(濮陽縣農(nóng)信社 魏金菲)近期,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)對(duì)多家農(nóng)信社互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行了排查�,發(fā)現(xiàn)多家農(nóng)信社互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在網(wǎng)絡(luò)安全問題隱患,包括網(wǎng)絡(luò)外包服務(wù)引起數(shù)據(jù)泄露�、官方微信公眾號(hào)密碼弱口令遭盜竊等。農(nóng)信社網(wǎng)絡(luò)安全問題應(yīng)當(dāng)引起足夠重視�。
在互聯(lián)網(wǎng)快速發(fā)展和應(yīng)用普及下,社會(huì)各行各業(yè)對(duì)網(wǎng)絡(luò)信息化的要求和依賴程度越來越高�,信息科技對(duì)于金融行業(yè)來說也已經(jīng)從應(yīng)用工具衍變成管理手段。“互聯(lián)網(wǎng)+金融”的模式已滲透到我們生活�、工作、學(xué)習(xí)的各個(gè)領(lǐng)域�,資金業(yè)務(wù)可以網(wǎng)上辦理,轉(zhuǎn)賬可以用手機(jī)銀行�,報(bào)考職業(yè)資格考試?yán)U費(fèi)可以用網(wǎng)銀,就連出門買菜都可以掃碼支付?;ヂ?lián)網(wǎng)在金融行業(yè)的普遍應(yīng)用,在方便我們?nèi)粘I畹耐瑫r(shí)�,隨之而來的網(wǎng)絡(luò)信息安全問題也日益突出。尤其是作為小法人金融機(jī)構(gòu)的農(nóng)信社�,由于普遍規(guī)模較小、基礎(chǔ)設(shè)施不全面�、人員安全意識(shí)不強(qiáng)等因素,網(wǎng)絡(luò)信息安全問題也日趨凸顯�。如何防范網(wǎng)絡(luò)時(shí)代信息安全風(fēng)險(xiǎn)已成為農(nóng)信社亟待解決的問題。
一�、當(dāng)前農(nóng)信社網(wǎng)絡(luò)信息安全現(xiàn)狀
借助互網(wǎng)絡(luò)信息技術(shù),農(nóng)信社可以為客戶提供時(shí)間不局限�、途徑更廣泛的“3A” (Anytime,Anywhere�,Anyway)服務(wù),但信息技術(shù)在給農(nóng)信社業(yè)務(wù)辦理帶來極大便利的同時(shí)�,也帶來了極大的信息安全隱患。據(jù)了解�,國(guó)內(nèi)網(wǎng)絡(luò)犯罪案件呈現(xiàn)逐年上升的態(tài)勢(shì),其中銀行信息安全方面的犯罪占總網(wǎng)絡(luò)犯罪三成以上�。據(jù)互聯(lián)網(wǎng)新聞報(bào)道,包括農(nóng)信系統(tǒng)在內(nèi)的多家銀行企業(yè)�,因信息系統(tǒng)出現(xiàn)故障導(dǎo)致區(qū)域內(nèi)大量營(yíng)業(yè)網(wǎng)點(diǎn)無法正常辦理業(yè)務(wù),員工在信息系統(tǒng)的后臺(tái)下載了大量客戶信息有償出售給其他電商公司而造成惡劣影響等�。這些事件嚴(yán)重影響了農(nóng)信社及人民群眾的利益�,對(duì)企業(yè)形象和聲譽(yù)造成了極大的負(fù)面影響�,充分暴露出包括農(nóng)信社在內(nèi)的銀行業(yè)金融機(jī)構(gòu)在網(wǎng)絡(luò)信息安全領(lǐng)域的隱患,不容小覷�。
二、農(nóng)信社網(wǎng)絡(luò)信息安全問題分析
