技术视角下的银行业信息安全防护之道

　　技术视角下的银行业信息安全防护之道

　　文/汪德嘉

　　新形势下商业银行信息安全体系建设面临诸多挑战。银行业应当在构建无边界信息安全防御体系、加强隐私保护及信息安全风险管理方面快速 转型，并结合大数据技术及信息安全技术，转变传统防御思维，采取全面防御、主动防护的积极措施。

　　在数字经济迅猛发展的今天，我国银行金融机构数字 化转型工作取得长足进步，信息系统建设不断完善，从引进学习到自主创新，从单机应用到数据集中，从柜台电算化到 电子银行，信息技术的发展和广泛应用，为商业银行的业务发展和经营管理提供了强有力的支撑，极大地丰富了银行服 务的产品和类型，有效提升了银行服务的效率和质量，与此同时，信息技术的广泛、深入应用也极大地增强了银行对信 息科技的依赖性，带来前所未有的安全风险。

　　从信息技术角度来看具体有以下潜在安全风险：首 先，金融消费者聚集的高度碎片化数据规模正在不断增加，银行信息系统的体量越来越庞大，运行环境越来越复杂，信 息系统的高度耦合可能使得小问题导致大事件。其次，随着移动互联网、云计算、大数据、区块链等新技术的广泛应 用，信息系统的基础架构不断调整，现有的信息安全防御体系面临失效的风险。再次，以金融欺诈为目标的黑色产业链 已成规模，正在利用大数据等先进技术对银行业实施精准诈骗。随着以开放银行和数字货币为代表的数字金融业务不断 向前发展，银行业信息安全风险管理面临新的挑战。

　　金融科技不断向前发展，无论是金融机构内部安全运 营体系化建设，还是应用安全风险监测分析，都在发生着深刻的变化，可从以下三方面加强金融科技网络安全：一 是构建无边界的信息安全防御体系；二是保障数字空间隐私安全；三是层次化提升银行业安全风险防控。

　　构建无边界金融信息安全防御体系

　　纵观网络安全发展历史，入侵检测、防火墙以及反病 毒等传统边界安全防护产品一直占据市场主导地位。由此研发出各种应用系统及工具，其设计基础理念是：由于企 业边界的外部存在病毒、木马等各种安全威胁，安全产品通过在企业的边界网关处加上各式各样的“锁”，将危险 挡在外部。

　　然而，在云计算与大数据时代，网络安全的逻辑框架 已从单纯的边界防护，上升到整个网络空间安全的概念。移动互联网、物联网、自带设备（BYOD）等新兴技术带 来巨大变化，机构与企业的数据不再局限于有形的边界。在此背景下，金融机构IT架构也在发生变革，金融业务云 化，数据呈现海量集中部署、价值更高、边界更模糊等特点。如何实现对海量数据泄露事件的溯源和业务数据的风 险分析，成为金融行业当前及未来要面临的一大考验。

　　通付盾金融赋能解决方案全景图

　　以涉及信贷生命线全周期的数据治理为例。银行的 重要且敏感数据大部分集中在应用系统中，例如客户的联络信息、资产信息等，如果不慎泄露，不仅给客户带来损 失，也会给商业银行带来不利的声誉影响，因此数据安全在数据管理和治理过程中相当重要。此外，对银行数据本 身而言，信贷业务发展加快了数据膨胀的速度，也带来了数据不一致等问题，业务部门的频繁增加和剥离同样会对数据治理提出挑战。这些日益复杂的内外因素决定了我国银行业对数据治理的超高标准要求，然而行业对应的经验 能力却稍显薄弱。

　　一种针对性的解决方案是搭建起一套数据源管理平 台，基于大数据处理技术，提供多数据源融合、并符合数据隐私保护标准的统一数据源管理，平台建立统一的数据 输入输出标准、帮助客户提升数据融合、数据管理及数据应用能力，例如接口一站式接入、在线测试、实时监控、 智慧任务、数据路由器等。

　　基于大数据处理技术，数据源管理平台可以实现对第 三方服务商的服务接口整合以及标准化转换，供各方进行数据调用，并可通过服务配置快速适配外部接口；为降低 服务成本，根据不同数据的变更特性进行缓存，避免短时间重复调用，同时也可对服务内外部接口转换、缓存策略 等进行快速配置；统一落地数据安全管控要求；提供访问鉴权、加密解密等。在性能上，平台可以实现数据接入免 代码、多种数据源预置、多样数据传输方式、覆盖广泛加密算法、数据流动利器、多类属性映射、实现对海量数据 源调用的高速高效运行。

