互联网形势下银行业信息安全挑战和对策.docVIP

互联网形势下银行业信息安全挑战和对策 　　银行业“互联网+”IT治理课题组 　　自2013年“余额宝”出现以来，第三方支付、P2P网贷、众筹等迅速发展，互联网巨头携在零售、社交等领域的成功之势杀入金融行业，以其渠道多、门槛低等优势迅速吸引大量用户，对传统银行造成巨大的冲击。工商银行、平安银行等纷纷发力部署在线零售平台，南京银行甚至以“你好银行”品牌试水直销银行来实现自我革新。可以看到，传统金融借“网”升级成为趋势，政府层面亦将互联网金融作为国家行动规划，“互联网+”已然成为银行业21世纪以来最大的一次热潮。 　　然而，互联网金融的迅速成长也伴随着风险挑战，信息安全事件时有发生，近年来更有愈演愈烈之势。据不完全统计，截至2014年年底有近165家P2P平台由于黑客攻击导致系统瘫痪或数据被恶意篡改，一时间P2P在百姓心里成了高风险的代名词，在政府眼里成了监管失效的重灾区。互联网时代是以IT技术为生产工具、以数据为生产资料的时代，传统金融特别是大型国有银行在拥抱“互联网+”、实现业务创新的同时，如何守住信息安全底线、保障业务健康发展、维护消费者权益，是摆在从业者面前的一道难题。 　　“互联网+”对银行业的影响 　　比尔?盖茨曾预言银行将成为21世纪灭绝的恐龙，但我们认为灭绝的将只是那些过时的经营模式，市场和客户在进化、银行也在进化，最终银行业会变成怎样尚不可知，但趋势已经依稀可见。 　　业务渠道更广、服务更多样。一是银行纷纷加速互联网渠道的建设布局，从原有的网上银行、电话银行扩展到手机银行、微信银行等渠道，移动端的交易量增长更加迅猛，预测到2018年将赶超PC端；二是银行产品更加多元化，不再局限于传统的金融业务，呈现出平台化的发展方向，银行逐步从后台走向前台；三是银行与第三方机构的互联合作日益增多，目前与农行互联的第三方机构就超过2000家；四是服务范围不断扩大，借助互联网渠道的优势，银行的服务突破了时间与地域的限制，能随时随地向所有客户提供越来越丰富的服务，3A模式（Anytime、Anywhere、Anyway）俨然成为银行业未来的标准服务模式。 　　产品创新更快，更注重用户体验。一是系统逐渐倾向于“瘦核心、胖前置”的技术模型，开放式、模块化的架构为业务产品的快速上线和更新提供了技术保证；二是银行更多采用敏捷开发、灰度发布的方法，实现了产品的快速更替和功能改进；三是越来越多的银行在PC端、移动端通过提供UI自由定制、客户业务推荐等功能，为客户提供了个性化服务，实现了对单一客户的精确营销。从网银界面、信用卡卡面等的个性化定制到信用卡自选商户的积分优惠等业务产品的个性化服务，银行纷纷通过个性化服务增加对客户的吸引力。 　　大数据进一步驱动业务发展。“互联网+”时代，银行的数据量呈爆发式增长，非结构化数据成为数据分析闪光点。以农行为例，每年产生的非结构化数据增速惊人，目前已超过1PB以上。多家银行积极引进Hadoop、MPP、SQL等新技术，加紧建设大数据应用体系，大数据分析在银行业务创新、精准营销、风险管理、成本控制等方面正发挥着越来越大的作用。农行基于Hadoop技术架构的反洗钱系统，实现了分析速度和监控金额精度的双提升，系统作业处理从原来的小时级压缩至分钟级，交易金额监控分析的粒度从“百元”级精确到“元”级。 　　“互联网+”给银行业信息安全带来的挑战 　　“互联网+”极大地推动了银行业的变革，降低了金融服务的门槛，为各个层面的客户都带来了便捷高效的体验，同时也提供了更多便利。但互联网对银行业务产生积极影响的同时，也带来了诸多新的信息安全问题。 　　外部安全形势日趋复杂和严峻。一是面临的网络威胁越来越严重。除了传统的SQL注入、DDOS等常见攻击，APT等新型攻击方式（高级持续威胁攻击，指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式）也愈演愈烈，据统计，国内银行一年遭受的网络攻击次数就高达上千万次；二是第三方系统交互的风险愈加突显，第三方公司信息安全水平参差不齐，短板效应极易被黑客利用导致信息安全事件；三是客户的容忍度越来越低，互联网的放大效应加剧了信息安全事件的影响，银行面临的声誉风险压力倍增。 　　新技术、新架构带来新风险。一是开放式架构安全风险增大。相比传统封闭式系统，开放式系统漏洞更多，更容易遭受攻击；二是云计算技术引入新风险。部分传统安全手段已不再适合云平台，如传统加密技术可能影响云平台数据的正常使用，共享云基础设施中不同用户日志混杂，日志收集分析存在很大困难，个别应用的安全短板甚至会影响整个云平台的安全等等；三是产品安全设计滞后。产品研发中“重功能开发、轻安全设计”的传统问题依然突出，产品安全缺陷层出不穷。 　　互联网环境下，信息泄漏和滥用问题日益严峻。一是大数据依托海量数