賈凱

（平安銀行股份有限公司總行科技管理部，上海 200120）

0.引言

近年來，銀行業(yè)紛紛開啟數(shù)字化轉(zhuǎn)型構(gòu)建了以開放銀行、數(shù)字銀行為經(jīng)營戰(zhàn)略的科技設(shè)施，深刻改變了傳統(tǒng)業(yè)務(wù)的經(jīng)營模式。在信息科技安全風(fēng)險中，銀行數(shù)據(jù)及客戶資產(chǎn)具有更強(qiáng)的隱私性及更強(qiáng)的敏感性的特點，科技安全風(fēng)險顯著提升，構(gòu)建一套保障數(shù)字化轉(zhuǎn)型的信息科技安全治理體系尤為迫切。

1.科技安全風(fēng)險治理的趨勢及挑戰(zhàn)

1.1 數(shù)字化轉(zhuǎn)型趨勢

移動互聯(lián)網(wǎng)、大數(shù)據(jù)、生物識別、云計算等創(chuàng)新技術(shù)有力支撐了銀行數(shù)據(jù)化轉(zhuǎn)型的快速發(fā)展。銀行業(yè)底層的技術(shù)架構(gòu)也發(fā)生了根本性的變化，開放銀行下與各科技伙伴公司的API對接更加紛繁復(fù)雜，業(yè)務(wù)邊界愈加模糊，風(fēng)險暴露面擴(kuò)大，移動互聯(lián)網(wǎng)下用戶信息的各類沉淀越來越豐富，數(shù)據(jù)的交叉共享，給個人信息隱私保護(hù)帶來了更多風(fēng)險。生物識別等新技術(shù)使用的同時，安全保障技術(shù)參差不齊，這些改變從根本上給科技安全風(fēng)險治理帶來新的難點。

1.2 科技安全風(fēng)險治理面臨5大方面的挑戰(zhàn)

線上銀行、生態(tài)銀行、智能銀行的趨勢發(fā)展下，高并發(fā)、高性能、高擴(kuò)展成為銀行科技架構(gòu)的重點建設(shè)工作，科技團(tuán)隊的規(guī)模也迅速擴(kuò)大，安全風(fēng)險治理工作面臨5大方面的變化。

1.2.1 科技人員規(guī)模

隨著各大銀行在數(shù)字化轉(zhuǎn)型程度的不斷加深，科技人員的比重在組織內(nèi)得到大幅提升。如此規(guī)模的科技團(tuán)隊對傳統(tǒng)銀行的風(fēng)險治理模式也造成沖擊。第一，較大占比的科技人員都來源于科技公司，科技公司與銀行在對安全風(fēng)險的關(guān)注度及容忍度上存在較大差異，前者在對技術(shù)安全風(fēng)險及操作行為風(fēng)險方面上難以跟上銀行機(jī)構(gòu)在風(fēng)險管理上的要求。第二，隨著敏捷研發(fā)模式的推進(jìn)，在組織架構(gòu)上，業(yè)務(wù)人員與科技人員的融合更為緊密，邊界更加模糊，帶來了新的風(fēng)險暴露面。第三，在研發(fā)效率，需求迭代上越來越迅速，人員規(guī)模與敏捷研發(fā)的融合都給安全治理難度帶來了指數(shù)級的提升，傳統(tǒng)的安全治理工作模式面臨巨大挑戰(zhàn)[2]。

