“互联网+”形势下银行业信息安全挑战与对策

银行业“互联网+”IT治理课题组

自2013年“余额宝”出现以来，第三方支付、P2P网贷、众筹等迅速发展，互联网巨头携在零售、社交等领域的成功之势杀入金融行业，以其渠道多、门槛低等优势迅速吸引大量用户，对传统银行造成巨大的冲击。工商银行、平安银行等纷纷发力部署在线零售平台，南京银行甚至以“你好银行”品牌试水直销银行来实现自我革新。可以看到，传统金融借“网”升级成为趋势，政府层面亦将互联网金融作为国家行动规划，“互联网+”已然成为银行业21世纪以来最大的一次热潮。

然而，互联网金融的迅速成长也伴随着风险挑战，信息安全事件时有发生，近年来更有愈演愈烈之势。据不完全统计，截至2014年年底有近165家P2P平台由于黑客攻击导致系统瘫痪或数据被恶意篡改，一时间P2P在百姓心里成了高风险的代名词，在政府眼里成了监管失效的重灾区。互联网时代是以IT技术为生产工具、以数据为生产资料的时代，传统金融特别是大型国有银行在拥抱“互联网+”、实现业务创新的同时，如何守住信息安全底线、保障业务健康发展、维护消费者权益，是摆在从业者面前的一道难题。

“互联网+”对银行业的影响

比尔·盖茨曾预言银行将成为21世纪灭绝的恐龙，但我们认为灭绝的将只是那些过时的经营模式，市场和客户在进化、银行也在进化，最终银行业会变成怎样尚不可知，但趋势已经依稀可见。

业务渠道更广、服务更多样。一是银行纷纷加速互联网渠道的建设布局，从原有的网上银行、电话银行扩展到手机银行、微信银行等渠道，移动端的交易量增长更加迅猛，预测到2018年将赶超PC端；二是银行产品更加多元化，不再局限于传统的金融业务，呈现出平台化的发展方向，银行逐步从后台走向前台；三是银行与第三方机构的互联合作日益增多，目前与农行互联的第三方机构就超过2000家；四是服务范围不断扩大，借助互联网渠道的优势，银行的服务突破了时间与地域的限制，能随时随地向所有客户提供越来越丰富的服务，3A模式（Anytime、Anywhere、Anyway）俨然成为银行业未来的标准服务模式。

产品创新更快，更注重用户体验。一是系统逐渐倾向于“瘦核心、胖前置”的技术模型，开放式、模块化的架构为业务产品的快速上线和更新提供了技术保证；二是银行更多采用敏捷开发、灰度发布的方法，实现了产品的快速更替和功能改进；三是越来越多的银行在PC端、移动端通过提供UI自由定制、客户业务推荐等功能，为客户提供了个性化服务，实现了对单一客户的精确营销。从网银界面、信用卡卡面等的个性化定制到信用卡自选商户的积分优惠等业务产品的个性化服务，银行纷纷通过个性化服务增加对客户的吸引力。

大数据进一步驱动业务发展。“互联网+”时代，银行的数据量呈爆发式增长，非结构化数据成为数据分析闪光点。以农行为例，每年产生的非结构化数据增速惊人，目前已超过1PB以上。多家银行积极引进Hadoop、MPP、SQL等新技术，加紧建设大数据应用体系，大数据分析在银行业务创新、精准营销、风险管理、成本控制等方面正发挥着越来越大的作用。农行基于Hadoop技术架构的反洗钱系统，实现了分析速度和监控金额精度的双提升，系统作业处理从原来的小时级压缩至分钟级，交易金额监控分析的粒度从“百元”级精确到“元”级。

“互聯网+”给银行业信息安全带来的挑战

“互联网+”极大地推动了银行业的变革，降低了金融服务的门槛，为各个层面的客户都带来了便捷高效的体验，同时也提供了更多便利。但互联网对银行业务产生积极影响的同时，也带来了诸多新的信息安全问题。

外部安全形势日趋复杂和严峻。一是面临的网络威胁越来越严重。除了传统的SQL注入、DDOS等常见攻击，APT等新型攻击方式（高级持续威胁攻击，指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式）也愈演愈烈，据统计，国内银行一年遭受的网络攻击次数就高达上千万次；二是第三方系统交互的风险愈加突显，第三方公司信息安全水平参差不齐，短板效应极易被黑客利用导致信息安全事件；三是客户的容忍度越来越低，互联网的放大效应加剧了信息安全事件的影响，银行面临的声誉风险压力倍增。

