宮哲　張建毅

摘要：在互聯(lián)網(wǎng)金融模式興起、外部安全環(huán)境惡化以及自身系統(tǒng)架構(gòu)日趨復(fù)雜的新形勢(shì)下，商業(yè)銀行正面臨著愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全威脅。文章從對(duì)全球銀行業(yè)網(wǎng)絡(luò)安全威脅事件的匯總分析入手，闡述我國(guó)商業(yè)銀行應(yīng)對(duì)網(wǎng)絡(luò)安全威脅所面臨的困難和挑戰(zhàn)，并從系統(tǒng)架構(gòu)、安全技術(shù)、風(fēng)險(xiǎn)評(píng)估、安全管理和安全規(guī)劃五個(gè)維度對(duì)銀行信息安全體系轉(zhuǎn)型進(jìn)行要點(diǎn)分析。

關(guān)鍵詞：銀行信息安全；金融安全；商業(yè)銀行轉(zhuǎn)型

一、 引言

伴隨著金融電子化需求的日益迫切和信息技術(shù)的日新月異，商業(yè)銀行傳統(tǒng)金融業(yè)務(wù)與新興互聯(lián)網(wǎng)技術(shù)正在經(jīng)歷密切的融合，這種融合促進(jìn)了商業(yè)銀行的金融模式創(chuàng)新和服務(wù)渠道轉(zhuǎn)型，但同時(shí)也帶來(lái)了嚴(yán)峻的網(wǎng)絡(luò)安全威脅挑戰(zhàn)。信息安全風(fēng)險(xiǎn)在銀行信息化進(jìn)程中一直受到監(jiān)管部門(mén)的重視。

早在1999年，巴塞爾銀行監(jiān)管委員會(huì)就專(zhuān)門(mén)設(shè)立電子銀行小組（EBG），并在2004年發(fā)布的《巴塞爾資本協(xié)議II》中將信息安全風(fēng)險(xiǎn)作為新型風(fēng)險(xiǎn)納入總體風(fēng)險(xiǎn)框架中，使信息安全成為商業(yè)銀行風(fēng)險(xiǎn)管理中的重要內(nèi)容，隨后全球各地區(qū)的銀行監(jiān)管機(jī)構(gòu)都設(shè)立專(zhuān)門(mén)的IT風(fēng)險(xiǎn)監(jiān)管部門(mén)，并推行嚴(yán)格的信息安全管理制度和框架，例如美國(guó)三大銀行業(yè)監(jiān)管機(jī)構(gòu)制定的《電子銀行最終規(guī)則》、《銀行用戶(hù)身份認(rèn)證體系》等，歐洲中央銀行發(fā)布的《ESCB信息系統(tǒng)安全政策》、《關(guān)鍵系統(tǒng)支付體系業(yè)務(wù)連續(xù)性縱覽》等。我國(guó)銀監(jiān)會(huì)近年也陸續(xù)推出《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《電子銀行安全評(píng)估指引》等制度規(guī)范。2014年，在中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立的大背景下，銀監(jiān)會(huì)發(fā)布了《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》，表明我國(guó)銀行業(yè)對(duì)信息安全的重視程度已達(dá)到空前高度。在此趨勢(shì)下，國(guó)內(nèi)對(duì)銀行信息安全問(wèn)題的理論研究逐漸增多，如吳溥峰（2010）提出一個(gè)綜合動(dòng)態(tài)的網(wǎng)上銀行信息安全體系框架模型，可有效降低、控制網(wǎng)上銀行的運(yùn)行風(fēng)險(xiǎn)。汪軼（2011）對(duì)商業(yè)銀行信息安全風(fēng)險(xiǎn)的VaR計(jì)量方法進(jìn)行研究，為建立完整的信息科技風(fēng)險(xiǎn)監(jiān)管框架提供了依據(jù)。在移動(dòng)金融發(fā)展的背景下，夏偉等（2012）對(duì)移動(dòng)網(wǎng)銀方案進(jìn)行研究，提出了一種假設(shè)移動(dòng)終端不可信的基于智能銀行卡的移動(dòng)安全網(wǎng)銀解決方案。

