對金融信息安全的四個看(kàn)法
發布時間:
2017-12-27
來(lái)源:
金融信息安全是老話(huà)題,是個持續性改進的領域。就(jiù)以下四個方面,談一下個人(rén)的體(tǐ)會和建議(yì)。
一、人(rén)民(mín)銀行關于信息安全的指導思想
對信息安全,人(rén)民(mín)銀行的思路(lù)和國(guó)家的思路(lù)是一緻的。2012年(nián),中國(guó)人(rén)民(mín)銀行發布了《金融行業信息系統信息安全等級保護實施指引》(銀發 163文件(jiàn))等三項行業标準,把等級保護的實施指引、測評指南(nán)、安全指引等三項規範,通過金融行業标準0071到0073這三個标準規範文件(jiàn)落地,明确了金融行業信息安全等級保護制度。這不僅和國(guó)家的信息安全政策相(xiàng)一緻,也是人(rén)民(mín)銀行在信息安全工(gōng)作(zuò)上的一個重要制度安排。
這一制度安排适應了銀行業在2006年(nián)全面完成數據大(dà)集中的時代變化,并在2012年(nián)等級保護規範落地制度化明确。2013年(nián)6月,電商跨界金融業務的一個标志性事(shì)件(jiàn)——餘額寶的推出,對銀行業造成了很大(dà)的沖擊。表面上是大(dà)量存款搬家,實質上是互聯網金融給銀行業帶來(lái)了全新的變化和挑戰。
二、金融科(kē)技新變化的挑戰
由此引申出第二個問(wèn)題,即金融科(kē)技的創新技術(shù)、業務帶來(lái)的挑戰。2013年(nián)到2015年(nián),我國(guó)互聯網金融發展得(de)非常迅速。但(dàn)在E租寶,泛亞一系列欺詐、非法集資事(shì)件(jiàn)出現後,互聯網金融受到重大(dà)挫折和負面影(yǐng)響。國(guó)家啓動了一年(nián)多時間的整頓,成立了中國(guó)互聯網金融協會。2016年(nián)8月24日(rì),銀監會正式發布四部委聯合起草的《網絡借貸信息中介機(jī)構業務活動管理(lǐ)暫行辦法》,加上較早時期人(rén)民(mín)銀行、證監會、保監會頒發的文件(jiàn),互聯網金融行業性監管框架初步形成。
互聯網金融深入演變以及新興技術(shù)的創新發展,形成了Fintech金融科(kē)技。金融科(kē)技有六個主要技術(shù),移動互聯網、雲計(jì)算、大(dà)數據、生(shēng)物識别、人(rén)工(gōng)智能(AI)、區塊鏈(Blockchain)。這六個技術(shù)的成熟度不一,人(rén)工(gōng)智能和區塊鏈目前還(hái)處于早期的産業化階段。
這些新興技術(shù)标志着銀行的信息化建設到了金融科(kē)技——一個完全智能化的時代,也帶來(lái)了信息安全方面新的挑戰。最主要的兩個挑戰是移動互聯網和雲計(jì)算引入。銀行要“互聯網+”,大(dà)力發展移動金融業務,力圖将線下網點的客戶導流到線上網銀和手機(jī)銀行。于是,直銷銀行要推廣,強化手機(jī)銀行APP,向支付寶學習,接入各種線上生(shēng)活服務場景。這樣一來(lái)以前數據大(dà)集中時代隻需面對櫃員(yuán)系統、POS機(jī)、ATM機(jī)等專網系統的銀行,如(rú)今連接了越來(lái)越多的諸如(rú)電商、生(shēng)活服務等外接系統,越來(lái)越深入到互聯網生(shēng)态世界。一家銀行甚至能連接上千家外接系統,系統架構非常複雜。此外,線上業務現在是一年(nián)365天24小時服務,公衆對銀行服務的容忍度越來(lái)越小,系統稍有問(wèn)題就(jiù)會成爲社會事(shì)件(jiàn)。
