“互聯(lián)網(wǎng)+”形勢下銀行業(yè)信息安全挑戰(zhàn)與對策

銀行業(yè)“互聯(lián)網(wǎng)+”IT治理課題組

自2013年“余額寶”出現(xiàn)以來，第三方支付、P2P網(wǎng)貸、眾籌等迅速發(fā)展，互聯(lián)網(wǎng)巨頭攜在零售、社交等領(lǐng)域的成功之勢殺入金融行業(yè)，以其渠道多、門檻低等優(yōu)勢迅速吸引大量用戶，對傳統(tǒng)銀行造成巨大的沖擊。工商銀行、平安銀行等紛紛發(fā)力部署在線零售平臺，南京銀行甚至以“你好銀行”品牌試水直銷銀行來實現(xiàn)自我革新?？梢钥吹剑瑐鹘y(tǒng)金融借“網(wǎng)”升級成為趨勢，政府層面亦將互聯(lián)網(wǎng)金融作為國家行動規(guī)劃，“互聯(lián)網(wǎng)+”已然成為銀行業(yè)21世紀(jì)以來最大的一次熱潮。

然而，互聯(lián)網(wǎng)金融的迅速成長也伴隨著風(fēng)險挑戰(zhàn)，信息安全事件時有發(fā)生，近年來更有愈演愈烈之勢。據(jù)不完全統(tǒng)計，截至2014年年底有近165家P2P平臺由于黑客攻擊導(dǎo)致系統(tǒng)癱瘓或數(shù)據(jù)被惡意篡改，一時間P2P在百姓心里成了高風(fēng)險的代名詞，在政府眼里成了監(jiān)管失效的重災(zāi)區(qū)?；ヂ?lián)網(wǎng)時代是以IT技術(shù)為生產(chǎn)工具、以數(shù)據(jù)為生產(chǎn)資料的時代，傳統(tǒng)金融特別是大型國有銀行在擁抱“互聯(lián)網(wǎng)+”、實現(xiàn)業(yè)務(wù)創(chuàng)新的同時，如何守住信息安全底線、保障業(yè)務(wù)健康發(fā)展、維護(hù)消費者權(quán)益，是擺在從業(yè)者面前的一道難題。

“互聯(lián)網(wǎng)+”對銀行業(yè)的影響

比爾·蓋茨曾預(yù)言銀行將成為21世紀(jì)滅絕的恐龍，但我們認(rèn)為滅絕的將只是那些過時的經(jīng)營模式，市場和客戶在進(jìn)化、銀行也在進(jìn)化，最終銀行業(yè)會變成怎樣尚不可知，但趨勢已經(jīng)依稀可見。

業(yè)務(wù)渠道更廣、服務(wù)更多樣。一是銀行紛紛加速互聯(lián)網(wǎng)渠道的建設(shè)布局，從原有的網(wǎng)上銀行、電話銀行擴(kuò)展到手機(jī)銀行、微信銀行等渠道，移動端的交易量增長更加迅猛，預(yù)測到2018年將趕超PC端；二是銀行產(chǎn)品更加多元化，不再局限于傳統(tǒng)的金融業(yè)務(wù)，呈現(xiàn)出平臺化的發(fā)展方向，銀行逐步從后臺走向前臺；三是銀行與第三方機(jī)構(gòu)的互聯(lián)合作日益增多，目前與農(nóng)行互聯(lián)的第三方機(jī)構(gòu)就超過2000家；四是服務(wù)范圍不斷擴(kuò)大，借助互聯(lián)網(wǎng)渠道的優(yōu)勢，銀行的服務(wù)突破了時間與地域的限制，能隨時隨地向所有客戶提供越來越豐富的服務(wù)，3A模式（Anytime、Anywhere、Anyway）儼然成為銀行業(yè)未來的標(biāo)準(zhǔn)服務(wù)模式。

