對金融信息安全的四個看(kàn)法

　　金融信息安全是老話(huà)題，是個持續性改進的領域。就(jiù)以下四個方面，談一下個人(rén)的體(tǐ)會和建議(yì)。

一、人(rén)民(mín)銀行關于信息安全的指導思想

　　對信息安全，人(rén)民(mín)銀行的思路(lù)和國(guó)家的思路(lù)是一緻的。2012年(nián)，中國(guó)人(rén)民(mín)銀行發布了《金融行業信息系統信息安全等級保護實施指引》(銀發 163文件(jiàn))等三項行業标準，把等級保護的實施指引、測評指南(nán)、安全指引等三項規範，通過金融行業标準0071到0073這三個标準規範文件(jiàn)落地，明确了金融行業信息安全等級保護制度。這不僅和國(guó)家的信息安全政策相(xiàng)一緻，也是人(rén)民(mín)銀行在信息安全工(gōng)作(zuò)上的一個重要制度安排。

　　這一制度安排适應了銀行業在2006年(nián)全面完成數據大(dà)集中的時代變化，并在2012年(nián)等級保護規範落地制度化明确。2013年(nián)6月，電商跨界金融業務的一個标志性事(shì)件(jiàn)——餘額寶的推出，對銀行業造成了很大(dà)的沖擊。表面上是大(dà)量存款搬家，實質上是互聯網金融給銀行業帶來(lái)了全新的變化和挑戰。

二、金融科(kē)技新變化的挑戰

　　由此引申出第二個問(wèn)題，即金融科(kē)技的創新技術(shù)、業務帶來(lái)的挑戰。2013年(nián)到2015年(nián)，我國(guó)互聯網金融發展得(de)非常迅速。但(dàn)在E租寶，泛亞一系列欺詐、非法集資事(shì)件(jiàn)出現後，互聯網金融受到重大(dà)挫折和負面影(yǐng)響。國(guó)家啓動了一年(nián)多時間的整頓，成立了中國(guó)互聯網金融協會。2016年(nián)8月24日(rì)，銀監會正式發布四部委聯合起草的《網絡借貸信息中介機(jī)構業務活動管理(lǐ)暫行辦法》，加上較早時期人(rén)民(mín)銀行、證監會、保監會頒發的文件(jiàn)，互聯網金融行業性監管框架初步形成。

　　互聯網金融深入演變以及新興技術(shù)的創新發展，形成了Fintech金融科(kē)技。金融科(kē)技有六個主要技術(shù)，移動互聯網、雲計(jì)算、大(dà)數據、生(shēng)物識别、人(rén)工(gōng)智能(AI)、區塊鏈(Blockchain)。這六個技術(shù)的成熟度不一，人(rén)工(gōng)智能和區塊鏈目前還(hái)處于早期的産業化階段。

　　這些新興技術(shù)标志着銀行的信息化建設到了金融科(kē)技——一個完全智能化的時代，也帶來(lái)了信息安全方面新的挑戰。最主要的兩個挑戰是移動互聯網和雲計(jì)算引入。銀行要“互聯網+”，大(dà)力發展移動金融業務，力圖将線下網點的客戶導流到線上網銀和手機(jī)銀行。于是，直銷銀行要推廣，強化手機(jī)銀行APP，向支付寶學習，接入各種線上生(shēng)活服務場景。這樣一來(lái)以前數據大(dà)集中時代隻需面對櫃員(yuán)系統、POS機(jī)、ATM機(jī)等專網系統的銀行，如(rú)今連接了越來(lái)越多的諸如(rú)電商、生(shēng)活服務等外接系統，越來(lái)越深入到互聯網生(shēng)态世界。一家銀行甚至能連接上千家外接系統，系統架構非常複雜。此外，線上業務現在是一年(nián)365天24小時服務，公衆對銀行服務的容忍度越來(lái)越小，系統稍有問(wèn)題就(jiù)會成爲社會事(shì)件(jiàn)。

