□文/黃麗雙

（福建廣播電視大學(xué)泉州分校 福建·泉州）

［提要］ 金融領(lǐng)域的信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。商業(yè)銀行在數(shù)字化轉(zhuǎn)型過程中，運(yùn)用金融科技進(jìn)行業(yè)務(wù)和管理上的創(chuàng)新，新技術(shù)的應(yīng)用必然帶來未知的科技風(fēng)險。信息風(fēng)險防范是商業(yè)銀行風(fēng)險管理的重點(diǎn)和底線，本文主要針對這個領(lǐng)域進(jìn)行風(fēng)險點(diǎn)的剖析，并給出相應(yīng)的建議，助力商業(yè)銀行數(shù)字化轉(zhuǎn)型健康發(fā)展。

商業(yè)銀行數(shù)字化轉(zhuǎn)型的核心是利用金融科技改造和創(chuàng)新金融產(chǎn)品和業(yè)務(wù)模式，在數(shù)字化轉(zhuǎn)型過程中，必然對互聯(lián)網(wǎng)和信息系統(tǒng)依賴性更強(qiáng)，所面臨的信息科技風(fēng)險也更為復(fù)雜。金融科技應(yīng)用主要關(guān)注三個方面：確保把握金融科技的發(fā)展方向；加強(qiáng)數(shù)據(jù)安全管理；增強(qiáng)網(wǎng)絡(luò)和信息安全能力。國際金融穩(wěn)定理事會（FSB）指出金融科技應(yīng)用過程中10個值得監(jiān)管當(dāng)局關(guān)注的問題中，網(wǎng)絡(luò)安全風(fēng)險、關(guān)鍵金融市場基礎(chǔ)設(shè)施安全風(fēng)險都與信息風(fēng)險密切相關(guān)。美國、歐盟等監(jiān)管機(jī)構(gòu)對金融科技監(jiān)管時也特別強(qiáng)調(diào)了客戶信息保護(hù)、網(wǎng)絡(luò)安全。因此，商業(yè)銀行在數(shù)字化轉(zhuǎn)型過程中要重點(diǎn)加強(qiáng)對信息風(fēng)險的防范。

一、商業(yè)銀行數(shù)字化轉(zhuǎn)型過程中面臨的主要信息風(fēng)險

（一）生產(chǎn)交易系統(tǒng)資金安全風(fēng)險。隨著金融科技的發(fā)展，大量銀行業(yè)務(wù)由線下轉(zhuǎn)為線上處理，交易鏈條不斷延伸，交易行為主體間的連接模式日益復(fù)雜，生產(chǎn)交易系統(tǒng)之間以及與外部合作機(jī)構(gòu)系統(tǒng)之間的信息交互明顯增多，但由于安全風(fēng)險防范意識不足、內(nèi)控管理不到位、技術(shù)措施和管理手段缺失、生產(chǎn)交易系統(tǒng)安全風(fēng)險增大，容易引發(fā)生產(chǎn)系統(tǒng)被入侵并造成資金損失的重大安全事件。特別是線上業(yè)務(wù)主要通過網(wǎng)絡(luò)渠道辦理，雖然客戶能夠隨時隨地通過電腦、手機(jī)終端等快捷地享受銀行服務(wù)，但業(yè)務(wù)數(shù)據(jù)在提交、返回和交互的過程中存在被篡改、被替換的風(fēng)險。

（二）信息系統(tǒng)業(yè)務(wù)連續(xù)性風(fēng)險。線上業(yè)務(wù)系統(tǒng)一般都是7×24小時的連續(xù)服務(wù)，系統(tǒng)交易量和并發(fā)量大，對業(yè)務(wù)處理響應(yīng)速度要求高。同時，線上業(yè)務(wù)系統(tǒng)交易連接模式比較復(fù)雜，系統(tǒng)間調(diào)用關(guān)系交織，不同生產(chǎn)交易系統(tǒng)之間以及與外部合作機(jī)構(gòu)系統(tǒng)之間的信息交互非常多，應(yīng)用系統(tǒng)之間依存度高，風(fēng)險傳染性強(qiáng)。某一系統(tǒng)的節(jié)點(diǎn)出現(xiàn)問題，會導(dǎo)致其他關(guān)聯(lián)系統(tǒng)無法正常運(yùn)轉(zhuǎn)，影響系統(tǒng)服務(wù)連續(xù)性。