產(chǎn)品創(chuàng)新更快，更注重用戶體驗。一是系統(tǒng)逐漸傾向于“瘦核心、胖前置”的技術(shù)模型，開放式、模塊化的架構(gòu)為業(yè)務(wù)產(chǎn)品的快速上線和更新提供了技術(shù)保證；二是銀行更多采用敏捷開發(fā)、灰度發(fā)布的方法，實現(xiàn)了產(chǎn)品的快速更替和功能改進(jìn)；三是越來越多的銀行在PC端、移動端通過提供UI自由定制、客戶業(yè)務(wù)推薦等功能，為客戶提供了個性化服務(wù)，實現(xiàn)了對單一客戶的精確營銷。從網(wǎng)銀界面、信用卡卡面等的個性化定制到信用卡自選商戶的積分優(yōu)惠等業(yè)務(wù)產(chǎn)品的個性化服務(wù)，銀行紛紛通過個性化服務(wù)增加對客戶的吸引力。

大數(shù)據(jù)進(jìn)一步驅(qū)動業(yè)務(wù)發(fā)展?！盎ヂ?lián)網(wǎng)+”時代，銀行的數(shù)據(jù)量呈爆發(fā)式增長，非結(jié)構(gòu)化數(shù)據(jù)成為數(shù)據(jù)分析閃光點。以農(nóng)行為例，每年產(chǎn)生的非結(jié)構(gòu)化數(shù)據(jù)增速驚人，目前已超過1PB以上。多家銀行積極引進(jìn)Hadoop、MPP、SQL等新技術(shù)，加緊建設(shè)大數(shù)據(jù)應(yīng)用體系，大數(shù)據(jù)分析在銀行業(yè)務(wù)創(chuàng)新、精準(zhǔn)營銷、風(fēng)險管理、成本控制等方面正發(fā)揮著越來越大的作用。農(nóng)行基于Hadoop技術(shù)架構(gòu)的反洗錢系統(tǒng)，實現(xiàn)了分析速度和監(jiān)控金額精度的雙提升，系統(tǒng)作業(yè)處理從原來的小時級壓縮至分鐘級，交易金額監(jiān)控分析的粒度從“百元”級精確到“元”級。

“互聯(lián)網(wǎng)+”給銀行業(yè)信息安全帶來的挑戰(zhàn)

“互聯(lián)網(wǎng)+”極大地推動了銀行業(yè)的變革，降低了金融服務(wù)的門檻，為各個層面的客戶都帶來了便捷高效的體驗，同時也提供了更多便利。但互聯(lián)網(wǎng)對銀行業(yè)務(wù)產(chǎn)生積極影響的同時，也帶來了諸多新的信息安全問題。

外部安全形勢日趨復(fù)雜和嚴(yán)峻。一是面臨的網(wǎng)絡(luò)威脅越來越嚴(yán)重。除了傳統(tǒng)的SQL注入、DDOS等常見攻擊，APT等新型攻擊方式（高級持續(xù)威脅攻擊，指利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式）也愈演愈烈，據(jù)統(tǒng)計，國內(nèi)銀行一年遭受的網(wǎng)絡(luò)攻擊次數(shù)就高達(dá)上千萬次；二是第三方系統(tǒng)交互的風(fēng)險愈加突顯，第三方公司信息安全水平參差不齊，短板效應(yīng)極易被黑客利用導(dǎo)致信息安全事件；三是客戶的容忍度越來越低，互聯(lián)網(wǎng)的放大效應(yīng)加劇了信息安全事件的影響，銀行面臨的聲譽(yù)風(fēng)險壓力倍增。

新技術(shù)、新架構(gòu)帶來新風(fēng)險。一是開放式架構(gòu)安全風(fēng)險增大。相比傳統(tǒng)封閉式系統(tǒng)，開放式系統(tǒng)漏洞更多，更容易遭受攻擊；二是云計算技術(shù)引入新風(fēng)險。部分傳統(tǒng)安全手段已不再適合云平臺，如傳統(tǒng)加密技術(shù)可能影響云平臺數(shù)據(jù)的正常使用，共享云基礎(chǔ)設(shè)施中不同用戶日志混雜，日志收集分析存在很大困難，個別應(yīng)用的安全短板甚至?xí)绊懻麄€云平臺的安全等等；三是產(chǎn)品安全設(shè)計滯后。產(chǎn)品研發(fā)中“重功能開發(fā)、輕安全設(shè)計”的傳統(tǒng)問題依然突出，產(chǎn)品安全缺陷層出不窮。

