淺談金融科技時代商業(yè)銀行信息安全風險管理

日期：2017-12-05?閱讀：

商業(yè)銀行必須充分預(yù)判和挖掘大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)存在的信息安全風險，確保新技術(shù)的應(yīng)用不會造成重大客戶信息泄露和資金損失。同時，商業(yè)銀行還應(yīng)該意識到新技術(shù)可以提升信息安全保障能力的另一面，積極研究大數(shù)據(jù)、云計算、人工智能等在信息安全態(tài)勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應(yīng)用，推動信息安全防御和信息安全事件響應(yīng)工作向著縱深化、智能化、快速化的方向發(fā)展。

我國大型商業(yè)銀行信息化建設(shè)自上世紀80年代起步以來，從引進學(xué)習(xí)到自主創(chuàng)新，從單機應(yīng)用到數(shù)據(jù)集中，從柜臺電算化到電子銀行，已經(jīng)基本建成了全國城鄉(xiāng)覆蓋、24小時不間斷服務(wù)的龐大的信息系統(tǒng)。信息技術(shù)的發(fā)展和廣泛應(yīng)用，為商業(yè)銀行的業(yè)務(wù)發(fā)展和經(jīng)營管理提供了強有力的支撐，極大地豐富了銀行服務(wù)的產(chǎn)品和類型，有效提升了銀行服務(wù)的效率和質(zhì)量。

與此同時，信息技術(shù)的廣泛、深入應(yīng)用也極大地增強了銀行對信息科技的依賴性。隨著業(yè)務(wù)快速發(fā)展和數(shù)據(jù)集中度的增高，銀行信息系統(tǒng)的體量越來越龐大，運行環(huán)境越來越復(fù)雜，信息系統(tǒng)的高度耦合使得小問題可能導(dǎo)致大事件。銀行業(yè)信息安全風險日益集中、不斷增大，若不采取合理有效的應(yīng)對措施可能會給商業(yè)銀行帶來嚴重的經(jīng)濟和聲譽損失。

尤其是近年來，隨著移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的廣泛應(yīng)用，信息系統(tǒng)的基礎(chǔ)架構(gòu)不斷調(diào)整，現(xiàn)有的信息安全防御體系面臨失效的風險。同時，互聯(lián)網(wǎng)金融的蓬勃發(fā)展深刻影響了商業(yè)銀行的經(jīng)營模式和商業(yè)生態(tài)環(huán)境，信息科技在商業(yè)銀行的角色和作用也發(fā)生了巨大變化，伴生于信息科技建設(shè)的信息安全管理工作也面臨著新形勢下的新問題。

一、金融科技時代商業(yè)銀行信息安全風險分析

風險和價值是一枚硬幣的兩面。商業(yè)銀行在追求信息技術(shù)帶來的巨大價值的同時，必須承擔越來越嚴峻的信息安全風險。從本質(zhì)上看，信息安全風險具有以下特性：第一，客觀存在。只要商業(yè)銀行堅持信息化，這種風險就始終如影相隨，不會以人的意志為轉(zhuǎn)移或消失。第二，時刻變化。這種風險并非一成不變，而是與信息科技的發(fā)展緊密相關(guān)，會隨著不同階段信息化建設(shè)狀況的變化而變化。當然，信息安全風險和其他風險一樣與收益成正比，更多地采用新技術(shù)，更多地承擔信息安全風險，也更可能獲得超出市場平均回報率的收益。

在金融科技時代下，商業(yè)銀行面臨的信息安全風險呈現(xiàn)出以下新特點。

1、新技術(shù)帶來了新的安全漏洞

新技術(shù)是一把雙刃劍。信息技術(shù)之所以能夠做到“引領(lǐng)”，其根本還是通過新技術(shù)的應(yīng)用，使得金融服務(wù)不斷改善，更加快捷高效、貼近民眾。但無論是IT技術(shù)服務(wù)商還是IT技術(shù)的應(yīng)用方，為了迅速搶占市場獲取商業(yè)利益，在新技術(shù)發(fā)展的初期往往將功能實現(xiàn)放在首要位置，安全性往往淪為次要考慮甚至是被忽略的地位。因此，新技術(shù)獲得廣泛應(yīng)用后，大量新的漏洞呈現(xiàn)爆發(fā)趨勢，嚴重威脅到系統(tǒng)安全。

例如，1969年美國設(shè)計和構(gòu)建第一代互聯(lián)網(wǎng)的時候，沒有考慮任何關(guān)于安全保護的需求。直到今天，互聯(lián)網(wǎng)技術(shù)仍然存在不少安全漏洞問題尚未解決，而移動互聯(lián)網(wǎng)已經(jīng)開始風靡全球。不可否認，移動互聯(lián)網(wǎng)技術(shù)全方位改善了金融服務(wù)。如果說互聯(lián)網(wǎng)技術(shù)將銀行服務(wù)從網(wǎng)點延伸到了有互聯(lián)網(wǎng)連接的任何地點，那么移動互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及則將商業(yè)銀行業(yè)務(wù)服務(wù)空間拓展到極致?？蛻糁灰獡碛幸慌_可以上網(wǎng)的移動終端，即可隨時隨地辦理各類銀行業(yè)務(wù)。雖然目前公眾對信息安全的關(guān)注已經(jīng)遠遠超過了互聯(lián)網(wǎng)誕生的年代，但移動互聯(lián)網(wǎng)的安全形勢仍不容樂觀。

