大发体育·(中国)官方网站
当前,经济社会发展对信息化的要求和依赖程度越来越高,科技信息技术在金融行业中的地位已从应用工具衍变成管理手段。“互联网+金融”的模式已渗透到我们的工作、生活及金融行业的各个领域,随之而来的网络信息安全问题也日益突出。尤其是村镇银行、农信社等小法人金融机构,由于基础设施不全面、人员安全意识不强等因素,网络信息安全问题也开始显现,本文基于管理和技术两个角度,结合农信网络信息安全现状,剖析农信社网络信息安全的痛点和难点,并提出相关对策建议。
随着计算机和网络通信技术的快速发展,信息技术越来越广泛地被应用于银行各项业务,银行可以为客户提供“3A”(Anytime,Anywhere,Anyway)服务,信息技术在给业务办理带来极大便利的同时,也带来了极大的信息安全隐患。从一般概念上来讲,网络信息安全主要指网络信息的完整性、保密性、可用性、真实性和不可抵赖性。银行作为经营货币的特殊企业,直接或间接地影响了国家经济发展和人民生活,银行信息安全的重要性不言而喻。对此,银行信息系统的软硬件资源及其数据必须受到严格保护,不得受到恶意或偶然因素的更改、破坏或泄露,信息系统必须稳定可持续运行。同时,银行网络信息安全也是银行业务经营稳健运行的基础和保障。
(一)国外银行网络信息安全现状。在国外发达国家,银行网络信息安全保障工作起步较早,有较完善的安全管理法律法规。1966年,美国发生了首例黑客入侵银行计算机系统的案件,为了规范网络行为,保证计算机系统的安全稳定,美国为此先后出台了一系列的法律法规,这是美国可以追溯到的最早关于网络信息安全的法制建设。截至2017年,全球已有50多个国家颁布了网络空间战略。
(二)国内银行网络信息安全现状。国内银行网络信息安全虽然起步较晚,但是近年来金融业相继出台各种法律法规规范网络信息安全。虽然中国银行业在信息安全建设方面取得了佳绩,但是银行信息安全危险依然存在,银行信息安全保障依然不能忽视。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪占总网络犯罪三成以上。据互联网新闻报道,包括农商银行在内的多家银行企业,因信息系统出现故障导致区域内大量营业网点无法正常办理业务,员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司而造成恶劣影响,等等。这些事件严重影响了银行及人民群众的利益,对金融企业的形象和声誉造成了极大的负面影响,充分暴露出金融业机构在网络信息安全领域的隐患,不容小觑。
(三)银行网络信息安全问题分析。近年来,网络科技的日益发展,网络黑客技术也日益强大起来。2017年的“勒索”病毒疯狂肆虐全球网络,已经严重影响到金融、能源、医疗等众多行业。银行业网络信息安全主要从外部和内部被攻入大发体育全站,然后窃取银行数据,非法获利。1.外部环境:黑客通过钓鱼网站为突破口,发送大量带有恶意代码的邮件给银行职员们,这些恶意代码将感染收件人的电脑,并使得黑客可以进入银行的网络系统。一旦黑客获得进入银行网络系统的权限,他们就会在银行的内部网络中传播恶意软件。恶意软件将影响到银行的数据服务器,并使得黑客具有控制该银行所管理的ATM机的能力。(2)内部因素:2008年间,某农信社员工利用该社综合业务系统未设置柜员卡刷卡输入功能这一系统缺陷,直接手工输入柜员卡号,同时,窃取其他员工柜员卡密码,采取隔日冲正交易方式,挪用资金40万元。内部网络信息安全问题需警钟长鸣。
地方农信社网络信息安全主要由省级联社主控,市级办事处分级管理,基层信用社承载运营。基层农信社科技部作为职能部门具体负责该联社的网络信息安全建设。近年来,为了满足客户的服务需求,联社不断提升网络信息安全管理,不断加强网络信息安全建设,但不可避免地也存在一些问题。
(一)对网络信息安全的认识不到位,信息安全的意识薄弱。不管是管理层还是底层员工,都要认识到网络信息安全的重要性,熟悉信息安全的基本内容和具体工作要求,是非常重要的。部分领导和员工往往认为信息安全的核心是科技部门的事,其实这是一种思想误区。在平时上班过程中,人们密码安全意识比较薄弱。部分员工为了方便记忆往往以柜员号作为部分业务系统的登录密码,甚至部分系统存在弱密码口令,可以直接以管理员身份登录,具有极大的信息安全隐患。网络信息安全中始终以“木桶原理”为原则,许多案件都是通过寻找最薄弱的突破口而发生。
