淺談金融科技時(shí)代商業(yè)銀行信息安全風(fēng)險(xiǎn)管理
日期:2017-12-05?閱讀:
商業(yè)銀行必須充分預(yù)判和挖掘大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)存在的信息安全風(fēng)險(xiǎn),確保新技術(shù)的應(yīng)用不會(huì)造成重大客戶信息泄露和資金損失��。同時(shí)�����,商業(yè)銀行還應(yīng)該意識(shí)到新技術(shù)可以提升信息安全保障能力的另一面��,積極研究大數(shù)據(jù)�、云計(jì)算、人工智能等在信息安全態(tài)勢(shì)感知���、信息安全威脅情報(bào)分析���、信息安全策略集中管控等方面的應(yīng)用,推動(dòng)信息安全防御和信息安全事件響應(yīng)工作向著縱深化��、智能化��、快速化的方向發(fā)展�。
我國大型商業(yè)銀行信息化建設(shè)自上世紀(jì)80年代起步以來,從引進(jìn)學(xué)習(xí)到自主創(chuàng)新����,從單機(jī)應(yīng)用到數(shù)據(jù)集中,從柜臺(tái)電算化到電子銀行���,已經(jīng)基本建成了全國城鄉(xiāng)覆蓋、24小時(shí)不間斷服務(wù)的龐大的信息系統(tǒng)����。信息技術(shù)的發(fā)展和廣泛應(yīng)用�,為商業(yè)銀行的業(yè)務(wù)發(fā)展和經(jīng)營管理提供了強(qiáng)有力的支撐��,極大地豐富了銀行服務(wù)的產(chǎn)品和類型�����,有效提升了銀行服務(wù)的效率和質(zhì)量�。
與此同時(shí),信息技術(shù)的廣泛���、深入應(yīng)用也極大地增強(qiáng)了銀行對(duì)信息科技的依賴性�����。隨著業(yè)務(wù)快速發(fā)展和數(shù)據(jù)集中度的增高�,銀行信息系統(tǒng)的體量越來越龐大����,運(yùn)行環(huán)境越來越復(fù)雜,信息系統(tǒng)的高度耦合使得小問題可能導(dǎo)致大事件�。銀行業(yè)信息安全風(fēng)險(xiǎn)日益集中、不斷增大�����,若不采取合理有效的應(yīng)對(duì)措施可能會(huì)給商業(yè)銀行帶來嚴(yán)重的經(jīng)濟(jì)和聲譽(yù)損失。
尤其是近年來�����,隨著移動(dòng)互聯(lián)網(wǎng)��、云計(jì)算�、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的廣泛應(yīng)用���,信息系統(tǒng)的基礎(chǔ)架構(gòu)不斷調(diào)整��,現(xiàn)有的信息安全防御體系面臨失效的風(fēng)險(xiǎn)����。同時(shí)����,互聯(lián)網(wǎng)金融的蓬勃發(fā)展深刻影響了商業(yè)銀行的經(jīng)營模式和商業(yè)生態(tài)環(huán)境,信息科技在商業(yè)銀行的角色和作用也發(fā)生了巨大變化��,伴生于信息科技建設(shè)的信息安全管理工作也面臨著新形勢(shì)下的新問題���。
一���、金融科技時(shí)代商業(yè)銀行信息安全風(fēng)險(xiǎn)分析
風(fēng)險(xiǎn)和價(jià)值是一枚硬幣的兩面。商業(yè)銀行在追求信息技術(shù)帶來的巨大價(jià)值的同時(shí)�����,必須承擔(dān)越來越嚴(yán)峻的信息安全風(fēng)險(xiǎn)�����。從本質(zhì)上看��,信息安全風(fēng)險(xiǎn)具有以下特性:第一���,客觀存在�����。只要商業(yè)銀行堅(jiān)持信息化���,這種風(fēng)險(xiǎn)就始終如影相隨,不會(huì)以人的意志為轉(zhuǎn)移或消失�。第二�����,時(shí)刻變化���。這種風(fēng)險(xiǎn)并非一成不變,而是與信息科技的發(fā)展緊密相關(guān)�,會(huì)隨著不同階段信息化建設(shè)狀況的變化而變化。當(dāng)然�����,信息安全風(fēng)險(xiǎn)和其他風(fēng)險(xiǎn)一樣與收益成正比�,更多地采用新技術(shù),更多地承擔(dān)信息安全風(fēng)險(xiǎn)���,也更可能獲得超出市場(chǎng)平均回報(bào)率的收益��。
在金融科技時(shí)代下����,商業(yè)銀行面臨的信息安全風(fēng)險(xiǎn)呈現(xiàn)出以下新特點(diǎn)����。
