姻博士论坛姻现代管理科学姻2015年第10期新形势下商业银行网络安全威胁环境分析及信息安全体系转型研究荫宫哲张建毅商业银行正面临着愈发摘要院在互联网金融模式兴起、外部安全环境恶化以及自身系统架构日趋复杂的新形势下,严峻的网络安全威胁。文章从对全球银行业网络安全威胁事件的汇总分析入手,阐述我国商业银行应对网络安全威胁所面临的困难和挑战,并从系统架构、安全技术、风险评估、安全管理和安全规划五个维度对银行信息安全体系转型进行要点分析。金融安全;商业银行转型关键词:银行信息安全;一尧引言系统和安全管理体系中的缺陷袁优化甚至重构已有的信息伴随着金融电子化需求的日益迫切和信息技术的日安全技术架构袁实施安全管理与策略的升级转型袁将成为我新月异袁商业银行传统金融业务与新兴互联网技术正在国商业银行构建自主可控的信息安全体系的重要内容遥二尧全球银行业网络安全威胁事件汇总及形势分析经历密切的融合袁这种融合促进了商业银行的金融模式纵观全球袁无论从技术建设水平还是从风险监管环境创新和服务渠道转型袁但同时也带来了严峻的网络安全看袁银行业的信息安全体系相比其他行业更为成熟和完善袁威胁挑战遥信息安全风险在银行信息化进程中一直受到监管部门的重视遥商业银行除了具有网络防御尧信息备份尧灾难恢复和系统性早在1999年袁巴塞尔银行监管委员会就专门设立电能保障等完备的信息安全保障措施袁还要定期接受严格的子银行小组渊EBG冤袁并在2004年发布的叶巴塞尔资本协议合规检查遥然而袁随着银行自身业务电子化依赖程度的加深以及金融服务趋于开放互联袁近年来全球银行业的网络安II曳中将信息安全风险作为新型风险纳入总体风险框架中袁使信息安全成为商业银行风险管理中的重要内容袁随全威胁事件不降反升袁严重影响了银行声誉和社会稳定袁也后全球各地区的银行监管机构都设立专门的IT风险监管打击了公众对数字金融的使用信心袁这些威胁事件突显了部门袁并推行严格的信息安全管理制度和框架袁例如美国金融领域信息安全问题的严峻性尧持续性和衍生性遥渊1冤在三大银行业监管机构制定的叶电子银行最终规则曳尧叶银行欧洲袁2007年~2010年袁黑客先后多次攻破荷兰银行的防火墙袁盗取了部分账户信息并成功进行了转账操作遥2014用户身份认证体系曳等袁欧洲中央银行发布的叶ESCB信息系统安全政策曳尧叶关键系统支付体系业务连续性纵览曳年袁俄罗斯央行和商业银行的在线服务遭受DDoS攻击袁造等遥我国银监会近年也陆续推出叶商业银行信息科技风险成长时间服务瘫痪遥2015年伊始袁芬兰波赫尤拉银行和瑞管理指引曳尧叶电子银行安全评估指引曳等制度规范遥2014典北欧联合银行同时遭受了24小时持续性DDoS攻击袁致年袁在中央网络安全与信息化领导小组成立的大背景下袁使其停止线上服务访问袁经调查本次攻击技术并不复杂袁实银监会发布了叶关于应用安全可控信息技术加强银行业施者可能是业余黑客遥渊2冤在美洲袁2011年袁美国花旗银行网络安全和信息化建设的指导意见曳袁表明我国银行业对数据库系统被黑客侵入袁20万用户的信用卡信息被盗遥信息安全的重视程度已达到空前高度遥在此趋势下袁国内2014年袁摩根大通发现黑客利用复杂的技术潜入其内部网对银行信息安全问题的理论研究逐渐增多袁如吴溥峰络2个月袁窃取了8300万客户资料等大量情报袁震动了奥巴马政府袁经调查攻击者来自当时正被西方经济制裁的俄渊2010冤提出一个综合动态的网上银行信息安全体系框架模型袁可有效降低尧控制网上银行的运行风险遥汪轶罗斯袁可能有国家黑客背景遥渊3冤在亚洲袁2012年袁香港汇丰银行的汇丰理财服务等全球多个网站受到攻击袁经调查可渊2011冤对商业银行信息安全风险的VaR计量方法进行研能系伊斯兰极端组织所为遥2009年~2014年袁韩国友利尧韩究袁为建立完整的信息科技风险监管框架提供了依据遥在移动金融发展的背景下袁夏伟等渊2012冤对移动网银方案亚尧农协尧济州等银行多次遭遇大型网络攻击袁致使网络瘫进行研究袁提出了一种假设移动终端不可信