　　通付盾数据源管理平台

　　在数据源管理平台基础上，银行机构结合自身强有力 的组织架构，完善的管理制度及工作流程支撑，规范数据管理各项工作的开展，从而发现、充实、集成和管理数据的整 个生命周期，提升企业风险管理能力及精细化管理要求。

　　基于智能技术保障数字空间隐私安全

　　近年来，各行各业都在加速步入数字化新时代，金融 行业也不例外。分布式加密账本、人工智能、大数据、云计算等技术高速发展，冲击着金融行业技术的飞速更迭， 各大金融机构经历了最原始的纸质时代，电子时代，大数据以及云平台时代，并正在向着区块链时代迈进，数字货 币的火热也促进了金融行业KYC/KYB/KYT的发展。然而，由于通常审核程序和流程复杂，加上传统金融机构发 展至今体量庞大、模式固化、中心化程度极高，导致各个机构间形成信息壁垒，沟通效率降低，因此对于金融机构 来说，合规工作逐渐成为一项棘手的负担。

　　此外，目前的KYC/KYB/KYT体系基本都由中心化的机构来进行审核，这就意味着经过审核（不管审核通过与否）的用户所上传的个人信息，除了用在通过审核之 外，并不知道是否被机构挪作他用或直接用来变现，从而造成用户个人隐私泄露。如何保护个人的信息或数据资产 的安全性，是KYC/KYB/KYT本身衍生出的问题，也是 未来的挑战。

　　针对上述问题，行业内出现了多种解决方案，可包含 远程实名认证、用户安全性核查、企业远程开户、HUE多因子身份认证等多种方式，并面向不同用户提供不同场景的解决方案。比如，面向个人用户，可通过综合运用证照OCR、生物识别、活体检测、数据核验、设备指纹、反欺诈等技术，并基于分布式加密账本和去中心数字身份的方 式，使得用户身份信息和隐私信息均加密存储在用户本地，保护用户数据主权和隐私安全，为用户提供安全、合规、便 捷的用户身份和安全性审查服务。

　　用户安全性核查使用流程

　　中小企业远程开户

　　面向企业用户，可基于银行线下开户的流程及要求， 对包括企业工商信息、营业执照、法人身份证等相关证件进行验证，并通过在线视频当面核查企业开户意愿、经营 情况、办公环境等信息，基于许可区块链安全技术，采用生物识别、证件识别、活体检测等智能交互方式，实时连 接权威数据源进行交叉验证，满足中小企业远程开户安全、便捷、合规的综合性需求。

　　此外，可以采用PKI、数字签名技术以及指纹、时空 码等多项安全专利技术，将身份认证与授权管理服务应用于转账、支付、取现等业务场景及机器身份识别、安全 访问管理等物联网场景。验证结果可在区块链上储存、传输，KYC/KYB/KYT的验证结果也将可以多次使用；所 有个人和企业数据在区块链上加密存储，只有在获得本人授权的情况下才可以使用，从而确保用户隐私信息安全。

　　层次化提升银行业安全风险防控

　　从本质上看，信息安全风险不仅客观存在，而且时刻 变化。在金融科技时代下，商业银行面临的信息安全风险呈现出一些新特点，如：新技术带来了新的安全漏洞；传统安全手段无法有效应对新安全威胁；新研发模式导致了更多的系统缺陷等。从风险管理角度看，银行业应当从信息安全日常管理、信息安全风险管理及信息安全审计角度，构建信息 安全管理多道防线，层次化落实安全风险防控。

　　比如，从“代码”角度提高银行业信息安全风险管 理。研究显示，超过50%的安全漏洞由错误的编码产生，开发人员一般关注业务功能的实现，安全开发意识和安全 开发技能不足，想要确保程序在交付之前和交付之后都是安全的，就需要注意Web应用安全测试技术识别程序中架 构的薄弱点和漏洞。

　　通付盾IAST代码审查系统

　　当前最前沿的交互式应用安全测试技术之一是“IAST”。目前行业已经开发出基于“IAST”技术的IAST代码审查系统，该系统主要由三部分组成：核心检测能力，平台基础功能和外部集成接口。其中核心检测能力基于交互式应用安全检测技术实现，包括服务端和检测探针；平台基础功能则提供了各类丰富的操作功能，包括组织结构 配置、权限分配、安全弱点检测管理、统计分析等；外部集成接口为平台与其他研发过程中的系统对接预留接口。

　　当前整个社会都在经历数字化转型，新形势下商业银 行信息安全体系建设面临诸多挑战，综上建议，目前银行业应当在构建无边界信息安全防御体系、加强隐私保护及 信息安全风险管理方面快速转型，并且结合大数据技术及信息安全技术，转变传统防御思维，采取全面防御、主动 防护的积极措施，实现外部有效防御与内部完备防护，保障客户交易过程资金和信息安全。