帶你讀《企業安全建設指南：金融行業安全架構與技術實踐》之二：金融行業的資訊安全

點選檢視第一章 點選檢視第三章

第2章

金融行業的資訊安全

金融行業是強監管的行業，是涉及業務敏感資料極多的行業，是高度依賴資訊化的行業，也是資訊安全風險形勢極為嚴峻的行業。是以，金融行業的資訊安全工作有着不同于其他行業的顯著特點。

2.1　金融行業資訊安全态勢

金融機構最初的資訊安全工作，大都是以達成金融行業的監管要求作為主要和基礎的目标，如銀行業資訊科技部門會圍繞《商業銀行資訊科技風險管理指引》來建構安全組織架構，形成安全管理制度和流程，建立安全檢查、風險評估和整改機制，這時候的資訊安全從業人員大多處于“管理流派”。2010年前後說起資訊安全，業内人士開口閉口就是防病毒、“IPS/IDS”“WAF”“DLP”等，“裝置流派”占據主流；而最近幾年說到資訊安全，不說些安全态勢感覺、安全大資料分析、人工智能等概念，就明顯落伍了，“資料流派”俨然引領潮流。

但是，不管是“管理流派”“裝置流派”還是“資料流派”，金融行業的資訊安全人員都清醒地知道，監管要求越來越嚴格，資訊安全形勢越來越嚴峻，攻擊技術手段越來越進化。金融企業需要清楚分析面臨的監管要求、外部形勢和内部需求，然後針對性地制訂安全戰略規劃、安全管理和技術架構，進而在安全管理和安全技術方面落地實施，方可立于不敗之地。

1.金融行業資訊科技監管趨勢

金融行業業務已經高度資訊化、自動化、流程化，向客戶提供的所有服務和日常營運基本都依賴資訊系統開展。金融行業資訊科技從業者們很明顯的一點感受就是，無論内外部審計還是監管檢查，無論檢查重點是針對哪一類的金融業務，資訊科技都是配合部門之一。另一方面，金融行業的業務戰略都需要資訊科技戰略的支撐，業務目标最後都可能轉化為對資訊科技工作的需求。

金融行業資訊科技風險具有影響範圍廣、破壞性大、突發性強、資金損失風險高等特點，資訊科技風險作為唯一可能導緻全部金融業務瞬間癱瘓的風險，一直是金融行業監管的重點和難點。是以，金融行業的監管部門逐年加大了資訊科技風險監管的力度。針對銀行業金融機構，2009年中國銀監會印發《商業銀行資訊科技風險管理指引》，奠定了銀行業資訊科技風險監管的基礎，此後幾年陸續印發《商業銀行資料中心監管指引》《商業銀行業務連續性監管指引》《銀行業金融機構資訊科技外包風險監管指引》等各領域的監管制度；針對證券、期貨等行業，陸續出台《證券期貨業資訊安全保障管理辦法》《證券公司資訊技術管理規範》《證券期貨業資訊系統運維管理規範》等監管要求；針對其他金融行業，也或多或少有專門針對資訊科技的監管要求。

從各類監管要求來看，資訊科技監管有這樣幾個趨勢：

□監管機構越來越重視資訊科技治理，強調和重視董事會、監事會和高管層的履職情況。秉承“實質重于形式”的原則，董、監、高的履職已經不能僅限于參與幾次會議、做出幾項決策，而是要看資訊安全風險控制的實際效果。如果資訊科技管理工作或資訊科技風險管理有重大缺失，就是履職不力的表現。

□監管重點從“管理為主”往“管理和技術并舉”方向發展，或是要求“人防補技防”，或是要求“技防補人防”，總之“兩手抓、兩手都要硬”。監管的現場檢查、風險提示等，都已經從組織架構、制度建設、流程機制等管理層面，延展到業務流程設計、企業技術架構、系統邏輯設計等具體和實質的技術控制和實作層面。

□對于資訊科技部門職責的規定和限制，逐漸精細化、具體化、階層化，資訊科技風險防控要求涵蓋資訊科技工作的方方面面。

□資訊科技風險管控不僅是資訊科技部門的責任，還要求全行風險管理部門、内控合規部門、稽核審計部門都參與其中，各司其職，存在制約、促進的關系。

□資訊科技風險管控與業務密不可分，業務邏輯風險控制、業務需求比對度和業務功能滿足度、業務效益後評價、業務外包中的資訊科技活動等，都延伸至業務部門。

□資訊安全意識教育訓練和教育，要求針對全員開展，提升全員意識，突破了資訊科技人員的範疇。

□監管手段逐漸向技術化發展。除了在監管指引上逐漸完善之外，非現場監管資料化、現場檢查工具化的趨勢較為明顯，監管科技的發展已經從初露端倪到如火如荼。

2.金融行業面臨的外部資訊安全态勢

由于金融行業的服務幾乎與每個人日常工作和生活息息相關，處理的業務關乎每個人的錢袋子，服務結果又要求必須實時和高度準确，是以，面臨的外部資訊安全态勢也是在各行各業中最為複雜和嚴峻的。以下主要分析金融企業幾個重要的利益相關者：客戶、合作機構以及外部攻擊者的資訊安全态勢。