的基于智能痪袁全国柜台和ATM无法提供数字服务袁甚至灾备系统全银行卡的移动安全网银解决方案遥部失效遥2014年更是发生了银行信用卡信息泄露事件袁导银行业关系到国计民生和社会稳定袁在当前日益严致韩国全民排队更换信用卡袁影响了社会秩序遥渊4冤在非洲袁峻的金融信息安全威胁形势下袁重新审视商业银行信息2012年南非邮政银行遭受一次策划已久的网银偷盗活动袁-46-姻2015年第10期姻现代管理科学姻博士论坛黑客通过潜入内部员工计算机数月闯进银行核心系统袁共盗取700万美元遥经过对上述安全事件的汇总分析袁可以发现银行业网络威胁环境正面临着新形势袁不仅涉及安全管理和技术问题袁背后还常常伴随着国家政治经济环境问题袁信息安全风险边界呈现出扩大化尧分散化的趋势袁主要表现在以下几点院形式1.袁高等级攻击增多从威胁模式看袁遥从案例中可以发现商业银行面临多样化的网络攻击袁商业银行面临的最主要的网络威胁是资金盗窃尧数据泄露以及系统服务中断遥具体到攻击模式袁商业银行由于数据资产附加值高且安防体系健全袁攻击者愿意付出更大代价袁尝试新型复杂的技术手段和社会工程方法APT隐蔽攻击日渐流行袁通过层层渗透逐步获取核心系统权限袁其攻击行为潜伏策划期长遥一是针对大型银行系统的曰二是对于袁入侵行为野零日冶漏洞袁攻守两端存在知识不对等的局面袁已成为网络攻击中最有效的突破口曰三是很多案例中反映出攻击者已不仅仅依靠单纯的技术手段袁还表现出周密的侦察组织能力以及对银行业务流程的熟悉袁甚至还出现内部技术人员参与协作的情况遥的商业银行2.从涉及地域看遥区别于实地袁信息安全风险正在威胁全球范围\"抢银行\"的概念袁在互联网金融时代袁黑客已突破洲际地域界限袁可以将任何区域的商业银行信息系统作为攻击目标袁开展有组织的网络窃取和破坏活动袁针对商业银行的网络攻击行为已成为全球性的普遍问题遥从案例中可以看出无论是位于全球金融中心的美国摩根大通袁还是远在非洲的南非邮政银行袁都出现过较为严重的网络威胁事件记录袁很多银行还不止一次的遭受黑客攻击遥随着国内商业银行线上经营环境的快速开放袁网络威胁事件发生的概率将进一步提高对称性3.遥遥从成本投入看商业银行在安全设施袁攻击成本和防御成本呈现严重不尧人才培养和技术研发方面的投入正逐年增加袁例如摩根大通宣称其2014年的网络安全开支已达25亿美元袁并配备了上千名专职员工袁远高于IT巨头谷歌公司袁但庞大的投资并未阻止其2014年发生严重的信息泄露事件遥随着同类业务的泛化尧攻击方法的简化和恶意工具的普及袁网络攻击难度和成本正在降低袁很多案件的攻击者文化水平并不高袁甚至使用开源工具和简单技术即能实施攻击袁即便无法实现难度较高的资金和信息窃取袁也存在利用蛮力方法造成服务中断的可能问题紧密相连4.从外部因素看袁存在跨界震荡袁网络安全与地缘政治遥遥当前袁国际政治尧民族宗教等尧军事尧宗教等领域发生区域冲突和争端越来越多的转嫁于网络空间袁带有政治意图或意识形态的网络威胁大幅增加袁最典型的例子是2010年美国利用野震网冶病毒入侵伊朗核设施网络袁成功改变了系统相关参数袁导致伊朗核计划延迟遥思科在2015年度安全报告中首次将地缘政治因素纳入网络安全威胁考量遥从全球银行业网络安全威胁的案例中袁同样能发现野国家黑客冶或恐怖主义所带来的影响遥因此袁商业银行作为国民经济的命脉袁其网络安全环境必然与外部情报态势存在联系遥三尧我国商业银行应对网络威胁遇到的困难与挑战全球金融信息安全形势为我国商业银行的经营发展敲响警钟袁以人为镜袁可以明得失袁从不同维度分析我国商业银行在新形势下存在的信息安全风险袁主要存在以下几点困难和挑战两个方面1.系统架构日趋复杂考验自主可控能力院院一是国内银行网络基础设施和核心业务系统长遥这主要涉及期依赖国外厂商的技术和设备袁国外IT厂商的大型机尧小型机尧数据库尧存储设备等在国内银行业处于垄断地位遥基础设施和核心架构受制于人袁无法实现安全自主可控遥二是信息安全技术架构日趋复杂袁业务系统增长使安全加固点增多袁不同网络位置的安全设备产生海量尧多源尧异构的原始流量信息和安全日志袁同时业务数据本身也隐藏安全风险袁目前尚欠缺对这些数据有效的关联分析和安全联动袁难以掌握整体网络安全态势络理财2.