雲計(jì)算所帶來(lái)的主要問(wèn)題是安全邊界模糊。衆所周知雲計(jì)算是分(fēn)布式架構的計(jì)算體(tǐ)系,銀行業目前還(hái)處在一個向分(fēn)布式架構體(tǐ)系發展的過程,是一個集中和分(fēn)布式兼有的混合架構。而分(fēn)布式架構是開放(fàng)、開源的,計(jì)算、存儲、網絡資源都(dōu)是共享的,加上互聯網開門(mén)引流,過去(qù)等級保護下的縱深防護、邊界防護就(jiù)面臨着難以爲繼的問(wèn)題。
另外,銀行和互聯網金融企業一樣,客戶要下沉,消費金融、供應鏈金融都(dōu)要做,這樣就(jiù)帶來(lái)信息洩露和信息濫用的問(wèn)題。信息洩露在當前社會整個環境的強力打壓下,目前得(de)到了遏制。但(dàn)信息濫用在新金融環境下問(wèn)題非常突出,特别是在消費金融領域。
這些變化對銀行來(lái)講,單憑自(zì)身(shēn)的力量,甚至包括行業的力量都(dōu)很難解決,需要認真去(qù)研究。
三、監管科(kē)技如(rú)何應對新變化
第三點是應對思路(lù)的變化。面臨這些挑戰,人(rén)民(mín)銀行成立了金融科(kē)技監管委員(yuán)會,明确提出RegTech即監管科(kē)技的思路(lù)。金融現在不僅僅是銀行、證券、保險機(jī)構的業務,社會上資金很多,科(kē)技企業有新的技術(shù),社會資本就(jiù)會投入,理(lǐ)論上都(dōu)可(kě)以去(qù)做金融業務。這些非金融機(jī)構或科(kē)技企業,創新金融服務能普惠到過去(qù)銀行服務不到的許多消費者,新技術(shù)、新金融的趨勢是擋不住的。P2P整治一年(nián)來(lái),雖然機(jī)構少了,但(dàn)放(fàng)貸出去(qù)的餘額不減反增,表明我國(guó)金融供給還(hái)存在着短(duǎn)缺。
在這種趨勢下,這些非金融機(jī)構也必須要接入監管機(jī)關的監管系統。央行範一飛副行長曾表示,人(rén)民(mín)銀行科(kē)技轉型有兩個突破,一個是分(fēn)布式架構,一個是大(dà)數據,要抓好這兩個突破。所以人(rén)民(mín)銀行未來(lái)也會做分(fēn)布式架構,做大(dà)數據分(fēn)析,把自(zì)己的IT體(tǐ)系對外向商業銀行,向社會非金融機(jī)構對接。但(dàn)這個對接和過去(qù)的銀行業務網對接不同,銀行業務網跟互聯網是邏輯隔離(lí),互聯網的端口、流量也很少,現在已經有了很大(dà)的變化,所以對于央行來(lái)講,新技術(shù)、新金融帶來(lái)的安全挑戰也十分(fēn)明顯。
面對新的安全挑戰,有一些做法還(hái)是要堅持,例如(rú)等級保護,但(dàn)如(rú)何與時俱進延續到新的變化體(tǐ)系下,是我們需要探討(tǎo)和研究的。等級保護對數據大(dà)集中的時代是有效的,對銀行整體(tǐ)的信息化安全水平有着明顯的提升,新的變化時代,仍要堅持等級保護的信念。
怎麽堅持等級保護好的做法,揚棄或者更新一些不适宜時代發展的東西,有幾個建議(yì)可(kě)供大(dà)家參考。一是金融系統已經開放(fàng)性地融入互聯網生(shēng)态,如(rú)何面對互聯網上的負面流量,如(rú)惡意攻擊、掃描探測、交易欺詐?這些負面流量往往是非對稱性的,金融機(jī)構從(cóng)技術(shù)管理(lǐ)上要做到全面防護,投入大(dà)量人(rén)力物力,但(dàn)是攻擊者大(dà)多隻是用簡單的技術(shù)手段、随機(jī)進行攻擊。對這個問(wèn)題,建議(yì)要盡快(kuài)修訂0071到0073等保三個标準規範,考慮引進Honeynet(蜜網)、Honeypot(蜜罐)技術(shù),對外部流量全面進行監視、檢測和攻擊分(fēn)析,好的流量就(jiù)引入到應用系統,有問(wèn)題的流量就(jiù)進行更深入地分(fēn)析、證據收集。
