随着信息技术的广泛应用和电子商务的快速发展,金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合,我国金融业信息化正经历向信息化金融的转变,信息化金融已逐渐成为我国金融业的发展方向。但与此同时,由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点,使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。
金融行业信息安全存在的问题
金融领域核心软硬件被国外垄断、金融行业服务外包高度依赖国外厂商、金融信息系统灾备和应急响应能力差、金融业务系统风险控制水平低等问题,严重威胁金融行业信息安全。
1.金融领域核心软硬件被国外垄断,严重威胁行业信息安全。
当前,包括金融、军工、能源、民航在内的很多涉及国计民生的领域越来越依赖信息网络系统,我国金融行业的网络基础设施、大型机、小型机、存储设备、芯片、数据库、操作系统、核心业务系统等几乎都被国外垄断,使得我国金融信息系统很容易被国外掌控,严重威胁我国金融行业信息安全。
2.金融行业服务外包高度依赖国外厂商,加大了风险控制难度。
目前金融行业服务外包高度依赖国外厂商。尤其是一些政策性银行、股份制银行和外资参股的中小金融机构,为节约成本、提高效率和规模、加快扩张速度,服务外包时高度依赖国外厂商。这种金融服务外包高度依赖国外厂商的状况,容易导致极大的信息安全风险。一是信息泄漏,在外包逐渐深化过程中,金融机构逐步将自己全部的关键信息提供给服务提供商去管理维护和开发,这些金融机构的敏感信息、核心技术就存在泄密的可能性,一旦被竞争对手或者不法分子获取,将产生严重后果。二是服务提供商在工作中越俎代庖,封闭执行全部工作,不向金融机构提供关键技术,服务提供商在系统中是否留有后门,金融机构不得而知,造成很大的信息安全隐患。三是随着金融企业信息技术平台交由国外厂商来管理,如骨干网络系统管理、业务系统运维和管理、业务系统开发与维护、数据备份及异地灾难恢复等,一旦发生问题,金融企业就处于被动地位,故障无法及时处理,风险难以得到控制,极易扩大问题的影响面而引发大的信息安全事件。
3.金融信息系统灾备建设与国外差距大,应急响应能力有待提高。
灾备体系是信息系统连续性的重要防线,维护信息和网络安全的重要措施。相关调查显示,对重要信息系统的停机容忍时限,民航系统不超过20分钟,银行系统是30分钟,证券交易系统是秒的数量级。这些重要信息系统如果停机,将给社会、国家带来非常严重的损失。虽然近年来,我国银行业金融机构陆续建立了灾难备份体系和灾备中心,但按照安全、稳定的灾备管理要求,仍存在许多不足。据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。反观国外同业,多数国外银行已经做到了分行一级的灾难备份与恢复。这表明,我国金融业灾备中心建设同国外相比存在较大差距。
4.金融业务系统事故频发,业务系统风险控制水平有待提高。
我国金融系统特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面存在明显的“短板”。虽然金融业已经制定了信息安全等级保护、网上银行系统信息安全通用规范等系列标准,并开展了一系列的等级保护测评和渗透性检测,但是金融领域信息安全事关国家经济安全,仍需要进一步提高业务风险的控制水平。
金融行业信息安全面临的新挑战
随着电子商务的快速发展,以及移动互联、云计算、下一代互联网和大数据等新兴技术的运用,金融机构成为网络攻击的重点目标,网络成为犯罪分子劫掠金钱的新途径,使金融行业信息安全面临新的挑战。
(一)传统互联网威胁向金融领域辐射。
随着电子商务的快速发展,在线支付、在线结算等金融业务与互联网的结合日益紧密,病毒、木马等传统互联网威胁已经危及金融领域安全。这些潜在的安全隐患,一旦变成事实,将给中国金融系统乃至国家安全带来不可想象的损害。
(二)新技术的应用使金融行业信息安全面临更大挑战。
移动互联、云计算、下一代互联网和大数据等新兴技术的蓬勃发展,极大地促进了信息的共享,改变着经济社会的运行方式,但同时也给整个金融行业的信息安全带来更大挑战,基于开放性网络的互联网金融服务对我国金融信息安全工作提出严峻的挑战。
(三)金融机构成为网络攻击的重点目标。
对金融机构进行网络攻击,不仅能够直接攫取经济利益,还能破坏一国的金融秩序,金融机构成为网络犯罪分子、恐怖分子以及国家对抗的重点目标。近年来,针对金融机构的网络攻击事件频频发生,整体信息安全形势严峻。
(四)网络成为犯罪分子劫掠金钱的新途径。
网络模糊了传统金融领域的界限,为犯罪分子“开辟”了新途径。据统计,2011年中国互联网地下黑色产业链的盈利规模,已经超过50亿元。由于地下黑色产业链的发展,网络洗钱和网上支付诈骗也成为愈发严重的社会问题。