新技术、新架构带来新风险。一是开放式架构安全风险增大。相比传统封闭式系统，开放式系统漏洞更多，更容易遭受攻击；二是云计算技术引入新风险。部分传统安全手段已不再适合云平台，如传统加密技术可能影响云平台数据的正常使用，共享云基础设施中不同用户日志混杂，日志收集分析存在很大困难，个别应用的安全短板甚至会影响整个云平台的安全等等；三是产品安全设计滞后。产品研发中“重功能开发、轻安全设计”的传统问题依然突出，产品安全缺陷层出不穷。

互联网环境下，信息泄漏和滥用问题日益严峻。一是大数据依托海量数据集中，一旦泄漏，其危害不堪设想。近年来，金融业的数据泄漏事件可谓触目惊心、影响甚广，一旦被不法分子利用，产生的身份冒充、钓鱼诈骗等违法事件将极难防范；二是信息欺诈的伪装性更强、更难以识别。近年特别火爆的二维码支付，由于其极易伪造，真伪难辨，缺乏密码认证机制，客户“扫一扫”资金就可能不知去向；三是信息滥用现象普遍。企业对非业务必须数据的暗中收集、滥用等违法侵权行为屡见不鲜，今年蚂蚁金服的“花呗”非法收集用户系统中的人际关系信息用于催款，侵犯用户个人隐私，为企业大数据信息的保护敲响了警钟。

应对措施和建议

“互联网+”给银行业带来了一股新风，催动着传统银行的创新和变革，但是大型银行“诚信立业、稳健行远”的核心价值观不可颠覆，银行传统的合规经营文化、风险控制核心理念不可动摇，在坚持这些理念的基础上，信息安全工作必须与时俱进、锐意进取。

信息安全原则

“互联网+”时代，银行信息安全工作应坚持审慎合规、理性安全、快速响应、合作共治四大原则。

审慎合规：从合规角度出发，守住安全底线，重点防范信息泄漏和滥用，确保不发生长时间、大范围的信息安全事件。

理性安全：不追求绝对的安全，兼顾安全与成本，避免无限制的安全阻碍新技术的使用和业务的创新，安全要为业务服务。

快速响应：施行IT、业务一体化的监测、分析与处置，实现提前预警预判，快速消除信息安全风险隐患。

合作共治：监管部门、银行、安全机构要加强合作交流，建立信息安全情报合作分享机制，打造“互联网+”信息安全生态，共享信息安全成果。

应对措施

面对“互联网+”新态势下的信息安全挑战，银行应坚持四大原则，主动适应市场、环境、技术的变化。

建立专业高效权威的信息安全组织。一是在银行高管层设置CISO（首席信息安全官）或CPO（首席隐私官）统领全行信息安全工作；二是在行内建立横跨科技、业务、法律、公共关系等部门的信息安全团队，统筹制定全行安全策略，发挥各专业优势，针对安全问题实现一体化的整体快速响应；三是合理运用“外脑”，引入外部信息安全专家智囊团，凭借外部先进的管理技术理念，形成决策参考机制，带动技术研究革新，推动人才培养发展，为企业信息安全工作提供有力补充。

适时审慎地引入新技术新架构。一是针对互联网时代新型外部攻击方式多、来源广、影响大的特点，引入数据防泄漏、云端恶意代码防范、威胁情报系统等新安全技术，弥补开放式系统架构漏洞多的弱点；二是构建基于大数据的SOC（安全运行中心），以异常事件监测为基础，整合历史分析数据和业界威胁情报，实现安全态势的全维度智能感知、可视化展现及前瞻性预测；三是综合运用应用安全检测、云综合日志审计，引入同态加密等技术，适应云计算环境边界模糊、资源共享的特点，在保证用户体验的前提下，有效破解云环境的安全难题。

产品研发安全先行。一是产品设计阶段要遵循安全防控规范，既要防范SQL注入、跨站脚本等常见攻击，又要关注业务流程设计上的安全，避免出现平行越权（指相同权限等级的不同用户之间可以越权获取或操作他人的数据）等业务逻辑缺陷；二是要搭建安全的开发环境，使用正版开发工具，确保开发过程的安全可控；三是要选用合适的开发技术，如IOS平台APP应尽可能使用Native App Mode（原生APP开发模式）而非Web App Mode（HTML5框架开发模式），凭借其能够调用手机定位及其他传感器的特点提高程序安全性；四是加强产品安全测试，引入代码缺陷测试、web应用安全扫描等技术手段，将后台应用和终端APP纳入测试范围，把好产品安全质量关。