尧新兴业务应用的增长带来安全隐患袁实现安全可控第三方支付尧企业网络融资尧直销银行等新应用的遥移动金融遥尧网出现使银行线上业务链条拉长袁漏洞隐患随之增多袁不仅带来了技术安全问题袁还表现出业务安全隐患袁传统的信息安全风险评估方法已难以适应遥更根本的原因是目前银行的安全体系建设并未纳入到业务发展整体中考虑袁导致业务发展与安全建设脱节务进一步向互联网迁移3.网络数据量的上升引发性能瓶颈遥袁网络流量呈指数级上升遥随着传统金融业袁网络设备数据报文转发速率要求越来越高袁银行系统产生的海量数据为现有安全设备与分析方法带来了性能考验袁一是对于事中的流量安全检测袁实时处理尧检测和响应难度加大袁二是对于事后的安全审计与取证袁对海量数据归集存储能力和快速全文检索能力提出较高要求遥分析发现4.新型攻击模式考验防御技术体系袁APT等新型攻击已逐渐成为网络攻击者渗透大遥从对现有案例的型商业银行网络的常态化模式袁这类攻击具有潜伏期长尧不确定性强尧弱特征的特点袁善于利用未知漏洞形成单点突破袁再逐层开展内网渗透袁慢速的窃取数据或有计划的破坏网络遥现有防御思路更关注单点防御和阶段性防御袁对于新型攻击模式缺乏有效应对手段通常采用较为成熟的信息安全管理规范来制定安全管理5.信息安全管理手段仍存较大缺陷遥遥目前袁商业银行制度袁其中运维保障尧网络隔离尧数据加密存储等技术性基础工作一般完成较好袁但人员管理成为难点遥核心科技人员和外包技术人员的增多袁使银行网络设备及敏感数据越来越多的机会被直接操作袁增加了系统不确定性和数据泄露的风险遥四尧我国商业银行信息安全体系建设转型要点外部威胁环境的变化尧监管合规要求的提高以及自身业务系统架构的复杂化都要求商业银行在信息安全体系发展建设中进行多方位转型袁以实现整体的安全自主可-47-姻博士论坛姻现代管理科学姻2015年第10期控遥本文主要从系统架构尧安全技术尧风险评估尧安全管理和安全规划五个维度对商业银行信息安全体系转型进行要点分析国外软硬件产品为核心的银行信息系统存在安全隐患1.系统架构向自主可控转型遥遥野棱镜门冶事件反映出以袁根据国家政策导向趋势袁野去IOE冶已成为国内各大银行不得不面对的问题遥然而野去IOE冶并不等于生硬的国产化替代袁在具体实施时将面对极为复杂的技术挑战和业务风险遥要解决好这个问题袁商业银行应化被动为主动袁把国家层面自主可控战略作为一次系统架构升级转型契机袁以业务长期发展需求为核心统筹规划袁改善自主创新环境袁逐步向高弹性尧可扩展的架构模式转型袁一方面实现对IOE架构依赖度的降低袁另一方面实现业务发展的自主可控遥这个问题可以借鉴互联网企业的成功经验袁例如阿里巴巴从IBM2007年开始实施野去IOE冶计划袁业务为导向小型机下线袁逐步向云计算服务模式迁移袁共历时5年袁主要思路包括到2012曰二是向院年最后一台一是一切以x86架构转型袁降低成本曰三是开源软件与自主研发相结合的技术发展路线曰四是通过业务创新推动技术创新袁实现基础架构的高可用渊例如野双十一冶尧野抢红包冶等新兴业务访问量大袁件产品如杀毒软件2.使后台技术能力不断站上新的台阶安全技术向大数据智能安全升级冤遥尧入侵检测尧Web防火墙等遥传统的安全软硬袁主要解决的是单点安全问题袁且多是基于特征码和规则库的检测方法袁缺乏网络全局的安全态势感知能力和基于行为的智能分析手段袁无法应付新型的高等级威胁遥基于大数据技术的智能安全将是银行安全技术转型的方向袁著名信息技术咨询公司Gartner渊2014冤预测2016年25%的国际型大公司会将大数据技术应用于至少一个安全或异常检测中遥大数据智能安全技术主要包括两大部分院一是安全数据的感知归集遥主要任务是对异源异构的安全数据进行采集尧过滤尧存储和格式化袁对于银行系统袁数据源不仅要包含网络设备的流量数据和应用系统的服务日志袁还要包含业务系统的各类操作日志袁为后续的安全分析和取证提供基础遥二是安全数据的关联分析遥建立在大数据存储的基础上袁安全防护具备了长周期检测和异源异构关联分析条件Hadoop尧Spark为技术团队基于大数据的安全建模能力等技术的发展为海量数据的高效并行计算袁行主要是遵从或参考3.