淺談金融科技時代商業銀行信息安全風險管理

日期：2017-12-05?閱讀：

商業銀行必須充分預判和挖掘大數據、云計算、移動互聯網等新技術存在的信息安全風險，確保新技術的應用不會造成重大客戶信息泄露和資金損失。同時，商業銀行還應該意識到新技術可以提升信息安全保障能力的另一面，積極研究大數據、云計算、人工智能等在信息安全態勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應用，推動信息安全防御和信息安全事件響應工作向著縱深化、智能化、快速化的方向發展。

我國大型商業銀行信息化建設自上世紀80年代起步以來，從引進學習到自主創新，從單機應用到數據集中，從柜臺電算化到電子銀行，已經基本建成了全國城鄉覆蓋、24小時不間斷服務的龐大的信息系統。信息技術的發展和廣泛應用，為商業銀行的業務發展和經營管理提供了強有力的支撐，極大地豐富了銀行服務的產品和類型，有效提升了銀行服務的效率和質量。

與此同時，信息技術的廣泛、深入應用也極大地增強了銀行對信息科技的依賴性。隨著業務快速發展和數據集中度的增高，銀行信息系統的體量越來越龐大，運行環境越來越復雜，信息系統的高度耦合使得小問題可能導致大事件。銀行業信息安全風險日益集中、不斷增大，若不采取合理有效的應對措施可能會給商業銀行帶來嚴重的經濟和聲譽損失。

尤其是近年來，隨著移動互聯網、云計算、大數據、區塊鏈等新技術的廣泛應用，信息系統的基礎架構不斷調整，現有的信息安全防御體系面臨失效的風險。同時，互聯網金融的蓬勃發展深刻影響了商業銀行的經營模式和商業生態環境，信息科技在商業銀行的角色和作用也發生了巨大變化，伴生于信息科技建設的信息安全管理工作也面臨著新形勢下的新問題。

一、金融科技時代商業銀行信息安全風險分析

風險和價值是一枚硬幣的兩面。商業銀行在追求信息技術帶來的巨大價值的同時，必須承擔越來越嚴峻的信息安全風險。從本質上看，信息安全風險具有以下特性：第一，客觀存在。只要商業銀行堅持信息化，這種風險就始終如影相隨，不會以人的意志為轉移或消失。第二，時刻變化。這種風險并非一成不變，而是與信息科技的發展緊密相關，會隨著不同階段信息化建設狀況的變化而變化。當然，信息安全風險和其他風險一樣與收益成正比，更多地采用新技術，更多地承擔信息安全風險，也更可能獲得超出市場平均回報率的收益。

在金融科技時代下，商業銀行面臨的信息安全風險呈現出以下新特點。

1、新技術帶來了新的安全漏洞

新技術是一把雙刃劍。信息技術之所以能夠做到“引領”，其根本還是通過新技術的應用，使得金融服務不斷改善，更加快捷高效、貼近民眾。但無論是IT技術服務商還是IT技術的應用方，為了迅速搶占市場獲取商業利益，在新技術發展的初期往往將功能實現放在首要位置，安全性往往淪為次要考慮甚至是被忽略的地位。因此，新技術獲得廣泛應用后，大量新的漏洞呈現爆發趨勢，嚴重威脅到系統安全。

例如，1969年美國設計和構建第一代互聯網的時候，沒有考慮任何關于安全保護的需求。直到今天，互聯網技術仍然存在不少安全漏洞問題尚未解決，而移動互聯網已經開始風靡全球。不可否認，移動互聯網技術全方位改善了金融服務。如果說互聯網技術將銀行服務從網點延伸到了有互聯網連接的任何地點，那么移動互聯網技術的發展和普及則將商業銀行業務服務空間拓展到極致。客戶只要擁有一臺可以上網的移動終端，即可隨時隨地辦理各類銀行業務。雖然目前公眾對信息安全的關注已經遠遠超過了互聯網誕生的年代，但移動互聯網的安全形勢仍不容樂觀。

2016年CNCERT監測發現移動互聯網惡意程序數量為2053501個，分別是2015年、2014年、2013年、2012年、2011年監測發現數量的1.39倍、2.15倍、2.92倍、12.6倍和328.61倍，已經連續7年高速增長；而與此形成鮮明對比的是傳統的木馬感染、DDoS攻擊等安全威脅數量均有所下降。因此，移動互聯網技術可能仍然無法擺脫先“應用”后“安全”的宿命；但有了互聯網發展的前車之鑒，移動互聯網安全性提升的速度勢必會大大加快。

2、傳統安全手段無法有效應對新安全威脅

常見的安全防御手段主要針對傳統業務和技術架構進行設計和部署，而新技術往往采用了新的架構，給業務模式帶來了新變化。當業務和架構發生變化后，原有安全防御手段可能無法完全滿足新環境下安全保障的需求。

