(濮陽縣農信社 魏金菲)近期，國家互聯網應急中心監測對多家農信社互聯網應用系統進行了排查，發現多家農信社互聯網應用系統存在網絡安全問題隱患，包括網絡外包服務引起數據泄露、官方微信公眾號密碼弱口令遭盜竊等。農信社網絡安全問題應當引起足夠重視。

　　在互聯網快速發展和應用普及下，社會各行各業對網絡信息化的要求和依賴程度越來越高，信息科技對于金融行業來說也已經從應用工具衍變成管理手段。“互聯網+金融”的模式已滲透到我們生活、工作、學習的各個領域，資金業務可以網上辦理，轉賬可以用手機銀行，報考職業資格考試繳費可以用網銀，就連出門買菜都可以掃碼支付。互聯網在金融行業的普遍應用，在方便我們日常生活的同時，隨之而來的網絡信息安全問題也日益突出。尤其是作為小法人金融機構的農信社，由于普遍規模較小、基礎設施不全面、人員安全意識不強等因素，網絡信息安全問題也日趨凸顯。如何防范網絡時代信息安全風險已成為農信社亟待解決的問題。

　　一、當前農信社網絡信息安全現狀

　　借助互網絡信息技術，農信社可以為客戶提供時間不局限、途徑更廣泛的“3A” (Anytime，Anywhere，Anyway)服務，但信息技術在給農信社業務辦理帶來極大便利的同時，也帶來了極大的信息安全隱患。據了解，國內網絡犯罪案件呈現逐年上升的態勢，其中銀行信息安全方面的犯罪占總網絡犯罪三成以上。據互聯網新聞報道，包括農信系統在內的多家銀行企業，因信息系統出現故障導致區域內大量營業網點無法正常辦理業務，員工在信息系統的后臺下載了大量客戶信息有償出售給其他電商公司而造成惡劣影響等。這些事件嚴重影響了農信社及人民群眾的利益，對企業形象和聲譽造成了極大的負面影響，充分暴露出包括農信社在內的銀行業金融機構在網絡信息安全領域的隱患，不容小覷。

　　二、農信社網絡信息安全問題分析

　　近年來，網絡科技的日益發展，網絡黑客技術也日益強大起來。農信社網絡信息安全也受到病毒威脅，主要從外部和內部被攻入，然后竊取銀行數據，非法獲利。目前絕大多數省份的地方農信社網絡信息安全主要由省級聯社主控，市級辦事處分級管理，基層信用社承載運營。基層農信社科技部作為職能部門具體負責本社的網絡信息安全建設。近年來，為了滿足客戶的服務需求，農信社不斷提升網絡信息安全管理，不斷加強網絡信息安全建設，但不可避免地也存在一些問題。一是外部環境。黑客通過釣魚網站為突破口，發送大量帶有惡意代碼的郵件給銀行職員們，這些惡意代碼將感染收件人的電腦，并使得黑客可以進入銀行的網絡系統。2017 年“勒索”病毒的肆虐，就曾給金融、能源、醫療等眾多行業沉重一擊。一旦黑客獲得進入銀行網絡系統的權限，他們就會在銀行的內部網絡中傳播惡意軟件。惡意軟件將影響到銀行的數據服務器，并使得黑客具有控制銀行所管理的 ATM 機的能力。二是內部因素。例如曾有新聞報道，2008年間，某農信社員工利用該社綜合業務系統未設置柜員卡刷卡輸入功能這一系統缺陷，直接手工輸入柜員卡號，同時，竊取其他員工柜員卡密碼，采取隔日沖正交易方式，挪用資金40萬元。

　　三、新形勢下農信社網絡信息安全風險應對策略

　　(一)加強信息科技基礎性管理工作。無論信息科技工作的環境發生什么樣的變化，信息科技工作的本質和基本原理并不會變。加強信息科技基礎性管理、提升管理精細化水平永遠是控制信息安全風險的最有效手段。例如，在系統研發階段，只要項目的需求管理、質量管理、風險管理、進度管理等各個環節嚴格遵照標準和制度要求，無論是采用瀑布模型還是敏捷開發，都可以做到確保良好的開發質量，盡可能降低系統帶病運行的風險;在系統運行階段，只要嚴格遵守安全制度要求，切實落實安全運營、安全監測、安全預警、應急響應等各個環節工作要求，即使系統出現安全漏洞，也能夠迅速化解風險，保護系統正常運行。因此，加強信息科技基礎性管理是修煉提升內功，這樣才能以不變應萬變，坦然面對外部安全風險形勢變化。

　　(二)充分運用新技術應對新安全問題。農信社必須充分預判和挖掘大數據、云計算、移動互聯網等新技術存在的信息安全風險，確保新技術的應用不會造成重大客戶信息泄露和資金損失。同時，農信社還應該意識到新技術可以提升信息安全保障能力的另一面，積極研究大數據、云計算、人工智能等在信息安全態勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應用，推動信息安全防御和信息安全事件響應工作向著縱深化、智能化、快速化的方向發展。

　　(三)加快推進信息安全人才隊伍建設。信息安全保障工作高度依賴于人的能力，一支技術水平高、經驗豐富、戰斗力強的信息安全人才隊伍是農信社做好信息安全工作的前提條件。與此同時，由于合格的信息安全從業人員既需要具備全面扎實的理論基礎，又離不開豐富的實踐經驗，培養信息安全人才往往需要花費數年時間。因此，農信社應該高度重視信息安全人才培養工作，通過采用內部傳承和引入行業內高端人才相結合的方式，打造一支高水平的信息安全團隊。

　　(四)全面提升基礎設施水平。要針對系統、網絡、機房環境等基礎設施建立較完善的網絡信息安全規范和標準體系，對信息科技基礎設施整體架構進行系統性規劃，為建設高效率、高整合、低能耗、易管理、易擴展、前瞻性的彈性基礎架構打下基礎。一方面是加強基礎設施安全管理，提升基礎設施安全運維水平。采購安全基礎設施安裝后，還需要加大后期運維管理，做好運維管理登記工作。在巡檢過程中，除了檢查機器能否正常使用之外，還需查看外部設備是否被拆改，尤其是離行式ATM。 另一方面是完善 IT 外包管理機制，加強自主研發能力。在“互聯網+金融”的時代下，IT 外包是一種降低成本、提高效率的管理模式。但我們要看到，隨著 IT 外包的快速發展，信息安全問題不斷呈現。要適應外包發展趨勢，重點加強外包戰略管理，加強風險控制。要制定明確的 IT 外包戰略與實施策略，堅持“風險可控、成本可算”原則，審慎確定外包范圍，防止過度外包，以提升核心競爭力為目標，控制關鍵技術，加強知識轉移，提高自主研發能力、技術創新能力與管理服務能力。

　　新形勢下農信社面臨諸多挑戰，國家經濟增速減緩、經濟結構轉型、利率市場化、互聯網金融沖擊及自身制度改革等因素決定了在未來較長一段時間內，農信社面臨著一段艱難的轉型調整之路。隨著信息安全風險管控形勢日益嚴峻，信息科技部門更是面臨安全和發展的雙重挑戰。但無論內外部環境如何變化，機遇總是和風險并存。因此，只要農信社正視信息安全風險，合理平衡信息化建設和信息安全之間的關系，就能夠借助新的信息技術浪潮再次揚帆遠航，迎來農信社發展的新篇章。

　　(農村金融時報 河南駐地記者王松 推介)