(二)重视信息安全产品的投入而忽视管理运维投入。网络信息安全投入不完全是安全产品和工具的投入,还包括操作流程、配套与安全产品相适应的过程管理机制。联社投入大量人力、物力、财力建设信息安全,采购“双入”设备,但加强监控设备投入,上线预警系统并不是拿来当摆设。建立合理的流程管理机制需要后继管理措施跟进,这些措施与安全体系的完整性有着紧密的联系,否则报警无人处理、入侵无人响应,设施就形同虚设,影响到实际使用效果。据了解,基层农信社的部分网点办公线路杂乱无序、错综复杂,线路没有标识,一旦出现网点改造升级,就会造成排查困难、费时费力的局面,并且有较大安全隐患。
(三)IT外包开发周期长、安全性较弱,系统漏洞与信息泄密时常发生。由于计算机应用软件是银行内部信息的载体,所以软件本身的质量相当重要。目前联社使用银行业务系统的软件主要以省联社提供为主,导致一有变更就需要较长时间反馈,缺少针对本社自身业务发展需要的应用软件。目前项目管理系统和软件开发生命周期都只注重软件功能、开发速度和市场营销,很少考虑到信息的安全性,导致软件或者系统本身存在许多漏洞,给银行业务系统带来了信息安全的多方面威胁。除此之外,一部分辞职或退休员工未删除计算机中重要的敏感信息,也可能导致网络信息泄密。目前,联社部分业务系统明显存在着弱密码安全漏洞,必须一一排查,并将问题反馈给科技部。
基层农信社的网络信息安全建设尚处于完善阶段,在建设方面可以借鉴其他银行成功经验,并结合自身特点探寻出一条适合自身发展的可持续道路。
(一)认真做好信息安全教育,注重制度文化建设。银行内部必须加强信息安全监管和惩戒力度,明确法律责任,将信息安全的责任落实到每个相关人员,一旦出现问题谁负责就追究谁,将违规操作的可能性降到最低。对于银行而言,任何的数据和客户信息都非常重要,必须有严格的保密规定。针对在实际工作中出现这样那样的小问题,要强化内部员工的安全意识教育和信息安全基础知识培训。建立良好的网络信息安全意识,强化密码管理制度。要减少使用柜员号或者机构号当密码,因为纯数字暴力破解比较容易。下面以一台双核PC为例,针对6位和8位密码被暴力破解时间表。
(二)规范密码设置和管理,切实防范泄密风险。在日常工作中,我们需要使用不同的业务系统,但是在使用过程中为了方便记忆,将这些系统的密码设置为同一密码,在生活中我们也是如此。千里之堤,毁于蚁穴,一旦一个密码被不法分子获取,将会造成一连串的危害。针对这种情况,我们可以将不同的业务系统按照安全级别设置不同密码,比如一般业务系统密码设为“62700”,重要业务系统密码设为“62700Xs”,核心业务系统密码设为“62700.Xs”,这些密码都相近,方便记忆,而且破译难度成倍增加,这种密码管理方式也可以运用到我们的生活当中。
规范自身上网习惯,合理使用U盘等移动存储设备。工作期间严禁登陆陌生网站、接收陌生邮件、异常文件,定期对电脑查杀病毒。统一使用经联社处理后的U盘等存储设备,U盘不插陌生电脑,不携带病毒,定期查杀病毒。
(三)提升基础设施规范水平,建立弹性的基础设施架构。要针对系统、网络、机房环境等基础设施建立较完善的网络信息安全规范和标准体系,对信息科技基础设施整体架构进行系统性规划,为建设高效率、高整合、低能耗、易管理、易扩展、前瞻性的弹性基础架构打下基础。提前做好网络信息安全规划,将会事半功倍。为了适应本土金融区域发展需要,充分分析基础设施现状,有计划、有步骤地推进现有基础设施优化整合,逐步建立模块化、标准化的弹性基础设施架构,实现基础架构动态可扩展,推进基础设施向灵活大发体育app、高效、安全可靠和可管理的方向发展,有效缓解现有基础设施规模不断扩大、基础结构复杂多样,运维管理难度不断加大的局面,实现软硬件服务双提升,全面提高网点综合服务形象和竞争力。
1.加强基础设施安全管理,提升基础设施安全运维水平。采购安全基础设施安装后,还需要加大后期运维管理,做好运维管理登记工作。国外黑客组织通过CutletMakerATM恶意软件针对WincorNixdorf商的ATM,通过拆解摄像头附近隐藏的USB端口进行攻击吐钞。在巡检过程中,除了检查机器能否正常使用之外,还需查看外部设备是否被拆改,尤其是离行式ATM。
2.完善IT外包管理机制,加强自主研发能力。在“互联网+金融”的时代下,IT外包是一种降低成本、提高效率的管理模式。但我们要看到,随着IT外包的快速发展,信息安全问题不断呈现。要适应外包发展趋势,重点加强外包战略管理,加强风险控制。要制定明确的IT外包战略与实施策略;坚持“风险可控、成本可算”原则,审慎确定外包范围,防止过度外包;以提升核心竞争力为目标,控制关键技术,加强知识转移,提高自主研发能力、技术创新能力与管理服务能力。
3.优化用户体验,完善用户需求。没有完美的软件,只有更好的软件。软件的优化是一个循序渐进的过程,提供合理的沟通渠道,让用户在使用过程中遇到的问题或者建议,通过问题报告统一归集后反映给IT外包,不断完善软件,提高员工和客户的满意度。(浙江省象山县联社吴明月)