銀行業(yè)關(guān)系到國(guó)計(jì)民生和社會(huì)穩(wěn)定，在當(dāng)前日益嚴(yán)峻的金融信息安全威脅形勢(shì)下，重新審視商業(yè)銀行信息系統(tǒng)和安全管理體系中的缺陷，優(yōu)化甚至重構(gòu)已有的信息安全技術(shù)架構(gòu)，實(shí)施安全管理與策略的升級(jí)轉(zhuǎn)型，將成為我國(guó)商業(yè)銀行構(gòu)建自主可控的信息安全體系的重要內(nèi)容。

二、 全球銀行業(yè)網(wǎng)絡(luò)安全威脅事件匯總及形勢(shì)分析

縱觀全球，無(wú)論從技術(shù)建設(shè)水平還是從風(fēng)險(xiǎn)監(jiān)管環(huán)境看，銀行業(yè)的信息安全體系相比其他行業(yè)更為成熟和完善，商業(yè)銀行除了具有網(wǎng)絡(luò)防御、信息備份、災(zāi)難恢復(fù)和系統(tǒng)性能保障等完備的信息安全保障措施，還要定期接受?chē)?yán)格的合規(guī)檢查。然而，隨著銀行自身業(yè)務(wù)電子化依賴(lài)程度的加深以及金融服務(wù)趨于開(kāi)放互聯(lián)，近年來(lái)全球銀行業(yè)的網(wǎng)絡(luò)安全威脅事件不降反升，嚴(yán)重影響了銀行聲譽(yù)和社會(huì)穩(wěn)定，也打擊了公眾對(duì)數(shù)字金融的使用信心，這些威脅事件突顯了金融領(lǐng)域信息安全問(wèn)題的嚴(yán)峻性、持續(xù)性和衍生性。（1）在歐洲， 2007年～2010年，黑客先后多次攻破荷蘭銀行的防火墻，盜取了部分賬戶(hù)信息并成功進(jìn)行了轉(zhuǎn)賬操作。2014年，俄羅斯央行和商業(yè)銀行的在線(xiàn)服務(wù)遭受DDoS攻擊，造成長(zhǎng)時(shí)間服務(wù)癱瘓。2015年伊始，芬蘭波赫尤拉銀行和瑞典北歐聯(lián)合銀行同時(shí)遭受了24小時(shí)持續(xù)性DDoS攻擊，致使其停止線(xiàn)上服務(wù)訪問(wèn)，經(jīng)調(diào)查本次攻擊技術(shù)并不復(fù)雜，實(shí)施者可能是業(yè)余黑客。（2）在美洲，2011年，美國(guó)花旗銀行數(shù)據(jù)庫(kù)系統(tǒng)被黑客侵入，20萬(wàn)用戶(hù)的信用卡信息被盜。2014年，摩根大通發(fā)現(xiàn)黑客利用復(fù)雜的技術(shù)潛入其內(nèi)部網(wǎng)絡(luò)2個(gè)月，竊取了8 300萬(wàn)客戶(hù)資料等大量情報(bào)，震動(dòng)了奧巴馬政府，經(jīng)調(diào)查攻擊者來(lái)自當(dāng)時(shí)正被西方經(jīng)濟(jì)制裁的俄羅斯，可能有國(guó)家黑客背景。（3）在亞洲，2012年，香港匯豐銀行的匯豐理財(cái)服務(wù)等全球多個(gè)網(wǎng)站受到攻擊，經(jīng)調(diào)查可能系伊斯蘭極端組織所為。2009年～2014年，韓國(guó)友利、韓亞、農(nóng)協(xié)、濟(jì)州等銀行多次遭遇大型網(wǎng)絡(luò)攻擊，致使網(wǎng)絡(luò)癱瘓，全國(guó)柜臺(tái)和ATM無(wú)法提供數(shù)字服務(wù)，甚至災(zāi)備系統(tǒng)全部失效。2014年更是發(fā)生了銀行信用卡信息泄露事件，導(dǎo)致韓國(guó)全民排隊(duì)更換信用卡，影響了社會(huì)秩序。（4）在非洲，2012年南非郵政銀行遭受一次策劃已久的網(wǎng)銀偷盜活動(dòng)，黑客通過(guò)潛入內(nèi)部員工計(jì)算機(jī)數(shù)月闖進(jìn)銀行核心系統(tǒng)，共盜取700萬(wàn)美元。

