近期，國家互聯(lián)網(wǎng)應急中心監(jiān)測對多家農(nóng)信社互聯(lián)網(wǎng)應用系統(tǒng)進行了捧查，發(fā)現(xiàn)多家農(nóng)信社互聯(lián)網(wǎng)應用系統(tǒng)存在網(wǎng)絡安全問題隱患，包括網(wǎng)絡外包服務引起數(shù)據(jù)泄露、官方微信公眾號密碼弱口令遭盜竊等。農(nóng)信社網(wǎng)絡安全問題應當引起足夠重視。

在互聯(lián)網(wǎng)快速發(fā)展和應用普及下，社會各行各業(yè)對網(wǎng)絡信息化的要求和依賴程度越來越高，信息科技對于金融行業(yè)來說也已經(jīng)從應用工具衍變成管理手段。“互聯(lián)網(wǎng)+金融”的模式己滲透到我們生活、工作、學習的各個領域，資金業(yè)務可以網(wǎng)上辦理，轉賬可以用手機銀行，報考職業(yè)資格考試繳費可以用網(wǎng)銀，就連出門買菜都可以掃碼支付?；ヂ?lián)網(wǎng)在金融行業(yè)的普遍應用，在方便我們?nèi)粘Ｉ畹耐瑫r，隨之而來的網(wǎng)絡信息安全問題也日益突出。尤其是作為小法人金融機構的農(nóng)信社，由于普遍規(guī)模較小、基礎設施不全面、人員安全意識不強等因素，網(wǎng)絡信息安全問題也日趨凸顯。如何防范網(wǎng)絡時代信息安全風險已成為農(nóng)信社亟待解決的問題。

一、當前農(nóng)信社網(wǎng)絡信息安全現(xiàn)狀

借助互網(wǎng)絡信息技術，農(nóng)信社可以為客戶提供時間不局限、途徑更廣泛的“3A”（Allytime，Anywhere，Anyway）服務，但信息技術在給農(nóng)信社業(yè)務辦理帶來極大便利的同時，也帶來了極大的信息安全隱患。據(jù)了解，國內(nèi)網(wǎng)絡犯罪案件呈現(xiàn)逐年上升的態(tài)勢，其中銀行信息安全方面的犯罪占總網(wǎng)絡犯罪三成以上。據(jù)互聯(lián)網(wǎng)新聞報道。包括農(nóng)信系統(tǒng)在內(nèi)的多家銀行企業(yè)。因信息系統(tǒng)出現(xiàn)故障導致區(qū)域內(nèi)大量營業(yè)網(wǎng)點無法正常辦理業(yè)務，員工在信息系統(tǒng)的后臺下載了大量客戶信息有償出售給其他電商公司而造成惡劣影響等。這些事件嚴重影響了農(nóng)信社及人民群眾的利益，對企業(yè)形象和聲譽造成了極大的負面影響，充分暴露出包括農(nóng)信社在內(nèi)的銀行業(yè)金融機構在網(wǎng)絡信息安全領域的隱患，不容小覷。

近年來，網(wǎng)絡科技的日益發(fā)展，網(wǎng)絡黑客技術也日益強大起來。農(nóng)信社網(wǎng)絡信息安全也受到病毒威脅，主要從外部和內(nèi)部被攻入，然后竊取銀行數(shù)據(jù)，非法獲利。目前絕大多數(shù)省份的地方農(nóng)信社網(wǎng)絡信息安全主要由省級聯(lián)社主控，市級辦事處分級管理，基層信用社承載運營。基層農(nóng)信社科技部作為職能部門具體負責本社的網(wǎng)絡信息安全建設。近年來，為了滿足客戶的服務需求，農(nóng)信社不斷提升網(wǎng)絡信息安全管理，不斷加強網(wǎng)絡信息安全建設，但不可避免地也存在一些問題。一是外部環(huán)境。黑客通過釣魚網(wǎng)站為突破口，發(fā)送大量帶有惡意代碼的郵件給銀行職員們，這些惡意代碼將感染收件人的電腦，井使得黑客可以進入銀行的網(wǎng)絡系統(tǒng)。2017年“勒索”病毒的肆虐，就曾給金融、能源、醫(yī)療等眾多行業(yè)沉重一擊。一旦黑客獲得進入銀行網(wǎng)絡系統(tǒng)的權限，他們就會在銀行的內(nèi)部網(wǎng)絡中傳播惡意軟件。惡意軟件將影響到銀行的數(shù)據(jù)服務器，并使得黑客具有控制銀行所管理的ATM機的能力。二是內(nèi)部因素。例如曾有新聞報道，2008年間，某農(nóng)信社員工利用該社綜合業(yè)務系統(tǒng)未設置柜員卡刷卡輸入功能這一系統(tǒng)缺陷，直接手工輸入柜員卡號，同時，竊取其他員工柜員卡密碼，采取隔日沖正交易方式，挪用資金40萬元。