1����、新技術(shù)帶來了新的安全漏洞
新技術(shù)是一把雙刃劍����。信息技術(shù)之所以能夠做到“引領(lǐng)”���,其根本還是通過新技術(shù)的應(yīng)用�,使得金融服務(wù)不斷改善��,更加快捷高效�、貼近民眾。但無論是IT技術(shù)服務(wù)商還是IT技術(shù)的應(yīng)用方����,為了迅速搶占市場(chǎng)獲取商業(yè)利益,在新技術(shù)發(fā)展的初期往往將功能實(shí)現(xiàn)放在首要位置�����,安全性往往淪為次要考慮甚至是被忽略的地位����。因此����,新技術(shù)獲得廣泛應(yīng)用后���,大量新的漏洞呈現(xiàn)爆發(fā)趨勢(shì)�,嚴(yán)重威脅到系統(tǒng)安全��。
例如���,1969年美國設(shè)計(jì)和構(gòu)建第一代互聯(lián)網(wǎng)的時(shí)候�,沒有考慮任何關(guān)于安全保護(hù)的需求����。直到今天,互聯(lián)網(wǎng)技術(shù)仍然存在不少安全漏洞問題尚未解決�,而移動(dòng)互聯(lián)網(wǎng)已經(jīng)開始風(fēng)靡全球。不可否認(rèn)���,移動(dòng)互聯(lián)網(wǎng)技術(shù)全方位改善了金融服務(wù)����。如果說互聯(lián)網(wǎng)技術(shù)將銀行服務(wù)從網(wǎng)點(diǎn)延伸到了有互聯(lián)網(wǎng)連接的任何地點(diǎn),那么移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及則將商業(yè)銀行業(yè)務(wù)服務(wù)空間拓展到極致�����?���?蛻糁灰獡碛幸慌_(tái)可以上網(wǎng)的移動(dòng)終端����,即可隨時(shí)隨地辦理各類銀行業(yè)務(wù)。雖然目前公眾對(duì)信息安全的關(guān)注已經(jīng)遠(yuǎn)遠(yuǎn)超過了互聯(lián)網(wǎng)誕生的年代���,但移動(dòng)互聯(lián)網(wǎng)的安全形勢(shì)仍不容樂觀���。
2016年CNCERT監(jiān)測(cè)發(fā)現(xiàn)移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量為2053501個(gè),分別是2015年�����、2014年�����、2013年、2012年���、2011年監(jiān)測(cè)發(fā)現(xiàn)數(shù)量的1.39倍��、2.15倍����、2.92倍����、12.6倍和328.61倍,已經(jīng)連續(xù)7年高速增長���;而與此形成鮮明對(duì)比的是傳統(tǒng)的木馬感染����、DDoS攻擊等安全威脅數(shù)量均有所下降�。因此,移動(dòng)互聯(lián)網(wǎng)技術(shù)可能仍然無法擺脫先“應(yīng)用”后“安全”的宿命�����;但有了互聯(lián)網(wǎng)發(fā)展的前車之鑒,移動(dòng)互聯(lián)網(wǎng)安全性提升的速度勢(shì)必會(huì)大大加快�����。
2��、傳統(tǒng)安全手段無法有效應(yīng)對(duì)新安全威脅
常見的安全防御手段主要針對(duì)傳統(tǒng)業(yè)務(wù)和技術(shù)架構(gòu)進(jìn)行設(shè)計(jì)和部署�����,而新技術(shù)往往采用了新的架構(gòu)�,給業(yè)務(wù)模式帶來了新變化。當(dāng)業(yè)務(wù)和架構(gòu)發(fā)生變化后�����,原有安全防御手段可能無法完全滿足新環(huán)境下安全保障的需求�。
例如�����,在系統(tǒng)安全方面�����,云計(jì)算由于其高可靠性、動(dòng)態(tài)可擴(kuò)展性����、超強(qiáng)計(jì)算和存儲(chǔ)、虛擬化技術(shù)和低成本等特點(diǎn)獲得了越來越廣泛的應(yīng)用�����,同時(shí)也使得原有安全方案難以滿足云計(jì)算環(huán)境下的租戶角色信任��、隱私數(shù)據(jù)保護(hù)等安全需求��,安全風(fēng)險(xiǎn)可能快速蔓延�����。在網(wǎng)絡(luò)安全方面����,為了滿足越來越多的信息流動(dòng)和新業(yè)務(wù)需求,網(wǎng)絡(luò)邊界變得越來越模糊���,通信數(shù)據(jù)流也隨著業(yè)務(wù)的變化而變化�,傳統(tǒng)的“網(wǎng)絡(luò)邊界防護(hù)+固定安全策略”的模式可能已經(jīng)無法滿足信息化發(fā)展的需要�。