近年來�,網(wǎng)絡(luò)科技的日益發(fā)展,網(wǎng)絡(luò)黑客技術(shù)也日益強(qiáng)大起來�。農(nóng)信社網(wǎng)絡(luò)信息安全也受到病毒威脅,主要從外部和內(nèi)部被攻入�,然后竊取銀行數(shù)據(jù)�,非法獲利。目前絕大多數(shù)省份的地方農(nóng)信社網(wǎng)絡(luò)信息安全主要由省級(jí)聯(lián)社主控�,市級(jí)辦事處分級(jí)管理,基層信用社承載運(yùn)營(yíng)�。基層農(nóng)信社科技部作為職能部門具體負(fù)責(zé)本社的網(wǎng)絡(luò)信息安全建設(shè)�。近年來,為了滿足客戶的服務(wù)需求�,農(nóng)信社不斷提升網(wǎng)絡(luò)信息安全管理,不斷加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)�,但不可避免地也存在一些問題。一是外部環(huán)境�。黑客通過釣魚網(wǎng)站為突破口,發(fā)送大量帶有惡意代碼的郵件給銀行職員們�,這些惡意代碼將感染收件人的電腦�,并使得黑客可以進(jìn)入銀行的網(wǎng)絡(luò)系統(tǒng)�。2017 年“勒索”病毒的肆虐,就曾給金融�、能源、醫(yī)療等眾多行業(yè)沉重一擊�。一旦黑客獲得進(jìn)入銀行網(wǎng)絡(luò)系統(tǒng)的權(quán)限,他們就會(huì)在銀行的內(nèi)部網(wǎng)絡(luò)中傳播惡意軟件�。惡意軟件將影響到銀行的數(shù)據(jù)服務(wù)器,并使得黑客具有控制銀行所管理的 ATM 機(jī)的能力�。二是內(nèi)部因素。例如曾有新聞報(bào)道�,2008年間,某農(nóng)信社員工利用該社綜合業(yè)務(wù)系統(tǒng)未設(shè)置柜員卡刷卡輸入功能這一系統(tǒng)缺陷�,直接手工輸入柜員卡號(hào),同時(shí)�,竊取其他員工柜員卡密碼,采取隔日沖正交易方式�,挪用資金40萬元。
三�、新形勢(shì)下農(nóng)信社網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)策略
(一)加強(qiáng)信息科技基礎(chǔ)性管理工作。無論信息科技工作的環(huán)境發(fā)生什么樣的變化�,信息科技工作的本質(zhì)和基本原理并不會(huì)變。加強(qiáng)信息科技基礎(chǔ)性管理�、提升管理精細(xì)化水平永遠(yuǎn)是控制信息安全風(fēng)險(xiǎn)的最有效手段。例如�,在系統(tǒng)研發(fā)階段�,只要項(xiàng)目的需求管理�、質(zhì)量管理、風(fēng)險(xiǎn)管理�、進(jìn)度管理等各個(gè)環(huán)節(jié)嚴(yán)格遵照標(biāo)準(zhǔn)和制度要求,無論是采用瀑布模型還是敏捷開發(fā)�,都可以做到確保良好的開發(fā)質(zhì)量,盡可能降低系統(tǒng)帶病運(yùn)行的風(fēng)險(xiǎn);在系統(tǒng)運(yùn)行階段�,只要嚴(yán)格遵守安全制度要求,切實(shí)落實(shí)安全運(yùn)營(yíng)�、安全監(jiān)測(cè)、安全預(yù)警�、應(yīng)急響應(yīng)等各個(gè)環(huán)節(jié)工作要求,即使系統(tǒng)出現(xiàn)安全漏洞�,也能夠迅速化解風(fēng)險(xiǎn)�,保護(hù)系統(tǒng)正常運(yùn)行。因此�,加強(qiáng)信息科技基礎(chǔ)性管理是修煉提升內(nèi)功,這樣才能以不變應(yīng)萬變�,坦然面對(duì)外部安全風(fēng)險(xiǎn)形勢(shì)變化。
(二)充分運(yùn)用新技術(shù)應(yīng)對(duì)新安全問題�。農(nóng)信社必須充分預(yù)判和挖掘大數(shù)據(jù)、云計(jì)算�、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)存在的信息安全風(fēng)險(xiǎn),確保新技術(shù)的應(yīng)用不會(huì)造成重大客戶信息泄露和資金損失�。同時(shí)�,農(nóng)信社還應(yīng)該意識(shí)到新技術(shù)可以提升信息安全保障能力的另一面�,積極研究大數(shù)據(jù)、云計(jì)算�、人工智能等在信息安全態(tài)勢(shì)感知、信息安全威脅情報(bào)分析�、信息安全策略集中管控等方面的應(yīng)用,推動(dòng)信息安全防御和信息安全事件響應(yīng)工作向著縱深化�、智能化、快速化的方向發(fā)展�。