风险评估向动态开放方向转型遥遥目前袁叶BIT信息安全等级保护管理办法叶商业银行信息科技风险管理指引我国商业银曳尧信息安全风险评估等国内外较为成熟的安全评估管理标准和规范曳尧GB20984尧ISO27001尧CO鄄尧测试尧改进等工作袁以满足内部控制和袁开展合规管理的要求遥从实际效果看袁这些标准在实践中有效帮助商业银行建立了规范完善的信息安全评估管理体系袁能够及时发现风险并采取控制措施遥而在新技术条件下袁现有的评估管理体系略显机械袁很多评估结果仅是列出孤立的风险项袁无法反映核心问题袁以年为周期组织的评估活动也无法适应不断变化的网络威胁环境遥建议在现有风-48-险评估体系基础上增加灵活性院一是可酌情引入野白帽子冶评估测试机制袁野白帽子冶漏洞发现能力强袁评估方法客观袁可避免评估思路的固化单一曰二是常态化的开展动态局部的评估活动袁而不是简单应付几月一次的整体合规检查曰三是对新业务开展有效的专项安全评估袁例如手机银行安全评估尧私有云安全评估等者尧管理者和使用者4.安全管理应突出袁据统计野以人为本遥袁只有冶遥20%~30%人是信息系统的拥有的信息安全事件是因为纯黑客入侵或其他外部原因造成80%袁另外70%~信息安全管理制度时都存在内部员工的疏忽或有意泄漏袁应将人员管理作为安全管理的核遥商业银行在落实心遥一是进行细粒度的系统权限划分袁根据内部人员开发尧维护尧管理职责和级别的不同进行权限分配袁规范操作流程袁避免修改删除自操作日志等情况遥二是在外包项目中要加强对第三方人员的操作监控袁对于核心数据读取和计算场景袁增加数据同态加解密尧数据脱敏等机制遥三是强化日常运维尧应急响应尧安全专家等专设小组的职能定位和能力建设袁打造立体化的信息安全管理队伍遥四是定期开展信息安全培训和演练袁提高全员安全意识和安全技能遥安全规划更像是安全设备和产品的采购方案5.安全规划要与银行战略和业务需求相捆绑袁关注眼前的遥传统的安全防护袁并与实际业务脱节严重袁在商业银行线上业务快速扩展的背景下袁这种规划方法已远远不够遥商业银行信息安全规划必须更具前瞻性袁要从企业战略和业务需求出发袁追求规划的持续性尧实施的可操作性以及应用实施时的弹性遥国际流行的EA尧TOGAF尧SABSA等架构模型都为商业银行安全规划转型提供了参考袁其核心思想都是建立从企业战略尧到业务需求尧到系统架构尧到技术架构尧到实施管理尧再到新业务和架构变更的全生命周期安全规划框架遥参考文献院[1]吴溥峰.网上银行信息安全体系框架的构建[J].西北大学学报(哲学社会科学版),2010,(2).[2]汪轶.我国商业银行信息科技风险监管研究[D].西南财经大学学位论文,2011.[3]夏伟,李晖,崔彦平.移动网银安全研究[J].信息网络安全,2012,(10).[4]Cisco2015AnnualSecurityReport[EB/OL]2015,http://www.cisco.com/web/offers/lp/2015-an-nual-security-report/index.html.基金项目:中国博士后科学基金面上资助一等资助(项目号:2015M570186);中央高校基本科研业务费支持(项目号:2015xs1-zjy)。作者简介:宫哲(1985-),男,汉族,山东省济南市人,北京邮电大学工学博士,中国农业银行和清华大学联合培养博士后,研究方向为银行信息化、金融安全;张建毅(1983-),男,汉族,山东省济南市人,北京邮电大学工学博士,北京电子科技学院讲师,研究方向为金融反欺诈、信息安全管理。收稿日期:2015-08-20。
