文/中國金融電子化公司測試中心副總經理唐輝
以信息技術為代表的新一輪科技革命正推動金融業向移動化、數字化和智能化加速發展。但與此同時,金融網絡安全保障正面臨前所未有的挑戰。本文分析了金融信息系統的特點以及金融業網絡安全面臨的威脅,為持續增強金融行業網絡安全保障能力提出了幾點建議。
中國數字經濟發展將進入快車道,互聯網在我國經濟社會發展中強勢崛起,“互聯網+”已成常態。以信息技術為代表的新一輪科技革命推動金融業向移動化、數字化和智能化加速發展,信息化、網絡化已成為現代金融的重要特徵。但與此同時,金融網絡安全風險也在不斷積累,金融網絡安全保障正面臨前所未有的挑戰。
金融網絡安全現狀
一是國家網絡安全戰略提出更高要求。隨著信息技術的發展,信息系統已經成為現代金融運行的重要基礎,關係到國家和人民的切身利益。特別是伴隨著《網絡安全法》的正式頒佈實施,金融信息系統成為國家關鍵信息基礎設施,國家將予以高度重視並明確實施重點保護,在主管責任、安全建設、數據保護、安全運維、採購服務等方面明確了更高要求。人民銀行高度重視金融網絡安全工作,《金融業信息技術“十三五”發展規劃》《人民銀行信息技術“十三五”發展規劃》等文件對新形勢下做好金融網絡安全保障工作提出了工作目標。因此,對於網絡安全,金融機構必須明晰職責主體,完善保障體系,建立更加先進的管理框架,從風險的角度推動網絡安全管理,才能保障金融機構的可持續和科學發展。
二是全球網絡威脅不斷深化。近年來,全球網絡空間安全威脅呈現新的變化,一些新型網絡威脅正呈現全球蔓延的態勢。據統計,通過互聯網攻擊手段實施金融犯罪活動已經成為金融犯罪的重要手段,金融組織機構也成為網絡犯罪分子的首選目標。同時,網絡黑產給全球所帶來的安全挑戰愈加嚴峻。各種利用互聯網攻擊技術進行偷盜、詐騙、敲詐等案件不斷髮生,圍繞互聯網的黑灰產業正以極快的速度蔓延且在各國之間相互滲透。“網絡黑產從業人員”呈級數增長,利用黑客技術的案件數每年以超過30%的增速增長,“市場規模”也已高達千億級別。
三是金融科技的發展帶來更多挑戰。科技已從後臺支撐向引領業務發展轉變,特別是在“互聯網+”的時代背景下,技術與業務的融合,創新了金融服務與產品,但同時也給金融網絡安全帶來諸多問題。“互聯網+”背景下金融機構的業務系統發生了諸多變化,其系統開發架構正逐漸向“胖前置、瘦核心”轉變,開放式架構採用比例加大,對產品的快速上線與靈活更迭要求更高等,金融機構面臨的網絡風險不斷增加。例如,雲的使用除去要考慮傳統網絡安全保障體系外,私有云的安全性,雲計算環境中東西向和南北向的安全隔離防護控制如何強化,雲服務商安全服務和安全應急處置能力,都是必須進行深入思考的問題。大數據成為核心資產的同時,數據洩露、濫用、丟失的問題更加嚴重。區塊鏈、物聯網(IoT)設備等新興技術,隨著爆出來的漏洞越多,安全問題越嚴峻,也給新技術的使用籠罩上了陰影。
四是傳統網絡安全威脅依然不容忽視。傳統網絡安全威脅依然勢頭不減。以分佈式拒絕服務(DDoS)攻擊為例,研究數據表明金融行業有36%的機構遭遇DDos攻擊,且近年來呈上升趨勢。同時,網絡攻擊流程化、普及化,黑客門檻不斷降低,各類分析、掃描、破解、攻擊工具可以隨意下載,漏洞利用方式越發簡易。金融機構每天都接受到大量的刺探性侵擾信息,一旦發現安全隱患,可能被不同類型惡意分子反覆利用,對其造成不可估量的破壞性影響。
面對目前的網絡安全現狀,“知己知彼”才能“百戰不殆”,只有從金融業信息系統特別是關鍵信息基礎設施所具備的特殊性出發,深入分析判斷面臨的網絡安全威脅危害,才能促進建設維護者清醒認識,明確思路、抓住關鍵、確保底線,持續增強金融行業網絡安全保障能力。
金融信息系統特點
中國金融業信息化建設已經由金融電子化、金融數據集中化、金融信息系統業務綜合化等階段逐步邁向以信息科技引領創新發展的新局面,金融業對信息技術的依賴程度越來越高,以信息技術為代表的金融科技正高速發展。在信息技術日新月異的同時,從安全保障的角度出發,金融業信息系統存在如下特性:
