宮哲　張建毅

摘要：在互聯(lián)網(wǎng)金融模式興起、外部安全環(huán)境惡化以及自身系統(tǒng)架構日趨復雜的新形勢下，商業(yè)銀行正面臨著愈發(fā)嚴峻的網(wǎng)絡安全威脅。文章從對全球銀行業(yè)網(wǎng)絡安全威脅事件的匯總分析入手，闡述我國商業(yè)銀行應對網(wǎng)絡安全威脅所面臨的困難和挑戰(zhàn)，并從系統(tǒng)架構、安全技術、風險評估、安全管理和安全規(guī)劃五個維度對銀行信息安全體系轉型進行要點分析。

關鍵詞：銀行信息安全；金融安全；商業(yè)銀行轉型

一、 引言

伴隨著金融電子化需求的日益迫切和信息技術的日新月異，商業(yè)銀行傳統(tǒng)金融業(yè)務與新興互聯(lián)網(wǎng)技術正在經(jīng)歷密切的融合，這種融合促進了商業(yè)銀行的金融模式創(chuàng)新和服務渠道轉型，但同時也帶來了嚴峻的網(wǎng)絡安全威脅挑戰(zhàn)。信息安全風險在銀行信息化進程中一直受到監(jiān)管部門的重視。

早在1999年，巴塞爾銀行監(jiān)管委員會就專門設立電子銀行小組（EBG），并在2004年發(fā)布的《巴塞爾資本協(xié)議II》中將信息安全風險作為新型風險納入總體風險框架中，使信息安全成為商業(yè)銀行風險管理中的重要內(nèi)容，隨后全球各地區(qū)的銀行監(jiān)管機構都設立專門的IT風險監(jiān)管部門，并推行嚴格的信息安全管理制度和框架，例如美國三大銀行業(yè)監(jiān)管機構制定的《電子銀行最終規(guī)則》、《銀行用戶身份認證體系》等，歐洲中央銀行發(fā)布的《ESCB信息系統(tǒng)安全政策》、《關鍵系統(tǒng)支付體系業(yè)務連續(xù)性縱覽》等。我國銀監(jiān)會近年也陸續(xù)推出《商業(yè)銀行信息科技風險管理指引》、《電子銀行安全評估指引》等制度規(guī)范。2014年，在中央網(wǎng)絡安全與信息化領導小組成立的大背景下，銀監(jiān)會發(fā)布了《關于應用安全可控信息技術加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見》，表明我國銀行業(yè)對信息安全的重視程度已達到空前高度。在此趨勢下，國內(nèi)對銀行信息安全問題的理論研究逐漸增多，如吳溥峰（2010）提出一個綜合動態(tài)的網(wǎng)上銀行信息安全體系框架模型，可有效降低、控制網(wǎng)上銀行的運行風險。汪軼（2011）對商業(yè)銀行信息安全風險的VaR計量方法進行研究，為建立完整的信息科技風險監(jiān)管框架提供了依據(jù)。在移動金融發(fā)展的背景下，夏偉等（2012）對移動網(wǎng)銀方案進行研究，提出了一種假設移動終端不可信的基于智能銀行卡的移動安全網(wǎng)銀解決方案。

銀行業(yè)關系到國計民生和社會穩(wěn)定，在當前日益嚴峻的金融信息安全威脅形勢下，重新審視商業(yè)銀行信息系統(tǒng)和安全管理體系中的缺陷，優(yōu)化甚至重構已有的信息安全技術架構，實施安全管理與策略的升級轉型，將成為我國商業(yè)銀行構建自主可控的信息安全體系的重要內(nèi)容。

