“互聯(lián)網(wǎng)+”形勢(shì)下的金融行業(yè)信息安全思考

莊華 上海交通大學(xué)信息安全工程學(xué)院

“互聯(lián)網(wǎng)+”形勢(shì)下的金融機(jī)構(gòu)正在逐步實(shí)施“互聯(lián)網(wǎng)+”相關(guān)行動(dòng)計(jì)劃，面臨的安全問(wèn)題也日益凸顯，除了互聯(lián)網(wǎng)共性的外部威脅和內(nèi)部威脅，還包括“互聯(lián)網(wǎng)+”技術(shù)融合帶來(lái)的各類(lèi)新技術(shù)風(fēng)險(xiǎn)以及金融機(jī)構(gòu)自有的安全挑戰(zhàn)。對(duì)此，金融行業(yè)機(jī)構(gòu)應(yīng)從端正認(rèn)識(shí)、完善制度建設(shè)、優(yōu)化技術(shù)、加強(qiáng)內(nèi)控、完善監(jiān)管、深化多領(lǐng)域合作等方面入手，以確保“互聯(lián)網(wǎng)+金融”的安全運(yùn)作。

一、“互聯(lián)網(wǎng)+”成金融業(yè)新引擎

在“互聯(lián)網(wǎng)+”時(shí)代，信息傳播和技術(shù)發(fā)展速度將越來(lái)越快，信息不對(duì)稱(chēng)造成的價(jià)值溢價(jià)將會(huì)逐漸消失，只有個(gè)性化和高度定制化的產(chǎn)品才會(huì)有生存空間。在國(guó)內(nèi)金融行業(yè)受長(zhǎng)期嚴(yán)格監(jiān)管和發(fā)展緩慢的情況下，尤其需要“互聯(lián)網(wǎng)+”給行業(yè)帶來(lái)的新氣息和技術(shù)創(chuàng)新，“互聯(lián)網(wǎng)+”必將成為國(guó)內(nèi)金融行業(yè)發(fā)展的新引擎。

二、互聯(lián)網(wǎng)金融行業(yè)安全形勢(shì)嚴(yán)峻

(一）層出不窮的外部威脅

目前系統(tǒng)業(yè)務(wù)設(shè)計(jì)缺陷、漏洞利用以及常態(tài)化的APT 攻擊是幾種最具危險(xiǎn)性的外部威脅。

(二）“互聯(lián)網(wǎng)+”下的安全風(fēng)險(xiǎn)

1.云計(jì)算安全風(fēng)險(xiǎn)

支付寶被挖斷光纖、攜程數(shù)據(jù)被刪、藝龍?jiān)釪Dos 攻擊而宕機(jī)，國(guó)內(nèi)云安全事件頻發(fā)。云計(jì)算架構(gòu)帶來(lái)便捷、廉價(jià)、可伸縮等紅利的同時(shí)，其自身的脆弱性、多租戶(hù)安全問(wèn)題、云計(jì)算服務(wù)商的安全問(wèn)題等等，都需要一一面對(duì)和解決。國(guó)內(nèi)各類(lèi)企業(yè)紛紛開(kāi)展云計(jì)算使用，包括一些金融機(jī)構(gòu)，但是卻很少去了解該如何控制使用云所需的工作。

2.移動(dòng)設(shè)備安全風(fēng)險(xiǎn)

金融與移動(dòng)互聯(lián)網(wǎng)的結(jié)合，使得金融行業(yè)業(yè)務(wù)接入方式更加終端化，對(duì)業(yè)務(wù)體驗(yàn)要求更高，交易方式與頻次變得更加分散，因此存在的安全安全風(fēng)險(xiǎn)更加復(fù)雜，面臨的安全威脅也更多樣化。而其中隨著惡意軟件、安全漏洞和攻擊事件層出不窮，移動(dòng)金融終端安全問(wèn)題直接關(guān)系到個(gè)人用戶(hù)的賬戶(hù)隱私和財(cái)產(chǎn)安全，成為一種巨大的安全風(fēng)險(xiǎn)。

3.大數(shù)據(jù)安全風(fēng)險(xiǎn)

大數(shù)據(jù)分析儼然目前已經(jīng)成為“互聯(lián)網(wǎng)+”產(chǎn)業(yè)發(fā)展和升級(jí)改造的流行詞，其在互聯(lián)網(wǎng)金融、電商、互聯(lián)網(wǎng)安全等多領(lǐng)域發(fā)揮著巨大作用。但是數(shù)據(jù)的合法獲取、妥善保存、合法轉(zhuǎn)讓、安全銷(xiāo)毀和隱私立法是“互聯(lián)網(wǎng)+”中需要提前規(guī)劃和考慮的重要問(wèn)題。

