随着农发行业务范围的不断扩展和业务办理网络化、电子化程度的不断提高，信息安全管理已成为农发行业务可持续发展和系统安全运行重要内容。本文试从我行当前信息安全管理的风险隐患，提出加强信息安全管理的建议。

一、信息安全管理所面临的隐患或问题

目前，我行在信贷业务、会计业务、行政办公等所有领域基本都实现了网络化、电子化，在提高了工作效率、规范了业务操作的同时，电子信息安全隐患也相对增加;业务范围的不断扩展，使我行人员掌握了大量的市场、经济和企业经营信息，增加了信息泄露的风险。笔者认为，当前信息安全管理主要面临以下几个方面的风险或问题：

(一)“病毒”的感染与破坏。“计算机病毒是指编制或在计算机程序中插入破坏计算机或毁坏数据、影响计算机使用,并能自我复制的一级计算机指令或程序代码”。计算机病毒是人为制造的，它通常隐蔽在其他程序和文件之中，按照设计者约定的条件引发，按照设计者制定的方式进行破坏。计算机病毒具有寄生性、破坏性、潜伏性、传染性的特性，一旦被感染并发作，轻者造成个别计算机不正正常工作，重者就可能造成计算机内部系统瘫痪、里面的数据丢失，同时也使网路无法运行，最终造成不可弥补的各种损失。

(二)“联网”泄密。为适应业务发展的需要，我行各部室都上了互联网，有些业务要通过互联网来做，在方便业务办理的同时，也容易造成 “网”上泄密。一些人缺乏保密观念和警惕意识，导致过失泄密，会让罪犯分子有机可乘。

(三)“黑客”入侵与传播。指利用通信软件及联网计算机，通过网络非法进入他人系统,截获或篡改计算机数据，危害信息安全的计算机入侵者。黑客只要入侵办公自动化网络中的任意节点进行截取，就可以盗窃走发生在这个以前网上的所有数据信息，在对其进一步进行分解，从而获得关键信息资料。

(四)防病毒信息库升级不及时。现在病毒种类多，变种多，范围广，我行内网计算机虽然都安装了诺顿防病毒软件，但升级不及时，不能有效查杀新的病毒。

(五)员工保密意识差。虽然也开展保密教育，但多数人认为保密工作离自己很远，所接触到的信息内部人员都可以看，没有什么可保密的，从而造成信息泄露，甚至有个别人受利益驱使故意泄露我行内部或企业信息。保密意识差还表现在日操作中，譬如，营业人员在开机或进入系统需要键入密码时，不进行遮挡，任何人都是“信得过单位”，造成机密信息泄露。从社会统计看，由于内部人员行为所导致的泄密事故占总泄密事故的70%以上，内部人员的主动泄密是目前普遍关注的问题。

(六)监督检查不到位。我行虽然在一些制度中规定了信息保密的要求，但对保密管理制度的落实没有明确具体职能部门，职责不清，任务不明确，造成信息安全管理不到位。

二、建议及对策

信息安全不仅是技术问题，也是管理问题，没有完善的管理，降低安全风险只是空谈。建议从保密防范、制度防范、黑客防范、病毒防范等几个方面，解决信息安全管理问题。

(一)加强信息安全意识教育，提升组织的整体安全水平。要高度重视信息安全管理，切实加强领导，以高度的责任感进一步推进信息化建设和信息安全管理。在加强信息系统的软硬件建设的同时，要加强对员工信息安全的教育与培训，一方面让员工认识到信息安全的重要性，懂得泄密的危害，提高员工的自觉保密意识，另一方面让员工明白自己所面临的风险隐患及可能泄密的环节，完善信息保护的手段。在严格按国家规定建设信息网络系统时，同步建设安全保密体系, 从物理安全、网络安全、系统安全、数据安全、边界安全、应用安全等几个层面考虑，还要建立信息化标准体系;建立信息化数据中心，集中管理。提高安全意识，从源头上抓安全防范。

(二)健全防范制度。要建立健全信息防御法规制度，严格信息安全管理工作，做到有章可循、依法办事，在网络内部筑起一道由法规制度的“防火墙”。再有加强对上网人员的监督，减少相关人员上网泄密的机会，防止过失泄密。还有规范秩序，加强对上网行为进行管理，按照《中华人民共和国计算机信息网络国际联网管理暂行规定》，采取有关技术防范措施，堵塞有害信息传播和泄密渠道。还有加大检查监督力度，减少和防止 “网”上泄密事件的发生。

(三)加强对黑客的防范。目前网络安全的防护措施多数是采用网络防火墙软件,监视和预防黑客程序的入侵，并在受到入侵时预告报警。该方式只能抵御约30%的黑客渗透，最根本的方法还是人工技术性防御。一是加强对现有县支行计算机管理员专业知识的培训，提高其技术技能，二是充实县支行计算机管理人员，可以考虑设置专职计算机管理员。因为计算机及网络管理需要专业知识，并且死定死守，配备专职管理员很有必要。

(四)加强对病毒的防范与治理。主要是不使用非正版软件;对外来U盘、光盘 (包括正版软件)首先进行检毒和杀毒;使用正版防毒软件，并启动其监控功能;如果发现新病毒，要立即寻找防御和杀灭方法;不在网络中胡乱交往，拒收来历不明的电子邮件;不访问身份不清的网站或主页，不下载来路不明的软件。

(五)密码防范措施。现在的一些黑客软件，能在网络服务商的主机上根据用户名来破译上网密码。因此，最好经常修改密码还应注意不要把自己信息有关的当作密码。使用复杂密码。必须建有数据安全保护和备份，网络安全预警。在日常工作中，需要键入密码时要进行遮挡，不能让第二人看到。个人使用的密码本要妥善保管，确保不泄密。

(六)加强检测与监控。使用安全检测与监控的手段，网络安全隐患扫描检测工具、网络安全监控及预警设备、网络信息远程监控系统、网络分析系统等手段的使用。

(七)改进诺顿系统升级管理。采取技术手段简化诺顿系统升级渠道，加快升级节奏，使病毒库能及时升级，有效防范病毒入侵。

(农发行山东省广饶县支行：赵鑫)

(责任编辑：)