　　雲計(jì)算所帶來(lái)的主要問(wèn)題是安全邊界模糊。衆所周知雲計(jì)算是分(fēn)布式架構的計(jì)算體(tǐ)系，銀行業目前還(hái)處在一個向分(fēn)布式架構體(tǐ)系發展的過程，是一個集中和分(fēn)布式兼有的混合架構。而分(fēn)布式架構是開放(fàng)、開源的，計(jì)算、存儲、網絡資源都(dōu)是共享的，加上互聯網開門(mén)引流，過去(qù)等級保護下的縱深防護、邊界防護就(jiù)面臨着難以爲繼的問(wèn)題。

　　另外，銀行和互聯網金融企業一樣，客戶要下沉，消費金融、供應鏈金融都(dōu)要做，這樣就(jiù)帶來(lái)信息洩露和信息濫用的問(wèn)題。信息洩露在當前社會整個環境的強力打壓下，目前得(de)到了遏制。但(dàn)信息濫用在新金融環境下問(wèn)題非常突出，特别是在消費金融領域。

　　這些變化對銀行來(lái)講，單憑自(zì)身(shēn)的力量，甚至包括行業的力量都(dōu)很難解決，需要認真去(qù)研究。

三、監管科(kē)技如(rú)何應對新變化

　　第三點是應對思路(lù)的變化。面臨這些挑戰，人(rén)民(mín)銀行成立了金融科(kē)技監管委員(yuán)會，明确提出RegTech即監管科(kē)技的思路(lù)。金融現在不僅僅是銀行、證券、保險機(jī)構的業務，社會上資金很多，科(kē)技企業有新的技術(shù)，社會資本就(jiù)會投入，理(lǐ)論上都(dōu)可(kě)以去(qù)做金融業務。這些非金融機(jī)構或科(kē)技企業，創新金融服務能普惠到過去(qù)銀行服務不到的許多消費者，新技術(shù)、新金融的趨勢是擋不住的。P2P整治一年(nián)來(lái)，雖然機(jī)構少了，但(dàn)放(fàng)貸出去(qù)的餘額不減反增，表明我國(guó)金融供給還(hái)存在着短(duǎn)缺。

　　在這種趨勢下，這些非金融機(jī)構也必須要接入監管機(jī)關的監管系統。央行範一飛副行長曾表示，人(rén)民(mín)銀行科(kē)技轉型有兩個突破，一個是分(fēn)布式架構，一個是大(dà)數據，要抓好這兩個突破。所以人(rén)民(mín)銀行未來(lái)也會做分(fēn)布式架構，做大(dà)數據分(fēn)析，把自(zì)己的IT體(tǐ)系對外向商業銀行，向社會非金融機(jī)構對接。但(dàn)這個對接和過去(qù)的銀行業務網對接不同，銀行業務網跟互聯網是邏輯隔離(lí)，互聯網的端口、流量也很少，現在已經有了很大(dà)的變化，所以對于央行來(lái)講，新技術(shù)、新金融帶來(lái)的安全挑戰也十分(fēn)明顯。

　　面對新的安全挑戰，有一些做法還(hái)是要堅持，例如(rú)等級保護，但(dàn)如(rú)何與時俱進延續到新的變化體(tǐ)系下，是我們需要探討(tǎo)和研究的。等級保護對數據大(dà)集中的時代是有效的，對銀行整體(tǐ)的信息化安全水平有着明顯的提升，新的變化時代，仍要堅持等級保護的信念。

　　怎麽堅持等級保護好的做法，揚棄或者更新一些不适宜時代發展的東西，有幾個建議(yì)可(kě)供大(dà)家參考。一是金融系統已經開放(fàng)性地融入互聯網生(shēng)态，如(rú)何面對互聯網上的負面流量，如(rú)惡意攻擊、掃描探測、交易欺詐?這些負面流量往往是非對稱性的，金融機(jī)構從(cóng)技術(shù)管理(lǐ)上要做到全面防護，投入大(dà)量人(rén)力物力，但(dàn)是攻擊者大(dà)多隻是用簡單的技術(shù)手段、随機(jī)進行攻擊。對這個問(wèn)題，建議(yì)要盡快(kuài)修訂0071到0073等保三個标準規範，考慮引進Honeynet(蜜網)、Honeypot(蜜罐)技術(shù)，對外部流量全面進行監視、檢測和攻擊分(fēn)析，好的流量就(jiù)引入到應用系統，有問(wèn)題的流量就(jiù)進行更深入地分(fēn)析、證據收集。