（三）網(wǎng)絡(luò)信息安全風(fēng)險。數(shù)字化運(yùn)營使得銀行和客戶連接更密切、渠道更豐富，增加了網(wǎng)絡(luò)黑客可攻擊的網(wǎng)絡(luò)薄弱環(huán)節(jié)切入點(diǎn)，主要的風(fēng)險隱患有：一是危害金融關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定的大規(guī)模網(wǎng)絡(luò)攻擊日益頻繁。金融科技在推動基礎(chǔ)設(shè)施和金融服務(wù)線上化的同時，也打造了更為開放的銀行網(wǎng)絡(luò)體系，增加了網(wǎng)絡(luò)安全隱患。在傳統(tǒng)通信環(huán)境下，風(fēng)險如果發(fā)生，往往只局限于某個區(qū)域或某個局部，但在互聯(lián)互通的環(huán)境下，風(fēng)險會快速傳染。2017年9月14日，全球最大的政治性黑客組織——“匿名者”通過網(wǎng)絡(luò)社交平臺發(fā)布消息，聲稱將攻擊全球57個大型銀行網(wǎng)站，其中包括我國的工、農(nóng)、中、建、交等10家大中型銀行。二是系統(tǒng)安全漏洞威脅上升。越來越多的信息系統(tǒng)和金融業(yè)務(wù)部署在互聯(lián)網(wǎng)中，信息安全高危漏洞日益增多，面臨的網(wǎng)絡(luò)攻擊威脅不斷加劇，留給金融機(jī)構(gòu)處置安全威脅的時間越來越短。2016年11月，俄羅斯10大銀行中的5家遭受了來自30個國家2.4萬臺計算機(jī)構(gòu)成的僵尸網(wǎng)絡(luò)長達(dá)兩天的DDoS攻擊，網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行受到嚴(yán)重影響。三是移動端安全風(fēng)險較為突出。風(fēng)險事件表明通過移動端應(yīng)用程序進(jìn)行欺詐和盜竊的事件占比最高，其原因在于大量的移動應(yīng)用程序缺乏防病毒軟件。在網(wǎng)絡(luò)安全形式日益嚴(yán)峻的情況下，應(yīng)加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險預(yù)警和實(shí)時監(jiān)控，強(qiáng)化網(wǎng)絡(luò)深度安全檢測，提升網(wǎng)絡(luò)抵御攻擊和快速處置能力。

（四）客戶信息泄露風(fēng)險。云計算、大數(shù)據(jù)等金融科技的日益廣泛應(yīng)用，在為銀行經(jīng)營管理帶來諸多便利的同時，也存在著數(shù)據(jù)和信息泄露的風(fēng)險隱患。

從內(nèi)部看，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)的流轉(zhuǎn)經(jīng)過前端采集、業(yè)務(wù)處理、大數(shù)據(jù)平臺入庫、集中存儲等過程，涉及眾多合作機(jī)構(gòu)和內(nèi)外部人員，任何基礎(chǔ)設(shè)施不安全或流程管控不到位，都有可能導(dǎo)致數(shù)據(jù)的大面積泄露。云計算模式下，云端存儲了海量數(shù)據(jù)，對數(shù)據(jù)的管理比較分散，對用戶進(jìn)行數(shù)據(jù)處理的場所無法控制，難以區(qū)分合法用戶與非法用戶，容易導(dǎo)致非法用戶入侵，竊取重要信息的風(fēng)險。

從外部看，大數(shù)據(jù)蘊(yùn)含的巨大價值，吸引了網(wǎng)絡(luò)黑客的頻繁攻擊。在互聯(lián)網(wǎng)環(huán)境下，大數(shù)據(jù)模式下的數(shù)據(jù)更加容易被發(fā)現(xiàn)，也更加容易被攻擊。如京東、網(wǎng)易等都發(fā)生過大量客戶信息被黑客竊取的事件。此外，中國銀行業(yè)無論是在軟硬件設(shè)施還是數(shù)據(jù)服務(wù)，都一定程度依賴國外廠商，為潛在第三方數(shù)據(jù)監(jiān)聽和數(shù)據(jù)泄露埋下風(fēng)險隱患。

二、數(shù)字化轉(zhuǎn)型過程中的信息風(fēng)險管理對策

信息風(fēng)險防范作為商業(yè)銀行風(fēng)險管理的重點(diǎn)和底線，必須在高度重視的基礎(chǔ)上，研判各項(xiàng)風(fēng)險內(nèi)容，并采取有針對性的防范措施，保障商業(yè)銀行的穩(wěn)定運(yùn)轉(zhuǎn)。

（一）加強(qiáng)系統(tǒng)安全設(shè)計，保障資金安全。一是要從業(yè)務(wù)需求源頭防范系統(tǒng)安全風(fēng)險。功能性需求應(yīng)確保業(yè)務(wù)邏輯正確，考慮風(fēng)險控制需求。對客交易系統(tǒng)應(yīng)充分考慮客戶身份認(rèn)證、交易限額控制、交易一致性校驗(yàn)、反欺詐、風(fēng)險交易監(jiān)測預(yù)警等功能的安全需求。二是要加強(qiáng)交易信息一致性校驗(yàn)。系統(tǒng)設(shè)計時應(yīng)考慮高并發(fā)、信息被篡改、交易異常擁堵等場景，通過信息一致性校驗(yàn)等防范系統(tǒng)仿冒、越權(quán)等風(fēng)險，通過重要業(yè)務(wù)數(shù)據(jù)的完整性校驗(yàn)、加密等措施防范數(shù)據(jù)篡改、泄漏和重大攻擊等風(fēng)險。