1.2.2 新技術(shù)發(fā)展

生物識別、開放銀行、大數(shù)據(jù)等技術(shù)的推進(jìn)應(yīng)用促進(jìn)了業(yè)務(wù)的高速發(fā)展，同時各個主題方間更加緊密的連接也為安全治理帶來更嚴(yán)峻的挑戰(zhàn)。（1）生物識別領(lǐng)域使身份認(rèn)證更加便利，但不同技術(shù)實現(xiàn)方在認(rèn)證上的安全措施參差不齊，給攻擊者帶去了新的攻擊點，Deepfake等結(jié)合了AI算法的人臉偽造技術(shù)給人臉識別的應(yīng)用帶來風(fēng)險。（2）開放銀行讓金融服務(wù)無處不在的理念使銀行服務(wù)融入各類互聯(lián)網(wǎng)場景中，海量的API在不同場景下的融合，在接口鑒權(quán)、邊界防護(hù)、數(shù)據(jù)反爬、業(yè)務(wù)全鏈路的欺詐防護(hù)上帶來了系統(tǒng)性安全防控的挑戰(zhàn)。（3）業(yè)務(wù)合作信息共享下數(shù)據(jù)利用的充足率提升，機(jī)器完成各種活動更加節(jié)省經(jīng)營成本，同時，數(shù)據(jù)使用的敞口擴(kuò)大，3級或4級等合作機(jī)構(gòu)主動參與欺詐活動，濫用數(shù)據(jù)，給數(shù)據(jù)及欺詐風(fēng)險的延伸管理上帶來更大的難度[3]。

1.2.3 研發(fā)模式

敏捷研發(fā)模式替換了傳統(tǒng)瀑布式的研發(fā)流程，一方面在高速迭代的場景下，傳統(tǒng)基于人力的安全保障機(jī)制難以應(yīng)對適應(yīng)新時期的迭代速度，每次需求的變更如何確保安全及合規(guī)成為生產(chǎn)研發(fā)必須要關(guān)注的生命線。另一方面在生態(tài)化戰(zhàn)略下，銀行不在是業(yè)務(wù)流程中的孤島，業(yè)務(wù)流程常?？缭蕉嗉铱萍脊?，更需要系統(tǒng)化全局的來做好安全管控。

1.2.4 治理緯度

數(shù)字化轉(zhuǎn)型下面臨的安全風(fēng)險是多方位的，隨著不法分子在竊取用戶信息，盜取用戶資產(chǎn)的科技含量不斷升級，同時銀行與各合作方面臨的不同監(jiān)管要求，對安全及風(fēng)險理解和接受度不一致。涉及的安全風(fēng)險管理領(lǐng)域不斷擴(kuò)展，有傳統(tǒng)的技術(shù)安全風(fēng)險、組織不斷擴(kuò)大的人員操作風(fēng)險、合規(guī)風(fēng)險等，面臨更多領(lǐng)域的安全風(fēng)險治理挑戰(zhàn)。從整體經(jīng)營視角來看，治理緯度根本上分為”人與工具”兩大緯度的風(fēng)險。

1.2.5 治理模式演化

隨著科技轉(zhuǎn)型的深化，科技安全風(fēng)險正逐漸受到監(jiān)管部門越來越高的重視，未來還將面臨更多安全風(fēng)險類的治理的新要求及新挑戰(zhàn)，將變得更加精細(xì)化及多元化，這就要求銀行需要從純依靠制度檢查的管理模式轉(zhuǎn)化為管理和治理2個方向相結(jié)合的管控思路，轉(zhuǎn)換為科技手段治理為主結(jié)合人力治理并行的治理模式[4]。

2.構(gòu)建系統(tǒng)性的科技安全風(fēng)險治理體系

科技基礎(chǔ)設(shè)施是開展金融科技的基本保障，科技的基礎(chǔ)設(shè)施建設(shè)至關(guān)重要，科技風(fēng)險治理的效率取決于基礎(chǔ)設(shè)施建設(shè)的水平，在生產(chǎn)迭代中需構(gòu)建研發(fā)生產(chǎn)全生命周期的安全風(fēng)險治理體系，將安全風(fēng)險的感知能力貫穿整個生產(chǎn)過程，構(gòu)建出科技空間中的各個角色、各個應(yīng)用系統(tǒng)及使用用戶的安全畫像[5]。以風(fēng)險治理為導(dǎo)向，科技活動中面臨多方面的挑戰(zhàn)。

2.1 傳統(tǒng)研發(fā)安全風(fēng)險

基于研發(fā)設(shè)計不當(dāng)導(dǎo)致的各類傳統(tǒng)軟件安全漏洞，這些安全漏洞對銀行業(yè)資金及客戶數(shù)據(jù)及業(yè)務(wù)的穩(wěn)定運(yùn)營造成巨大的安全隱患。