經(jīng)過(guò)對(duì)上述安全事件的匯總分析，可以發(fā)現(xiàn)銀行業(yè)網(wǎng)絡(luò)威脅環(huán)境正面臨著新形勢(shì)，不僅涉及安全管理和技術(shù)問(wèn)題，背后還常常伴隨著國(guó)家政治經(jīng)濟(jì)環(huán)境問(wèn)題，信息安全風(fēng)險(xiǎn)邊界呈現(xiàn)出擴(kuò)大化、分散化的趨勢(shì)，主要表現(xiàn)在以下幾點(diǎn)：

1. 從威脅模式看，商業(yè)銀行面臨多樣化的網(wǎng)絡(luò)攻擊形式，高等級(jí)攻擊增多。從案例中可以發(fā)現(xiàn)，商業(yè)銀行面臨的最主要的網(wǎng)絡(luò)威脅是資金盜竊、數(shù)據(jù)泄露以及系統(tǒng)服務(wù)中斷。具體到攻擊模式，商業(yè)銀行由于數(shù)據(jù)資產(chǎn)附加值高且安防體系健全，攻擊者愿意付出更大代價(jià)，嘗試新型復(fù)雜的技術(shù)手段和社會(huì)工程方法。一是針對(duì)大型銀行系統(tǒng)的APT攻擊日漸流行，其攻擊行為潛伏策劃期長(zhǎng)，入侵行為隱蔽，通過(guò)層層滲透逐步獲取核心系統(tǒng)權(quán)限；二是對(duì)于“零日”漏洞，攻守兩端存在知識(shí)不對(duì)等的局面，已成為網(wǎng)絡(luò)攻擊中最有效的突破口；三是很多案例中反映出攻擊者已不僅僅依靠單純的技術(shù)手段，還表現(xiàn)出周密的偵察組織能力以及對(duì)銀行業(yè)務(wù)流程的熟悉，甚至還出現(xiàn)內(nèi)部技術(shù)人員參與協(xié)作的情況。

2. 從涉及地域看，信息安全風(fēng)險(xiǎn)正在威脅全球范圍的商業(yè)銀行。區(qū)別于實(shí)地"搶銀行"的概念，在互聯(lián)網(wǎng)金融時(shí)代，黑客已突破洲際地域界限，可以將任何區(qū)域的商業(yè)銀行信息系統(tǒng)作為攻擊目標(biāo)，開(kāi)展有組織的網(wǎng)絡(luò)竊取和破壞活動(dòng)，針對(duì)商業(yè)銀行的網(wǎng)絡(luò)攻擊行為已成為全球性的普遍問(wèn)題。從案例中可以看出無(wú)論是位于全球金融中心的美國(guó)摩根大通，還是遠(yuǎn)在非洲的南非郵政銀行，都出現(xiàn)過(guò)較為嚴(yán)重的網(wǎng)絡(luò)威脅事件記錄，很多銀行還不止一次的遭受黑客攻擊。隨著國(guó)內(nèi)商業(yè)銀行線(xiàn)上經(jīng)營(yíng)環(huán)境的快速開(kāi)放，網(wǎng)絡(luò)威脅事件發(fā)生的概率將進(jìn)一步提高。