二、 全球銀行業(yè)網(wǎng)絡安全威脅事件匯總及形勢分析

縱觀全球，無論從技術建設水平還是從風險監(jiān)管環(huán)境看，銀行業(yè)的信息安全體系相比其他行業(yè)更為成熟和完善，商業(yè)銀行除了具有網(wǎng)絡防御、信息備份、災難恢復和系統(tǒng)性能保障等完備的信息安全保障措施，還要定期接受嚴格的合規(guī)檢查。然而，隨著銀行自身業(yè)務電子化依賴程度的加深以及金融服務趨于開放互聯(lián)，近年來全球銀行業(yè)的網(wǎng)絡安全威脅事件不降反升，嚴重影響了銀行聲譽和社會穩(wěn)定，也打擊了公眾對數(shù)字金融的使用信心，這些威脅事件突顯了金融領域信息安全問題的嚴峻性、持續(xù)性和衍生性。（1）在歐洲， 2007年～2010年，黑客先后多次攻破荷蘭銀行的防火墻，盜取了部分賬戶信息并成功進行了轉賬操作。2014年，俄羅斯央行和商業(yè)銀行的在線服務遭受DDoS攻擊，造成長時間服務癱瘓。2015年伊始，芬蘭波赫尤拉銀行和瑞典北歐聯(lián)合銀行同時遭受了24小時持續(xù)性DDoS攻擊，致使其停止線上服務訪問，經(jīng)調查本次攻擊技術并不復雜，實施者可能是業(yè)余黑客。（2）在美洲，2011年，美國花旗銀行數(shù)據(jù)庫系統(tǒng)被黑客侵入，20萬用戶的信用卡信息被盜。2014年，摩根大通發(fā)現(xiàn)黑客利用復雜的技術潛入其內(nèi)部網(wǎng)絡2個月，竊取了8 300萬客戶資料等大量情報，震動了奧巴馬政府，經(jīng)調查攻擊者來自當時正被西方經(jīng)濟制裁的俄羅斯，可能有國家黑客背景。（3）在亞洲，2012年，香港匯豐銀行的匯豐理財服務等全球多個網(wǎng)站受到攻擊，經(jīng)調查可能系伊斯蘭極端組織所為。2009年～2014年，韓國友利、韓亞、農(nóng)協(xié)、濟州等銀行多次遭遇大型網(wǎng)絡攻擊，致使網(wǎng)絡癱瘓，全國柜臺和ATM無法提供數(shù)字服務，甚至災備系統(tǒng)全部失效。2014年更是發(fā)生了銀行信用卡信息泄露事件，導致韓國全民排隊更換信用卡，影響了社會秩序。（4）在非洲，2012年南非郵政銀行遭受一次策劃已久的網(wǎng)銀偷盜活動，黑客通過潛入內(nèi)部員工計算機數(shù)月闖進銀行核心系統(tǒng)，共盜取700萬美元。

經(jīng)過對上述安全事件的匯總分析，可以發(fā)現(xiàn)銀行業(yè)網(wǎng)絡威脅環(huán)境正面臨著新形勢，不僅涉及安全管理和技術問題，背后還常常伴隨著國家政治經(jīng)濟環(huán)境問題，信息安全風險邊界呈現(xiàn)出擴大化、分散化的趨勢，主要表現(xiàn)在以下幾點：

1. 從威脅模式看，商業(yè)銀行面臨多樣化的網(wǎng)絡攻擊形式，高等級攻擊增多。從案例中可以發(fā)現(xiàn)，商業(yè)銀行面臨的最主要的網(wǎng)絡威脅是資金盜竊、數(shù)據(jù)泄露以及系統(tǒng)服務中斷。具體到攻擊模式，商業(yè)銀行由于數(shù)據(jù)資產(chǎn)附加值高且安防體系健全，攻擊者愿意付出更大代價，嘗試新型復雜的技術手段和社會工程方法。一是針對大型銀行系統(tǒng)的APT攻擊日漸流行，其攻擊行為潛伏策劃期長，入侵行為隱蔽，通過層層滲透逐步獲取核心系統(tǒng)權限；二是對于“零日”漏洞，攻守兩端存在知識不對等的局面，已成為網(wǎng)絡攻擊中最有效的突破口；三是很多案例中反映出攻擊者已不僅僅依靠單純的技術手段，還表現(xiàn)出周密的偵察組織能力以及對銀行業(yè)務流程的熟悉，甚至還出現(xiàn)內(nèi)部技術人員參與協(xié)作的情況。