2.1.1 開源及軟件供應(yīng)鏈安全風(fēng)險

一方面，當(dāng)下開源技術(shù)得到快速發(fā)展，大量的開源項目被引用到業(yè)務(wù)系統(tǒng)中，然而因其本身具有的開放、共建、自由傳播等特性，各類安全漏洞也同時被引入軟件供應(yīng)鏈，另一方面，在整套新系統(tǒng)的引入上，供應(yīng)商自身的安全意識和技術(shù)水平不足也隨之產(chǎn)生各類安全風(fēng)險，而由于商務(wù)合作、設(shè)計架構(gòu)與銀行自身科技架構(gòu)的差異，后期維護(hù)成本等因素上的影響，也給安全風(fēng)險修復(fù)帶來不小的阻礙。

2.1.2 新技術(shù)應(yīng)用的安全風(fēng)險

人臉、指紋等生物識別方式實現(xiàn)上因安全技術(shù)參差不齊給軟件供應(yīng)鏈帶來新的安全隱患。

2.1.3 數(shù)據(jù)安全風(fēng)險

數(shù)據(jù)安全法已于近期實施，在開放銀行、數(shù)據(jù)經(jīng)營的理念下，基于金融生態(tài)下業(yè)務(wù)合作使得數(shù)據(jù)的流向越來越廣泛，而針對數(shù)據(jù)本身采集至共享交換等數(shù)據(jù)生命周期場景下，對數(shù)據(jù)的濫用及整體數(shù)據(jù)安全管理上的缺失也將導(dǎo)致更多的數(shù)據(jù)安全風(fēng)險。

2.1.4 人員操作及各類合規(guī)風(fēng)險

隨著人員規(guī)模的增長，在數(shù)據(jù)安全管控等緯度面臨的內(nèi)部員工各類操作行為的風(fēng)險顯著增加，同時監(jiān)管對銀行信息科技風(fēng)險治理要求也在不斷提升。

建設(shè)安全治理基礎(chǔ)設(shè)施，貫徹管理加治理聯(lián)動的管控體系。

（1）從運(yùn)動式檢查轉(zhuǎn)向長效化管控。隨著銀行科技架構(gòu)轉(zhuǎn)向互聯(lián)網(wǎng)統(tǒng)一標(biāo)準(zhǔn)化，基礎(chǔ)架構(gòu)的完善也為科技安全風(fēng)險治理的基礎(chǔ)設(shè)施搭建打下堅實的基礎(chǔ)，通過從各個公共基礎(chǔ)部門獲取業(yè)務(wù)系統(tǒng)的各個層面的運(yùn)行屬性，構(gòu)建起覆蓋業(yè)務(wù)系統(tǒng)各屬性的全流程監(jiān)測體系，促進(jìn)從運(yùn)動式檢查到長效化管控的治理閉環(huán)[6]。

（2）由從被動治理轉(zhuǎn)為主動發(fā)現(xiàn)。通過科技風(fēng)險治理的基礎(chǔ)設(shè)施搭建，建立覆蓋業(yè)務(wù)系統(tǒng)的上下游各關(guān)聯(lián)方的風(fēng)險監(jiān)測機(jī)制，推進(jìn)風(fēng)險治理由基于事件型的被動應(yīng)對到伴隨生產(chǎn)運(yùn)行全過程的風(fēng)險主動感知能力的轉(zhuǎn)變。

2.2 組織建設(shè)

建設(shè)完善的科技安全及合規(guī)風(fēng)險治理體系，首先要根據(jù)當(dāng)前機(jī)構(gòu)下信息化建設(shè)的程度及進(jìn)展及面向科技風(fēng)險治理的總體需求及目標(biāo)方針（見圖1），逐步建設(shè)好專職科技風(fēng)險治理的組織架構(gòu)，需要逐步配備相應(yīng)的科技風(fēng)險專職管理人員，將安全風(fēng)險管理職責(zé)、合規(guī)管理職責(zé)落實到位[7]。

圖1 信息科技安全風(fēng)險治理體系示意

2.3 制度建設(shè)