2016年CNCERT監(jiān)測發(fā)現(xiàn)移動互聯(lián)網(wǎng)惡意程序數(shù)量為2053501個，分別是2015年、2014年、2013年、2012年、2011年監(jiān)測發(fā)現(xiàn)數(shù)量的1.39倍、2.15倍、2.92倍、12.6倍和328.61倍，已經(jīng)連續(xù)7年高速增長；而與此形成鮮明對比的是傳統(tǒng)的木馬感染、DDoS攻擊等安全威脅數(shù)量均有所下降。因此，移動互聯(lián)網(wǎng)技術(shù)可能仍然無法擺脫先“應(yīng)用”后“安全”的宿命；但有了互聯(lián)網(wǎng)發(fā)展的前車之鑒，移動互聯(lián)網(wǎng)安全性提升的速度勢必會大大加快。

2、傳統(tǒng)安全手段無法有效應(yīng)對新安全威脅

常見的安全防御手段主要針對傳統(tǒng)業(yè)務(wù)和技術(shù)架構(gòu)進行設(shè)計和部署，而新技術(shù)往往采用了新的架構(gòu)，給業(yè)務(wù)模式帶來了新變化。當業(yè)務(wù)和架構(gòu)發(fā)生變化后，原有安全防御手段可能無法完全滿足新環(huán)境下安全保障的需求。

例如，在系統(tǒng)安全方面，云計算由于其高可靠性、動態(tài)可擴展性、超強計算和存儲、虛擬化技術(shù)和低成本等特點獲得了越來越廣泛的應(yīng)用，同時也使得原有安全方案難以滿足云計算環(huán)境下的租戶角色信任、隱私數(shù)據(jù)保護等安全需求，安全風險可能快速蔓延。在網(wǎng)絡(luò)安全方面，為了滿足越來越多的信息流動和新業(yè)務(wù)需求，網(wǎng)絡(luò)邊界變得越來越模糊，通信數(shù)據(jù)流也隨著業(yè)務(wù)的變化而變化，傳統(tǒng)的“網(wǎng)絡(luò)邊界防護+固定安全策略”的模式可能已經(jīng)無法滿足信息化發(fā)展的需要。在數(shù)據(jù)安全方面，過去通常采用數(shù)據(jù)分級、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)加密等方式來防止數(shù)據(jù)安全性遭到破壞；而在大數(shù)據(jù)場景下，數(shù)據(jù)內(nèi)容不停衍化，數(shù)據(jù)邊界日益模糊，訪問主體和客體關(guān)系異常復(fù)雜，硬件性能更是無法滿足海量數(shù)據(jù)的加解密需求，以上特點導(dǎo)致了傳統(tǒng)手段已無法應(yīng)對新的數(shù)據(jù)安全問題。

3、新研發(fā)模式導(dǎo)致了更多的系統(tǒng)缺陷

自互聯(lián)網(wǎng)金融元年以來，各大商業(yè)銀行反應(yīng)迅速，深入學(xué)習(xí)互聯(lián)網(wǎng)思維，全身心投入到互聯(lián)網(wǎng)金融的研究和應(yīng)用中。互聯(lián)網(wǎng)思維以“用戶體驗”為中心，以對需求的快速響應(yīng)搶占市場先機，并持續(xù)通過擴大客戶群體和保持客戶黏性獲得優(yōu)勢市場地位。商業(yè)銀行為了快速響應(yīng)市場需求變化，需要改變現(xiàn)有的系統(tǒng)研發(fā)模式，縮短系統(tǒng)研發(fā)時間和流程。

在傳統(tǒng)的開發(fā)模式下，一個應(yīng)用系統(tǒng)從需求研制到投產(chǎn)上線，在所有環(huán)節(jié)中都嵌入了各類安全活動，包括安全需求分析、安全架構(gòu)設(shè)計、代碼安全檢查、應(yīng)用安全測試等。但為了確?？焖偕暇€，項目研發(fā)時間被壓縮，應(yīng)用系統(tǒng)可能未經(jīng)過充分的安全設(shè)計和測試就迫于業(yè)務(wù)壓力匆忙上線。此類系統(tǒng)往往存在更多的缺陷，難免在上線后出現(xiàn)各類安全漏洞。與此同時，科技人員為了修復(fù)系統(tǒng)缺陷，不得不多次將更新后的軟件版本重新發(fā)布到生產(chǎn)環(huán)境，這又成為了另一個不利于生產(chǎn)運行環(huán)境安全穩(wěn)定的因素。

