|
7月27日,在第25届中国国际金融展、第十八届中国金融发展论坛暨“Security+”金融网络安全趋势研讨会上,中国工商银行信息安全专家敦宏程在以网络安全为主题的演讲中提到工商银行的战略转型背景,并详细分析了传统商业银行面临的五大安全挑战,以及化解挑战的五大对策。 为了积极适应经济全球化和互联网金融蓬勃发展的大趋势,传统商业银行正积极推动金融业务的转型发展:资产布局从持有资产向管理资产转变,金融服务从坐商(坐等客户上门)到行商转型(主动营销客户),业务平台实现全球一体化的发展,继续完善以客户为中心的服务体系,构建信息服务共享,业务产品整合的大零售平台,建设全价值链的大资管业务平台,提升客户的服务质量和效益。 敦宏程表示,在传统商业银行转型的大背景下,工商银行的发展方向是E-ICBC,一个新的金融科技公司的理念。 中国工商银行信息安全专家敦宏程 因为互联网、云计算、大数据、人工智能等新技术是推动商业银行转型的重要因素,目前新技术对于传统银行业的冲击才刚刚开始,目前的冲击重点在支付领域,如快捷支付,这使得传统银行被通道化。但这种冲击还不是致命的,未来更多新技术的应用对于传统银行的压力会更加强烈。新技术的应用也是传统银行重生的机遇,也是业务转型的重要支撑。 传统商业银行面临的五大安全挑战 在现金业务和技术转型的双重压力下,传统的商业银行面临哪些安全挑战? 首先是角色的变化。在传统商业银行模式下,银行只是资金的提供者,或者金融服务的提供者。但是转型过程中,商业银行充当很多新角色:可能是垂直电商,也可能是一个交易平台,可能是一个技术平台,甚至是一个数据的提供者。新的角色扩大了银行的安全责任和边界,给安全管理带来挑战。 比如作为一个APP软件平台,工商银行科技部门如何审核提交上来的APP?这是一个新的挑战。 新产品的挑战。为了满足不同用户的不同需求,工商银行提供了2000多种金融产品,今后可能会更多。工行每年投产四个大版本的核心软件,基本每个月都有发布软件新版本,如何保证这些产品的上线安全,这是安全团队面临的巨大挑战。 新渠道的挑战。目前工行柜台业务已经下降到近10%,智能设备、二维码等新的渠道不断出现,促使信息安全管理的重点做了调整,现在假冒APP、假冒网点的WiFi成为工行安全部门防护的对象。 新服务的挑战。之前,工行只提供金融服务,现在则提供商品服务、社交服务、技术服务、数据服务,这些服务的安全风险都需要考虑。比如社交平台上传输的内容也需要工行安全部门的关注。还有工行电子商务平台——融易购上,还要关注“薅羊毛”现象,这些都是以前没有关注的内容。这是新业务模式带来的挑战。 其次是新的组织结构带来的挑战。全球化、综合化发展是工商银行转型的重要方向,目前工行已经在全球42个国家和地区建立了412家分支机构,在金融租赁、保险、证券等行业建立子公司,不同监管、不同的法律法规都使工行信息安全工作面临实际困难。 2017年工行建立七大创新实验室,一大批跨部门合作的团队建立起来,这些灵活的组织形式,给原有固定的安全管理模式带来挑战。与外部合作模式模糊了组织边界,传统安全管理面临着严峻挑战。 其三是新技术带来的新挑战。新技术的应用不仅对金融业务带来了挑战,也给信息安全管理带来了挑战。 比如云的应用,作为传统银行技术转型的重要方向,传统基于IBM大型机的计算模式已经不能满足业务发展的需求。前几年,银行在周边业务尝试引入云,现在银行的核心业务在替换大型主机系统。下主机之后的选择就是云平台,但是云平台的各种不确定性,束缚了技术转型的手脚。比如对于信息安全的担忧,使得私有云建设成为可能,因此行业云、公有云一定是银行今后的发展方向。而云安全问题则是必须解决的问题。 开源软件的使用也为安全管理带来挑战。过去,银行会选择最可靠的设备,但是今天的选择标准是“唯快不破”,因为已经没有充分选择的余地了。 尽管使用之前,我们会认真分析每一个组件,保证组件没有问题才使用。但今年大规模爆发的一个软件漏洞问题对银行造成很大影响。为了保证业务安全,工行临时使用了一个未经正式认证的软件,这在以前是完全不能想象的。 还有API接口,原来银行的程序都在内部系统中运行,不与外部联网,就可以保证银行系统的安全可靠。今后会推出工行APP,这些小模块会嵌入在合作伙伴的软件中,如何在这种环境下保证工行APP软件不会被破坏或者不会被滥用,成为一个很大挑战。 