（1）面向現(xiàn)有的實際運(yùn)行情況逐步完善科技風(fēng)險治理的制度體系，通過人與工具的能力對制度的落實執(zhí)行檢查，提升科技風(fēng)險治理的能力。

（2）根據(jù)在實際運(yùn)行過程中各項指標(biāo)的分析檢查各項治理工作的執(zhí)行結(jié)果，與制度進(jìn)行對比分析，檢查各項制度的完備性，總結(jié)制度與實際運(yùn)行中存在的問題。

（3）通過不斷的運(yùn)營分析及問題總結(jié)，對制度不斷完善加以改進(jìn)，形成建立-實施-監(jiān)測-持續(xù)改進(jìn)的閉環(huán)流程，形成更完善的制度體系。

2.4 運(yùn)行管理

（1）依據(jù)各類風(fēng)險治理事件的重要及緊急程度，制定相應(yīng)的處置流程，包含各處置環(huán)節(jié)，超時告警、例外審批等，通過對流程執(zhí)行的各緯度數(shù)據(jù)分析，如處置時長、中高風(fēng)險個數(shù)等數(shù)據(jù)累積，關(guān)聯(lián)已有的指標(biāo)分析，管控各類事件的處置，使風(fēng)險得到應(yīng)有的處置管理。

（2）依據(jù)各類風(fēng)險治理事件逐步建設(shè)起各類風(fēng)險運(yùn)行指標(biāo)，制定周期性的指標(biāo)檢視會議機(jī)制，持續(xù)監(jiān)測各類運(yùn)營指標(biāo)。

（3）通過對各類指標(biāo)的分析給出各個機(jī)構(gòu)及組織的風(fēng)險指標(biāo)排名，并在周期性的檢視機(jī)制中分析原因并針對性的制定解決辦法，跟進(jìn)落實，持續(xù)提升。

（4）依據(jù)指標(biāo)數(shù)據(jù)，制定相應(yīng)管理規(guī)則，對科技及業(yè)務(wù)各條線人員制定相應(yīng)的積分考核體系，在正向激勵方面，依據(jù)風(fēng)險積分進(jìn)行表彰，在績效考核上給予獎勵，在反向懲戒方面對積分異常人員組織培訓(xùn)，提升風(fēng)險重視程度及能力，在不符合安全意識或安全能力的情況下，應(yīng)禁止參與生產(chǎn)系統(tǒng)的研發(fā)及運(yùn)營，同時依據(jù)風(fēng)險積分在績效考核給予懲戒。

（5）通過指標(biāo)體系的建立，并在持續(xù)運(yùn)營過程中周期性的分析檢視，找出關(guān)鍵及重點問題，制定相應(yīng)的解決辦法，通過指標(biāo)的數(shù)據(jù)分析對組織人員制定獎懲舉措，持續(xù)地提升人員的安全及合規(guī)風(fēng)險意識，形成不斷完善的運(yùn)行管理流程。

2.4.1 風(fēng)險處置流程

風(fēng)險及事件處置流程。無論是合規(guī)或者風(fēng)險的處置必須基于流程化、規(guī)范化、可視化的原則，各類風(fēng)險及事件也應(yīng)根據(jù)內(nèi)部相應(yīng)的處置要求、相關(guān)職能分工完成各類事件的閉環(huán)處置工作，各類流程也應(yīng)由全線上化系統(tǒng)性的強(qiáng)制管控來完成，如圖2所示。

圖2 一般風(fēng)險事件處置流程

2.4.2 研發(fā)安全管理流程

基于研發(fā)安全風(fēng)險管控的目的，業(yè)內(nèi)企業(yè)大多建設(shè)了“S-SDLC”的研發(fā)安全管理流程（見圖3），該流程通過專職安全人員參與到研發(fā)周期，通過從需求到發(fā)布的全過程安全管控措施解決了軟件研發(fā)過程中的安全風(fēng)險，有效地保障了軟件的安全性。

圖3 S-SDLC研發(fā)安全生命周期

2.5 規(guī)則模型

各類監(jiān)測規(guī)則模型要依據(jù)各類科技風(fēng)險的治理要求來制定，同時規(guī)則是檢測能力的體現(xiàn)，要基于各類的檢測能力進(jìn)行制定編寫，在此列舉3類風(fēng)險規(guī)則的應(yīng)用場景。