2. 從涉及地域看，信息安全風險正在威脅全球范圍的商業(yè)銀行。區(qū)別于實地"搶銀行"的概念，在互聯(lián)網(wǎng)金融時代，黑客已突破洲際地域界限，可以將任何區(qū)域的商業(yè)銀行信息系統(tǒng)作為攻擊目標，開展有組織的網(wǎng)絡竊取和破壞活動，針對商業(yè)銀行的網(wǎng)絡攻擊行為已成為全球性的普遍問題。從案例中可以看出無論是位于全球金融中心的美國摩根大通，還是遠在非洲的南非郵政銀行，都出現(xiàn)過較為嚴重的網(wǎng)絡威脅事件記錄，很多銀行還不止一次的遭受黑客攻擊。隨著國內(nèi)商業(yè)銀行線上經(jīng)營環(huán)境的快速開放，網(wǎng)絡威脅事件發(fā)生的概率將進一步提高。

3. 從成本投入看，攻擊成本和防御成本呈現(xiàn)嚴重不對稱性。商業(yè)銀行在安全設施、人才培養(yǎng)和技術研發(fā)方面的投入正逐年增加，例如摩根大通宣稱其2014年的網(wǎng)絡安全開支已達25億美元，并配備了上千名專職員工，遠高于IT巨頭谷歌公司，但龐大的投資并未阻止其2014年發(fā)生嚴重的信息泄露事件。隨著同類業(yè)務的泛化、攻擊方法的簡化和惡意工具的普及，網(wǎng)絡攻擊難度和成本正在降低，很多案件的攻擊者文化水平并不高，甚至使用開源工具和簡單技術即能實施攻擊，即便無法實現(xiàn)難度較高的資金和信息竊取，也存在利用蠻力方法造成服務中斷的可能。

4. 從外部因素看，網(wǎng)絡安全與地緣政治、民族宗教等問題緊密相連，存在跨界震蕩。當前，國際政治、軍事、宗教等領域發(fā)生區(qū)域沖突和爭端越來越多的轉嫁于網(wǎng)絡空間，帶有政治意圖或意識形態(tài)的網(wǎng)絡威脅大幅增加，最典型的例子是2010年美國利用“震網(wǎng)”病毒入侵伊朗核設施網(wǎng)絡，成功改變了系統(tǒng)相關參數(shù)，導致伊朗核計劃延遲。思科在2015年度安全報告中首次將地緣政治因素納入網(wǎng)絡安全威脅考量。從全球銀行業(yè)網(wǎng)絡安全威脅的案例中，同樣能發(fā)現(xiàn)“國家黑客”或恐怖主義所帶來的影響。因此，商業(yè)銀行作為國民經(jīng)濟的命脈，其網(wǎng)絡安全環(huán)境必然與外部情報態(tài)勢存在聯(lián)系。

三、 我國商業(yè)銀行應對網(wǎng)絡威脅遇到的困難與挑戰(zhàn)

全球金融信息安全形勢為我國商業(yè)銀行的經(jīng)營發(fā)展敲響警鐘，以人為鏡，可以明得失，從不同維度分析我國商業(yè)銀行在新形勢下存在的信息安全風險，主要存在以下幾點困難和挑戰(zhàn)：