第二,現在各種IT設備包括安全設備都(dōu)在虛拟化,如(rú)虛拟化的WAF、虛拟化的加密機(jī)等。銀行互聯網平台應用系統往往多達上百個,大(dà)多是二級等保,個别是三級,也有一級的,對虛拟化安全性這塊該怎麽來(lái)要求?三級系統與低級等保系統虛拟機(jī)隔離(lí)之間是不是要加蜜罐來(lái)預防側通道攻擊?這些要否帶進新的規範,來(lái)指導過去(qù)常說(shuō)的信息化建設的五大(dà)架構體(tǐ)系:業務架構、應用架構、數據架構、技術(shù)架構、以及更爲重要的安全架構。過去(qù)的安全架構是基于等保規範的,現在安全架構要完全按照(zhào)等保做,就(jiù)無法更好地去(qù)實現雲計(jì)算和大(dà)數據應用。
不僅是虛拟化,對大(dà)量的外接平台,都(dōu)可(kě)以繼承過去(qù)等級保護的思路(lù),可(kě)以通過修訂規範,對互聯系統實體(tǐ)、網絡通道、API安全要求做到規範明确。金融科(kē)技不僅重構了銀行業态,對銀行的信息系統架構也是個重構,在這個重構的過程中一定要把安全架構做好。
四、金融領域的自(zì)主可(kě)控
自(zì)主可(kě)控在金融領域很重要,銀行卡、網銀國(guó)産密碼推廣應用就(jiù)是個很典型的例子。但(dàn)到了新的時代,自(zì)主可(kě)控的很多問(wèn)題銀行自(zì)己可(kě)能也無法應對。比如(rú)個人(rén)信息保護、信息濫用的問(wèn)題,就(jiù)得(de)從(cóng)法律層面上來(lái)解決。那麽上面提到的一些新的技術(shù),如(rú)蜜網、蜜罐,如(rú)何做到自(zì)主可(kě)控?産業界應該拿出具體(tǐ)解決方案,經過權威測評中心的檢測認可(kě),達到等保的相(xiàng)關要求,提供給銀行。
此外,在新的金融科(kē)技時代,大(dà)、中銀行還(hái)有餘地來(lái)創新發展,但(dàn)小銀行則感到非常吃(chī)力。例如(rú)雲計(jì)算的最大(dà)優點就(jiù)是提供雲服務,但(dàn)對金融雲服務的監管現在還(hái)是一種糾結的狀态,小銀行能不能在第三方的阿裡(lǐ)雲、騰訊雲,甚至在社會的一些雲上得(de)到托管服務?監管機(jī)關目前并沒有許可(kě),我認爲中小銀行可(kě)能要走一種行業雲或者是公有雲來(lái)實現自(zì)己信息化徹底重構變身(shēn)的道路(lù)。按照(zhào)過去(qù)自(zì)己建系統的思路(lù),人(rén)才财力物力乃至新技術(shù)都(dōu)力所不及,那麽建設的系統水平也可(kě)想而知。
再次,現在新技術(shù)發展日(rì)新月異,有一些重大(dà)的安全技術(shù)需要國(guó)家來(lái)主持攻關。例如(rú)同态加密技術(shù),如(rú)果能解決并且能夠自(zì)主可(kě)控,中小銀行就(jiù)可(kě)以把它的業務系統托管到安全的雲上。完全靠銀行自(zì)身(shēn)解決業務上公有雲安全問(wèn)題是不現實的,四大(dà)行對此都(dōu)有些力不從(cóng)心。如(rú)果類似同态加密的技術(shù)問(wèn)題解決了,公有雲也達到等保三級的要求,銀行數據安全、運用安全用同态加密技術(shù)能保障,監管部門(mén)至少可(kě)以在技術(shù)上放(fàng)心,中小銀行也可(kě)以順利地引進金融業務外包第三方服務,充分(fēn)利用安全的新技術(shù),從(cóng)而把發展重心放(fàng)在自(zì)己擅長的領域。
|
相(xiàng)關資訊