“互联网+”形势下的金融行业信息安全思考

庄华 上海交通大学信息安全工程学院

“互联网+”形势下的金融机构正在逐步实施“互联网+”相关行动计划，面临的安全问题也日益凸显，除了互联网共性的外部威胁和内部威胁，还包括“互联网+”技术融合带来的各类新技术风险以及金融机构自有的安全挑战。对此，金融行业机构应从端正认识、完善制度建设、优化技术、加强内控、完善监管、深化多领域合作等方面入手，以确保“互联网+金融”的安全运作。

一、“互联网+”成金融业新引擎

在“互联网+”时代，信息传播和技术发展速度将越来越快，信息不对称造成的价值溢价将会逐渐消失，只有个性化和高度定制化的产品才会有生存空间。在国内金融行业受长期严格监管和发展缓慢的情况下，尤其需要“互联网+”给行业带来的新气息和技术创新，“互联网+”必将成为国内金融行业发展的新引擎。

二、互联网金融行业安全形势严峻

(一）层出不穷的外部威胁

目前系统业务设计缺陷、漏洞利用以及常态化的APT 攻击是几种最具危险性的外部威胁。

(二）“互联网+”下的安全风险

1.云计算安全风险

支付宝被挖断光纤、携程数据被删、艺龙遭DDos 攻击而宕机，国内云安全事件频发。云计算架构带来便捷、廉价、可伸缩等红利的同时，其自身的脆弱性、多租户安全问题、云计算服务商的安全问题等等，都需要一一面对和解决。国内各类企业纷纷开展云计算使用，包括一些金融机构，但是却很少去了解该如何控制使用云所需的工作。

2.移动设备安全风险

金融与移动互联网的结合，使得金融行业业务接入方式更加终端化，对业务体验要求更高，交易方式与频次变得更加分散，因此存在的安全安全风险更加复杂，面临的安全威胁也更多样化。而其中随着恶意软件、安全漏洞和攻击事件层出不穷，移动金融终端安全问题直接关系到个人用户的账户隐私和财产安全，成为一种巨大的安全风险。

3.大数据安全风险

大数据分析俨然目前已经成为“互联网+”产业发展和升级改造的流行词，其在互联网金融、电商、互联网安全等多领域发挥着巨大作用。但是数据的合法获取、妥善保存、合法转让、安全销毁和隐私立法是“互联网+”中需要提前规划和考虑的重要问题。

(三）新形势下金融机构的安全挑战

在管理方面，金融机构秉承“合规”原则，内部制定了谨慎全面的审批流程，管理成本较大。以信息安全方面的管理流程为例，现有安全防护体系部分的审批包括信息系统安全规划论证、系统安全扫描、应用系统上线安全检测等方面，任意环节发现安全漏洞都需要回归测试扫描，人力和时间成本较大。

在技术方面，主机、操作系统和数据库仍然是IOE 的产品。众所周知，国外商用产品存在技术后门等安全隐患，同时国内技术人员因无法掌握核心技术而导致对国外厂商和服务的依赖，造成应用系统整体的开发和运维成本过高。因此，尽快制定符合金融机构实际情况的去IOE 技术解决方案，也是新形势下金融机构所面临的棘手问题之一。

三、“互联网+”下金融机构的安全应对

(一）借力发展，构建多元化合作渠道

保持与上级行业主管单位、国家安全保障团队（网安等）的联系，实时沟通汇报；

深化与安全服务厂商和安全众测平台的合作，采购信息安全专业的服务，依靠国内外网络安全优秀团队的力量来发现各系统的安全漏洞，保障信息系统的安全；

(二）自主可控，大胆启用新思路、新架构

目前金融机构已经积极开始了一些尝试：

项目生命周期管理：在系统开发上，通过敏捷式开发来实现互联网金融业务的开发转型，更及时响应客户需求，满足迅速变化的市场环境，通过协作开发和迭代交付，实现小步快跑，在不降低软件质量的前提下，极大缩短开发周期。

系统软硬件国产化：国家层面已经做出了一些战略指导，等级保护提出三级以上系统应当使用国产安全产品，国家密码管理局和人民银行要求推广使用国产密码算法等。在系统构架建设时应强调自主可控，积极发展软硬件产品的国产化。

开源软件：积极使用开源软件替代各类应用商业软件。开源软件往往价格低廉甚至免费，而且有比较完善的应用框架，仅需要投入适量的人力、物力对其深度定制即可接近或超过价格昂贵的商业软件所能达到的效果；同时，因为软件源代码的公开，软件使用者对代码内可能存在的漏洞、后门、性能瓶颈均能了如指掌。

安全加密：金融机构已经在积极推广使用数字证书技术。数字证书技术仍然是目前公认的最安全的信息安全技术，随着国产加密算法技术的不断发展和积极推广，“相关性能瓶颈和兼容性问题也越来越少，目前在金融行业使用国密的应用也越来越多”，因此在“互联网+金融”背景下，深入推广与创新数字证书技术，特别是国密证书的应用，依然是一个最佳且不可或缺的选择。

(三）安全应急，加大风险预警和管控力度

网络安全应急管理应做到及时发现，及早预警，全面追踪和有效处置。国内互联网金融行业应建立多层次和覆盖广的安全检测体系，整合行业资源和安全资源，解决基础资源分散、未知漏洞和未知攻击监测能力不足的问题，实现网络安全状态全面感知的能力。

(四）完善监管，推行信息安全的合规

“互联网+”的发展已经使得金融行业的信息化水平不断提高，因此加快推行信息安全的合规性是当前金融业刻不容缓的事情：合规不能保证系统永远安全，永远不出安全事件，但是，做好基本的信息安全防御工作，将有利于减少信息安全事件发生的可能性③。

目前国内金融行业内一项最重要的法律法规就是信息安全的等级保护制度，随着等级保护制度多年的发展，目前其已经发展为主管部门银监会和人民银行对金融企业是否达到基准的合规性要求的重要参照指标。大部分金融机构从2010 年开展等级保护工作，至今相关系统测评符合率已经较高，但是仍应结合自身业务特点和信息安全现状，修改和完善相关信息安全法规，并加强日常信息安全管理和监督工作。

(五）加强业务安全设计，防范信息系统技术风险

目前金融行业业务安全设计没有完善的理论，相关资料较少，因此不断借鉴优化同行业做法、提高业务设计人员自身的信息安全素养是目前为数不多的可行方法。在“互联网+”时代，在技术无法保证100%安全的前提下，业务人员是否重视业务安全设计的重要性，也是金融机构业务是否能长期持续发展的关键。

(六）借助互联网威胁情报及情境感知，实现外防内控

随着信息技术的发展，可机读危险情报（MRTI）使得对高级威胁的快速防护成为可能，成为衔接安全大数据与企业的纽带。金融行业内企业应与信息安全公司合作，加强自身和行业内其他企业的整体流量还原和日志存储能力，固化所有攻击证据，做到可回溯。而同时信息安全公司应利用大数据分析和挖掘技术，有效、快速地发现未知威胁，即威胁情报。同时对企业内部各层数据进行采集和存储，通过异常行为分析等措施快速定位各类风险和威胁，阻挡恶意行为，识别合法业务行为。