（二）強(qiáng)化系統(tǒng)高可用保障，確保業(yè)務(wù)穩(wěn)定運(yùn)行。構(gòu)建新一代數(shù)字化信息架構(gòu)，應(yīng)該適應(yīng)當(dāng)前開放化、高并發(fā)、高響應(yīng)要求的業(yè)務(wù)需求，規(guī)范應(yīng)用開發(fā)標(biāo)準(zhǔn)，實(shí)現(xiàn)技術(shù)可控，強(qiáng)化頂層架構(gòu)設(shè)計和統(tǒng)一管控，統(tǒng)籌銜接業(yè)務(wù)架構(gòu)、技術(shù)架構(gòu)、運(yùn)行架構(gòu)，必須完善應(yīng)用設(shè)計、服務(wù)接口設(shè)計規(guī)范、確保應(yīng)用間的一致性，逐步減少應(yīng)用間的耦合，降低應(yīng)用之間風(fēng)險的傳染性。

（三）加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，防范內(nèi)外部攻擊風(fēng)險。一是要加強(qiáng)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全管理。對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)應(yīng)重點(diǎn)做好安全防護(hù)，實(shí)行7×24小時安全監(jiān)測，對網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時攔截、阻斷。二是嚴(yán)控終端設(shè)備安全管理。各類終端未經(jīng)授權(quán)不得接入內(nèi)部網(wǎng)絡(luò)，接入內(nèi)部網(wǎng)絡(luò)的終端嚴(yán)禁擅自違規(guī)接入互聯(lián)網(wǎng)。同時，內(nèi)部網(wǎng)絡(luò)應(yīng)根據(jù)安全策略進(jìn)行有效隔離，按最小化原則進(jìn)行訪問控制。三是建立安全威脅情報分析機(jī)制。研究建立針對機(jī)讀和人讀、入站和出站、內(nèi)部和外部威脅情報的受理、分析、定位和處理機(jī)制。四是要開展網(wǎng)絡(luò)安全測評。對重要信息系統(tǒng)和互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開展?jié)B透測試和源代碼漏洞掃描。采用外部眾測、自主滲透相結(jié)合的模式，主動檢測和修復(fù)應(yīng)用系統(tǒng)漏洞。

（四）加強(qiáng)新技術(shù)應(yīng)用管控，防范新技術(shù)應(yīng)用風(fēng)險。一是要建立差異化的新技術(shù)應(yīng)用管理機(jī)制。金融科技相關(guān)技術(shù)在引入前，應(yīng)充分評估其安全性、功能適用性、與商業(yè)銀行現(xiàn)有技術(shù)架構(gòu)的兼容性，掌握技術(shù)原理和應(yīng)用特點(diǎn)，有效識別新技術(shù)運(yùn)用帶來的風(fēng)險，制定相應(yīng)的防控措施，確保異常時業(yè)務(wù)能持續(xù)運(yùn)營。二是要根據(jù)新技術(shù)的成熟度和擬應(yīng)用的業(yè)務(wù)領(lǐng)域，制定差異化新技術(shù)風(fēng)險管理要求。針對相對成熟的金融科技領(lǐng)域，應(yīng)制定明確的應(yīng)用規(guī)劃、沙盒機(jī)制，對創(chuàng)新業(yè)務(wù)的市場范圍等設(shè)定限制條件，確定風(fēng)險限額，以確保創(chuàng)新失敗的風(fēng)險和影響可控，推動創(chuàng)新迅速落地；針對快速發(fā)展的技術(shù)，建立初期的技術(shù)，應(yīng)跟蹤其發(fā)展趨勢和應(yīng)用前景，關(guān)注同業(yè)運(yùn)用情況，建立與新技術(shù)應(yīng)用相適應(yīng)的研發(fā)風(fēng)控流程。

（五）加強(qiáng)客戶信息保護(hù)，防范客戶信息泄露。必須建立客戶信息保護(hù)系統(tǒng)清單。重點(diǎn)監(jiān)測可存儲、可展示、可下載客戶信息系統(tǒng)。嚴(yán)格落實(shí)客戶信息、賬戶信息、合約信息、產(chǎn)品資料等敏感信息在生成、傳輸、拷貝、存儲、銷毀等環(huán)節(jié)的安全管控措施。線上業(yè)務(wù)交易應(yīng)全過程記錄交易終端設(shè)備信息、IP地址、交易金額、交易對手等信息，要通過身份認(rèn)證、訪問控制、內(nèi)容過濾等手段加強(qiáng)線上業(yè)務(wù)信息安全防護(hù)。加快推進(jìn)大數(shù)據(jù)體系建設(shè)，推動數(shù)據(jù)源頭安全管控。對標(biāo)國內(nèi)外信息安全管理法律法規(guī)，利用信息安全技術(shù)手段，改進(jìn)管理和技術(shù)上的薄弱環(huán)節(jié)，加強(qiáng)客戶信息保護(hù)，完善信息安全風(fēng)險管理體系。