（1）客戶方面

随着移動網際網路的發展和金融科技的演化，金融企業的客戶越來越少地接觸實體門店，取而代之的是電子管道，客戶更多以網際網路作為觸點來使用金融企業的服務。

但是客戶在享受網際網路便利性的同時，也承擔着網際網路帶來的風險，是以近年來由于客戶資訊安全意識不強導緻的金融行業風險事件屢見不鮮，例如，由于客戶受到不良誘導、客戶對銀行卡等媒體保管不善、客戶自身資訊洩漏、客戶密碼設定脆弱（如弱密碼、不同場景單一密碼等）等導緻的風險事件，各種各樣的電信詐騙事件、釣魚網站事件也持續不斷地出現。客戶資訊安全意識教育成為金融行業亟待深化開展的重點工作。

（2）外部合作商方面

金融行業的服務提供需要大量的外部合作商，既包括業務合作方，也包括外包供應商。合作商的資訊安全管理不善、員工主動洩密等，對金融行業的資訊安全也形成一定的威脅。2015年電視台曝光了某金融機構客戶資訊洩露導緻資金損失的事件，事後内部調查發現，原因是負責卡片寄送的合作機構員工有心收集并販賣客戶資訊。外部合作商雖然引入了一定的資訊安全威脅，但不能因噎廢食，需要通過合作協定限制、資訊交換最小化限制、技術防範等方式，盡可能降低合作的風險。

（3）攻擊者方面

伴随着金融業務全球化、移動網際網路和金融科技的發展，虎視眈眈的攻擊者們也在随之轉換方法和重點，對金融機構的攻擊數量和品質持續提高。

從近年來發生的大型攻擊事件看，攻擊既針對金融企業的基礎設施和員工，也針對其外包商或客戶；既針對ATM、SWIFT、電子銀行等傳統系統，也針對社交媒體、區塊鍊、雲計算等新興技術；既針對金融行業的伺服器，也針對終端裝置。概括來說，攻擊重點與時俱進，攻擊手段變化多端，攻擊目标無孔不入，給金融行業資訊安全帶來了巨大的威脅和挑戰。“打鐵還需自身硬”，金融企業本身就是具有經營風險的企業，外部攻擊是必須面對和解決的問題，強身健體、見招拆招，方為正道。

3.金融行業内在的資訊安全管理需求

在監管要求日益提高、外部安全态勢日益複雜的情況下，金融企業基于自身的業務發展和安全需要，也會提出大量的資訊安全管理要求。

金融行業的資訊安全管理有着不同于其他行業的特點，最主要的幾個特點如下：

□金融行業整體資訊化程度高，而且未來趨勢是進一步的數字化、智能化，這就意味着被攻擊的風險點增多，薄弱環節增加，脆弱性增大，遭受攻擊的可能性上升。

□金融服務實時性和準确性要求高，對于資訊安全問題的容忍度低，出現問題後社會影響大，輿論壓力大。

□金融行業直接處理對象為資金，敏感資訊價值高，對于攻擊者來說獲利性大，铤而走險的動機強烈。

□金融行業積極應用新技術，但資訊安全防控往往滞後于新技術應用，導緻面臨的新風險無法得到及時有效的控制。

是以，金融企業的資訊安全工作要求也會高于其他行業，在深度和廣度上都必須兼顧，需要從組織架構、制度流程、團隊能力、安全意識、外包管理、安全技術等各方面，統籌做好規劃和落地實施，方可滿足自身的需要。

2.2　金融行業資訊安全目标

正如“一千個人心中有一千個哈姆雷特”，金融行業的資訊安全從業人員，對于金融企業資訊安全工作目标的了解也都是不盡相同的。因為金融企業的資訊安全工作是保障性工作，是為金融企業的戰略、業務、科技開發和運維等工作服務的，是以資訊安全目标也與本企業上述工作的目标和定位高度相關。