2.5.1 人員操作風(fēng)險

在人員操作風(fēng)險的檢測中，通過對各業(yè)務(wù)系統(tǒng)的關(guān)鍵敏感信息接口的采集，建設(shè)涉敏及關(guān)鍵業(yè)務(wù)接口數(shù)據(jù)庫，設(shè)立異常操作的監(jiān)測規(guī)則，通過對流量及業(yè)務(wù)系統(tǒng)中的各類埋點數(shù)據(jù)的分析消化產(chǎn)生各類異常事件，同步至風(fēng)險處置系統(tǒng)中進(jìn)行相關(guān)流程的跟進(jìn)解決，同時通過對外部事件及內(nèi)部事件的分析，提取監(jiān)測規(guī)則，在日常的運(yùn)營中持續(xù)完善，不斷提升監(jiān)測能力。

監(jiān)測規(guī)則一般包含IP聚集、設(shè)備畫像聚集、高頻訪問、異常時段、高敏金融數(shù)據(jù)采集下載等。

2.5.2 開源軟件風(fēng)險

通過與入侵檢測系統(tǒng)HIDS、包庫管理等運(yùn)維架構(gòu)基礎(chǔ)設(shè)施的對接建立開源軟件清單，構(gòu)建業(yè)務(wù)系統(tǒng)與涉及的開源軟件之間的對應(yīng)關(guān)系，建設(shè)軟件依賴成分的資產(chǎn)數(shù)據(jù)庫，在應(yīng)用于架構(gòu)服務(wù)治理的同時應(yīng)用于科技安全風(fēng)險治理工作。

在存量風(fēng)險治理上，面對互聯(lián)網(wǎng)暴露的各類開源軟件漏洞，及時拉取受影響的業(yè)務(wù)系統(tǒng)，按照標(biāo)準(zhǔn)治理流程加以解決。

在增量風(fēng)險的治理上，設(shè)立開源軟件評審組織，對引入的開源軟件進(jìn)行安全審查，在生產(chǎn)研發(fā)過程中通過包管理工具對涉及開源軟件執(zhí)行掃描，結(jié)果數(shù)據(jù)同步至流程跟進(jìn)系統(tǒng)中，管控增量引入。

對應(yīng)的規(guī)則包含了歷史上開源軟件暴露出的各類安全及合規(guī)問題及當(dāng)下的行業(yè)內(nèi)及各類監(jiān)管部門通報的規(guī)則。

2.5.3 其他合規(guī)風(fēng)險

通過對流量、應(yīng)用運(yùn)行產(chǎn)生的各類數(shù)據(jù)的分析掃描對合規(guī)風(fēng)險進(jìn)行檢測。規(guī)則一般包含個人信息保護(hù)與信息采集授權(quán)、敏感信息處理、應(yīng)用的發(fā)布、上線及下線的流程合規(guī)性要求、崗位權(quán)限及授權(quán)異動、數(shù)據(jù)治理等相關(guān)的合規(guī)性要求。

2.5.4 能力建設(shè)

基礎(chǔ)安全監(jiān)測能力建設(shè)是實現(xiàn)大規(guī)模科技風(fēng)險治理的基礎(chǔ)，通過與基礎(chǔ)架構(gòu)及運(yùn)營部門的聯(lián)動采集各類業(yè)務(wù)系統(tǒng)運(yùn)行數(shù)據(jù)，建設(shè)成為覆蓋業(yè)務(wù)系統(tǒng)上下游的系統(tǒng)性安全風(fēng)險治理的基礎(chǔ)設(shè)施，以下列舉4類基礎(chǔ)安全風(fēng)險檢測能力的建設(shè)思路。