1. 系統(tǒng)架構日趨復雜考驗自主可控能力。這主要涉及兩個方面：一是國內(nèi)銀行網(wǎng)絡基礎設施和核心業(yè)務系統(tǒng)長期依賴國外廠商的技術和設備，國外IT廠商的大型機、小型機、數(shù)據(jù)庫、存儲設備等在國內(nèi)銀行業(yè)處于壟斷地位?；A設施和核心架構受制于人，無法實現(xiàn)安全自主可控。二是信息安全技術架構日趨復雜，業(yè)務系統(tǒng)增長使安全加固點增多，不同網(wǎng)絡位置的安全設備產(chǎn)生海量、多源、異構的原始流量信息和安全日志，同時業(yè)務數(shù)據(jù)本身也隱藏安全風險，目前尚欠缺對這些數(shù)據(jù)有效的關聯(lián)分析和安全聯(lián)動，難以掌握整體網(wǎng)絡安全態(tài)勢，實現(xiàn)安全可控。

2. 新興業(yè)務應用的增長帶來安全隱患。移動金融、網(wǎng)絡理財、第三方支付、企業(yè)網(wǎng)絡融資、直銷銀行等新應用的出現(xiàn)使銀行線上業(yè)務鏈條拉長，漏洞隱患隨之增多，不僅帶來了技術安全問題，還表現(xiàn)出業(yè)務安全隱患，傳統(tǒng)的信息安全風險評估方法已難以適應。更根本的原因是目前銀行的安全體系建設并未納入到業(yè)務發(fā)展整體中考慮，導致業(yè)務發(fā)展與安全建設脫節(jié)。

3. 網(wǎng)絡數(shù)據(jù)量的上升引發(fā)性能瓶頸。隨著傳統(tǒng)金融業(yè)務進一步向互聯(lián)網(wǎng)遷移，網(wǎng)絡流量呈指數(shù)級上升，網(wǎng)絡設備數(shù)據(jù)報文轉發(fā)速率要求越來越高，銀行系統(tǒng)產(chǎn)生的海量數(shù)據(jù)為現(xiàn)有安全設備與分析方法帶來了性能考驗，一是對于事中的流量安全檢測，實時處理、檢測和響應難度加大，二是對于事后的安全審計與取證，對海量數(shù)據(jù)歸集存儲能力和快速全文檢索能力提出較高要求。

4. 新型攻擊模式考驗防御技術體系。從對現(xiàn)有案例的分析發(fā)現(xiàn)，APT等新型攻擊已逐漸成為網(wǎng)絡攻擊者滲透大型商業(yè)銀行網(wǎng)絡的常態(tài)化模式，這類攻擊具有潛伏期長、不確定性強、弱特征的特點，善于利用未知漏洞形成單點突破，再逐層開展內(nèi)網(wǎng)滲透，慢速的竊取數(shù)據(jù)或有計劃的破壞網(wǎng)絡。現(xiàn)有防御思路更關注單點防御和階段性防御，對于新型攻擊模式缺乏有效應對手段。

5. 信息安全管理手段仍存較大缺陷。目前，商業(yè)銀行通常采用較為成熟的信息安全管理規(guī)范來制定安全管理制度，其中運維保障、網(wǎng)絡隔離、數(shù)據(jù)加密存儲等技術性基礎工作一般完成較好，但人員管理成為難點。核心科技人員和外包技術人員的增多，使銀行網(wǎng)絡設備及敏感數(shù)據(jù)越來越多的機會被直接操作，增加了系統(tǒng)不確定性和數(shù)據(jù)泄露的風險。

四、 我國商業(yè)銀行信息安全體系建設轉型要點

外部威脅環(huán)境的變化、監(jiān)管合規(guī)要求的提高以及自身業(yè)務系統(tǒng)架構的復雜化都要求商業(yè)銀行在信息安全體系發(fā)展建設中進行多方位轉型，以實現(xiàn)整體的安全自主可控。本文主要從系統(tǒng)架構、安全技術、風險評估、安全管理和安全規(guī)劃五個維度對商業(yè)銀行信息安全體系轉型進行要點分析。