3. 從成本投入看，攻擊成本和防御成本呈現(xiàn)嚴(yán)重不對(duì)稱(chēng)性。商業(yè)銀行在安全設(shè)施、人才培養(yǎng)和技術(shù)研發(fā)方面的投入正逐年增加，例如摩根大通宣稱(chēng)其2014年的網(wǎng)絡(luò)安全開(kāi)支已達(dá)25億美元，并配備了上千名專(zhuān)職員工，遠(yuǎn)高于IT巨頭谷歌公司，但龐大的投資并未阻止其2014年發(fā)生嚴(yán)重的信息泄露事件。隨著同類(lèi)業(yè)務(wù)的泛化、攻擊方法的簡(jiǎn)化和惡意工具的普及，網(wǎng)絡(luò)攻擊難度和成本正在降低，很多案件的攻擊者文化水平并不高，甚至使用開(kāi)源工具和簡(jiǎn)單技術(shù)即能實(shí)施攻擊，即便無(wú)法實(shí)現(xiàn)難度較高的資金和信息竊取，也存在利用蠻力方法造成服務(wù)中斷的可能。

4. 從外部因素看，網(wǎng)絡(luò)安全與地緣政治、民族宗教等問(wèn)題緊密相連，存在跨界震蕩。當(dāng)前，國(guó)際政治、軍事、宗教等領(lǐng)域發(fā)生區(qū)域沖突和爭(zhēng)端越來(lái)越多的轉(zhuǎn)嫁于網(wǎng)絡(luò)空間，帶有政治意圖或意識(shí)形態(tài)的網(wǎng)絡(luò)威脅大幅增加，最典型的例子是2010年美國(guó)利用“震網(wǎng)”病毒入侵伊朗核設(shè)施網(wǎng)絡(luò)，成功改變了系統(tǒng)相關(guān)參數(shù)，導(dǎo)致伊朗核計(jì)劃延遲。思科在2015年度安全報(bào)告中首次將地緣政治因素納入網(wǎng)絡(luò)安全威脅考量。從全球銀行業(yè)網(wǎng)絡(luò)安全威脅的案例中，同樣能發(fā)現(xiàn)“國(guó)家黑客”或恐怖主義所帶來(lái)的影響。因此，商業(yè)銀行作為國(guó)民經(jīng)濟(jì)的命脈，其網(wǎng)絡(luò)安全環(huán)境必然與外部情報(bào)態(tài)勢(shì)存在聯(lián)系。

三、 我國(guó)商業(yè)銀行應(yīng)對(duì)網(wǎng)絡(luò)威脅遇到的困難與挑戰(zhàn)

全球金融信息安全形勢(shì)為我國(guó)商業(yè)銀行的經(jīng)營(yíng)發(fā)展敲響警鐘，以人為鏡，可以明得失，從不同維度分析我國(guó)商業(yè)銀行在新形勢(shì)下存在的信息安全風(fēng)險(xiǎn)，主要存在以下幾點(diǎn)困難和挑戰(zhàn)：

1. 系統(tǒng)架構(gòu)日趨復(fù)雜考驗(yàn)自主可控能力。這主要涉及兩個(gè)方面：一是國(guó)內(nèi)銀行網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心業(yè)務(wù)系統(tǒng)長(zhǎng)期依賴(lài)國(guó)外廠商的技術(shù)和設(shè)備，國(guó)外IT廠商的大型機(jī)、小型機(jī)、數(shù)據(jù)庫(kù)、存儲(chǔ)設(shè)備等在國(guó)內(nèi)銀行業(yè)處于壟斷地位?；A(chǔ)設(shè)施和核心架構(gòu)受制于人，無(wú)法實(shí)現(xiàn)安全自主可控。二是信息安全技術(shù)架構(gòu)日趨復(fù)雜，業(yè)務(wù)系統(tǒng)增長(zhǎng)使安全加固點(diǎn)增多，不同網(wǎng)絡(luò)位置的安全設(shè)備產(chǎn)生海量、多源、異構(gòu)的原始流量信息和安全日志，同時(shí)業(yè)務(wù)數(shù)據(jù)本身也隱藏安全風(fēng)險(xiǎn)，目前尚欠缺對(duì)這些數(shù)據(jù)有效的關(guān)聯(lián)分析和安全聯(lián)動(dòng)，難以掌握整體網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)現(xiàn)安全可控。