三、新形勢下農(nóng)信社網(wǎng)絡信息安全風險應對策略

（一）加強信息科技基礎性管理工作。無論信息科技工作的環(huán)境發(fā)生什么樣的變化，信息科技工作的本質(zhì)和基本原理并不會變。加強信息科技基礎性管理、提升管理精細化水平永遠是控制信息安全風險的最有效手段。例如，在系統(tǒng)研發(fā)階段，只要項目的需求管理、質(zhì)量管理、風險管理、進度管理等各個環(huán)節(jié)嚴格遵照標準和制度要求，無論是采用瀑布模型還是敏捷開發(fā)，都可以做到確保良好的開發(fā)質(zhì)量，盡可能降低系統(tǒng)帶病運行的風險;在系統(tǒng)運行階段，只要嚴格遵守安全制度要求。切實落實安全運營、安全監(jiān)測、安全預警、應急響應等各個環(huán)節(jié)工作要求，即使系統(tǒng)出現(xiàn)安全漏洞，也能夠迅速化解風險，保護系統(tǒng)正常運行。因此，加強信息科技基礎性管理是修煉提升內(nèi)功，這樣才能以不變應萬變，坦然面對外部安全風險形勢變化。

（二）充分運用新技術應對新安全問題。農(nóng)信社必須充分預判和挖掘大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等新技術存在的信息安全風險，確保新技術的應用不會造成重大客戶信息泄露和資金損失。同時，農(nóng)信社還應該意識到新技術可以提升信息安全保障能力的另一面，積極研究大數(shù)據(jù)、云計算、人工智能等在信息安全態(tài)勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應用，推動信息安全防御和信息安全事件響應工作向著縱深化、智能化、快速化的方向發(fā)展。

（三）加快推進信息安全人才隊伍建設。信息安全保障工作高度依賴于人的能力，一支技術水平高、經(jīng)驗豐富、戰(zhàn)斗力強的信息安全人才隊伍是農(nóng)信社做好信息安全工作的前提條件。與此同時，由于合格的信息安全從業(yè)人員既需要具備全面扎實的理論基礎，又離不開豐富的實踐經(jīng)驗，培養(yǎng)信息安全人才往往需要花費數(shù)年時間。因此。農(nóng)信社應該高度重視信息安全人才培養(yǎng)工作，通過采用內(nèi)部傳承和引入行業(yè)內(nèi)高端人才相結合的方式，打造一支高水平的信息安全團隊。

（四）全面提升基礎設施水平。要針對系統(tǒng)、網(wǎng)絡、機房環(huán)境等基礎設施建立較完善的網(wǎng)絡信息安全規(guī)范和標準體系，對信息科技基礎設施整體架構進行系統(tǒng)性規(guī)劃，為建設高效率、高整合、低能耗、易管理、易擴展、前瞻性的彈性基礎架構打下基礎。一方面是加強基礎設施安全管理，提升基礎設施安全運維水平。采購安全基礎設施安裝后，還需要加大后期運維管理。做好運維管理登記工作。在巡檢過程中，除了檢查機器能否正常使用之外，還需查看外部設備是否被拆改，尤其是離行式ATM。另一方面是完善IT外包管理機制，加強自主研發(fā)能力。在“互聯(lián)網(wǎng)+金融”的時代下，IT外包是一種降低成本、提高效率的管理模式。但我們要看到，隨著IT外包的快速發(fā)展，信息安全問題不斷呈現(xiàn)。要適應外包發(fā)展趨勢，重點加強外包戰(zhàn)略管理，加強風險控制。要制定明確的IT外包戰(zhàn)略與實施策略，堅持“風險可控、成本可算”原則，審慎確定外包范圍，防止過度外包，以提升核心競爭力為目標，控制關鍵技術，加強知識轉移，提高自主研發(fā)能力、技術創(chuàng)新能力與管理服務能力。

新形勢下農(nóng)信社面臨諸多挑戰(zhàn)，國家經(jīng)濟增速減緩、經(jīng)濟結構轉型、利率市場化、互聯(lián)網(wǎng)金融沖擊及自身制度改革等因素決定了在未來較長一段時間內(nèi)，農(nóng)信社面臨著一段艱難的轉型調(diào)整之路。隨著信息安全風險管控形勢日益嚴峻，信息科技部門更是面臨安全和發(fā)展的雙重挑戰(zhàn)。但無論內(nèi)外部環(huán)境如何變化，機遇總是和風險并存。因此，只要農(nóng)信社正視信息安全風險，合理平衡信息化建設和信息安全之間的關系，就能夠借助新的信息技術浪潮再次揚帆遠航，迎來農(nóng)信社發(fā)展的新篇章。