2.5.5 S-SDLC（軟件安全開發(fā)生命周期）與DevOps結(jié)合的安全風(fēng)險管控流程

通過將安全活動嵌入至研發(fā)流程，配備安全運(yùn)營人員全流程跟進(jìn)研發(fā)生命周期，在面向新技術(shù)的使用上，由專業(yè)的安全運(yùn)營人員對涉及新技術(shù)進(jìn)行專項研究，并形成安全風(fēng)險檢測規(guī)則，在人工及工具2個層面覆蓋全部業(yè)務(wù)系統(tǒng)上線前的安全檢測，如圖4所示。

圖4 結(jié)合了S-SDLC的DevOps研發(fā)流程

2.5.6 流量分析及安全掃描系統(tǒng)

在圖5基于IDC機(jī)房網(wǎng)關(guān)的流量鏡像（測試區(qū)流量鏡像），同時可包含其他多種渠道的數(shù)據(jù)源，采集業(yè)務(wù)人員及科技研發(fā)過程中的操作流量，對流量進(jìn)行解析后，即可對涉及的數(shù)據(jù)進(jìn)行消費(fèi)分析，主要分為3方面的風(fēng)險處置：

圖5 集中流量分析式的動態(tài)安全漏洞掃描系統(tǒng)

（1）涉及操作風(fēng)險治理場景下包含內(nèi)部員工異常操作行為監(jiān)測、業(yè)務(wù)系統(tǒng)敏感信息屏蔽監(jiān)測、異常批量敏感數(shù)據(jù)下載監(jiān)測、重要系統(tǒng)異常操作行為監(jiān)測等。

（2）在涉及安全技術(shù)風(fēng)險監(jiān)測場景下，通過對測試區(qū)流量進(jìn)行分析掃描，從而持續(xù)性地執(zhí)行各類安全漏洞探測發(fā)現(xiàn)。

（3）在入侵監(jiān)測場景下，通過分析流量入口的關(guān)鍵詞進(jìn)而對可疑的攻擊行為進(jìn)行監(jiān)測處置。

2.5.7 源代碼掃描系統(tǒng)

在存量掃描上，周期性拉取代碼倉庫代碼執(zhí)行全量代碼掃描，同步至風(fēng)險治理系統(tǒng)進(jìn)行跟進(jìn)（見圖6）。在增量掃描上，嵌入軟件開發(fā)周期，每次構(gòu)建提交執(zhí)行增量掃描，與客戶端編碼插件聯(lián)動，將結(jié)果反饋至客戶端編碼插件，前置修復(fù)，風(fēng)險事項提交至研發(fā)單位修復(fù)風(fēng)險隱患，在發(fā)布進(jìn)行版本卡點，確保版本中的問題得到徹底解決。

圖6 源代碼安全掃描流程示意

2.5.8 交互式安全風(fēng)險檢測系統(tǒng)

圖7為獲取業(yè)務(wù)系統(tǒng)上部署的APM檢測工具上的應(yīng)用埋點數(shù)據(jù)（應(yīng)用在生產(chǎn)上的運(yùn)行過程數(shù)據(jù)，取決于是否部署基于字節(jié)碼技術(shù)的APM監(jiān)測工具）對安全檢測相關(guān)的數(shù)據(jù)進(jìn)行分析，基于安全及合規(guī)檢測規(guī)則發(fā)現(xiàn)安全及合規(guī)風(fēng)險，并將數(shù)據(jù)同步至跟進(jìn)系統(tǒng)中完成處置閉環(huán)。

圖7 結(jié)合了內(nèi)部APM監(jiān)測平臺基于字節(jié)碼技術(shù)的漏洞檢測過程

3.未來安全風(fēng)險治理發(fā)展趨勢

銀行業(yè)的科技風(fēng)險治理正處于一個關(guān)鍵的背景下，一方面行業(yè)內(nèi)各個單位的安全風(fēng)險治理能力已經(jīng)得到較大幅度的提升。另一方面當(dāng)下信創(chuàng)產(chǎn)業(yè)正蓬勃發(fā)展，銀行業(yè)作為經(jīng)濟(jì)發(fā)展的重要基礎(chǔ)設(shè)施，將作為國產(chǎn)化、信創(chuàng)的優(yōu)先推進(jìn)方向。在新一輪科技浪潮中面臨的各類安全及合規(guī)風(fēng)險挑戰(zhàn)愈發(fā)擴(kuò)大，安全及合規(guī)風(fēng)險得到監(jiān)管層面更高的重視。