一是體系架構複雜。首先是業務條線複雜,信息化建設需求多。既有決策類、交易類、辦公類,又有對外服務類等,前、中、後臺都比較複雜,特別表現在邏輯關係、內部結構、業務分類、安全機制、數據流轉等方面。未來為了符合金融深化改革推進的要求,以及大數據、雲計算、分佈式等技術的不斷演化,其信息化建設和改造需求將不斷增加。其次是業務外聯廣泛,重要性程度高。金融信息系統和網絡與公安部、財政部、海關、稅務等國家重要部門機構連通,並通過金融機構網點擴展到企業和個人等微觀經濟主體,形成國家貨幣投放、清算和回籠的信息高速公路,是資金和信息互聯互通的中心、國家經濟的生命線。
二是連續及可用性壓力大。現代經濟中資金的使用效率決定經濟社會的發展水平,而金融信息系統作為經濟發展關鍵基礎設施,可以說其持續可用和穩定運行決定了社會資金的使用效率和社會經濟的發展水平。尤其伴隨著普惠金融發展,互聯網金融新形態的出現,人們對金融信息傳遞提出更高的速度要求。因此,金融信息系統必須具有應對風險、自動調整和快速反應的能力,其可用性要求非常高。為了保障信息系統持續運行、保障金融業務持續運轉,金融信息系統必須具備在規定的條件下和規定的時刻內一直處於可執行規定功能狀態的能力。
三是一致及準確性要求高。數據是金融的生命線,貨幣流變成信息流之後,信息數據的安全代表了貨幣安全,因此對金融信息系統中所有數據的採集、錄入、加工、處理、存儲、傳輸全過程的安全可靠提出了更高要求。同時,金融企業大數據,除了支撐業務流程運轉,已經成為金融機構的決策大腦。數據安全從某種程度也代表了金融業務的安全。一旦發生網絡安全事件,對數據的可用性、完整性進行恢復成為網絡安全應急的重要一環。
四是海量數據集中化。金融信息系統包含支付、徵信、反洗錢等大量系統,系統更多、更龐大複雜。金融機構開展各項金融服務普遍具有實時、海量、高頻資金交易和信息交換等特徵,其在開展業務的過程中自然會產生海量高價值數據,其中包括客戶身份、資產負債、資金收付交易等數據。以銀行業為例。資料顯示,銀行業每創收100萬美元,平均就會產生820GB(10億字節)的數據。特別是經過數據大集中改造之後,金融信息系統基本實現了數據集中存儲和業務集中處理,其數據體系更加符合大數據3V(Volume、Velocity和Variety,即數量、速度和種類)特性,金融業對大數據的使用和體系的建立也提到了新的高度。但同時也要看到,數據的海量化和集中化,也給數據安全帶來更高的風險。
五是開放性需求旺盛。金融科技風起雲湧,雲計算、互聯網、移動化、區塊鏈和人工智能等技術在金融領域“生根發芽”,金融脫媒和利率市場化加速演進,金融業務結構調整和行業跨界競爭加劇,出現了融資脫媒和支付脫媒的新環境、新格局。金融業是面向廣大客戶的行業,這就決定了金融信息系統必須具有開放性,而且其系統開放性越強,越能提供管理決策有用可靠的依據,才能在競爭更加激烈的業態環境中得以生存。但更加開放的系統也意味著它所面臨的威脅在成級數增加。
金融信息系統網絡安全威脅分析
金融業網絡安全威脅類型多種多樣,可以通過威脅主體、資源、動機、途徑等多種屬性來描述。
系統脆弱性
一是系統開發安全生命週期管理缺乏。金融信息系統的安全開發在現實上存在很多障礙,很多金融機構對於軟件的安全開發不夠重視,沒有一套完善的安全管理體系,安全風險缺乏控制,導致出現業務邏輯漏洞如越權操作、密碼找回、垃圾註冊,以及數據洩露、服務中斷等嚴重影響金融信息系統的穩定運行的問題。主要表現在,安全開發的理念沒有深入,安全前置的概念依然沒有建立,金融機構未對當前的軟件開發流程進行全面梳理,在需求、設計、實施、測試、發佈等軟件開發的各個階段都沒有提供安全能力支撐。此外,金融機構缺乏一整套的高效安全開發工具,不能夠在保持業務敏捷性的前提下安全、快速地開發金融應用,無法充分滿足業務拓展需求。