1. 系統(tǒng)架構向自主可控轉型。“棱鏡門”事件反映出以國外軟硬件產(chǎn)品為核心的銀行信息系統(tǒng)存在安全隱患，根據(jù)國家政策導向趨勢，“去IOE”已成為國內(nèi)各大銀行不得不面對的問題。然而“去IOE”并不等于生硬的國產(chǎn)化替代，在具體實施時將面對極為復雜的技術挑戰(zhàn)和業(yè)務風險。要解決好這個問題，商業(yè)銀行應化被動為主動，把國家層面自主可控戰(zhàn)略作為一次系統(tǒng)架構升級轉型契機，以業(yè)務長期發(fā)展需求為核心統(tǒng)籌規(guī)劃，改善自主創(chuàng)新環(huán)境，逐步向高彈性、可擴展的架構模式轉型，一方面實現(xiàn)對IOE架構依賴度的降低，另一方面實現(xiàn)業(yè)務發(fā)展的自主可控。這個問題可以借鑒互聯(lián)網(wǎng)企業(yè)的成功經(jīng)驗，例如阿里巴巴從2007年開始實施“去IOE”計劃，到2012年最后一臺IBM小型機下線，共歷時5年，主要思路包括：一是一切以業(yè)務為導向，逐步向云計算服務模式遷移；二是向x86架構轉型，降低成本；三是開源軟件與自主研發(fā)相結合的技術發(fā)展路線；四是通過業(yè)務創(chuàng)新推動技術創(chuàng)新，實現(xiàn)基礎架構的高可用（例如“雙十一”、“搶紅包”等新興業(yè)務訪問量大，使后臺技術能力不斷站上新的臺階）。

2. 安全技術向大數(shù)據(jù)智能安全升級。傳統(tǒng)的安全軟硬件產(chǎn)品如殺毒軟件、入侵檢測、Web防火墻等，主要解決的是單點安全問題，且多是基于特征碼和規(guī)則庫的檢測方法，缺乏網(wǎng)絡全局的安全態(tài)勢感知能力和基于行為的智能分析手段，無法應付新型的高等級威脅?；诖髷?shù)據(jù)技術的智能安全將是銀行安全技術轉型的方向，著名信息技術咨詢公司Gartner（2014）預測2016年25%的國際型大公司會將大數(shù)據(jù)技術應用于至少一個安全或異常檢測中。大數(shù)據(jù)智能安全技術主要包括兩大部分：一是安全數(shù)據(jù)的感知歸集。主要任務是對異源異構的安全數(shù)據(jù)進行采集、過濾、存儲和格式化，對于銀行系統(tǒng)，數(shù)據(jù)源不僅要包含網(wǎng)絡設備的流量數(shù)據(jù)和應用系統(tǒng)的服務日志，還要包含業(yè)務系統(tǒng)的各類操作日志，為后續(xù)的安全分析和取證提供基礎。二是安全數(shù)據(jù)的關聯(lián)分析。建立在大數(shù)據(jù)存儲的基礎上，安全防護具備了長周期檢測和異源異構關聯(lián)分析條件，Hadoop、Spark等技術的發(fā)展為海量數(shù)據(jù)的高效并行計算為技術團隊基于大數(shù)據(jù)的安全建模能力。

3. 風險評估向動態(tài)開放方向轉型。目前，我國商業(yè)銀行主要是遵從或參考《商業(yè)銀行信息科技風險管理指引》、《信息安全等級保護管理辦法》、GB20984 、ISO27001、COBIT等國內(nèi)外較為成熟的安全評估管理標準和規(guī)范，開展信息安全風險評估、測試、改進等工作，以滿足內(nèi)部控制和合規(guī)管理的要求。從實際效果看，這些標準在實踐中有效幫助商業(yè)銀行建立了規(guī)范完善的信息安全評估管理體系，能夠及時發(fā)現(xiàn)風險并采取控制措施。而在新技術條件下，現(xiàn)有的評估管理體系略顯機械，很多評估結果僅是列出孤立的風險項，無法反映核心問題，以年為周期組織的評估活動也無法適應不斷變化的網(wǎng)絡威脅環(huán)境。建議在現(xiàn)有風險評估體系基礎上增加靈活性：一是可酌情引入“白帽子”評估測試機制，“白帽子”漏洞發(fā)現(xiàn)能力強，評估方法客觀，可避免評估思路的固化單一；二是常態(tài)化的開展動態(tài)局部的評估活動，而不是簡單應付幾月一次的整體合規(guī)檢查；三是對新業(yè)務開展有效的專項安全評估，例如手機銀行安全評估、私有云安全評估等。

