【农业银行】浅谈金融科技时代商业银行信息安全风险管理
霍宝东
商业银行必须充分预判和挖掘大数据、云计算、移动互联网等新技术存在的信息安全风险,确保新技术的应用不会造成重大客户信息泄露和资金损失。同时,商业银行还应该意识到新技术可以提升信息安全保障能力的另一面,积极研究大数据、云计算、人工智能等在信息安全态势感知、信息安全威胁情报分析、信息安全策略集中管控等方面的应用,推动信息安全防御和信息安全事件响应工作向着纵深化、智能化、快速化的方向发展。
文 | 中国农业银行科技与产品管理局
霍宝东
我国大型商业银行信息化建设自上世纪80年代起步以来,从引进学习到自主创新,从单机应用到数据集中,从柜台电算化到电子银行,已经基本建成了全国城乡覆盖、24小时不间断服务的庞大的信息系统。信息技术的发展和广泛应用,为商业银行的业务发展和经营管理提供了强有力的支撑,极大地丰富了银行服务的产品和类型,有效提升了银行服务的效率和质量。
与此同时,信息技术的广泛、深入应用也极大地增强了银行对信息科技的依赖性。随着业务快速发展和数据集中度的增高,银行信息系统的体量越来越庞大,运行环境越来越复杂,信息系统的高度耦合使得小问题可能导致大事件。银行业信息安全风险日益集中、不断增大,若不采取合理有效的应对措施可能会给商业银行带来严重的经济和声誉损失。
尤其是近年来,随着移动互联网、云计算、大数据、区块链等新技术的广泛应用,信息系统的基础架构不断调整,现有的信息安全防御体系面临失效的风险。同时,互联网金融的蓬勃发展深刻影响了商业银行的经营模式和商业生态环境,信息科技在商业银行的角色和作用也发生了巨大变化,伴生于信息科技建设的信息安全管理工作也面临着新形势下的新问题。
一、金融科技时代商业银行信息安全
风险分析
风险和价值是一枚硬币的两面。商业银行在追求信息技术带来的巨大价值的同时,必须承担越来越严峻的信息安全风险。从本质上看,信息安全风险具有以下特性:
第一,客观存在。只要商业银行坚持信息化,这种风险就始终如影相随,不会以人的意志为转移或消失。
第二,时刻变化。这种风险并非一成不变,而是与信息科技的发展紧密相关,会随着不同阶段信息化建设状况的变化而变化。当然,信息安全风险和其他风险一样与收益成正比,更多地采用新技术,更多地承担信息安全风险,也更可能获得超出市场平均回报率的收益。
在金融科技时代下,商业银行面临的信息安全风险呈现出以下新特点。
1.新技术带来了新的安全漏洞
新技术是一把双刃剑。信息技术之所以能够做到“引领”,其根本还是通过新技术的应用,使得金融服务不断改善,更加快捷高效、贴近民众。但无论是IT技术服务商还是IT技术的应用方,为了迅速抢占市场获取商业利益,在新技术发展的初期往往将功能实现放在首要位置,安全性往往沦为次要考虑甚至是被忽略的地位。因此,新技术获得广泛应用后,大量新的漏洞呈现爆发趋势,严重威胁到系统安全。
例如,1969年美国设计和构建第一代互联网的时候,没有考虑任何关于安全保护的需求。直到今天,互联网技术仍然存在不少安全漏洞问题尚未解决,而移动互联网已经开始风靡全球。不可否认,移动互联网技术全方位改善了金融服务。如果说互联网技术将银行服务从网点延伸到了有互联网连接的任何地点,那么移动互联网技术的发展和普及则将商业银行业务服务空间拓展到极致。客户只要拥有一台可以上网的移动终端,即可随时随地办理各类银行业务。虽然目前公众对信息安全的关注已经远远超过了互联网诞生的年代,但移动互联网的安全形势仍不容乐观。
2016年CNCERT监测发现移动互联网恶意程序数量为2053501个,分别是2015年、2014年、2013年、2012年、2011年监测发现数量的1.39倍、2.15倍、2.92倍、12.6倍和328.61倍,已经连续7年高速增长;而与此形成鲜明对比的是传统的木马感染、DDoS攻击等安全威胁数量均有所下降。因此,移动互联网技术可能仍然无法摆脱先“应用”后“安全”的宿命;但有了互联网发展的前车之鉴,移动互联网安全性提升的速度势必会大大加快。
2.传统安全手段无法有效应对新安全威胁
常见的安全防御手段主要针对传统业务和技术架构进行设计和部署,而新技术往往采用了新的架构,给业务模式带来了新变化。当业务和架构发生变化后,原有安全防御手段可能无法完全满足新环境下安全保障的需求。例如:
在系统安全方面,云计算由于其高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等特点获得了越来越广泛的应用,同时也使得原有安全方案难以满足云计算环境下的租户角色信任、隐私数据保护等安全需求,安全风险可能快速蔓延。