但是，對于所有金融企業來說，必須建立和保證資訊安全的核心目标和安全基線，在此基礎上，可以根據金融企業的戰略方向、風險偏好、管理要求進行量體裁衣，做出選擇和調整。

1.确立資訊安全的核心目标

從務虛的角度來說，金融企業資訊安全工作的核心目标是，通過資訊安全建設和管理，有效控制和防範資訊安全風險，提高資訊安全保障能力和水準，確定金融企業及客戶的資訊及資金安全。從務實的角度來說，金融企業資訊安全工作的核心目标是兩個“兩手抓”：一是“一手抓安全合規，一手抓風險控制”；二是“一手抓安全管理，一手抓安全技術”。

2.明确資訊安全基線

要實作金融企業資訊安全工作的核心目标，從具體操作層面上來說，必須明确資訊安全工作的範圍，在資訊安全工作的各個領域建立資訊安全工作基線，同時采取措施確定安全基線的達成。

所謂資訊安全基線，就是資訊系統最基本要滿足的安全要求，是最小限度的安全保證。安全基線主要分為安全管理基線和安全技術基線。

安全管理基線主要包括安全組織、安全制度、人力資源安全等：

□安全組織方面包括确定金融企業的安全組織架構（決策層、管理層和執行層，以及合規、風險、審計等機構）、彙報路線、職責分工、日常工作機制等。

□安全制度方面包括确定制度的體系架構和制度層級等，制度必須完整覆寫資訊科技工作的全生命周期和科技管理等保障工作，制度必須與法律法規、行業标準和監管要求等保持一緻，制度之間必須滿足“MECE（互相獨立、完全窮盡）”法則等。

□人力資源安全方面包括在人員任用前、中、後的基本安全管理要求，例如，任用前的篩選、背景調查、安全職責确定和崗前教育訓練等，任用中的各項權限配置設定、安全檢查和獎罰制度等，以及任用終止前的權限當機或取消等。

安全技術基線主要包括機房、網絡、系統、應用、終端、資料的安全：

□機房安全基線主要規定機房實體選址、基礎設施相關裝置、風火水電、環境監控、通路控制等方面的基本要求。

□網絡安全基線主要規定網絡結構安全、邊界安全、網絡裝置安全、入侵防範、通路控制、安全審計等方面的基本要求。

□系統安全基線主要規定系統配置、服務安全、作業系統通路權限、協定管理、系統日志審計等方面的基本要求。

□應用安全基線主要規定身份鑒别、抗抵賴性、資源控制、應用系統通路控制、應用日志審計等方面的基本要求。

□終端安全基線主要規定裝置管理、軟體管理、使用者管理、終端網絡隔離、自助終端管理等方面的基本要求。

□資料安全基線主要規定資料保密性、資料完整性、資料可用性、資料通路安全、資料備份和恢複等方面的基本要求。

2.3　資訊安全與業務的關系：沖突與共赢

金融行業的資訊安全與業務的關系，在某些時候可能是最能融合的，因為金融業務必須重視風險，否則業務成果可能付之一炬；但某些時候又可能是沖突最大的，因為資訊安全對業務必定會有一定的影響和制衡。是以，簡單說，資訊安全與業務是沖突、是一緻還是共赢？可能都不恰當，準确說，應該盡可能化解沖突，取得最大公約數的一緻，最終才能實作共赢。

1.資訊安全與業務的沖突性

資訊安全與業務的沖突，多數展現在業務流程的設計方面。業務部門是必須考慮客戶體驗的，是以處理步驟越便捷、驗證過程越簡單越好。但是從資訊安全的角度，有些必要的風險控制措施又不能簡化。

例如，商業銀行的II、III類電子賬戶的開設就是一個很典型的例子。從客戶體驗和便利性角度，開戶資訊及驗證步驟越少越好，但是從資訊安全角度，需要客戶提供更多的個人資訊，通過人臉識别、短信驗證等步驟，才可以在客戶不跟銀行人員面對面接觸的情況下，正确核驗客戶身份，確定客戶開戶意願的真實性，既能保護客戶不被假冒開戶，也能夠防止客戶抵賴。

客戶轉賬或支付是第二個典型的例子。為了給客戶更便捷的體驗，有些金融企業采用一個認證因素（例如靜态密碼、指紋等）即可完成轉賬或支付類交易，但這會給某些攻擊者可乘之機，因為靜态密碼很容易通過撞庫等攻擊方式擷取，而客戶指紋資訊也可以被複制。是以從資訊安全的角度，必須采用兩種以上不同類别的認證因素，方可完成轉賬或支付這類對客戶賬戶餘額有改變的“動賬”類交易，但這樣顯然會影響到客戶體驗。

2.資訊安全與業務的一緻性

金融行業的業務，可以說都是與風險相關的，高收益的背後往往是以承受的高風險為代價，是以開展業務的同時，必須盡可能采取措施使得風險最小化，這一點跟資訊安全管理目标是一緻的。

