监控系统,则要分别检查是否纳入保卫部门相关系统进行统一控制和管理。
3.系统功能检查。登录系统查看各项功能设置是否满足机房管理的需要,重点查看对风险事件的监控是否能向管理人员发出报警语音或短信,而不是仅在监控界面提示和报警。
4.参数配置检查。登录环境监控系统,逐项查看各类监测参数阈值范围,与相关制度规定和技术标准进行对照,查看参数阈值范围设置是否合理。实施现场比对,如将环境监控系统中显示的电压、电流、负载等数值与UPS主机显示屏的数值进行比较,查看是否一致,判断监控系统运行是否正常。
三、审计发现及原因
(一)审计发现
经人民银行系统内部审计部门审计发现,该环境监控系统功能和设置存在不足。
一是监测参数不全面。该中心支行机房内的2台UPS均为“三进三出”模式,即三相交流输入、三相交流输出,但环境监控系统仅监测交流输入、输出中的A相电压,并设定了报警阈值,而对B相、C相电压并无监控和报警,若因电源质量或设备故障等原因引发UPS供电问题时,则无法通过各相电压变化情况进行全面分析和准确判断。
二是监测范围不完整。环境监控系统将机房电力监测设置为仅监测电压变化情况,不监测电流情况,当发生本案例中的供电输入线路相序连接错误问题时,由于电压数值仍在正常范围内,那么系统不会对外发出报警信息,导致管理人员难以了解UPS的真实工作状态。
三是监控阈值范围设置过大。环境监控系统中湿度设置的监控阈值为“10至85”,溫度设置的监控阈值为“10至30”,与《中国人民银行计算机机房规范化工作指引》中“机房用空调夏季温度23±2℃,冬季20±2℃,相对湿度在45%—65%之间”的量化指标范围相比,其参数范围设置过大,则可能造成监控系统漏报警告信息的潜在风险。
四是监控阈值设置不够合理。环境监控系统对电池电压监控阈值下限设置为320V(蓄电池组共32节,每节电池为12V 100AH),如达下限报警时,电池将处于过度放电状态,对UPS蓄电池寿命产生较大影响。
五是缺乏远程报警功能。该中心支行机房UPS蓄电池加装了检测仪,实现了电池状态在线监测,但环境监控系统对电池电压、电池温度等参数变化超出报警阈值的情况,仅在监控界面显示,并不发出短信或语音报警,如非工作日出现电池问题,机房管理员难以在第一时间获取报警信息,对及时处置造成不利影响。
(二)原因分析
对审计发现的环境监控系统存在的问题,审计人员分析原因主要有以下几方面:
一是风险意识不足。部分单位科技部门的机房管理人员对环境监控系统在保障机房各类设备设施安全高效运转中的重要作用没有充分理解,片面认为只要配备了系统,能够对机房运行的各个方面进行实时监控即可,对环境监控系统配置不全面、不合理可能造成的潜在风险和危害没有清醒的认识,也未及时采取针对性的处置措施防范问题的发生。
二是深入研究不够。目前基层行机房环境监控系统一般是购买产品和服务,由相关厂商负责安装调试和维护,而单位科技部门的相关人员没有对环境监控系统的工作原理、主要功能、参数配置、与相关设备间的匹配关系等方面进行细致深入地分析研究,完全依赖厂商的技术支持,对系统中各种参数的设置是否合理有效、是否满足管理需要并没有做到心中有数。
三是监督检查不严。部分单位科技部门负责人在定期開展的机房安全管理检查中,未将机房环境监控系统的运行情况作为检查重点,没有组织相关人员结合日常巡检情况,对系统中的报警记录等内容进行认真分析,对潜在风险隐患、问题苗头也没能及时发现。
四是制度不够明确。如《中国人民银行计算机机房规范化工作指引》作为基层行机房建设和运行管理的主要制度依据,对A、B类机房应用环境监控系统实施机房监控管理的方式和内容做了具体要求,而对C类机房却没有相应规定。由于上级制度不够具体,部分单位在制定机房安全管理制度时,也淡化甚至忽略运用环境监控系统加强机房管理方面的内容,易产生管理不到位等问题。
四、审计意见及成效
(一)审计意见
一是提高思想认识。科技部门要加强风险教育和宣传,使科技人员深刻认识到机房安全管理在保障业务系统正常运行、推动人民银行高效履职中的重要作用,促进相关人员增强风险意识,提升工作责任心,定期将环境监控系统中反映的设备运行情况与实地巡检结果进行比对分析,及时发现问题苗头,及时处理风险隐患。
二是加强学习培训。通过自主学习、参加培训等方式,促使机房管理人员对高低压配电技术、机房UPS和精密空调等设备设施的工作原理、机房设备维保知识等方面有较全面的了解和掌握,并结合本单位机房设施配备现状和特点,对环境监控系统中各类参数的作用、范围、报警条件等进行认真研究,保证监控参数设置合理、有效,使环境监控系统的作用得以切实发挥。
三是强化监督管理。各层级负责人要高度重视机房安全管理工作,分管行领导、部门负责人在开展相关检查时,要将环境监控系统运行管理情况纳入检查内容。建立健全责任追究机制,对发现问题不及时、报警处置不规范、给机房安全管理工作造成损失的要追究相关人员责任。
(二)审计成效
本次审计发现问题及相关意见引起审计对象高度重视,召开专题行长办公会研究审计问题整改,指示科技部门认真分析问题成因,加强制度建设,强化人员责任,进一步规范机房安全管理。该中心支行科技部门结合机房设备特点,组织人员重新梳理机房管理业务需求,与相关厂商技术人员逐条核对环境监控系统中各项参数配置,严格按照机房管理制度和运维规范的要求,重新确定监控参数、阈值范围、报警条件、报警方式等,确保环境监控系统覆盖全面、功能高效、参数合理。
审计人员秉承内部审计价值提升理念,除向科技部门发出内部审计意见书,针对性地提出整改意见外,还综合审计发现问题的表现、原因和危害,撰写多篇审计案例、专题分析报告等材料,并注重从体制机制层面提出改进建议,推动审计成果在更大范围内得到运用。
五、启示
近几年来,机房安全管理一直是人民银行各级行开展科技综合管理审计的重要内容,但对环境监控系统的审计检查还没有足够重视。本次审计中,审计人员从一次偶然发生的断电事件中得到启发,以环境监控系统为突破口,通过对软硬件配置、监控参数设置等方面深入、细致地检查,全面揭示机房安全管理中潜存的风险隐患,真正实现“防患于未然”,使审计视角更加独特,审计结果也得到审计对象充分认可和高度重视,进一步彰显了内部审计工作价值。因此,审计人员应牢固树立价值驱动理念,更加解放思想、开拓创新,不断提升发现问题和解决问题的水平,更好地发挥内部审计在促进履职和规范管理中的职能作用。
(作者单位:中国人民银行滁州市中心支行,
邮政编码:239000,电子邮箱:chuzhouwubo@163.com)