莊華 上海交通大學(xué)信息安全工程學(xué)院
“互聯(lián)網(wǎng)+”形勢(shì)下的金融機(jī)構(gòu)正在逐步實(shí)施“互聯(lián)網(wǎng)+”相關(guān)行動(dòng)計(jì)劃,面臨的安全問(wèn)題也日益凸顯,除了互聯(lián)網(wǎng)共性的外部威脅和內(nèi)部威脅,還包括“互聯(lián)網(wǎng)+”技術(shù)融合帶來(lái)的各類(lèi)新技術(shù)風(fēng)險(xiǎn)以及金融機(jī)構(gòu)自有的安全挑戰(zhàn)。對(duì)此,金融行業(yè)機(jī)構(gòu)應(yīng)從端正認(rèn)識(shí)、完善制度建設(shè)、優(yōu)化技術(shù)、加強(qiáng)內(nèi)控、完善監(jiān)管、深化多領(lǐng)域合作等方面入手,以確保“互聯(lián)網(wǎng)+金融”的安全運(yùn)作。
在“互聯(lián)網(wǎng)+”時(shí)代,信息傳播和技術(shù)發(fā)展速度將越來(lái)越快,信息不對(duì)稱(chēng)造成的價(jià)值溢價(jià)將會(huì)逐漸消失,只有個(gè)性化和高度定制化的產(chǎn)品才會(huì)有生存空間。在國(guó)內(nèi)金融行業(yè)受長(zhǎng)期嚴(yán)格監(jiān)管和發(fā)展緩慢的情況下,尤其需要“互聯(lián)網(wǎng)+”給行業(yè)帶來(lái)的新氣息和技術(shù)創(chuàng)新,“互聯(lián)網(wǎng)+”必將成為國(guó)內(nèi)金融行業(yè)發(fā)展的新引擎。
目前系統(tǒng)業(yè)務(wù)設(shè)計(jì)缺陷、漏洞利用以及常態(tài)化的APT 攻擊是幾種最具危險(xiǎn)性的外部威脅。
1.云計(jì)算安全風(fēng)險(xiǎn)
支付寶被挖斷光纖、攜程數(shù)據(jù)被刪、藝龍?jiān)釪Dos 攻擊而宕機(jī),國(guó)內(nèi)云安全事件頻發(fā)。云計(jì)算架構(gòu)帶來(lái)便捷、廉價(jià)、可伸縮等紅利的同時(shí),其自身的脆弱性、多租戶(hù)安全問(wèn)題、云計(jì)算服務(wù)商的安全問(wèn)題等等,都需要一一面對(duì)和解決。國(guó)內(nèi)各類(lèi)企業(yè)紛紛開(kāi)展云計(jì)算使用,包括一些金融機(jī)構(gòu),但是卻很少去了解該如何控制使用云所需的工作。
2.移動(dòng)設(shè)備安全風(fēng)險(xiǎn)
金融與移動(dòng)互聯(lián)網(wǎng)的結(jié)合,使得金融行業(yè)業(yè)務(wù)接入方式更加終端化,對(duì)業(yè)務(wù)體驗(yàn)要求更高,交易方式與頻次變得更加分散,因此存在的安全安全風(fēng)險(xiǎn)更加復(fù)雜,面臨的安全威脅也更多樣化。而其中隨著惡意軟件、安全漏洞和攻擊事件層出不窮,移動(dòng)金融終端安全問(wèn)題直接關(guān)系到個(gè)人用戶(hù)的賬戶(hù)隱私和財(cái)產(chǎn)安全,成為一種巨大的安全風(fēng)險(xiǎn)。
3.大數(shù)據(jù)安全風(fēng)險(xiǎn)
大數(shù)據(jù)分析儼然目前已經(jīng)成為“互聯(lián)網(wǎng)+”產(chǎn)業(yè)發(fā)展和升級(jí)改造的流行詞,其在互聯(lián)網(wǎng)金融、電商、互聯(lián)網(wǎng)安全等多領(lǐng)域發(fā)揮著巨大作用。但是數(shù)據(jù)的合法獲取、妥善保存、合法轉(zhuǎn)讓、安全銷(xiāo)毀和隱私立法是“互聯(lián)網(wǎng)+”中需要提前規(guī)劃和考慮的重要問(wèn)題。