二、新形勢下商業(yè)銀行信息安全風險應(yīng)對策略建議

習(xí)近平總書記曾經(jīng)說過：“堅持用發(fā)展的辦法解決前進中的問題?！?/strong>信息化潮流不可逆轉(zhuǎn)，商業(yè)銀行如果想保持核心競爭力，在未來激烈的市場競爭中占有一席之地，就必須堅持運用科技手段不斷提升服務(wù)和產(chǎn)品質(zhì)量。而面對信息化建設(shè)過程中帶來的信息安全風險，商業(yè)銀行應(yīng)當加強頂層規(guī)劃和整體設(shè)計，從治理、管理、機制等多方面入手，多管齊下、多措并舉，做到“以安全保發(fā)展、以發(fā)展促安全”。

1、加強信息科技基礎(chǔ)性管理工作

無論信息科技工作的環(huán)境發(fā)生什么樣的變化，信息科技工作的本質(zhì)和基本原理并不會變。加強信息科技基礎(chǔ)性管理、提升管理精細化水平永遠是控制信息安全風險的最有效手段。例如，在系統(tǒng)研發(fā)階段，只要項目的需求管理、質(zhì)量管理、風險管理、進度管理等各個環(huán)節(jié)嚴格遵照標準和制度要求，無論是采用瀑布模型還是敏捷開發(fā)，都可以做到確保良好的開發(fā)質(zhì)量，盡可能降低系統(tǒng)帶病運行的風險;在系統(tǒng)運行階段，只要嚴格遵守安全制度要求，切實落實安全運營、安全監(jiān)測、安全預(yù)警、應(yīng)急響應(yīng)等各個環(huán)節(jié)工作要求，即使系統(tǒng)出現(xiàn)安全漏洞，也能夠迅速化解風險，保護系統(tǒng)正常運行。因此，加強信息科技基礎(chǔ)性管理是修煉提升內(nèi)功，這樣才能以不變應(yīng)萬變，坦然面對外部安全風險形勢變化。

2、充分運用新技術(shù)應(yīng)對新安全問題

商業(yè)銀行必須充分預(yù)判和挖掘大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)存在的信息安全風險，確保新技術(shù)的應(yīng)用不會造成重大客戶信息泄露和資金損失。同時，商業(yè)銀行還應(yīng)該意識到新技術(shù)可以提升信息安全保障能力的另一面，積極研究大數(shù)據(jù)、云計算、人工智能等在信息安全態(tài)勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應(yīng)用，推動信息安全防御和信息安全事件響應(yīng)工作向著縱深化、智能化、快速化的方向發(fā)展。

3、加快推進信息安全人才隊伍建設(shè)

信息安全保障工作高度依賴于人的能力。一支技術(shù)水平高、經(jīng)驗豐富、戰(zhàn)斗力強的信息安全人才隊伍是商業(yè)銀行做好信息安全工作的前提條件。與此同時，由于合格的信息安全從業(yè)人員既需要具備全面扎實的理論基礎(chǔ)，又離不開豐富的實踐經(jīng)驗，培養(yǎng)信息安全人才往往需要花費數(shù)年時間。因此，商業(yè)銀行應(yīng)該高度重視信息安全人才培養(yǎng)工作，通過采用內(nèi)部傳承和引入行業(yè)內(nèi)高端人才相結(jié)合的方式，打造一支高水平的信息安全團隊。

新形勢下商業(yè)銀行面臨諸多挑戰(zhàn)，國家經(jīng)濟增速減緩、經(jīng)濟結(jié)構(gòu)轉(zhuǎn)型、利率市場化、互聯(lián)網(wǎng)金融沖擊等因素決定了在未來較長一段時間內(nèi)，商業(yè)銀行面臨著一段艱難的轉(zhuǎn)型調(diào)整之路。隨著信息安全風險管控形勢日益嚴峻，信息科技部門更是面臨安全和發(fā)展的雙重挑戰(zhàn)。但無論內(nèi)外部環(huán)境如何變化，機遇總是和風險并存。因此，只要商業(yè)銀行正視信息安全風險，合理平衡信息化建設(shè)和信息安全之間的關(guān)系，就能夠借助新的信息技術(shù)浪潮再次揚帆遠航，迎來商業(yè)銀行發(fā)展的新篇章。

麥亞信專注金融、保險科技11年，旨在為專業(yè)面向金融、保險及大型集團企業(yè)提供專業(yè)面向金融、保險及大型集團企業(yè)提供專業(yè)面向金融、保險及大型集團企業(yè)提供智能風控解決方案、麥亞信保險SOA、麥亞信保險網(wǎng)銷、保險經(jīng)紀、麥亞信規(guī)則引擎、麥亞信小貸管理系統(tǒng)等行業(yè)解決方案，秉承“以客戶需求為中心”勵志成為金融行業(yè)中專業(yè)、優(yōu)質(zhì)的解決方案綜合提供商之一。

【轉(zhuǎn)自:億歐網(wǎng)  作者：霍寶東  如有侵權(quán),請聯(lián)系刪除】