莊華 上海交通大學(xué)信息安全工程學(xué)院

“互聯(lián)網(wǎng)+”形勢下的金融機(jī)構(gòu)正在逐步實(shí)施“互聯(lián)網(wǎng)+”相關(guān)行動計(jì)劃，面臨的安全問題也日益凸顯，除了互聯(lián)網(wǎng)共性的外部威脅和內(nèi)部威脅，還包括“互聯(lián)網(wǎng)+”技術(shù)融合帶來的各類新技術(shù)風(fēng)險(xiǎn)以及金融機(jī)構(gòu)自有的安全挑戰(zhàn)。對此，金融行業(yè)機(jī)構(gòu)應(yīng)從端正認(rèn)識、完善制度建設(shè)、優(yōu)化技術(shù)、加強(qiáng)內(nèi)控、完善監(jiān)管、深化多領(lǐng)域合作等方面入手，以確?！盎ヂ?lián)網(wǎng)+金融”的安全運(yùn)作。

一、“互聯(lián)網(wǎng)+”成金融業(yè)新引擎

在“互聯(lián)網(wǎng)+”時(shí)代，信息傳播和技術(shù)發(fā)展速度將越來越快，信息不對稱造成的價(jià)值溢價(jià)將會逐漸消失，只有個(gè)性化和高度定制化的產(chǎn)品才會有生存空間。在國內(nèi)金融行業(yè)受長期嚴(yán)格監(jiān)管和發(fā)展緩慢的情況下，尤其需要“互聯(lián)網(wǎng)+”給行業(yè)帶來的新氣息和技術(shù)創(chuàng)新，“互聯(lián)網(wǎng)+”必將成為國內(nèi)金融行業(yè)發(fā)展的新引擎。

二、互聯(lián)網(wǎng)金融行業(yè)安全形勢嚴(yán)峻

(一）層出不窮的外部威脅

目前系統(tǒng)業(yè)務(wù)設(shè)計(jì)缺陷、漏洞利用以及常態(tài)化的APT 攻擊是幾種最具危險(xiǎn)性的外部威脅。

(二）“互聯(lián)網(wǎng)+”下的安全風(fēng)險(xiǎn)

1.云計(jì)算安全風(fēng)險(xiǎn)

支付寶被挖斷光纖、攜程數(shù)據(jù)被刪、藝龍?jiān)釪Dos 攻擊而宕機(jī)，國內(nèi)云安全事件頻發(fā)。云計(jì)算架構(gòu)帶來便捷、廉價(jià)、可伸縮等紅利的同時(shí)，其自身的脆弱性、多租戶安全問題、云計(jì)算服務(wù)商的安全問題等等，都需要一一面對和解決。國內(nèi)各類企業(yè)紛紛開展云計(jì)算使用，包括一些金融機(jī)構(gòu)，但是卻很少去了解該如何控制使用云所需的工作。

2.移動設(shè)備安全風(fēng)險(xiǎn)

金融與移動互聯(lián)網(wǎng)的結(jié)合，使得金融行業(yè)業(yè)務(wù)接入方式更加終端化，對業(yè)務(wù)體驗(yàn)要求更高，交易方式與頻次變得更加分散，因此存在的安全安全風(fēng)險(xiǎn)更加復(fù)雜，面臨的安全威脅也更多樣化。而其中隨著惡意軟件、安全漏洞和攻擊事件層出不窮，移動金融終端安全問題直接關(guān)系到個(gè)人用戶的賬戶隱私和財(cái)產(chǎn)安全，成為一種巨大的安全風(fēng)險(xiǎn)。

3.大數(shù)據(jù)安全風(fēng)險(xiǎn)

大數(shù)據(jù)分析儼然目前已經(jīng)成為“互聯(lián)網(wǎng)+”產(chǎn)業(yè)發(fā)展和升級改造的流行詞，其在互聯(lián)網(wǎng)金融、電商、互聯(lián)網(wǎng)安全等多領(lǐng)域發(fā)揮著巨大作用。但是數(shù)據(jù)的合法獲取、妥善保存、合法轉(zhuǎn)讓、安全銷毀和隱私立法是“互聯(lián)網(wǎng)+”中需要提前規(guī)劃和考慮的重要問題。

(三）新形勢下金融機(jī)構(gòu)的安全挑戰(zhàn)