在网络安全方面,为了满足越来越多的信息流动和新业务需求,网络边界变得越来越模糊,通信数据流也随着业务的变化而变化,传统的“网络边界防护+固定安全策略”的模式可能已经无法满足信息化发展的需要。
在数据安全方面,过去通常采用数据分级、数据访问权限控制、数据加密等方式来防止数据安全性遭到破坏;而在大数据场景下,数据内容不停衍化,数据边界日益模糊,访问主体和客体关系异常复杂,硬件性能更是无法满足海量数据的加解密需求,以上特点导致了传统手段已无法应对新的数据安全问题。
3.新研发模式导致了更多的系统缺陷
自互联网金融元年以来,各大商业银行反应迅速,深入学习互联网思维,全身心投入到互联网金融的研究和应用中。互联网思维以“用户体验”为中心,以对需求的快速响应抢占市场先机,并持续通过扩大客户群体和保持客户黏性获得优势市场地位。商业银行为了快速响应市场需求变化,需要改变现有的系统研发模式,缩短系统研发时间和流程。
在传统的开发模式下,一个应用系统从需求研制到投产上线,在所有环节中都嵌入了各类安全活动,包括安全需求分析、安全架构设计、代码安全检查、应用安全测试等。但为了确保快速上线,项目研发时间被压缩,应用系统可能未经过充分的安全设计和测试就迫于业务压力匆忙上线。此类系统往往存在更多的缺陷,难免在上线后出现各类安全漏洞。与此同时,科技人员为了修复系统缺陷,不得不多次将更新后的软件版本重新发布到生产环境,这又成为了另一个不利于生产运行环境安全稳定的因素。
二、新形势下商业银行信息安全风险
应对策略建议
习近平总书记曾经说过:“坚持用发展的办法解决前进中的问题。”信息化潮流不可逆转,商业银行如果想保持核心竞争力,在未来激烈的市场竞争中占有一席之地,就必须坚持运用科技手段不断提升服务和产品质量。而面对信息化建设过程中带来的信息安全风险,商业银行应当加强顶层规划和整体设计,从治理、管理、机制等多方面入手,多管齐下、多措并举,做到“以安全保发展、以发展促安全”。
1.加强信息科技基础性管理工作
无论信息科技工作的环境发生什么样的变化,信息科技工作的本质和基本原理并不会变。加强信息科技基础性管理、提升管理精细化水平永远是控制信息安全风险的最有效手段。
例如,在系统研发阶段,只要项目的需求管理、质量管理、风险管理、进度管理等各个环节严格遵照标准和制度要求,无论是采用瀑布模型还是敏捷开发,都可以做到确保良好的开发质量,尽可能降低系统带病运行的风险;在系统运行阶段,只要严格遵守安全制度要求,切实落实安全运营、安全监测、安全预警、应急响应等各个环节工作要求,即使系统出现安全漏洞,也能够迅速化解风险,保护系统正常运行。因此,加强信息科技基础性管理是修炼提升内功,这样才能以不变应万变,坦然面对外部安全风险形势变化。
2.充分运用新技术应对新安全问题
商业银行必须充分预判和挖掘大数据、云计算、移动互联网等新技术存在的信息安全风险,确保新技术的应用不会造成重大客户信息泄露和资金损失。同时,商业银行还应该意识到新技术可以提升信息安全保障能力的另一面,积极研究大数据、云计算、人工智能等在信息安全态势感知、信息安全威胁情报分析、信息安全策略集中管控等方面的应用,推动信息安全防御和信息安全事件响应工作向着纵深化、智能化、快速化的方向发展。
3.加快推进信息安全人才队伍建设
信息安全保障工作高度依赖于人的能力。一支技术水平高、经验丰富、战斗力强的信息安全人才队伍是商业银行做好信息安全工作的前提条件。与此同时,由于合格的信息安全从业人员既需要具备全面扎实的理论基础,又离不开丰富的实践经验,培养信息安全人才往往需要花费数年时间。因此,商业银行应该高度重视信息安全人才培养工作,通过采用内部传承和引入行业内高端人才相结合的方式,打造一支高水平的信息安全团队。
新形势下商业银行面临诸多挑战,国家经济增速减缓、经济结构转型、利率市场化、互联网金融冲击等因素决定了在未来较长一段时间内,商业银行面临着一段艰难的转型调整之路。随着信息安全风险管控形势日益严峻,信息科技部门更是面临安全和发展的双重挑战。但无论内外部环境如何变化,机遇总是和风险并存。因此,只要商业银行正视信息安全风险,合理平衡信息化建设和信息安全之间的关系,就能够借助新的信息技术浪潮再次扬帆远航,迎来商业银行发展的新篇章。
《中国金融电脑》2017年第 8 期
淘宝官网:https://shop160045533.taobao.com
¥25
欢迎订阅
公众号ID
Fcc198905
长按识别左边二维码关注我们