在管理方面,金融機(jī)構(gòu)秉承“合規(guī)”原則,內(nèi)部制定了謹(jǐn)慎全面的審批流程,管理成本較大。以信息安全方面的管理流程為例,現(xiàn)有安全防護(hù)體系部分的審批包括信息系統(tǒng)安全規(guī)劃論證、系統(tǒng)安全掃描、應(yīng)用系統(tǒng)上線安全檢測(cè)等方面,任意環(huán)節(jié)發(fā)現(xiàn)安全漏洞都需要回歸測(cè)試掃描,人力和時(shí)間成本較大。
在技術(shù)方面,主機(jī)、操作系統(tǒng)和數(shù)據(jù)庫(kù)仍然是IOE 的產(chǎn)品。眾所周知,國(guó)外商用產(chǎn)品存在技術(shù)后門(mén)等安全隱患,同時(shí)國(guó)內(nèi)技術(shù)人員因無(wú)法掌握核心技術(shù)而導(dǎo)致對(duì)國(guó)外廠商和服務(wù)的依賴(lài),造成應(yīng)用系統(tǒng)整體的開(kāi)發(fā)和運(yùn)維成本過(guò)高。因此,盡快制定符合金融機(jī)構(gòu)實(shí)際情況的去IOE 技術(shù)解決方案,也是新形勢(shì)下金融機(jī)構(gòu)所面臨的棘手問(wèn)題之一。
保持與上級(jí)行業(yè)主管單位、國(guó)家安全保障團(tuán)隊(duì)(網(wǎng)安等)的聯(lián)系,實(shí)時(shí)溝通匯報(bào);
深化與安全服務(wù)廠商和安全眾測(cè)平臺(tái)的合作,采購(gòu)信息安全專(zhuān)業(yè)的服務(wù),依靠國(guó)內(nèi)外網(wǎng)絡(luò)安全優(yōu)秀團(tuán)隊(duì)的力量來(lái)發(fā)現(xiàn)各系統(tǒng)的安全漏洞,保障信息系統(tǒng)的安全;
目前金融機(jī)構(gòu)已經(jīng)積極開(kāi)始了一些嘗試:
項(xiàng)目生命周期管理:在系統(tǒng)開(kāi)發(fā)上,通過(guò)敏捷式開(kāi)發(fā)來(lái)實(shí)現(xiàn)互聯(lián)網(wǎng)金融業(yè)務(wù)的開(kāi)發(fā)轉(zhuǎn)型,更及時(shí)響應(yīng)客戶(hù)需求,滿(mǎn)足迅速變化的市場(chǎng)環(huán)境,通過(guò)協(xié)作開(kāi)發(fā)和迭代交付,實(shí)現(xiàn)小步快跑,在不降低軟件質(zhì)量的前提下,極大縮短開(kāi)發(fā)周期。
系統(tǒng)軟硬件國(guó)產(chǎn)化:國(guó)家層面已經(jīng)做出了一些戰(zhàn)略指導(dǎo),等級(jí)保護(hù)提出三級(jí)以上系統(tǒng)應(yīng)當(dāng)使用國(guó)產(chǎn)安全產(chǎn)品,國(guó)家密碼管理局和人民銀行要求推廣使用國(guó)產(chǎn)密碼算法等。在系統(tǒng)構(gòu)架建設(shè)時(shí)應(yīng)強(qiáng)調(diào)自主可控,積極發(fā)展軟硬件產(chǎn)品的國(guó)產(chǎn)化。
開(kāi)源軟件:積極使用開(kāi)源軟件替代各類(lèi)應(yīng)用商業(yè)軟件。開(kāi)源軟件往往價(jià)格低廉甚至免費(fèi),而且有比較完善的應(yīng)用框架,僅需要投入適量的人力、物力對(duì)其深度定制即可接近或超過(guò)價(jià)格昂貴的商業(yè)軟件所能達(dá)到的效果;同時(shí),因?yàn)檐浖创a的公開(kāi),軟件使用者對(duì)代碼內(nèi)可能存在的漏洞、后門(mén)、性能瓶頸均能了如指掌。