2. 新興業(yè)務(wù)應(yīng)用的增長(zhǎng)帶來(lái)安全隱患。移動(dòng)金融、網(wǎng)絡(luò)理財(cái)、第三方支付、企業(yè)網(wǎng)絡(luò)融資、直銷(xiāo)銀行等新應(yīng)用的出現(xiàn)使銀行線(xiàn)上業(yè)務(wù)鏈條拉長(zhǎng)，漏洞隱患隨之增多，不僅帶來(lái)了技術(shù)安全問(wèn)題，還表現(xiàn)出業(yè)務(wù)安全隱患，傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法已難以適應(yīng)。更根本的原因是目前銀行的安全體系建設(shè)并未納入到業(yè)務(wù)發(fā)展整體中考慮，導(dǎo)致業(yè)務(wù)發(fā)展與安全建設(shè)脫節(jié)。

3. 網(wǎng)絡(luò)數(shù)據(jù)量的上升引發(fā)性能瓶頸。隨著傳統(tǒng)金融業(yè)務(wù)進(jìn)一步向互聯(lián)網(wǎng)遷移，網(wǎng)絡(luò)流量呈指數(shù)級(jí)上升，網(wǎng)絡(luò)設(shè)備數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)速率要求越來(lái)越高，銀行系統(tǒng)產(chǎn)生的海量數(shù)據(jù)為現(xiàn)有安全設(shè)備與分析方法帶來(lái)了性能考驗(yàn)，一是對(duì)于事中的流量安全檢測(cè)，實(shí)時(shí)處理、檢測(cè)和響應(yīng)難度加大，二是對(duì)于事后的安全審計(jì)與取證，對(duì)海量數(shù)據(jù)歸集存儲(chǔ)能力和快速全文檢索能力提出較高要求。

4. 新型攻擊模式考驗(yàn)防御技術(shù)體系。從對(duì)現(xiàn)有案例的分析發(fā)現(xiàn)，APT等新型攻擊已逐漸成為網(wǎng)絡(luò)攻擊者滲透大型商業(yè)銀行網(wǎng)絡(luò)的常態(tài)化模式，這類(lèi)攻擊具有潛伏期長(zhǎng)、不確定性強(qiáng)、弱特征的特點(diǎn)，善于利用未知漏洞形成單點(diǎn)突破，再逐層開(kāi)展內(nèi)網(wǎng)滲透，慢速的竊取數(shù)據(jù)或有計(jì)劃的破壞網(wǎng)絡(luò)。現(xiàn)有防御思路更關(guān)注單點(diǎn)防御和階段性防御，對(duì)于新型攻擊模式缺乏有效應(yīng)對(duì)手段。

5. 信息安全管理手段仍存較大缺陷。目前，商業(yè)銀行通常采用較為成熟的信息安全管理規(guī)范來(lái)制定安全管理制度，其中運(yùn)維保障、網(wǎng)絡(luò)隔離、數(shù)據(jù)加密存儲(chǔ)等技術(shù)性基礎(chǔ)工作一般完成較好，但人員管理成為難點(diǎn)。核心科技人員和外包技術(shù)人員的增多，使銀行網(wǎng)絡(luò)設(shè)備及敏感數(shù)據(jù)越來(lái)越多的機(jī)會(huì)被直接操作，增加了系統(tǒng)不確定性和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

四、 我國(guó)商業(yè)銀行信息安全體系建設(shè)轉(zhuǎn)型要點(diǎn)