互聯(lián)網(wǎng)環(huán)境下，信息泄漏和濫用問題日益嚴(yán)峻。一是大數(shù)據(jù)依托海量數(shù)據(jù)集中，一旦泄漏，其危害不堪設(shè)想。近年來，金融業(yè)的數(shù)據(jù)泄漏事件可謂觸目驚心、影響甚廣，一旦被不法分子利用，產(chǎn)生的身份冒充、釣魚詐騙等違法事件將極難防范；二是信息欺詐的偽裝性更強(qiáng)、更難以識別。近年特別火爆的二維碼支付，由于其極易偽造，真?zhèn)坞y辨，缺乏密碼認(rèn)證機(jī)制，客戶“掃一掃”資金就可能不知去向；三是信息濫用現(xiàn)象普遍。企業(yè)對非業(yè)務(wù)必須數(shù)據(jù)的暗中收集、濫用等違法侵權(quán)行為屢見不鮮，今年螞蟻金服的“花唄”非法收集用戶系統(tǒng)中的人際關(guān)系信息用于催款，侵犯用戶個人隱私，為企業(yè)大數(shù)據(jù)信息的保護(hù)敲響了警鐘。

應(yīng)對措施和建議

“互聯(lián)網(wǎng)+”給銀行業(yè)帶來了一股新風(fēng)，催動著傳統(tǒng)銀行的創(chuàng)新和變革，但是大型銀行“誠信立業(yè)、穩(wěn)健行遠(yuǎn)”的核心價值觀不可顛覆，銀行傳統(tǒng)的合規(guī)經(jīng)營文化、風(fēng)險控制核心理念不可動搖，在堅持這些理念的基礎(chǔ)上，信息安全工作必須與時俱進(jìn)、銳意進(jìn)取。

信息安全原則

“互聯(lián)網(wǎng)+”時代，銀行信息安全工作應(yīng)堅持審慎合規(guī)、理性安全、快速響應(yīng)、合作共治四大原則。

審慎合規(guī)：從合規(guī)角度出發(fā)，守住安全底線，重點防范信息泄漏和濫用，確保不發(fā)生長時間、大范圍的信息安全事件。

理性安全：不追求絕對的安全，兼顧安全與成本，避免無限制的安全阻礙新技術(shù)的使用和業(yè)務(wù)的創(chuàng)新，安全要為業(yè)務(wù)服務(wù)。

快速響應(yīng)：施行IT、業(yè)務(wù)一體化的監(jiān)測、分析與處置，實現(xiàn)提前預(yù)警預(yù)判，快速消除信息安全風(fēng)險隱患。

合作共治：監(jiān)管部門、銀行、安全機(jī)構(gòu)要加強(qiáng)合作交流，建立信息安全情報合作分享機(jī)制，打造“互聯(lián)網(wǎng)+”信息安全生態(tài)，共享信息安全成果。

應(yīng)對措施

面對“互聯(lián)網(wǎng)+”新態(tài)勢下的信息安全挑戰(zhàn)，銀行應(yīng)堅持四大原則，主動適應(yīng)市場、環(huán)境、技術(shù)的變化。

建立專業(yè)高效權(quán)威的信息安全組織。一是在銀行高管層設(shè)置CISO（首席信息安全官）或CPO（首席隱私官）統(tǒng)領(lǐng)全行信息安全工作；二是在行內(nèi)建立橫跨科技、業(yè)務(wù)、法律、公共關(guān)系等部門的信息安全團(tuán)隊，統(tǒng)籌制定全行安全策略，發(fā)揮各專業(yè)優(yōu)勢，針對安全問題實現(xiàn)一體化的整體快速響應(yīng)；三是合理運用“外腦”，引入外部信息安全專家智囊團(tuán)，憑借外部先進(jìn)的管理技術(shù)理念，形成決策參考機(jī)制，帶動技術(shù)研究革新，推動人才培養(yǎng)發(fā)展，為企業(yè)信息安全工作提供有力補(bǔ)充。