在管理方面，金融機(jī)構(gòu)秉承“合規(guī)”原則，內(nèi)部制定了謹(jǐn)慎全面的審批流程，管理成本較大。以信息安全方面的管理流程為例，現(xiàn)有安全防護(hù)體系部分的審批包括信息系統(tǒng)安全規(guī)劃論證、系統(tǒng)安全掃描、應(yīng)用系統(tǒng)上線安全檢測等方面，任意環(huán)節(jié)發(fā)現(xiàn)安全漏洞都需要回歸測試掃描，人力和時(shí)間成本較大。

在技術(shù)方面，主機(jī)、操作系統(tǒng)和數(shù)據(jù)庫仍然是IOE 的產(chǎn)品。眾所周知，國外商用產(chǎn)品存在技術(shù)后門等安全隱患，同時(shí)國內(nèi)技術(shù)人員因無法掌握核心技術(shù)而導(dǎo)致對國外廠商和服務(wù)的依賴，造成應(yīng)用系統(tǒng)整體的開發(fā)和運(yùn)維成本過高。因此，盡快制定符合金融機(jī)構(gòu)實(shí)際情況的去IOE 技術(shù)解決方案，也是新形勢下金融機(jī)構(gòu)所面臨的棘手問題之一。

三、“互聯(lián)網(wǎng)+”下金融機(jī)構(gòu)的安全應(yīng)對

(一）借力發(fā)展，構(gòu)建多元化合作渠道

保持與上級行業(yè)主管單位、國家安全保障團(tuán)隊(duì)（網(wǎng)安等）的聯(lián)系，實(shí)時(shí)溝通匯報(bào)；

深化與安全服務(wù)廠商和安全眾測平臺的合作，采購信息安全專業(yè)的服務(wù)，依靠國內(nèi)外網(wǎng)絡(luò)安全優(yōu)秀團(tuán)隊(duì)的力量來發(fā)現(xiàn)各系統(tǒng)的安全漏洞，保障信息系統(tǒng)的安全；

(二）自主可控，大膽啟用新思路、新架構(gòu)

目前金融機(jī)構(gòu)已經(jīng)積極開始了一些嘗試：

項(xiàng)目生命周期管理：在系統(tǒng)開發(fā)上，通過敏捷式開發(fā)來實(shí)現(xiàn)互聯(lián)網(wǎng)金融業(yè)務(wù)的開發(fā)轉(zhuǎn)型，更及時(shí)響應(yīng)客戶需求，滿足迅速變化的市場環(huán)境，通過協(xié)作開發(fā)和迭代交付，實(shí)現(xiàn)小步快跑，在不降低軟件質(zhì)量的前提下，極大縮短開發(fā)周期。

系統(tǒng)軟硬件國產(chǎn)化：國家層面已經(jīng)做出了一些戰(zhàn)略指導(dǎo)，等級保護(hù)提出三級以上系統(tǒng)應(yīng)當(dāng)使用國產(chǎn)安全產(chǎn)品，國家密碼管理局和人民銀行要求推廣使用國產(chǎn)密碼算法等。在系統(tǒng)構(gòu)架建設(shè)時(shí)應(yīng)強(qiáng)調(diào)自主可控，積極發(fā)展軟硬件產(chǎn)品的國產(chǎn)化。

開源軟件：積極使用開源軟件替代各類應(yīng)用商業(yè)軟件。開源軟件往往價(jià)格低廉甚至免費(fèi)，而且有比較完善的應(yīng)用框架，僅需要投入適量的人力、物力對其深度定制即可接近或超過價(jià)格昂貴的商業(yè)軟件所能達(dá)到的效果；同時(shí)，因?yàn)檐浖创a的公開，軟件使用者對代碼內(nèi)可能存在的漏洞、后門、性能瓶頸均能了如指掌。

安全加密：金融機(jī)構(gòu)已經(jīng)在積極推廣使用數(shù)字證書技術(shù)。數(shù)字證書技術(shù)仍然是目前公認(rèn)的最安全的信息安全技術(shù)，隨著國產(chǎn)加密算法技術(shù)的不斷發(fā)展和積極推廣，“相關(guān)性能瓶頸和兼容性問題也越來越少，目前在金融行業(yè)使用國密的應(yīng)用也越來越多”，因此在“互聯(lián)網(wǎng)+金融”背景下，深入推廣與創(chuàng)新數(shù)字證書技術(shù)，特別是國密證書的應(yīng)用，依然是一個(gè)最佳且不可或缺的選擇。