外部威脅環(huán)境的變化、監(jiān)管合規(guī)要求的提高以及自身業(yè)務(wù)系統(tǒng)架構(gòu)的復(fù)雜化都要求商業(yè)銀行在信息安全體系發(fā)展建設(shè)中進(jìn)行多方位轉(zhuǎn)型，以實(shí)現(xiàn)整體的安全自主可控。本文主要從系統(tǒng)架構(gòu)、安全技術(shù)、風(fēng)險(xiǎn)評(píng)估、安全管理和安全規(guī)劃五個(gè)維度對(duì)商業(yè)銀行信息安全體系轉(zhuǎn)型進(jìn)行要點(diǎn)分析。

1. 系統(tǒng)架構(gòu)向自主可控轉(zhuǎn)型?！袄忡R門(mén)”事件反映出以國(guó)外軟硬件產(chǎn)品為核心的銀行信息系統(tǒng)存在安全隱患，根據(jù)國(guó)家政策導(dǎo)向趨勢(shì)，“去IOE”已成為國(guó)內(nèi)各大銀行不得不面對(duì)的問(wèn)題。然而“去IOE”并不等于生硬的國(guó)產(chǎn)化替代，在具體實(shí)施時(shí)將面對(duì)極為復(fù)雜的技術(shù)挑戰(zhàn)和業(yè)務(wù)風(fēng)險(xiǎn)。要解決好這個(gè)問(wèn)題，商業(yè)銀行應(yīng)化被動(dòng)為主動(dòng)，把國(guó)家層面自主可控戰(zhàn)略作為一次系統(tǒng)架構(gòu)升級(jí)轉(zhuǎn)型契機(jī)，以業(yè)務(wù)長(zhǎng)期發(fā)展需求為核心統(tǒng)籌規(guī)劃，改善自主創(chuàng)新環(huán)境，逐步向高彈性、可擴(kuò)展的架構(gòu)模式轉(zhuǎn)型，一方面實(shí)現(xiàn)對(duì)IOE架構(gòu)依賴(lài)度的降低，另一方面實(shí)現(xiàn)業(yè)務(wù)發(fā)展的自主可控。這個(gè)問(wèn)題可以借鑒互聯(lián)網(wǎng)企業(yè)的成功經(jīng)驗(yàn)，例如阿里巴巴從2007年開(kāi)始實(shí)施“去IOE”計(jì)劃，到2012年最后一臺(tái)IBM小型機(jī)下線(xiàn)，共歷時(shí)5年，主要思路包括：一是一切以業(yè)務(wù)為導(dǎo)向，逐步向云計(jì)算服務(wù)模式遷移；二是向x86架構(gòu)轉(zhuǎn)型，降低成本；三是開(kāi)源軟件與自主研發(fā)相結(jié)合的技術(shù)發(fā)展路線(xiàn)；四是通過(guò)業(yè)務(wù)創(chuàng)新推動(dòng)技術(shù)創(chuàng)新，實(shí)現(xiàn)基礎(chǔ)架構(gòu)的高可用（例如“雙十一”、“搶紅包”等新興業(yè)務(wù)訪問(wèn)量大，使后臺(tái)技術(shù)能力不斷站上新的臺(tái)階）。

