“互聯網+”形勢下的金融行業信息安全思考

莊華 上海交通大學信息安全工程學院

“互聯網+”形勢下的金融機構正在逐步實施“互聯網+”相關行動計劃，面臨的安全問題也日益凸顯，除了互聯網共性的外部威脅和內部威脅，還包括“互聯網+”技術融合帶來的各類新技術風險以及金融機構自有的安全挑戰。對此，金融行業機構應從端正認識、完善制度建設、優化技術、加強內控、完善監管、深化多領域合作等方面入手，以確保“互聯網+金融”的安全運作。

一、“互聯網+”成金融業新引擎

在“互聯網+”時代，信息傳播和技術發展速度將越來越快，信息不對稱造成的價值溢價將會逐漸消失，只有個性化和高度定制化的產品才會有生存空間。在國內金融行業受長期嚴格監管和發展緩慢的情況下，尤其需要“互聯網+”給行業帶來的新氣息和技術創新，“互聯網+”必將成為國內金融行業發展的新引擎。

二、互聯網金融行業安全形勢嚴峻

(一）層出不窮的外部威脅

目前系統業務設計缺陷、漏洞利用以及常態化的APT 攻擊是幾種最具危險性的外部威脅。

(二）“互聯網+”下的安全風險

1.云計算安全風險

支付寶被挖斷光纖、攜程數據被刪、藝龍遭DDos 攻擊而宕機，國內云安全事件頻發。云計算架構帶來便捷、廉價、可伸縮等紅利的同時，其自身的脆弱性、多租戶安全問題、云計算服務商的安全問題等等，都需要一一面對和解決。國內各類企業紛紛開展云計算使用，包括一些金融機構，但是卻很少去了解該如何控制使用云所需的工作。

2.移動設備安全風險

金融與移動互聯網的結合，使得金融行業業務接入方式更加終端化，對業務體驗要求更高，交易方式與頻次變得更加分散，因此存在的安全安全風險更加復雜，面臨的安全威脅也更多樣化。而其中隨著惡意軟件、安全漏洞和攻擊事件層出不窮，移動金融終端安全問題直接關系到個人用戶的賬戶隱私和財產安全，成為一種巨大的安全風險。

3.大數據安全風險

大數據分析儼然目前已經成為“互聯網+”產業發展和升級改造的流行詞，其在互聯網金融、電商、互聯網安全等多領域發揮著巨大作用。但是數據的合法獲取、妥善保存、合法轉讓、安全銷毀和隱私立法是“互聯網+”中需要提前規劃和考慮的重要問題。

(三）新形勢下金融機構的安全挑戰

在管理方面，金融機構秉承“合規”原則，內部制定了謹慎全面的審批流程，管理成本較大。以信息安全方面的管理流程為例，現有安全防護體系部分的審批包括信息系統安全規劃論證、系統安全掃描、應用系統上線安全檢測等方面，任意環節發現安全漏洞都需要回歸測試掃描，人力和時間成本較大。

在技術方面，主機、操作系統和數據庫仍然是IOE 的產品。眾所周知，國外商用產品存在技術后門等安全隱患，同時國內技術人員因無法掌握核心技術而導致對國外廠商和服務的依賴，造成應用系統整體的開發和運維成本過高。因此，盡快制定符合金融機構實際情況的去IOE 技術解決方案，也是新形勢下金融機構所面臨的棘手問題之一。

三、“互聯網+”下金融機構的安全應對

(一）借力發展，構建多元化合作渠道

保持與上級行業主管單位、國家安全保障團隊（網安等）的聯系，實時溝通匯報；

深化與安全服務廠商和安全眾測平臺的合作，采購信息安全專業的服務，依靠國內外網絡安全優秀團隊的力量來發現各系統的安全漏洞，保障信息系統的安全；

(二）自主可控，大膽啟用新思路、新架構

目前金融機構已經積極開始了一些嘗試：

項目生命周期管理：在系統開發上，通過敏捷式開發來實現互聯網金融業務的開發轉型，更及時響應客戶需求，滿足迅速變化的市場環境，通過協作開發和迭代交付，實現小步快跑，在不降低軟件質量的前提下，極大縮短開發周期。

系統軟硬件國產化：國家層面已經做出了一些戰略指導，等級保護提出三級以上系統應當使用國產安全產品，國家密碼管理局和人民銀行要求推廣使用國產密碼算法等。在系統構架建設時應強調自主可控，積極發展軟硬件產品的國產化。

開源軟件：積極使用開源軟件替代各類應用商業軟件。開源軟件往往價格低廉甚至免費，而且有比較完善的應用框架，僅需要投入適量的人力、物力對其深度定制即可接近或超過價格昂貴的商業軟件所能達到的效果；同時，因為軟件源代碼的公開，軟件使用者對代碼內可能存在的漏洞、后門、性能瓶頸均能了如指掌。

安全加密：金融機構已經在積極推廣使用數字證書技術。數字證書技術仍然是目前公認的最安全的信息安全技術，隨著國產加密算法技術的不斷發展和積極推廣，“相關性能瓶頸和兼容性問題也越來越少，目前在金融行業使用國密的應用也越來越多”，因此在“互聯網+金融”背景下，深入推廣與創新數字證書技術，特別是國密證書的應用，依然是一個最佳且不可或缺的選擇。

(三）安全應急，加大風險預警和管控力度

網絡安全應急管理應做到及時發現，及早預警，全面追蹤和有效處置。國內互聯網金融行業應建立多層次和覆蓋廣的安全檢測體系，整合行業資源和安全資源，解決基礎資源分散、未知漏洞和未知攻擊監測能力不足的問題，實現網絡安全狀態全面感知的能力。

(四）完善監管，推行信息安全的合規

“互聯網+”的發展已經使得金融行業的信息化水平不斷提高，因此加快推行信息安全的合規性是當前金融業刻不容緩的事情：合規不能保證系統永遠安全，永遠不出安全事件，但是，做好基本的信息安全防御工作，將有利于減少信息安全事件發生的可能性③。

目前國內金融行業內一項最重要的法律法規就是信息安全的等級保護制度，隨著等級保護制度多年的發展，目前其已經發展為主管部門銀監會和人民銀行對金融企業是否達到基準的合規性要求的重要參照指標。大部分金融機構從2010 年開展等級保護工作，至今相關系統測評符合率已經較高，但是仍應結合自身業務特點和信息安全現狀，修改和完善相關信息安全法規，并加強日常信息安全管理和監督工作。

(五）加強業務安全設計，防范信息系統技術風險

目前金融行業業務安全設計沒有完善的理論，相關資料較少，因此不斷借鑒優化同行業做法、提高業務設計人員自身的信息安全素養是目前為數不多的可行方法。在“互聯網+”時代，在技術無法保證100%安全的前提下，業務人員是否重視業務安全設計的重要性，也是金融機構業務是否能長期持續發展的關鍵。

(六）借助互聯網威脅情報及情境感知，實現外防內控

隨著信息技術的發展，可機讀危險情報（MRTI）使得對高級威脅的快速防護成為可能，成為銜接安全大數據與企業的紐帶。金融行業內企業應與信息安全公司合作，加強自身和行業內其他企業的整體流量還原和日志存儲能力，固化所有攻擊證據，做到可回溯。而同時信息安全公司應利用大數據分析和挖掘技術，有效、快速地發現未知威脅，即威脅情報。同時對企業內部各層數據進行采集和存儲，通過異常行為分析等措施快速定位各類風險和威脅，阻擋惡意行為，識別合法業務行為。