4. 安全管理應突出“以人為本”。人是信息系統(tǒng)的擁有者、管理者和使用者，據(jù)統(tǒng)計，只有20%～30%的信息安全事件是因為純黑客入侵或其他外部原因造成，另外70%～80%都存在內(nèi)部員工的疏忽或有意泄漏。商業(yè)銀行在落實信息安全管理制度時，應將人員管理作為安全管理的核心。一是進行細粒度的系統(tǒng)權限劃分，根據(jù)內(nèi)部人員開發(fā)、維護、管理職責和級別的不同進行權限分配，規(guī)范操作流程，避免修改刪除自操作日志等情況。二是在外包項目中要加強對第三方人員的操作監(jiān)控，對于核心數(shù)據(jù)讀取和計算場景，增加數(shù)據(jù)同態(tài)加解密、數(shù)據(jù)脫敏等機制。三是強化日常運維、應急響應、安全專家等專設小組的職能定位和能力建設，打造立體化的信息安全管理隊伍。四是定期開展信息安全培訓和演練，提高全員安全意識和安全技能。

5. 安全規(guī)劃要與銀行戰(zhàn)略和業(yè)務需求相捆綁。傳統(tǒng)的安全規(guī)劃更像是安全設備和產(chǎn)品的采購方案，關注眼前的安全防護，并與實際業(yè)務脫節(jié)嚴重，在商業(yè)銀行線上業(yè)務快速擴展的背景下，這種規(guī)劃方法已遠遠不夠。商業(yè)銀行信息安全規(guī)劃必須更具前瞻性，要從企業(yè)戰(zhàn)略和業(yè)務需求出發(fā)，追求規(guī)劃的持續(xù)性、實施的可操作性以及應用實施時的彈性。國際流行的EA、TOGAF、SABSA等架構模型都為商業(yè)銀行安全規(guī)劃轉型提供了參考，其核心思想都是建立從企業(yè)戰(zhàn)略、到業(yè)務需求、到系統(tǒng)架構、到技術架構、到實施管理、再到新業(yè)務和架構變更的全生命周期安全規(guī)劃框架。

參考文獻：

[1] 吳溥峰.網(wǎng)上銀行信息安全體系框架的構建[J].西北大學學報（哲學社會科學版），2010，（2）.

[2] 汪軼.我國商業(yè)銀行信息科技風險監(jiān)管研究[D].西南財經(jīng)大學學位論文，2011.

[3] 夏偉，李暉，崔彥平.移動網(wǎng)銀安全研究[J].信息網(wǎng)絡安全，2012，（10）.

[4] Cisco 2015 Annual Security Report[EB/OL]2015，http：//www.cisco.com/web/offers/lp/2015-annual-security-report/index.html.

基金項目：中國博士后科學基金面上資助一等資助（項目號：2015M570186）；中央高校基本科研業(yè)務費支持（項目號：2015xs1-zjy）。

作者簡介：宮哲（1985-），男，漢族，山東省濟南市人，北京郵電大學工學博士，中國農(nóng)業(yè)銀行和清華大學聯(lián)合培養(yǎng)博士后，研究方向為銀行信息化、金融安全；張建毅（1983-），男，漢族，山東省濟南市人，北京郵電大學工學博士，北京電子科技學院講師，研究方向為金融反欺詐、信息安全管理。

收稿日期：2015-08-20。