安全加密:金融機(jī)構(gòu)已經(jīng)在積極推廣使用數(shù)字證書(shū)技術(shù)。數(shù)字證書(shū)技術(shù)仍然是目前公認(rèn)的最安全的信息安全技術(shù),隨著國(guó)產(chǎn)加密算法技術(shù)的不斷發(fā)展和積極推廣,“相關(guān)性能瓶頸和兼容性問(wèn)題也越來(lái)越少,目前在金融行業(yè)使用國(guó)密的應(yīng)用也越來(lái)越多”,因此在“互聯(lián)網(wǎng)+金融”背景下,深入推廣與創(chuàng)新數(shù)字證書(shū)技術(shù),特別是國(guó)密證書(shū)的應(yīng)用,依然是一個(gè)最佳且不可或缺的選擇。
網(wǎng)絡(luò)安全應(yīng)急管理應(yīng)做到及時(shí)發(fā)現(xiàn),及早預(yù)警,全面追蹤和有效處置。國(guó)內(nèi)互聯(lián)網(wǎng)金融行業(yè)應(yīng)建立多層次和覆蓋廣的安全檢測(cè)體系,整合行業(yè)資源和安全資源,解決基礎(chǔ)資源分散、未知漏洞和未知攻擊監(jiān)測(cè)能力不足的問(wèn)題,實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)全面感知的能力。
“互聯(lián)網(wǎng)+”的發(fā)展已經(jīng)使得金融行業(yè)的信息化水平不斷提高,因此加快推行信息安全的合規(guī)性是當(dāng)前金融業(yè)刻不容緩的事情:合規(guī)不能保證系統(tǒng)永遠(yuǎn)安全,永遠(yuǎn)不出安全事件,但是,做好基本的信息安全防御工作,將有利于減少信息安全事件發(fā)生的可能性③。
目前國(guó)內(nèi)金融行業(yè)內(nèi)一項(xiàng)最重要的法律法規(guī)就是信息安全的等級(jí)保護(hù)制度,隨著等級(jí)保護(hù)制度多年的發(fā)展,目前其已經(jīng)發(fā)展為主管部門(mén)銀監(jiān)會(huì)和人民銀行對(duì)金融企業(yè)是否達(dá)到基準(zhǔn)的合規(guī)性要求的重要參照指標(biāo)。大部分金融機(jī)構(gòu)從2010 年開(kāi)展等級(jí)保護(hù)工作,至今相關(guān)系統(tǒng)測(cè)評(píng)符合率已經(jīng)較高,但是仍應(yīng)結(jié)合自身業(yè)務(wù)特點(diǎn)和信息安全現(xiàn)狀,修改和完善相關(guān)信息安全法規(guī),并加強(qiáng)日常信息安全管理和監(jiān)督工作。
目前金融行業(yè)業(yè)務(wù)安全設(shè)計(jì)沒(méi)有完善的理論,相關(guān)資料較少,因此不斷借鑒優(yōu)化同行業(yè)做法、提高業(yè)務(wù)設(shè)計(jì)人員自身的信息安全素養(yǎng)是目前為數(shù)不多的可行方法。在“互聯(lián)網(wǎng)+”時(shí)代,在技術(shù)無(wú)法保證100%安全的前提下,業(yè)務(wù)人員是否重視業(yè)務(wù)安全設(shè)計(jì)的重要性,也是金融機(jī)構(gòu)業(yè)務(wù)是否能長(zhǎng)期持續(xù)發(fā)展的關(guān)鍵。
隨著信息技術(shù)的發(fā)展,可機(jī)讀危險(xiǎn)情報(bào)(MRTI)使得對(duì)高級(jí)威脅的快速防護(hù)成為可能,成為銜接安全大數(shù)據(jù)與企業(yè)的紐帶。金融行業(yè)內(nèi)企業(yè)應(yīng)與信息安全公司合作,加強(qiáng)自身和行業(yè)內(nèi)其他企業(yè)的整體流量還原和日志存儲(chǔ)能力,固化所有攻擊證據(jù),做到可回溯。而同時(shí)信息安全公司應(yīng)利用大數(shù)據(jù)分析和挖掘技術(shù),有效、快速地發(fā)現(xiàn)未知威脅,即威脅情報(bào)。同時(shí)對(duì)企業(yè)內(nèi)部各層數(shù)據(jù)進(jìn)行采集和存儲(chǔ),通過(guò)異常行為分析等措施快速定位各類(lèi)風(fēng)險(xiǎn)和威脅,阻擋惡意行為,識(shí)別合法業(yè)務(wù)行為。