(三)加快推進(jìn)信息安全人才隊(duì)伍建設(shè)。信息安全保障工作高度依賴于人的能力�,一支技術(shù)水平高、經(jīng)驗(yàn)豐富�、戰(zhàn)斗力強(qiáng)的信息安全人才隊(duì)伍是農(nóng)信社做好信息安全工作的前提條件。與此同時(shí)�,由于合格的信息安全從業(yè)人員既需要具備全面扎實(shí)的理論基礎(chǔ),又離不開豐富的實(shí)踐經(jīng)驗(yàn)�,培養(yǎng)信息安全人才往往需要花費(fèi)數(shù)年時(shí)間。因此�,農(nóng)信社應(yīng)該高度重視信息安全人才培養(yǎng)工作,通過采用內(nèi)部傳承和引入行業(yè)內(nèi)高端人才相結(jié)合的方式�,打造一支高水平的信息安全團(tuán)隊(duì)。
(四)全面提升基礎(chǔ)設(shè)施水平�。要針對(duì)系統(tǒng)、網(wǎng)絡(luò)�、機(jī)房環(huán)境等基礎(chǔ)設(shè)施建立較完善的網(wǎng)絡(luò)信息安全規(guī)范和標(biāo)準(zhǔn)體系�,對(duì)信息科技基礎(chǔ)設(shè)施整體架構(gòu)進(jìn)行系統(tǒng)性規(guī)劃�,為建設(shè)高效率、高整合�、低能耗、易管理�、易擴(kuò)展、前瞻性的彈性基礎(chǔ)架構(gòu)打下基礎(chǔ)�。一方面是加強(qiáng)基礎(chǔ)設(shè)施安全管理,提升基礎(chǔ)設(shè)施安全運(yùn)維水平�。采購安全基礎(chǔ)設(shè)施安裝后,還需要加大后期運(yùn)維管理�,做好運(yùn)維管理登記工作。在巡檢過程中�,除了檢查機(jī)器能否正常使用之外,還需查看外部設(shè)備是否被拆改�,尤其是離行式ATM。 另一方面是完善 IT 外包管理機(jī)制�,加強(qiáng)自主研發(fā)能力�。在“互聯(lián)網(wǎng)+金融”的時(shí)代下,IT 外包是一種降低成本�、提高效率的管理模式。但我們要看到�,隨著 IT 外包的快速發(fā)展,信息安全問題不斷呈現(xiàn)�。要適應(yīng)外包發(fā)展趨勢(shì)�,重點(diǎn)加強(qiáng)外包戰(zhàn)略管理�,加強(qiáng)風(fēng)險(xiǎn)控制。要制定明確的 IT 外包戰(zhàn)略與實(shí)施策略�,堅(jiān)持“風(fēng)險(xiǎn)可控、成本可算”原則�,審慎確定外包范圍,防止過度外包�,以提升核心競(jìng)爭(zhēng)力為目標(biāo),控制關(guān)鍵技術(shù)�,加強(qiáng)知識(shí)轉(zhuǎn)移,提高自主研發(fā)能力�、技術(shù)創(chuàng)新能力與管理服務(wù)能力。
新形勢(shì)下農(nóng)信社面臨諸多挑戰(zhàn)�,國(guó)家經(jīng)濟(jì)增速減緩、經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型�、利率市場(chǎng)化、互聯(lián)網(wǎng)金融沖擊及自身制度改革等因素決定了在未來較長(zhǎng)一段時(shí)間內(nèi)�,農(nóng)信社面臨著一段艱難的轉(zhuǎn)型調(diào)整之路。隨著信息安全風(fēng)險(xiǎn)管控形勢(shì)日益嚴(yán)峻�,信息科技部門更是面臨安全和發(fā)展的雙重挑戰(zhàn)。但無論內(nèi)外部環(huán)境如何變化�,機(jī)遇總是和風(fēng)險(xiǎn)并存。因此�,只要農(nóng)信社正視信息安全風(fēng)險(xiǎn),合理平衡信息化建設(shè)和信息安全之間的關(guān)系,就能夠借助新的信息技術(shù)浪潮再次揚(yáng)帆遠(yuǎn)航�,迎來農(nóng)信社發(fā)展的新篇章。
(農(nóng)村金融時(shí)報(bào) 河南駐地記者王松 推介)
京公網(wǎng)安備 11010202007567號(hào)京ICP備17054264號(hào)