2. 安全技術(shù)向大數(shù)據(jù)智能安全升級(jí)。傳統(tǒng)的安全軟硬件產(chǎn)品如殺毒軟件、入侵檢測(cè)、Web防火墻等，主要解決的是單點(diǎn)安全問(wèn)題，且多是基于特征碼和規(guī)則庫(kù)的檢測(cè)方法，缺乏網(wǎng)絡(luò)全局的安全態(tài)勢(shì)感知能力和基于行為的智能分析手段，無(wú)法應(yīng)付新型的高等級(jí)威脅?；诖髷?shù)據(jù)技術(shù)的智能安全將是銀行安全技術(shù)轉(zhuǎn)型的方向，著名信息技術(shù)咨詢(xún)公司Gartner（2014）預(yù)測(cè)2016年25%的國(guó)際型大公司會(huì)將大數(shù)據(jù)技術(shù)應(yīng)用于至少一個(gè)安全或異常檢測(cè)中。大數(shù)據(jù)智能安全技術(shù)主要包括兩大部分：一是安全數(shù)據(jù)的感知?dú)w集。主要任務(wù)是對(duì)異源異構(gòu)的安全數(shù)據(jù)進(jìn)行采集、過(guò)濾、存儲(chǔ)和格式化，對(duì)于銀行系統(tǒng)，數(shù)據(jù)源不僅要包含網(wǎng)絡(luò)設(shè)備的流量數(shù)據(jù)和應(yīng)用系統(tǒng)的服務(wù)日志，還要包含業(yè)務(wù)系統(tǒng)的各類(lèi)操作日志，為后續(xù)的安全分析和取證提供基礎(chǔ)。二是安全數(shù)據(jù)的關(guān)聯(lián)分析。建立在大數(shù)據(jù)存儲(chǔ)的基礎(chǔ)上，安全防護(hù)具備了長(zhǎng)周期檢測(cè)和異源異構(gòu)關(guān)聯(lián)分析條件，Hadoop、Spark等技術(shù)的發(fā)展為海量數(shù)據(jù)的高效并行計(jì)算為技術(shù)團(tuán)隊(duì)基于大數(shù)據(jù)的安全建模能力。

3. 風(fēng)險(xiǎn)評(píng)估向動(dòng)態(tài)開(kāi)放方向轉(zhuǎn)型。目前，我國(guó)商業(yè)銀行主要是遵從或參考《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《信息安全等級(jí)保護(hù)管理辦法》、GB20984 、ISO27001、COBIT等國(guó)內(nèi)外較為成熟的安全評(píng)估管理標(biāo)準(zhǔn)和規(guī)范，開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估、測(cè)試、改進(jìn)等工作，以滿(mǎn)足內(nèi)部控制和合規(guī)管理的要求。從實(shí)際效果看，這些標(biāo)準(zhǔn)在實(shí)踐中有效幫助商業(yè)銀行建立了規(guī)范完善的信息安全評(píng)估管理體系，能夠及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并采取控制措施。而在新技術(shù)條件下，現(xiàn)有的評(píng)估管理體系略顯機(jī)械，很多評(píng)估結(jié)果僅是列出孤立的風(fēng)險(xiǎn)項(xiàng)，無(wú)法反映核心問(wèn)題，以年為周期組織的評(píng)估活動(dòng)也無(wú)法適應(yīng)不斷變化的網(wǎng)絡(luò)威脅環(huán)境。建議在現(xiàn)有風(fēng)險(xiǎn)評(píng)估體系基礎(chǔ)上增加靈活性：一是可酌情引入“白帽子”評(píng)估測(cè)試機(jī)制，“白帽子”漏洞發(fā)現(xiàn)能力強(qiáng)，評(píng)估方法客觀，可避免評(píng)估思路的固化單一；二是常態(tài)化的開(kāi)展動(dòng)態(tài)局部的評(píng)估活動(dòng)，而不是簡(jiǎn)單應(yīng)付幾月一次的整體合規(guī)檢查；三是對(duì)新業(yè)務(wù)開(kāi)展有效的專(zhuān)項(xiàng)安全評(píng)估，例如手機(jī)銀行安全評(píng)估、私有云安全評(píng)估等。