(三）安全應(yīng)急，加大風(fēng)險(xiǎn)預(yù)警和管控力度

網(wǎng)絡(luò)安全應(yīng)急管理應(yīng)做到及時(shí)發(fā)現(xiàn)，及早預(yù)警，全面追蹤和有效處置。國內(nèi)互聯(lián)網(wǎng)金融行業(yè)應(yīng)建立多層次和覆蓋廣的安全檢測體系，整合行業(yè)資源和安全資源，解決基礎(chǔ)資源分散、未知漏洞和未知攻擊監(jiān)測能力不足的問題，實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)全面感知的能力。

(四）完善監(jiān)管，推行信息安全的合規(guī)

“互聯(lián)網(wǎng)+”的發(fā)展已經(jīng)使得金融行業(yè)的信息化水平不斷提高，因此加快推行信息安全的合規(guī)性是當(dāng)前金融業(yè)刻不容緩的事情：合規(guī)不能保證系統(tǒng)永遠(yuǎn)安全，永遠(yuǎn)不出安全事件，但是，做好基本的信息安全防御工作，將有利于減少信息安全事件發(fā)生的可能性③。

目前國內(nèi)金融行業(yè)內(nèi)一項(xiàng)最重要的法律法規(guī)就是信息安全的等級保護(hù)制度，隨著等級保護(hù)制度多年的發(fā)展，目前其已經(jīng)發(fā)展為主管部門銀監(jiān)會和人民銀行對金融企業(yè)是否達(dá)到基準(zhǔn)的合規(guī)性要求的重要參照指標(biāo)。大部分金融機(jī)構(gòu)從2010 年開展等級保護(hù)工作，至今相關(guān)系統(tǒng)測評符合率已經(jīng)較高，但是仍應(yīng)結(jié)合自身業(yè)務(wù)特點(diǎn)和信息安全現(xiàn)狀，修改和完善相關(guān)信息安全法規(guī)，并加強(qiáng)日常信息安全管理和監(jiān)督工作。

(五）加強(qiáng)業(yè)務(wù)安全設(shè)計(jì)，防范信息系統(tǒng)技術(shù)風(fēng)險(xiǎn)

目前金融行業(yè)業(yè)務(wù)安全設(shè)計(jì)沒有完善的理論，相關(guān)資料較少，因此不斷借鑒優(yōu)化同行業(yè)做法、提高業(yè)務(wù)設(shè)計(jì)人員自身的信息安全素養(yǎng)是目前為數(shù)不多的可行方法。在“互聯(lián)網(wǎng)+”時(shí)代，在技術(shù)無法保證100%安全的前提下，業(yè)務(wù)人員是否重視業(yè)務(wù)安全設(shè)計(jì)的重要性，也是金融機(jī)構(gòu)業(yè)務(wù)是否能長期持續(xù)發(fā)展的關(guān)鍵。

(六）借助互聯(lián)網(wǎng)威脅情報(bào)及情境感知，實(shí)現(xiàn)外防內(nèi)控

隨著信息技術(shù)的發(fā)展，可機(jī)讀危險(xiǎn)情報(bào)（MRTI）使得對高級威脅的快速防護(hù)成為可能，成為銜接安全大數(shù)據(jù)與企業(yè)的紐帶。金融行業(yè)內(nèi)企業(yè)應(yīng)與信息安全公司合作，加強(qiáng)自身和行業(yè)內(nèi)其他企業(yè)的整體流量還原和日志存儲能力，固化所有攻擊證據(jù)，做到可回溯。而同時(shí)信息安全公司應(yīng)利用大數(shù)據(jù)分析和挖掘技術(shù)，有效、快速地發(fā)現(xiàn)未知威脅，即威脅情報(bào)。同時(shí)對企業(yè)內(nèi)部各層數(shù)據(jù)進(jìn)行采集和存儲，通過異常行為分析等措施快速定位各類風(fēng)險(xiǎn)和威脅，阻擋惡意行為，識別合法業(yè)務(wù)行為。