在數(shù)據(jù)安全方面�����,過去通常采用數(shù)據(jù)分級(jí)���、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)加密等方式來防止數(shù)據(jù)安全性遭到破壞�;而在大數(shù)據(jù)場(chǎng)景下,數(shù)據(jù)內(nèi)容不停衍化����,數(shù)據(jù)邊界日益模糊,訪問主體和客體關(guān)系異常復(fù)雜�����,硬件性能更是無法滿足海量數(shù)據(jù)的加解密需求�,以上特點(diǎn)導(dǎo)致了傳統(tǒng)手段已無法應(yīng)對(duì)新的數(shù)據(jù)安全問題�����。
3�、新研發(fā)模式導(dǎo)致了更多的系統(tǒng)缺陷
自互聯(lián)網(wǎng)金融元年以來,各大商業(yè)銀行反應(yīng)迅速���,深入學(xué)習(xí)互聯(lián)網(wǎng)思維�����,全身心投入到互聯(lián)網(wǎng)金融的研究和應(yīng)用中���。互聯(lián)網(wǎng)思維以“用戶體驗(yàn)”為中心���,以對(duì)需求的快速響應(yīng)搶占市場(chǎng)先機(jī),并持續(xù)通過擴(kuò)大客戶群體和保持客戶黏性獲得優(yōu)勢(shì)市場(chǎng)地位��。商業(yè)銀行為了快速響應(yīng)市場(chǎng)需求變化���,需要改變現(xiàn)有的系統(tǒng)研發(fā)模式��,縮短系統(tǒng)研發(fā)時(shí)間和流程��。
在傳統(tǒng)的開發(fā)模式下���,一個(gè)應(yīng)用系統(tǒng)從需求研制到投產(chǎn)上線,在所有環(huán)節(jié)中都嵌入了各類安全活動(dòng)�����,包括安全需求分析、安全架構(gòu)設(shè)計(jì)�、代碼安全檢查、應(yīng)用安全測(cè)試等���。但為了確??焖偕暇€�,項(xiàng)目研發(fā)時(shí)間被壓縮,應(yīng)用系統(tǒng)可能未經(jīng)過充分的安全設(shè)計(jì)和測(cè)試就迫于業(yè)務(wù)壓力匆忙上線�。此類系統(tǒng)往往存在更多的缺陷,難免在上線后出現(xiàn)各類安全漏洞�����。與此同時(shí)�����,科技人員為了修復(fù)系統(tǒng)缺陷�,不得不多次將更新后的軟件版本重新發(fā)布到生產(chǎn)環(huán)境,這又成為了另一個(gè)不利于生產(chǎn)運(yùn)行環(huán)境安全穩(wěn)定的因素����。
二��、新形勢(shì)下商業(yè)銀行信息安全風(fēng)險(xiǎn)應(yīng)對(duì)策略建議
習(xí)近平總書記曾經(jīng)說過:“堅(jiān)持用發(fā)展的辦法解決前進(jìn)中的問題?�!?/strong>信息化潮流不可逆轉(zhuǎn)����,商業(yè)銀行如果想保持核心競(jìng)爭力,在未來激烈的市場(chǎng)競(jìng)爭中占有一席之地�����,就必須堅(jiān)持運(yùn)用科技手段不斷提升服務(wù)和產(chǎn)品質(zhì)量�����。而面對(duì)信息化建設(shè)過程中帶來的信息安全風(fēng)險(xiǎn)���,商業(yè)銀行應(yīng)當(dāng)加強(qiáng)頂層規(guī)劃和整體設(shè)計(jì)��,從治理��、管理����、機(jī)制等多方面入手���,多管齊下����、多措并舉,做到“以安全保發(fā)展����、以發(fā)展促安全”。
1�、加強(qiáng)信息科技基礎(chǔ)性管理工作
無論信息科技工作的環(huán)境發(fā)生什么樣的變化,信息科技工作的本質(zhì)和基本原理并不會(huì)變����。加強(qiáng)信息科技基礎(chǔ)性管理、提升管理精細(xì)化水平永遠(yuǎn)是控制信息安全風(fēng)險(xiǎn)的最有效手段��。