加强客户信息安全宣传。一是多层面多渠道加强客户宣传，提升客户安全意识。通过典型案例的视频动画、安全口诀小册子等方式，宣传网络钓鱼、电信诈骗等风险防范知识，充分利用互联网渠道，设立安全社区，进行安全金点子有奖征集，提升客户对信息安全的关注度与参与度；二是通过积分、现金或礼品等奖励方式，引导客户踊跃采用刷指纹、刷脸等安全可靠的新身份认证技术，引导客户形成安全使用习惯，建立银行与客户间的良性安全互动；三是强化银行与客户风险预警联动，利用大数据分析客户行为，发现异常行为及时提示客户，并向客户提供便利的安全问题反馈渠道，保证风险预警处置的及时。

建议

“互联网+”时代，银行无法单枪匹马应对信息安全挑战，需要政府、企业、研究机构的共同努力，齐心协力共同开创互联网金融信息安全的新局面。

政府完善立法，扶持打击并举。一是结合互联网金融的特點，从保护国家安全、行业安全、个人安全出发，尽快围绕公民资金安全、敏感信息保护等领域建立健全有关法律法规，规范互联网金融健康发；二是融合“自主可控”与“互联网+”两大国家战略，加大对国产软硬件产品和信息安全技术研发和使用的扶持力度，摆脱核心技术受制于人的困境，创造“互联网+”时代金融安全自主可控的新局面；三是理顺网络安全执法体制，充实执法手段，持续打击网络安全犯罪行为，加大惩处力度，对于日益增多的跨国网络犯罪行为，还应加强国际合作，共同维护网络空间主权和安全。

完善监管标准，实施分类监管。一是在人民银行等十部委出台《关于促进互联网金融健康发展的指导意见》的基础上，针对互联网金融的特点，加快修订出台信息安全方面的规范标准，特别是数据保护和云计算、大数据等新技术的安全标准；二是建议在银行业监管评级的基础上，试行多部门联合的互联网金融信息科技监管评级，根据评级结果实施差异化的监管，对风险大的金融业务加强监管力度，避免一刀切，提升监管效率；三是采取适度宽松的弹性监管，在不突破信息安全底线的前提下，鼓励有条件的银行对国产自主可控产品进行先试先行，对于国产产品的可用性和可靠性给予监管政策倾斜与适度包容。

打造安全生态，共营金融信息安全。一是设立银行业网络信息安全平台，与CNCERT（国家互联网应急中心）及CVE（国际公共漏洞披露平台）等官方或非官方信息安全组织合作，为银行业内的安全事件多方预防、及时发现、快速预警和协调处置提供服务；二是建立银行、第三方安全机构、信息安全企业的常态化交流机制，准确把握信息安全前沿动向，交流安全防护工作经验；三是信息安全企业要发挥技术专业优势，对于“互联网+”时代的新型信息安全威胁，及时研发有针对性的防御产品，提供有力的技术支持，助力银行业的信息安全防护；四是要深化产学研用的合作对接，要加大对信息安全的科研投入，加速科研成果的产业化，银行的核心业务要积极尝试国产技术产品，形成产学研用一体化的良性循环。

结语

“互联网+”时代，银行金融服务的产品与技术的融合创新不断涌现，信息安全工作挑战与机遇并存。未来，随着云计算、大数据、人工智能等新技术的不断发展和应用，信息安全工作将朝着更加灵活、智能、有效的方向发展。借助云计算、虚拟化、生物识别等技术，系统和产品的安全防护将变得更为可靠高效。风险防控和审计检查将更为智能、快捷，风险预防和违规行为阻断将更多从事后前移到事中、事前。随着量子通信等新技术的日益成熟普及，数据的保护也将更加有效可靠。相信在“互联网+”时代，银行信息安全工作将迎来更加美好灿烂的明天。

（作者单位：中国农业银行数据中心，上海自由贸易试验区，课题组成员：谢以清，叶奇青，胡亦恩，王国义，丁征涛，叶青晟，孙英明）