(三）新形勢(shì)下金融機(jī)構(gòu)的安全挑戰(zhàn)

在管理方面，金融機(jī)構(gòu)秉承“合規(guī)”原則，內(nèi)部制定了謹(jǐn)慎全面的審批流程，管理成本較大。以信息安全方面的管理流程為例，現(xiàn)有安全防護(hù)體系部分的審批包括信息系統(tǒng)安全規(guī)劃論證、系統(tǒng)安全掃描、應(yīng)用系統(tǒng)上線安全檢測(cè)等方面，任意環(huán)節(jié)發(fā)現(xiàn)安全漏洞都需要回歸測(cè)試掃描，人力和時(shí)間成本較大。

在技術(shù)方面，主機(jī)、操作系統(tǒng)和數(shù)據(jù)庫(kù)仍然是IOE 的產(chǎn)品。眾所周知，國(guó)外商用產(chǎn)品存在技術(shù)后門(mén)等安全隱患，同時(shí)國(guó)內(nèi)技術(shù)人員因無(wú)法掌握核心技術(shù)而導(dǎo)致對(duì)國(guó)外廠商和服務(wù)的依賴(lài)，造成應(yīng)用系統(tǒng)整體的開(kāi)發(fā)和運(yùn)維成本過(guò)高。因此，盡快制定符合金融機(jī)構(gòu)實(shí)際情況的去IOE 技術(shù)解決方案，也是新形勢(shì)下金融機(jī)構(gòu)所面臨的棘手問(wèn)題之一。

三、“互聯(lián)網(wǎng)+”下金融機(jī)構(gòu)的安全應(yīng)對(duì)

(一）借力發(fā)展，構(gòu)建多元化合作渠道

保持與上級(jí)行業(yè)主管單位、國(guó)家安全保障團(tuán)隊(duì)（網(wǎng)安等）的聯(lián)系，實(shí)時(shí)溝通匯報(bào)；

深化與安全服務(wù)廠商和安全眾測(cè)平臺(tái)的合作，采購(gòu)信息安全專(zhuān)業(yè)的服務(wù)，依靠國(guó)內(nèi)外網(wǎng)絡(luò)安全優(yōu)秀團(tuán)隊(duì)的力量來(lái)發(fā)現(xiàn)各系統(tǒng)的安全漏洞，保障信息系統(tǒng)的安全；

(二）自主可控，大膽啟用新思路、新架構(gòu)

目前金融機(jī)構(gòu)已經(jīng)積極開(kāi)始了一些嘗試：

項(xiàng)目生命周期管理：在系統(tǒng)開(kāi)發(fā)上，通過(guò)敏捷式開(kāi)發(fā)來(lái)實(shí)現(xiàn)互聯(lián)網(wǎng)金融業(yè)務(wù)的開(kāi)發(fā)轉(zhuǎn)型，更及時(shí)響應(yīng)客戶(hù)需求，滿(mǎn)足迅速變化的市場(chǎng)環(huán)境，通過(guò)協(xié)作開(kāi)發(fā)和迭代交付，實(shí)現(xiàn)小步快跑，在不降低軟件質(zhì)量的前提下，極大縮短開(kāi)發(fā)周期。

系統(tǒng)軟硬件國(guó)產(chǎn)化：國(guó)家層面已經(jīng)做出了一些戰(zhàn)略指導(dǎo)，等級(jí)保護(hù)提出三級(jí)以上系統(tǒng)應(yīng)當(dāng)使用國(guó)產(chǎn)安全產(chǎn)品，國(guó)家密碼管理局和人民銀行要求推廣使用國(guó)產(chǎn)密碼算法等。在系統(tǒng)構(gòu)架建設(shè)時(shí)應(yīng)強(qiáng)調(diào)自主可控，積極發(fā)展軟硬件產(chǎn)品的國(guó)產(chǎn)化。

開(kāi)源軟件：積極使用開(kāi)源軟件替代各類(lèi)應(yīng)用商業(yè)軟件。開(kāi)源軟件往往價(jià)格低廉甚至免費(fèi)，而且有比較完善的應(yīng)用框架，僅需要投入適量的人力、物力對(duì)其深度定制即可接近或超過(guò)價(jià)格昂貴的商業(yè)軟件所能達(dá)到的效果；同時(shí)，因?yàn)檐浖创a的公開(kāi)，軟件使用者對(duì)代碼內(nèi)可能存在的漏洞、后門(mén)、性能瓶頸均能了如指掌。