例如��,在系統(tǒng)研發(fā)階段����,只要項(xiàng)目的需求管理、質(zhì)量管理�����、風(fēng)險(xiǎn)管理��、進(jìn)度管理等各個(gè)環(huán)節(jié)嚴(yán)格遵照標(biāo)準(zhǔn)和制度要求�,無論是采用瀑布模型還是敏捷開發(fā),都可以做到確保良好的開發(fā)質(zhì)量�����,盡可能降低系統(tǒng)帶病運(yùn)行的風(fēng)險(xiǎn);在系統(tǒng)運(yùn)行階段�,只要嚴(yán)格遵守安全制度要求,切實(shí)落實(shí)安全運(yùn)營���、安全監(jiān)測(cè)��、安全預(yù)警�、應(yīng)急響應(yīng)等各個(gè)環(huán)節(jié)工作要求�����,即使系統(tǒng)出現(xiàn)安全漏洞�����,也能夠迅速化解風(fēng)險(xiǎn)����,保護(hù)系統(tǒng)正常運(yùn)行����。因此���,加強(qiáng)信息科技基礎(chǔ)性管理是修煉提升內(nèi)功�����,這樣才能以不變應(yīng)萬變�����,坦然面對(duì)外部安全風(fēng)險(xiǎn)形勢(shì)變化�。
2����、充分運(yùn)用新技術(shù)應(yīng)對(duì)新安全問題
商業(yè)銀行必須充分預(yù)判和挖掘大數(shù)據(jù)、云計(jì)算�、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)存在的信息安全風(fēng)險(xiǎn),確保新技術(shù)的應(yīng)用不會(huì)造成重大客戶信息泄露和資金損失�。同時(shí),商業(yè)銀行還應(yīng)該意識(shí)到新技術(shù)可以提升信息安全保障能力的另一面,積極研究大數(shù)據(jù)���、云計(jì)算��、人工智能等在信息安全態(tài)勢(shì)感知����、信息安全威脅情報(bào)分析、信息安全策略集中管控等方面的應(yīng)用��,推動(dòng)信息安全防御和信息安全事件響應(yīng)工作向著縱深化���、智能化���、快速化的方向發(fā)展。
3�����、加快推進(jìn)信息安全人才隊(duì)伍建設(shè)
信息安全保障工作高度依賴于人的能力��。一支技術(shù)水平高、經(jīng)驗(yàn)豐富����、戰(zhàn)斗力強(qiáng)的信息安全人才隊(duì)伍是商業(yè)銀行做好信息安全工作的前提條件。與此同時(shí)���,由于合格的信息安全從業(yè)人員既需要具備全面扎實(shí)的理論基礎(chǔ)����,又離不開豐富的實(shí)踐經(jīng)驗(yàn)�,培養(yǎng)信息安全人才往往需要花費(fèi)數(shù)年時(shí)間。因此�����,商業(yè)銀行應(yīng)該高度重視信息安全人才培養(yǎng)工作��,通過采用內(nèi)部傳承和引入行業(yè)內(nèi)高端人才相結(jié)合的方式���,打造一支高水平的信息安全團(tuán)隊(duì)�。
新形勢(shì)下商業(yè)銀行面臨諸多挑戰(zhàn)���,國家經(jīng)濟(jì)增速減緩����、經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型、利率市場(chǎng)化�����、互聯(lián)網(wǎng)金融沖擊等因素決定了在未來較長一段時(shí)間內(nèi)�����,商業(yè)銀行面臨著一段艱難的轉(zhuǎn)型調(diào)整之路�。隨著信息安全風(fēng)險(xiǎn)管控形勢(shì)日益嚴(yán)峻����,信息科技部門更是面臨安全和發(fā)展的雙重挑戰(zhàn)。但無論內(nèi)外部環(huán)境如何變化�,機(jī)遇總是和風(fēng)險(xiǎn)并存。因此��,只要商業(yè)銀行正視信息安全風(fēng)險(xiǎn)�,合理平衡信息化建設(shè)和信息安全之間的關(guān)系,就能夠借助新的信息技術(shù)浪潮再次揚(yáng)帆遠(yuǎn)航��,迎來商業(yè)銀行發(fā)展的新篇章����。
麥亞信專注金融��、保險(xiǎn)科技11年��,旨在為專業(yè)面向金融����、保險(xiǎn)及大型集團(tuán)企業(yè)提供專業(yè)面向金融�、保險(xiǎn)及大型集團(tuán)企業(yè)提供專業(yè)面向金融、保險(xiǎn)及大型集團(tuán)企業(yè)提供智能風(fēng)控解決方案�、麥亞信保險(xiǎn)SOA、麥亞信保險(xiǎn)網(wǎng)銷��、保險(xiǎn)經(jīng)紀(jì)��、麥亞信規(guī)則引擎����、麥亞信小貸管理系統(tǒng)等行業(yè)解決方案,秉承“以客戶需求為中心”勵(lì)志成為金融行業(yè)中專業(yè)�、優(yōu)質(zhì)的解決方案綜合提供商之一。
【轉(zhuǎn)自:億歐網(wǎng) 作者:霍寶東 如有侵權(quán),請(qǐng)聯(lián)系刪除】
400-116-1960