(五)虚拟货币成为洗钱新渠道。
随着网络经济的活跃,比特币等虚拟货币与实体货币之间已经建立起了某种兑换关系。虚拟货币交易可以完全以匿名的方式进行,一旦交易完成就可以随时轻松销号,犯罪分子通过将非法所得兑换成虚拟货币,能够有效切断资金追踪链条,这为洗钱等传统金融犯罪活动提供了新渠道。
加强我国金融行业信息安全的对策及建议
通过加速建立自主可控信息安全技术产业体系和不断完善金融信息安全法规制度、标准规范体系等措施,提高金融领域信息安全防范能力。
(一)加快研发金融领域网络。
安全技术防范应是网络安全的基础防护措施,增强金融领域网络安全保障能力,应结合金融领域自身特点研发针对性的网络安全技术。第一,应加强对金融网络防火墙、加密等安全技术的研发,加强金融领域信息系统、网络、客户端及信息交互的安全保障能力;第二,应重点加强身份认证技术研发,采用基于PKI的数字证书等技术对各方身份进行鉴别并留存不可篡改的记录,并根据身份认证结果进行授权管理,从源头上对金融领域网络犯罪进行物理阻断;第三,加强金融大数据的挖掘分析技术、云服务的数据存储和传输技术、移动支付的信息安全保障技术,互联网金融的安全交易技术等研究开发。
(二)加速建立自主可控信息安全技术产业体系。
自主技术是金融信息安全的根本保障。建立自主可控的信息安全产业体系可以从以下方面着手:一是大力改善信息安全技术自主创新的环境。二是加速建设自主可控的信息安全生态体系。通过促进上下游应用产品的开发,完善自主技术产品应用环境,提高相关技术产品的可用性。三是加强金融领域信息安全技术产品市场规范。启动核心信息技术产品的信息安全检查和强制性认证工作,依照金融信息系统安全等级设定不同的检查要求,比如对关键系统进行源代码级检测。加强对国外进口技术、产品和服务的漏洞分析工作,提升发现安全隐患的能力,明确国外信息技术企业在国内提供产品、技术和服务时的责任和义务,对从事金融数据搜集和数据分析业务的企业采取黑名单制度。建立金融领域新技术安全预警机制,并出台规范,限制新兴技术的使用方式和范围。
(三)不断完善金融信息安全法规制度和标准规范体系。
法规建设是信息金融、信息安全体系建设的重要环节之一,目前虽然我国金融领域已经出台了相关的法律规定,形成了以金融移动支付为主的系列标准,但是对于高速发展金融信息系统来说还存在一定的滞后性,还不完善。所以细化并完善金融行业相关信息安全实施细则和标准规范,对于金融信息安全具有重要意义。
针对移动支付,应加强移动支付安全保障信息安全基础和通用标准研制,为移动支付的安全保障提供标准支撑。针对金融领域大数据,建立包括数据收集、数据使用、数据开放、数据管理和数据利用在内的应用规范,为合理保护和利用大数据提供指导。针对服务外包,制定第三方安全服务机构服务质量基本评价指标体系,包括第三方安全服务机构的制度体系评价指标、服务内容合规性评价指标、人员管理水平及稳定性评价指标等。
针对灾备系统,应建立并完善相应的运行、维护、测评和应急处置的相关标准规范体系。
(四)加快建立安全运维管理服务体系。
一是建立量化的监控指标体系。监控对象的指标化是自动化监控的基础,也是优化网络效率和提升系统健壮性的重要参照,是运维技术体系的核心内容。量化监控指标应当包括传统的各种系统资源使用率,交易进度,数据状态等。
二是要加强监控的分析。要对运维监控中发现的各种异常现象,全部纳入系统运行分析,对风险隐患一追到底,并及时处理,同时根据运行分析结果加强容量的管理,定期清理生产环境,动态评估系统的处理能力,动态优化技术资源配置。
三是完善预案,提高业务连续性。随着数据集中,系统整合的不断推进,金融信息系统的技术体系日趋复杂,但是对技术体系的驾驭经验和能力有待在实践中积累、提高。所以应当提高应急预案,应急演练的重要性的认识,在遵循“优先恢复系统对外服务”原则的前提下制定应急预案,开展应急演练。
(五)开展金融一体化信息安全风险感知体系试点示范。
金融系统作为社会经济核心的基础行业系统,遇到系统瘫痪或故障时,其自身的迅速恢复和稳定运行,对于社会经济的正常运转和社会稳定有着及其重要的作用。建设完备的信息安全风险感知体系,是提高金融领域信息安全的重要途径之一。按照信息安全等级保护的相关要求,建设针对金融领域重要信息系统中终端、网络、主机、应用和数据的业务、运维以及安全管理等的一体化的信息安全风险感知体系。风险感知体系具有对金融信息安全事件的信息沟通、安全态势研判、风险预警、应急处置等的功能,并可以对具体操作行为进行主动感知、支持相对多元化异构大数据进行预处理,对安全事件进行智能关联分析、集中展现和及时预警。通过感知体系试点示范提高服务器端、客户端的整体安全水平,提高各个环节的信息安全保障能力,提高金融领域信息安全事件的查处及防范能力。同时,通过业务受理点、网站、媒体等各种渠道不断加强对广大社会公众的安全意识教育,提高公众的安全防范水平,提升公众的安全防范能力。