二是各類系統漏洞廣泛存在。金融信息系統資產龐雜,除去專門開發的相關係統之外,包含大量通用型程序或第三方服務,以及商業軟硬件設施,在資產識別和管理上有一定的難度。而當某個資產出現漏洞時,不僅僅是更新升級版本的問題,而是需要梳理受影響的系統組件到底有哪些,這些組件的實時在線要求以及修復漏洞是否會導致關聯服務不可用。這一系列問題都有可能直接影響到業務,所以針對存在漏洞的基礎組件,不是可以“說升級就升級”的,而是可能直接導致安全問題頻發。2016年人民銀行信息安全專控隊伍,在對20餘家金融機構66個系統開展檢查評測等工作中,共發現問題18044個。
外部攻擊者
一是APT(Advanced Persistent Threat,高級持續性威脅)攻擊。此類攻擊組織性強、目標目的明確,一般具備有較強資金和後臺支撐,有的甚至是國家行為,攻擊潛伏期長、隱蔽性強,難以發現和回溯,其目標往往是針對金融機構的核心繫統、數據資產等關鍵基礎設施和數據信息。現多個APT組織已經把我國關鍵信息基礎設施作為重點監測和攻擊目標,根據數據分析,在針對不同種類的關鍵信息基礎設施中,其中34.3%的網絡攻擊事件出現在金融領域,佔比最高。2016年的孟加拉國央行和烏克蘭銀行被網絡盜竊轉賬事件,都是典型的APT攻擊事件。
二是惡意代碼。惡意代碼表現形式多樣,包括病毒、特洛伊木馬、蠕蟲、後門等,雖然作為最常見的攻擊手段由來已久,但惡意分子卻往往利用它收穫“奇效”。2017年5月12日,一種名為“WannaCry”的蠕蟲勒索軟件襲擊了全球網絡,造成至少150個國家、30萬名用戶中招,損失達80億美元,這就是其典型案例。某些大型企業的應用系統和數據庫文件被加密勒索,影響巨大。然而據從各類被攔截惡意程序樣本的分析來看,各種類型木馬程序中排名第一的依然是惡意代碼,佔了總量的66.89%。
三是DDoS攻擊。DDoS攻擊作為傳統網絡威脅,其出現頻率依然值得加強關注。DDoS攻擊,由於其模式多樣、防禦困難,中小金融機構一旦遭遇,將不得不通過臨時提升帶寬等資源進行對抗,因此其對金融信息系統的可用性和可持續性影響巨大。
四是軟件供應鏈攻擊。軟件供應鏈攻擊是指在合法軟件正常傳播和升級過程中,利用軟件供應商的各種疏忽和漏洞,對合法軟件進行劫持或篡改,從而繞過傳統安全產品檢查,達到非法目的的攻擊類型。軟件供應鏈攻擊不是一種全新的攻擊類型,過去幾年間時有發生,只是2017年呈現出爆發態勢,如今不少網絡犯罪分子已經轉向針對企業供應鏈的攻擊。
內部因素
一是操作失誤。內部人員沒有遵循安全要求和操作流程而導致系統宕機損壞,無法對外提供服務,甚至是重要數據遭到破壞。更進一步地講,主要是內部人員缺乏安全意識和專業技能培訓,不符合崗位技能要求。
二是內部惡意人員。具體指內部惡意人員對信息系統進行破壞,採用自主或內外勾結的方式盜竊機密信息數據或進行篡改以獲取利益。據調研統計,數據洩露已經成為絕大多數金融機構最關心的網絡安全問題之一。數據洩露所產生的影響已經遠不止數據損失這麼簡單,它對品牌聲譽、客戶資源和供應鏈資源都會產生很多的影響。雖然部分數據洩露是由於應用漏洞、代碼編寫不規範等引起,但實際上導致信息洩露問題原因更多是機構內部人員疏漏和惡意盜竊。
三是軟硬件故障。由於缺乏物理環境影響分析,導致對信息系統正常運行造成影響,如斷電、靜電、灰塵、潮溼、溫度、自然災害等對系統運行產生影響的設備軟硬件故障,以及由通信中斷、系統缺陷等問題形成的設備軟硬件故障。
管理制度策略
一是制度不完善職責不清晰。網絡安全組織體系不完善,網絡安全管理目標和策略不明晰。不僅未建立信息安全整體策略和檢查評價方法,信息安全管理基礎流程不夠完善,還缺乏相應外包風險管控能力,內部信息技術(IT)安全管控和服務能力;或安全開發和運維管理流程、制度、標準缺乏,授權、變更、供應商管理各項管理措施不到位,安全人員的權責關係不明確,信息安全風險管理體系建設未深入人心等,導致網絡安全管理內部標準沒有形成,對漏洞問題的響應速度和能力難以提升,尤其是災難恢復手冊、運維操作手冊等內容流於形式、內容簡單,遇到突發事件時無法發揮實質作用。