其四是新威胁带来的新挑战。过去,发起攻击的黑客都是单个犯罪分子,现在的对手非常强大。据报道,目前黑色产业链的从业者达到几十万,工行的安全团队才几十人,存在严重的力量不对等。 每次软件版本发布,安全部门都能够监测到大量的恶意攻击,2016年黑客入侵SWF的系统,工行安全团队后续做了跟进和研究,根据分析这个事情可能与国际恐怖主义袭击有关。今年5月份造成广泛影响的WannaCry,去年工行遭受大规模的邮件攻击,安全团队拦截的邮件达到250万份,但是每天仍然有数百封垃圾邮件。过去,只要不连接互联网就没有问题,但今年的这次WannaCry攻击,不仅携带了加密,而且还是不连接互联网才实施攻击。好在工行科技部做得比较到位,才没有造成影响。 其五是新监管带来的挑战。比如《网络安全法》的实施,之前,银行非常注重用户信息保护和关键设施的保护,但这都是自发性的。现在有了法律法规的要求,是不是要按照法律要求进行落实? 今年6月份发布的《金融行业信息技术十三五发展规划》,包括金融行业的关键基础设施要达到国际领先水平,金融业标准化和战略全面深入实施,金融网络安全保障体系更加完善,金融信息治理能力显著提升。今年2、3月份在纽约和伦敦召开的一个银行治理会议,与会者都是传统商业银行的董事、风险控制的高层,他们分享了董事会和风险管理团队面临的实际挑战,大家普遍认识到信息安全的重点已经转向治理层面。与会者提到境外各级监管机构以及行业机构发布和提出的43种不同网络框架要求,这给境外的信息安全合规管理也带来了压力和挑战。 面对这样的安全挑战,银行如何应对? 第一个措施是优化组织结构、明确责任主体、强化监测响应。 工行建立了内部通报机制,调整了风险零容忍的策略,强调重点控制系统性风险。在客户安全保护方面,工行强调“大额讲安全,小额讲方便”。内部管理方面,建立了柔性的内部管理机制,将事前的硬控制调整事后的审计和处置,以安全文化引导员工,平衡创新和管理之间的矛盾。在关键的高风险领域,强化事中的监测和处置,引入大数据和人工智能的方法,对人和资产实施分等级的管理策略,通过行为分析、快速的响应组织来应对新的外部威胁。 第二个措施是实施开放、合作、共享的合作策略。目前的外部形势是攻防的力量不对等,因此需要广泛的参与外部合作。 第三个措施引入新技术。对手“黑客”已经引入新技术,甚至是人工智能、自动化工具,银行不改变无异于是”用长矛对付飞机、大炮”。根据分析,41%的流量存在恶意攻击,仅依靠安全部门几十人的分析肯定不够,必须引入新机器控制、人工智能的方法。 2012年工行安全部门开始接触一个团队,研究量子加密技术在金融行业的应用,目前大数据技术、建模技术、TEE终端、服务器可信计算技术、高交付密罐、动态大脑的保护技术等都在工行的研究范围内。 第四个措施是用新流程应对新挑战。过去,工行建立了安全的监测体系,这个监测体系更多集中在事中。为了有效应对现阶段的Web威胁,在强化事中的识别和快速响应的同时,工行向前开展威胁情报的收集和分析,通过攻击行为的分析画像技术,实现差异化的策略,并进行事后攻击溯源分析。 根据这些年的观测,通常工行会作为第一批黑客攻击的对象。第一批攻击之后,很快会转移到其他银行。比如2015年工行曾面临大规模的撞户,消停之后,其他银行开始受到攻击,所以主动的设备治理对银行会有帮助。 另一个是优化工行内部产品的研发流程。之前工行投产的产品都是在上线前进行检测,然后发现漏洞;实践证明,上线之后进行实地检测的成本太高,修复成本也太高。随着鼓励创新的政策推出,工行研发部门的积极性都被调动起来,大量新产品出现,单纯依靠安全测试来把关,已经不行。新阶段,要将安全控制融入到快速迭代的研发过程中,并且以运维阶段的安全策略与快速迭代相结合,形成完整的安全控制链。 第五个措施是建设安全核心能力。信息安全实际上是攻守双方能力的对抗,2005年,工行成立专职安全团队来推动全集团的信息安全管理,现阶段,已经把各种安全控制措施推进到各个环节、各个领域。新形势下,工行需要建立自主可控的安全能力,来支撑工行各个机构应对外部威胁。(本文整理自中国工商银行信息安全专家敦宏程在第十八届中国金融发展论坛Security+金融网络安全趋势研讨会上的演讲内容,未经本人确认。) |
|
|
来自: 昵称58990065 > 《待分类》