適時審慎地引入新技術(shù)新架構(gòu)。一是針對互聯(lián)網(wǎng)時代新型外部攻擊方式多、來源廣、影響大的特點，引入數(shù)據(jù)防泄漏、云端惡意代碼防范、威脅情報系統(tǒng)等新安全技術(shù)，彌補(bǔ)開放式系統(tǒng)架構(gòu)漏洞多的弱點；二是構(gòu)建基于大數(shù)據(jù)的SOC（安全運行中心），以異常事件監(jiān)測為基礎(chǔ)，整合歷史分析數(shù)據(jù)和業(yè)界威脅情報，實現(xiàn)安全態(tài)勢的全維度智能感知、可視化展現(xiàn)及前瞻性預(yù)測；三是綜合運用應(yīng)用安全檢測、云綜合日志審計，引入同態(tài)加密等技術(shù)，適應(yīng)云計算環(huán)境邊界模糊、資源共享的特點，在保證用戶體驗的前提下，有效破解云環(huán)境的安全難題。

產(chǎn)品研發(fā)安全先行。一是產(chǎn)品設(shè)計階段要遵循安全防控規(guī)范，既要防范SQL注入、跨站腳本等常見攻擊，又要關(guān)注業(yè)務(wù)流程設(shè)計上的安全，避免出現(xiàn)平行越權(quán)（指相同權(quán)限等級的不同用戶之間可以越權(quán)獲取或操作他人的數(shù)據(jù)）等業(yè)務(wù)邏輯缺陷；二是要搭建安全的開發(fā)環(huán)境，使用正版開發(fā)工具，確保開發(fā)過程的安全可控；三是要選用合適的開發(fā)技術(shù)，如IOS平臺APP應(yīng)盡可能使用Native App Mode（原生APP開發(fā)模式）而非Web App Mode（HTML5框架開發(fā)模式），憑借其能夠調(diào)用手機(jī)定位及其他傳感器的特點提高程序安全性；四是加強(qiáng)產(chǎn)品安全測試，引入代碼缺陷測試、web應(yīng)用安全掃描等技術(shù)手段，將后臺應(yīng)用和終端APP納入測試范圍，把好產(chǎn)品安全質(zhì)量關(guān)。

加強(qiáng)客戶信息安全宣傳。一是多層面多渠道加強(qiáng)客戶宣傳，提升客戶安全意識。通過典型案例的視頻動畫、安全口訣小冊子等方式，宣傳網(wǎng)絡(luò)釣魚、電信詐騙等風(fēng)險防范知識，充分利用互聯(lián)網(wǎng)渠道，設(shè)立安全社區(qū)，進(jìn)行安全金點子有獎?wù)骷?，提升客戶對信息安全的關(guān)注度與參與度；二是通過積分、現(xiàn)金或禮品等獎勵方式，引導(dǎo)客戶踴躍采用刷指紋、刷臉等安全可靠的新身份認(rèn)證技術(shù)，引導(dǎo)客戶形成安全使用習(xí)慣，建立銀行與客戶間的良性安全互動；三是強(qiáng)化銀行與客戶風(fēng)險預(yù)警聯(lián)動，利用大數(shù)據(jù)分析客戶行為，發(fā)現(xiàn)異常行為及時提示客戶，并向客戶提供便利的安全問題反饋渠道，保證風(fēng)險預(yù)警處置的及時。

建議

“互聯(lián)網(wǎng)+”時代，銀行無法單槍匹馬應(yīng)對信息安全挑戰(zhàn)，需要政府、企業(yè)、研究機(jī)構(gòu)的共同努力，齊心協(xié)力共同開創(chuàng)互聯(lián)網(wǎng)金融信息安全的新局面。

政府完善立法，扶持打擊并舉。一是結(jié)合互聯(lián)網(wǎng)金融的特點，從保護(hù)國家安全、行業(yè)安全、個人安全出發(fā)，盡快圍繞公民資金安全、敏感信息保護(hù)等領(lǐng)域建立健全有關(guān)法律法規(guī)，規(guī)范互聯(lián)網(wǎng)金融健康發(fā)；二是融合“自主可控”與“互聯(lián)網(wǎng)+”兩大國家戰(zhàn)略，加大對國產(chǎn)軟硬件產(chǎn)品和信息安全技術(shù)研發(fā)和使用的扶持力度，擺脫核心技術(shù)受制于人的困境，創(chuàng)造“互聯(lián)網(wǎng)+”時代金融安全自主可控的新局面；三是理順網(wǎng)絡(luò)安全執(zhí)法體制，充實執(zhí)法手段，持續(xù)打擊網(wǎng)絡(luò)安全犯罪行為，加大懲處力度，對于日益增多的跨國網(wǎng)絡(luò)犯罪行為，還應(yīng)加強(qiáng)國際合作，共同維護(hù)網(wǎng)絡(luò)空間主權(quán)和安全。