安全加密：金融機(jī)構(gòu)已經(jīng)在積極推廣使用數(shù)字證書(shū)技術(shù)。數(shù)字證書(shū)技術(shù)仍然是目前公認(rèn)的最安全的信息安全技術(shù)，隨著國(guó)產(chǎn)加密算法技術(shù)的不斷發(fā)展和積極推廣，“相關(guān)性能瓶頸和兼容性問(wèn)題也越來(lái)越少，目前在金融行業(yè)使用國(guó)密的應(yīng)用也越來(lái)越多”，因此在“互聯(lián)網(wǎng)+金融”背景下，深入推廣與創(chuàng)新數(shù)字證書(shū)技術(shù)，特別是國(guó)密證書(shū)的應(yīng)用，依然是一個(gè)最佳且不可或缺的選擇。

(三）安全應(yīng)急，加大風(fēng)險(xiǎn)預(yù)警和管控力度

網(wǎng)絡(luò)安全應(yīng)急管理應(yīng)做到及時(shí)發(fā)現(xiàn)，及早預(yù)警，全面追蹤和有效處置。國(guó)內(nèi)互聯(lián)網(wǎng)金融行業(yè)應(yīng)建立多層次和覆蓋廣的安全檢測(cè)體系，整合行業(yè)資源和安全資源，解決基礎(chǔ)資源分散、未知漏洞和未知攻擊監(jiān)測(cè)能力不足的問(wèn)題，實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)全面感知的能力。

(四）完善監(jiān)管，推行信息安全的合規(guī)

“互聯(lián)網(wǎng)+”的發(fā)展已經(jīng)使得金融行業(yè)的信息化水平不斷提高，因此加快推行信息安全的合規(guī)性是當(dāng)前金融業(yè)刻不容緩的事情：合規(guī)不能保證系統(tǒng)永遠(yuǎn)安全，永遠(yuǎn)不出安全事件，但是，做好基本的信息安全防御工作，將有利于減少信息安全事件發(fā)生的可能性③。

目前國(guó)內(nèi)金融行業(yè)內(nèi)一項(xiàng)最重要的法律法規(guī)就是信息安全的等級(jí)保護(hù)制度，隨著等級(jí)保護(hù)制度多年的發(fā)展，目前其已經(jīng)發(fā)展為主管部門(mén)銀監(jiān)會(huì)和人民銀行對(duì)金融企業(yè)是否達(dá)到基準(zhǔn)的合規(guī)性要求的重要參照指標(biāo)。大部分金融機(jī)構(gòu)從2010 年開(kāi)展等級(jí)保護(hù)工作，至今相關(guān)系統(tǒng)測(cè)評(píng)符合率已經(jīng)較高，但是仍應(yīng)結(jié)合自身業(yè)務(wù)特點(diǎn)和信息安全現(xiàn)狀，修改和完善相關(guān)信息安全法規(guī)，并加強(qiáng)日常信息安全管理和監(jiān)督工作。

(五）加強(qiáng)業(yè)務(wù)安全設(shè)計(jì)，防范信息系統(tǒng)技術(shù)風(fēng)險(xiǎn)

目前金融行業(yè)業(yè)務(wù)安全設(shè)計(jì)沒(méi)有完善的理論，相關(guān)資料較少，因此不斷借鑒優(yōu)化同行業(yè)做法、提高業(yè)務(wù)設(shè)計(jì)人員自身的信息安全素養(yǎng)是目前為數(shù)不多的可行方法。在“互聯(lián)網(wǎng)+”時(shí)代，在技術(shù)無(wú)法保證100%安全的前提下，業(yè)務(wù)人員是否重視業(yè)務(wù)安全設(shè)計(jì)的重要性，也是金融機(jī)構(gòu)業(yè)務(wù)是否能長(zhǎng)期持續(xù)發(fā)展的關(guān)鍵。

(六）借助互聯(lián)網(wǎng)威脅情報(bào)及情境感知，實(shí)現(xiàn)外防內(nèi)控

隨著信息技術(shù)的發(fā)展，可機(jī)讀危險(xiǎn)情報(bào)（MRTI）使得對(duì)高級(jí)威脅的快速防護(hù)成為可能，成為銜接安全大數(shù)據(jù)與企業(yè)的紐帶。金融行業(yè)內(nèi)企業(yè)應(yīng)與信息安全公司合作，加強(qiáng)自身和行業(yè)內(nèi)其他企業(yè)的整體流量還原和日志存儲(chǔ)能力，固化所有攻擊證據(jù)，做到可回溯。而同時(shí)信息安全公司應(yīng)利用大數(shù)據(jù)分析和挖掘技術(shù)，有效、快速地發(fā)現(xiàn)未知威脅，即威脅情報(bào)。同時(shí)對(duì)企業(yè)內(nèi)部各層數(shù)據(jù)進(jìn)行采集和存儲(chǔ)，通過(guò)異常行為分析等措施快速定位各類(lèi)風(fēng)險(xiǎn)和威脅，阻擋惡意行為，識(shí)別合法業(yè)務(wù)行為。