3.1 數(shù)據(jù)安全風(fēng)險及相應(yīng)的治理能力持續(xù)增強(qiáng)

隨著開放銀行、數(shù)據(jù)經(jīng)營理念的深入推進(jìn)，數(shù)據(jù)安全風(fēng)險不斷加大，金融用戶數(shù)據(jù)采集、使用、傳輸、存儲、共享等階段的數(shù)據(jù)安全保護(hù)措施將是需要更高重視度的問題，基于隱私求交，聯(lián)邦學(xué)習(xí)，多方安全計算的數(shù)據(jù)安全保護(hù)技術(shù)將成為行業(yè)重點應(yīng)用方向。

3.2 金融云安全及合規(guī)風(fēng)險進(jìn)一步凸顯

當(dāng)下各大銀行都已開啟了自建私有云服務(wù)的進(jìn)程，在滿足自身科技轉(zhuǎn)型后，將多余的計算資源開放給中小銀行等金融機(jī)構(gòu)，形成金融專有云模式。而在微服務(wù)、虛擬化發(fā)展的趨勢下，安全性還是關(guān)注的要點。從研發(fā)模式上來看，需求的迭代將會越來越迅速，部署也越來越便捷，安全及合規(guī)方面的檢測能力也需要適應(yīng)各類的架構(gòu)及部署模式。

3.3 供應(yīng)鏈金融安全風(fēng)險增大

供應(yīng)鏈金融對產(chǎn)業(yè)創(chuàng)新發(fā)展發(fā)揮著越來越重要的作用，該業(yè)務(wù)基于各行業(yè)供應(yīng)鏈上的核心企業(yè)的真實交易信息，整合信息及資金流，為行業(yè)上下游企業(yè)提供融資、結(jié)算、現(xiàn)金管理等綜合金融服務(wù)。當(dāng)下，物聯(lián)網(wǎng)技術(shù)在供應(yīng)鏈金融中也得到了廣泛的應(yīng)用，網(wǎng)絡(luò)設(shè)備無處不在，金融與科技高度融合都加大了風(fēng)險治理的難點。構(gòu)建安全可控的供應(yīng)鏈金融管理平臺及各環(huán)節(jié)下業(yè)務(wù)系統(tǒng)的安全治理能力，將成為下階段的重點安全關(guān)注工作[8]。

4.結(jié)語

當(dāng)下，數(shù)字化深刻改變了傳統(tǒng)銀行的基礎(chǔ)架構(gòu)設(shè)施及業(yè)務(wù)模式，而同時面臨的安全等科技風(fēng)險也越來越嚴(yán)峻，在轉(zhuǎn)型進(jìn)程中既要注重科技與業(yè)務(wù)的融合，也要符合監(jiān)管的要求，防范安全及合規(guī)風(fēng)險。本文在此背景探討了在安全及合規(guī)風(fēng)險的治理工作上面臨的挑戰(zhàn)，從全局的科技風(fēng)險治理角度給出了治理框架建議，分為總體需求及目標(biāo)方針、組織建設(shè)、制度建設(shè)、運(yùn)行管理、流程建設(shè)、規(guī)則模型、基礎(chǔ)設(shè)施建設(shè)7個方面，總體目標(biāo)是站在科技條線的視角管控人與工具2個緯度產(chǎn)生的各類安全風(fēng)險。為數(shù)據(jù)化轉(zhuǎn)型中的科技風(fēng)險治理工作提出一套以風(fēng)險為導(dǎo)向，覆蓋面廣、高自動化、高效的治理框架。最后對未來銀行業(yè)面臨的科技風(fēng)險挑戰(zhàn)做了分析。面對數(shù)字化的趨勢，在擁抱科技的同時，要牢守科技安全及合規(guī)風(fēng)險底線，構(gòu)建一套全方位的安全及合規(guī)風(fēng)險治理體系，主動應(yīng)對挑戰(zhàn)，才能向更高質(zhì)量更高水平的數(shù)字化銀行邁進(jìn)。