完善監(jiān)管標(biāo)準(zhǔn)，實施分類監(jiān)管。一是在人民銀行等十部委出臺《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》的基礎(chǔ)上，針對互聯(lián)網(wǎng)金融的特點，加快修訂出臺信息安全方面的規(guī)范標(biāo)準(zhǔn)，特別是數(shù)據(jù)保護(hù)和云計算、大數(shù)據(jù)等新技術(shù)的安全標(biāo)準(zhǔn)；二是建議在銀行業(yè)監(jiān)管評級的基礎(chǔ)上，試行多部門聯(lián)合的互聯(lián)網(wǎng)金融信息科技監(jiān)管評級，根據(jù)評級結(jié)果實施差異化的監(jiān)管，對風(fēng)險大的金融業(yè)務(wù)加強(qiáng)監(jiān)管力度，避免一刀切，提升監(jiān)管效率；三是采取適度寬松的彈性監(jiān)管，在不突破信息安全底線的前提下，鼓勵有條件的銀行對國產(chǎn)自主可控產(chǎn)品進(jìn)行先試先行，對于國產(chǎn)產(chǎn)品的可用性和可靠性給予監(jiān)管政策傾斜與適度包容。

打造安全生態(tài)，共營金融信息安全。一是設(shè)立銀行業(yè)網(wǎng)絡(luò)信息安全平臺，與CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）及CVE（國際公共漏洞披露平臺）等官方或非官方信息安全組織合作，為銀行業(yè)內(nèi)的安全事件多方預(yù)防、及時發(fā)現(xiàn)、快速預(yù)警和協(xié)調(diào)處置提供服務(wù)；二是建立銀行、第三方安全機(jī)構(gòu)、信息安全企業(yè)的常態(tài)化交流機(jī)制，準(zhǔn)確把握信息安全前沿動向，交流安全防護(hù)工作經(jīng)驗；三是信息安全企業(yè)要發(fā)揮技術(shù)專業(yè)優(yōu)勢，對于“互聯(lián)網(wǎng)+”時代的新型信息安全威脅，及時研發(fā)有針對性的防御產(chǎn)品，提供有力的技術(shù)支持，助力銀行業(yè)的信息安全防護(hù)；四是要深化產(chǎn)學(xué)研用的合作對接，要加大對信息安全的科研投入，加速科研成果的產(chǎn)業(yè)化，銀行的核心業(yè)務(wù)要積極嘗試國產(chǎn)技術(shù)產(chǎn)品，形成產(chǎn)學(xué)研用一體化的良性循環(huán)。

結(jié)語

“互聯(lián)網(wǎng)+”時代，銀行金融服務(wù)的產(chǎn)品與技術(shù)的融合創(chuàng)新不斷涌現(xiàn)，信息安全工作挑戰(zhàn)與機(jī)遇并存。未來，隨著云計算、大數(shù)據(jù)、人工智能等新技術(shù)的不斷發(fā)展和應(yīng)用，信息安全工作將朝著更加靈活、智能、有效的方向發(fā)展。借助云計算、虛擬化、生物識別等技術(shù)，系統(tǒng)和產(chǎn)品的安全防護(hù)將變得更為可靠高效。風(fēng)險防控和審計檢查將更為智能、快捷，風(fēng)險預(yù)防和違規(guī)行為阻斷將更多從事后前移到事中、事前。隨著量子通信等新技術(shù)的日益成熟普及，數(shù)據(jù)的保護(hù)也將更加有效可靠。相信在“互聯(lián)網(wǎng)+”時代，銀行信息安全工作將迎來更加美好燦爛的明天。

（作者單位：中國農(nóng)業(yè)銀行數(shù)據(jù)中心，上海自由貿(mào)易試驗區(qū)，課題組成員：謝以清，葉奇青，胡亦恩，王國義，丁征濤，葉青晟，孫英明）