　　第二，現在各種IT設備包括安全設備都(dōu)在虛拟化，如(rú)虛拟化的WAF、虛拟化的加密機(jī)等。銀行互聯網平台應用系統往往多達上百個，大(dà)多是二級等保，個别是三級，也有一級的，對虛拟化安全性這塊該怎麽來(lái)要求?三級系統與低級等保系統虛拟機(jī)隔離(lí)之間是不是要加蜜罐來(lái)預防側通道攻擊?這些要否帶進新的規範，來(lái)指導過去(qù)常說(shuō)的信息化建設的五大(dà)架構體(tǐ)系：業務架構、應用架構、數據架構、技術(shù)架構、以及更爲重要的安全架構。過去(qù)的安全架構是基于等保規範的，現在安全架構要完全按照(zhào)等保做，就(jiù)無法更好地去(qù)實現雲計(jì)算和大(dà)數據應用。

　　不僅是虛拟化，對大(dà)量的外接平台，都(dōu)可(kě)以繼承過去(qù)等級保護的思路(lù)，可(kě)以通過修訂規範，對互聯系統實體(tǐ)、網絡通道、API安全要求做到規範明确。金融科(kē)技不僅重構了銀行業态，對銀行的信息系統架構也是個重構，在這個重構的過程中一定要把安全架構做好。

四、金融領域的自(zì)主可(kě)控

　　自(zì)主可(kě)控在金融領域很重要，銀行卡、網銀國(guó)産密碼推廣應用就(jiù)是個很典型的例子。但(dàn)到了新的時代，自(zì)主可(kě)控的很多問(wèn)題銀行自(zì)己可(kě)能也無法應對。比如(rú)個人(rén)信息保護、信息濫用的問(wèn)題，就(jiù)得(de)從(cóng)法律層面上來(lái)解決。那麽上面提到的一些新的技術(shù)，如(rú)蜜網、蜜罐，如(rú)何做到自(zì)主可(kě)控?産業界應該拿出具體(tǐ)解決方案，經過權威測評中心的檢測認可(kě)，達到等保的相(xiàng)關要求，提供給銀行。

　　此外，在新的金融科(kē)技時代，大(dà)、中銀行還(hái)有餘地來(lái)創新發展，但(dàn)小銀行則感到非常吃(chī)力。例如(rú)雲計(jì)算的最大(dà)優點就(jiù)是提供雲服務，但(dàn)對金融雲服務的監管現在還(hái)是一種糾結的狀态，小銀行能不能在第三方的阿裡(lǐ)雲、騰訊雲，甚至在社會的一些雲上得(de)到托管服務?監管機(jī)關目前并沒有許可(kě)，我認爲中小銀行可(kě)能要走一種行業雲或者是公有雲來(lái)實現自(zì)己信息化徹底重構變身(shēn)的道路(lù)。按照(zhào)過去(qù)自(zì)己建系統的思路(lù)，人(rén)才财力物力乃至新技術(shù)都(dōu)力所不及，那麽建設的系統水平也可(kě)想而知。

　　再次，現在新技術(shù)發展日(rì)新月異，有一些重大(dà)的安全技術(shù)需要國(guó)家來(lái)主持攻關。例如(rú)同态加密技術(shù)，如(rú)果能解決并且能夠自(zì)主可(kě)控，中小銀行就(jiù)可(kě)以把它的業務系統托管到安全的雲上。完全靠銀行自(zì)身(shēn)解決業務上公有雲安全問(wèn)題是不現實的，四大(dà)行對此都(dōu)有些力不從(cóng)心。如(rú)果類似同态加密的技術(shù)問(wèn)題解決了，公有雲也達到等保三級的要求，銀行數據安全、運用安全用同态加密技術(shù)能保障，監管部門(mén)至少可(kě)以在技術(shù)上放(fàng)心，中小銀行也可(kě)以順利地引進金融業務外包第三方服務，充分(fēn)利用安全的新技術(shù)，從(cóng)而把發展重心放(fàng)在自(zì)己擅長的領域。