二是網絡安全專業人才缺乏。在網絡安全攻擊愈演愈烈的形勢下,有效的安全分析能力成為剛需。而在當前網絡安全專業人才短缺的大環境下,有的金融機構特別是網絡安全部門的人員基本由運維人員兼職,即使設置有專業安全崗位,工作職責也是以溝通協調為主。由於缺乏足夠有效的安全培訓,導致知識脫節,難以應對複雜安全形勢。同時還要看到部分機構把網絡安全工作僅作為部門某崗位專職工作,未在業務、技術、管理等多個層面進行行之有效的安全意識教育,導致整體安全意識缺乏的現象依然明顯。
三是安全投入有待提高。隨著金融行業的競爭加大,利潤空間受到擠壓,總體信息化建設投入存在下降的趨勢,網絡安全建設方面也存在同樣問題。很多金融機構目前是圍繞單點解決方案構建安全基礎設施,往往是因為此類解決方案只需要數額較小的短期投資,意欲利用邊界型的防禦阻止各種攻擊和風險。以多維度、多層面融合的,圍繞預測、預防、監測、響應、處置、改善的體系化網絡安全防禦體系建設投入明顯不足,難以使網絡安全能力成為機構核心競爭力之一。
應對措施建議
一是提升意識、明晰風險。在戰略規劃和重大決策中貫徹網絡安全要求,健全安全組織體系和戰略規劃,加強網絡安全意識教育和專業培訓,提高全員安全意識,建設專業的安全團隊。同時,注重利用好等級保護測評、風險評估、滲透測試和內部審計等手段,強化對自身信息資產梳理和分析,力爭做到每個資產形成風險分值,強化發現問題的及時整改和跟蹤管理,將網絡安全風險完整納入機構風險管理體系。
二是轉變思維,建設安全體系。面對不斷變化的安全威脅,首先,要有安全前置思維,將安全貫穿於整個信息系統建設使用生命週期,從需求—建設—測試—投產—升級各階段將安全作為必選項,特別是安全要求貫注於開發平臺、代碼倉庫、測試用例等方面,保證所有信息化建設項目都處於安全掌控之中;其次,要有隨時面對攻擊的思維,承認系統時刻處於被攻擊之中,通過對全面的基礎信息(用戶+行為+流量+日誌+資產)進行集中採集、存儲和持續深層分析,構建監控分析和響應處置體系,建立事件持續響應處理機制;最後,要有主動縱深防禦思維,被動式的城牆防禦機制已經難以應對多樣的網絡安全威脅,要以威脅為中心構築主動防禦,以數據為基點形成縱深防禦,融合防禦、檢測、響應溯源和預測全生命週期的威脅應對機制,構建自適應安全體系,彈性應對來自外部和內部的各種威脅,實現全網安全態勢可知、可見、可控的閉環。
三是合作賦能,搭建安全生態。在“互聯網+”不斷深入生活方方面面的時代背景下,國家和行業專控隊伍、安全廠商的賦能作用凸顯。在網絡安全產業分工更加精細化的趨勢下,金融機構、專控隊伍、安全廠商、供應鏈企業之間聯動可在彼此防護能力的基礎上由點成線,合力構築一條安全堤壩。藉助各方人才技術優勢,研究探索國內外安全先進理念、模型、技術的運用,增強網絡安全預警、分析和追溯的能力,特別是事後應急響應和快速修復能力,開展合作共治,形成安全生態鏈,鏈接利益,共謀發展,共同提高金融網絡空間安全防範能力。
四是共享共贏,抵禦網絡威脅。針對各類外部攻擊和威脅,探索建立行業網絡安全信息共享機制,逐步形成行業安全專家聯合研判和應急處置的有效機制。監管機構可在總體要求框架下,建設行業性態勢感知和共享平臺,圍繞金融行業網絡安全態勢感知信息共享需求,構建集威脅識別、防禦控制、信息共享、應急響應於一體的技術體系。進一步加大金融行業和網絡安全行業交流力度,充分發揮聯合優勢,凝聚共識、加強合作、為維護國家金融行業網絡安全和公眾利益提供支撐。
本文刊發於《清華金融評論》2019年1月刊,2019年1月5日出刊,編輯:謝松燕
我們期待您的來稿
歡 迎 訂 閱
深刻|思想|前瞻|實踐
專注於經濟金融政策解讀與建言的
智庫型全媒體平臺
閱讀更多 清華金融評論 的文章