例如，在系統安全方面，云計算由于其高可靠性、動態可擴展性、超強計算和存儲、虛擬化技術和低成本等特點獲得了越來越廣泛的應用，同時也使得原有安全方案難以滿足云計算環境下的租戶角色信任、隱私數據保護等安全需求，安全風險可能快速蔓延。在網絡安全方面，為了滿足越來越多的信息流動和新業務需求，網絡邊界變得越來越模糊，通信數據流也隨著業務的變化而變化，傳統的“網絡邊界防護+固定安全策略”的模式可能已經無法滿足信息化發展的需要。在數據安全方面，過去通常采用數據分級、數據訪問權限控制、數據加密等方式來防止數據安全性遭到破壞；而在大數據場景下，數據內容不停衍化，數據邊界日益模糊，訪問主體和客體關系異常復雜，硬件性能更是無法滿足海量數據的加解密需求，以上特點導致了傳統手段已無法應對新的數據安全問題。

3、新研發模式導致了更多的系統缺陷

自互聯網金融元年以來，各大商業銀行反應迅速，深入學習互聯網思維，全身心投入到互聯網金融的研究和應用中。互聯網思維以“用戶體驗”為中心，以對需求的快速響應搶占市場先機，并持續通過擴大客戶群體和保持客戶黏性獲得優勢市場地位。商業銀行為了快速響應市場需求變化，需要改變現有的系統研發模式，縮短系統研發時間和流程。

在傳統的開發模式下，一個應用系統從需求研制到投產上線，在所有環節中都嵌入了各類安全活動，包括安全需求分析、安全架構設計、代碼安全檢查、應用安全測試等。但為了確保快速上線，項目研發時間被壓縮，應用系統可能未經過充分的安全設計和測試就迫于業務壓力匆忙上線。此類系統往往存在更多的缺陷，難免在上線后出現各類安全漏洞。與此同時，科技人員為了修復系統缺陷，不得不多次將更新后的軟件版本重新發布到生產環境，這又成為了另一個不利于生產運行環境安全穩定的因素。

二、新形勢下商業銀行信息安全風險應對策略建議

習近平總書記曾經說過：“堅持用發展的辦法解決前進中的問題。”信息化潮流不可逆轉，商業銀行如果想保持核心競爭力，在未來激烈的市場競爭中占有一席之地，就必須堅持運用科技手段不斷提升服務和產品質量。而面對信息化建設過程中帶來的信息安全風險，商業銀行應當加強頂層規劃和整體設計，從治理、管理、機制等多方面入手，多管齊下、多措并舉，做到“以安全保發展、以發展促安全”。

1、加強信息科技基礎性管理工作

無論信息科技工作的環境發生什么樣的變化，信息科技工作的本質和基本原理并不會變。加強信息科技基礎性管理、提升管理精細化水平永遠是控制信息安全風險的最有效手段。例如，在系統研發階段，只要項目的需求管理、質量管理、風險管理、進度管理等各個環節嚴格遵照標準和制度要求，無論是采用瀑布模型還是敏捷開發，都可以做到確保良好的開發質量，盡可能降低系統帶病運行的風險;在系統運行階段，只要嚴格遵守安全制度要求，切實落實安全運營、安全監測、安全預警、應急響應等各個環節工作要求，即使系統出現安全漏洞，也能夠迅速化解風險，保護系統正常運行。因此，加強信息科技基礎性管理是修煉提升內功，這樣才能以不變應萬變，坦然面對外部安全風險形勢變化。

2、充分運用新技術應對新安全問題

商業銀行必須充分預判和挖掘大數據、云計算、移動互聯網等新技術存在的信息安全風險，確保新技術的應用不會造成重大客戶信息泄露和資金損失。同時，商業銀行還應該意識到新技術可以提升信息安全保障能力的另一面，積極研究大數據、云計算、人工智能等在信息安全態勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應用，推動信息安全防御和信息安全事件響應工作向著縱深化、智能化、快速化的方向發展。

3、加快推進信息安全人才隊伍建設

信息安全保障工作高度依賴于人的能力。一支技術水平高、經驗豐富、戰斗力強的信息安全人才隊伍是商業銀行做好信息安全工作的前提條件。與此同時，由于合格的信息安全從業人員既需要具備全面扎實的理論基礎，又離不開豐富的實踐經驗，培養信息安全人才往往需要花費數年時間。因此，商業銀行應該高度重視信息安全人才培養工作，通過采用內部傳承和引入行業內高端人才相結合的方式，打造一支高水平的信息安全團隊。

新形勢下商業銀行面臨諸多挑戰，國家經濟增速減緩、經濟結構轉型、利率市場化、互聯網金融沖擊等因素決定了在未來較長一段時間內，商業銀行面臨著一段艱難的轉型調整之路。隨著信息安全風險管控形勢日益嚴峻，信息科技部門更是面臨安全和發展的雙重挑戰。但無論內外部環境如何變化，機遇總是和風險并存。因此，只要商業銀行正視信息安全風險，合理平衡信息化建設和信息安全之間的關系，就能夠借助新的信息技術浪潮再次揚帆遠航，迎來商業銀行發展的新篇章。

麥亞信專注金融、保險科技11年，旨在為專業面向金融、保險及大型集團企業提供專業面向金融、保險及大型集團企業提供專業面向金融、保險及大型集團企業提供智能風控解決方案、麥亞信保險SOA、麥亞信保險網銷、保險經紀、麥亞信規則引擎、麥亞信小貸管理系統等行業解決方案，秉承“以客戶需求為中心”勵志成為金融行業中專業、優質的解決方案綜合提供商之一。

 

【轉自:億歐網  作者：霍寶東  如有侵權,請聯系刪除】