4. 安全管理應(yīng)突出“以人為本”。人是信息系統(tǒng)的擁有者、管理者和使用者，據(jù)統(tǒng)計(jì)，只有20%～30%的信息安全事件是因?yàn)榧兒诳腿肭只蚱渌獠吭蛟斐?，另?0%～80%都存在內(nèi)部員工的疏忽或有意泄漏。商業(yè)銀行在落實(shí)信息安全管理制度時(shí)，應(yīng)將人員管理作為安全管理的核心。一是進(jìn)行細(xì)粒度的系統(tǒng)權(quán)限劃分，根據(jù)內(nèi)部人員開(kāi)發(fā)、維護(hù)、管理職責(zé)和級(jí)別的不同進(jìn)行權(quán)限分配，規(guī)范操作流程，避免修改刪除自操作日志等情況。二是在外包項(xiàng)目中要加強(qiáng)對(duì)第三方人員的操作監(jiān)控，對(duì)于核心數(shù)據(jù)讀取和計(jì)算場(chǎng)景，增加數(shù)據(jù)同態(tài)加解密、數(shù)據(jù)脫敏等機(jī)制。三是強(qiáng)化日常運(yùn)維、應(yīng)急響應(yīng)、安全專(zhuān)家等專(zhuān)設(shè)小組的職能定位和能力建設(shè)，打造立體化的信息安全管理隊(duì)伍。四是定期開(kāi)展信息安全培訓(xùn)和演練，提高全員安全意識(shí)和安全技能。

5. 安全規(guī)劃要與銀行戰(zhàn)略和業(yè)務(wù)需求相捆綁。傳統(tǒng)的安全規(guī)劃更像是安全設(shè)備和產(chǎn)品的采購(gòu)方案，關(guān)注眼前的安全防護(hù)，并與實(shí)際業(yè)務(wù)脫節(jié)嚴(yán)重，在商業(yè)銀行線(xiàn)上業(yè)務(wù)快速擴(kuò)展的背景下，這種規(guī)劃方法已遠(yuǎn)遠(yuǎn)不夠。商業(yè)銀行信息安全規(guī)劃必須更具前瞻性，要從企業(yè)戰(zhàn)略和業(yè)務(wù)需求出發(fā)，追求規(guī)劃的持續(xù)性、實(shí)施的可操作性以及應(yīng)用實(shí)施時(shí)的彈性。國(guó)際流行的EA、TOGAF、SABSA等架構(gòu)模型都為商業(yè)銀行安全規(guī)劃轉(zhuǎn)型提供了參考，其核心思想都是建立從企業(yè)戰(zhàn)略、到業(yè)務(wù)需求、到系統(tǒng)架構(gòu)、到技術(shù)架構(gòu)、到實(shí)施管理、再到新業(yè)務(wù)和架構(gòu)變更的全生命周期安全規(guī)劃框架。

參考文獻(xiàn)：

[1] 吳溥峰.網(wǎng)上銀行信息安全體系框架的構(gòu)建[J].西北大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2010，（2）.

[2] 汪軼.我國(guó)商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管研究[D].西南財(cái)經(jīng)大學(xué)學(xué)位論文，2011.

[3] 夏偉，李暉，崔彥平.移動(dòng)網(wǎng)銀安全研究[J].信息網(wǎng)絡(luò)安全，2012，（10）.

[4] Cisco 2015 Annual Security Report[EB/OL]2015，http：//www.cisco.com/web/offers/lp/2015-annual-security-report/index.html.

基金項(xiàng)目：中國(guó)博士后科學(xué)基金面上資助一等資助（項(xiàng)目號(hào)：2015M570186）；中央高校基本科研業(yè)務(wù)費(fèi)支持（項(xiàng)目號(hào)：2015xs1-zjy）。

作者簡(jiǎn)介：宮哲（1985-），男，漢族，山東省濟(jì)南市人，北京郵電大學(xué)工學(xué)博士，中國(guó)農(nóng)業(yè)銀行和清華大學(xué)聯(lián)合培養(yǎng)博士后，研究方向?yàn)殂y行信息化、金融安全；張建毅（1983-），男，漢族，山東省濟(jì)南市人，北京郵電大學(xué)工學(xué)博士，北京電子科技學(xué)院講師，研究方向?yàn)榻鹑诜雌墼p、信息安全管理。

收稿日期：2015-08-20。