(濮阳县农信社 魏金菲)近期,国家互联网应急中心监测对多家农信社互联网应用系统进行了排查,发现多家农信社互联网应用系统存在网络安全问题隐患,包括网络外包服务引起数据泄露、官方微信公众号密码弱口令遭盗窃等。农信社网络安全问题应当引起足够重视。
在互联网快速发展和应用普及下,社会各行各业对网络信息化的要求和依赖程度越来越高,信息科技对于金融行业来说也已经从应用工具衍变成管理手段。“互联网+金融”的模式已渗透到我们生活、工作、学习的各个领域,资金业务可以网上办理,转账可以用手机银行,报考职业资格考试缴费可以用网银,就连出门买菜都可以扫码支付。互联网在金融行业的普遍应用,在方便我们日常生活的同时,随之而来的网络信息安全问题也日益突出。尤其是作为小法人金融机构的农信社,由于普遍规模较小、基础设施不全面、人员安全意识不强等因素,网络信息安全问题也日趋凸显。如何防范网络时代信息安全风险已成为农信社亟待解决的问题。
一、当前农信社网络信息安全现状
借助互网络信息技术,农信社可以为客户提供时间不局限、途径更广泛的“3A” (Anytime,Anywhere,Anyway)服务,但信息技术在给农信社业务办理带来极大便利的同时,也带来了极大的信息安全隐患。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪占总网络犯罪三成以上。据互联网新闻报道,包括农信系统在内的多家银行企业,因信息系统出现故障导致区域内大量营业网点无法正常办理业务,员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司而造成恶劣影响等。这些事件严重影响了农信社及人民群众的利益,对企业形象和声誉造成了极大的负面影响,充分暴露出包括农信社在内的银行业金融机构在网络信息安全领域的隐患,不容小觑。
二、农信社网络信息安全问题分析
近年来,网络科技的日益发展,网络黑客技术也日益强大起来。农信社网络信息安全也受到病毒威胁,主要从外部和内部被攻入,然后窃取银行数据,非法获利。目前绝大多数省份的地方农信社网络信息安全主要由省级联社主控,市级办事处分级管理,基层信用社承载运营。基层农信社科技部作为职能部门具体负责本社的网络信息安全建设。近年来,为了满足客户的服务需求,农信社不断提升网络信息安全管理,不断加强网络信息安全建设,但不可避免地也存在一些问题。一是外部环境。黑客通过钓鱼网站为突破口,发送大量带有恶意代码的邮件给银行职员们,这些恶意代码将感染收件人的电脑,并使得黑客可以进入银行的网络系统。2017 年“勒索”病毒的肆虐,就曾给金融、能源、医疗等众多行业沉重一击。一旦黑客获得进入银行网络系统的权限,他们就会在银行的内部网络中传播恶意软件。恶意软件将影响到银行的数据服务器,并使得黑客具有控制银行所管理的 ATM 机的能力。二是内部因素。例如曾有新闻报道,2008年间,某农信社员工利用该社综合业务系统未设置柜员卡刷卡输入功能这一系统缺陷,直接手工输入柜员卡号,同时,窃取其他员工柜员卡密码,采取隔日冲正交易方式,挪用资金40万元。
三、新形势下农信社网络信息安全风险应对策略
(一)加强信息科技基础性管理工作。无论信息科技工作的环境发生什么样的变化,信息科技工作的本质和基本原理并不会变。加强信息科技基础性管理、提升管理精细化水平永远是控制信息安全风险的最有效手段。例如,在系统研发阶段,只要项目的需求管理、质量管理、风险管理、进度管理等各个环节严格遵照标准和制度要求,无论是采用瀑布模型还是敏捷开发,都可以做到确保良好的开发质量,尽可能降低系统带病运行的风险;在系统运行阶段,只要严格遵守安全制度要求,切实落实安全运营、安全监测、安全预警、应急响应等各个环节工作要求,即使系统出现安全漏洞,也能够迅速化解风险,保护系统正常运行。因此,加强信息科技基础性管理是修炼提升内功,这样才能以不变应万变,坦然面对外部安全风险形势变化。
(二)充分运用新技术应对新安全问题。农信社必须充分预判和挖掘大数据、云计算、移动互联网等新技术存在的信息安全风险,确保新技术的应用不会造成重大客户信息泄露和资金损失。同时,农信社还应该意识到新技术可以提升信息安全保障能力的另一面,积极研究大数据、云计算、人工智能等在信息安全态势感知、信息安全威胁情报分析、信息安全策略集中管控等方面的应用,推动信息安全防御和信息安全事件响应工作向着纵深化、智能化、快速化的方向发展。
(三)加快推进信息安全人才队伍建设。信息安全保障工作高度依赖于人的能力,一支技术水平高、经验丰富、战斗力强的信息安全人才队伍是农信社做好信息安全工作的前提条件。与此同时,由于合格的信息安全从业人员既需要具备全面扎实的理论基础,又离不开丰富的实践经验,培养信息安全人才往往需要花费数年时间。因此,农信社应该高度重视信息安全人才培养工作,通过采用内部传承和引入行业内高端人才相结合的方式,打造一支高水平的信息安全团队。
(四)全面提升基础设施水平。要针对系统、网络、机房环境等基础设施建立较完善的网络信息安全规范和标准体系,对信息科技基础设施整体架构进行系统性规划,为建设高效率、高整合、低能耗、易管理、易扩展、前瞻性的弹性基础架构打下基础。一方面是加强基础设施安全管理,提升基础设施安全运维水平。采购安全基础设施安装后,还需要加大后期运维管理,做好运维管理登记工作。在巡检过程中,除了检查机器能否正常使用之外,还需查看外部设备是否被拆改,尤其是离行式ATM。 另一方面是完善 IT 外包管理机制,加强自主研发能力。在“互联网+金融”的时代下,IT 外包是一种降低成本、提高效率的管理模式。但我们要看到,随着 IT 外包的快速发展,信息安全问题不断呈现。要适应外包发展趋势,重点加强外包战略管理,加强风险控制。要制定明确的 IT 外包战略与实施策略,坚持“风险可控、成本可算”原则,审慎确定外包范围,防止过度外包,以提升核心竞争力为目标,控制关键技术,加强知识转移,提高自主研发能力、技术创新能力与管理服务能力。
新形势下农信社面临诸多挑战,国家经济增速减缓、经济结构转型、利率市场化、互联网金融冲击及自身制度改革等因素决定了在未来较长一段时间内,农信社面临着一段艰难的转型调整之路。随着信息安全风险管控形势日益严峻,信息科技部门更是面临安全和发展的双重挑战。但无论内外部环境如何变化,机遇总是和风险并存。因此,只要农信社正视信息安全风险,合理平衡信息化建设和信息安全之间的关系,就能够借助新的信息技术浪潮再次扬帆远航,迎来农信社发展的新篇章。
(农村金融时报 河南驻地记者王松 推介)