資訊安全與業務的一緻性，展現在事前預防、事中攔截、事後告警等方面。例如，通過業務風控系統的建設，可以實作以下目标：

□事前預防。在客戶身份驗證的同時，通過預先設立的黑名單，與客戶身份證、手機号等進行比對，對于命中的直接拒絕開戶或交易；在信貸審批之前，運作風險模型，對于符合高風險特征的不予審批通過。

□事中攔截。通過預先建立的風控規則，與客戶開戶或交易行為進行比對，對于符合風險模型的（如同一個IP位址短時間内集中開戶或交易，同一個手機号同時開立多個賬戶等）進行交易攔截。

□事後告警。通過設立告警規則，提供告警資訊，出具風險報表，提供給業務部門進行處理；在信貸放款後對客戶資訊持續跟蹤，對于可能出現還款風險的客戶提前采取措施。

3.資訊安全與業務的共赢

要實作資訊安全與業務的共赢，首要的就是雙方先改變心态，停止争執，朝着一個目标方向努力，争取最大公約數，取得風險和效益的平衡。具體來說，常見的兼顧風險和效益的方式包括：

□風險分類。資訊安全人員和業務人員要一起對風險進行分類分級，根據風險的大小及發生頻率，優先化解高風險或者高頻交易風險；同時調研了解同業采用的方式，學習同業經驗，尋找是否有更好的風險管控措施。

□“前輕後重”。所謂“前輕”，就是對于直接提供客戶體驗的前端來說，在滿足監管要求的前提下，設計盡可能簡單的規則，例如客戶資訊遵循“必須知道、最小原則”，身份驗證方式遵循“夠用就好原則”。但這個必須與強大的背景相配套，也就是說，背景的風控必須到位（即“後重”），要有黑名單或灰名單客戶，要有風險監測模型，要有緊急情況下一鍵關停規避風險的功能，否則就會留下巨大的風險缺口。

□客戶風險等級分類。對于金融企業的客戶，要有分類分級管控的技術方案，通過運作一定規則對客戶進行分類，對于風險等級為“低”的“白名單”客戶，身份驗證措施可以非常簡單，保證客戶的良好體驗；對于風險等級為“中”的客戶，可以多增加一個身份驗證措施；對于風險等級為“高”的客戶，可以直接要求面核面簽；對于有過不良記錄的“黑名單”客戶，可以直接拒絕服務。

□額度管控。從交易金額的角度控制，針對不同的金額設定不同的安全管控措施。例如，對于小額的交易，可以采用免密免簽或者簡單驗證因素的方式；對于大額的交易，必須使用數字證書或者動态令牌、U盾等方式驗證身份；對于其他交易，可以采用靜态密碼+短信動态驗證碼/指紋/人臉識别等雙因素驗證身份。

2.4　資訊安全與監管的關系：限制與保護

長期以來，金融行業的資訊安全工作都是在較強的監管形勢下開展。很多金融企業的資訊安全工作架構，就是遵循着監管的要求一步步搭建起來的。而金融行業的監管要求，也往往會根據金融行業發生的風險事件而不斷補充完善。

金融企業需要正确認識監管要求對工作的推動作用，認真學習和了解監管要求，深入領會監管要求的實質，進而建立起科學合理的資訊安全管理和技術架構。

1.資訊安全監管的限制

金融行業資訊安全相關監管要求，對于金融企業首先是限制。

所有資訊安全工作需要在監管要求的架構下開展，需要遵循各個方面監管要求的細節規定，需要針對監管要求和風險提示展開對标、風險排查和整改，需要随時接受監管機構現場和非現場的檢查，需要認真落實監管下達的風險監測報表、自查報告等各項要求。

對于監管規定的重點工作、例行工作等，必須落實到金融企業内部工作計劃中；對于監管規定的管理要求，必須落實到金融企業的組織機構、制度建設、團隊建設等各項工作任務中，建立長效工作機制；對于監管下達的技術标準，必須落實到金融企業的資訊系統建設、運維監控建設或者資訊安全技術防控工作中。

金融企業内部要成立專門的資訊安全工作團隊，負責確定監管要求在金融企業嚴格落實到位，確定資訊安全工作“治标又治本”，確定資訊安全管理和技術防控的實際效果，確定日常的資訊安全檢查、評估和整改機制能有效地發揮風險控制作用。

2.資訊安全監管的保護

同時，金融企業必須認識到監管要求對自己的保護作用。

資訊安全監管要求是監管機構基于國家資訊安全防控總體政策、國内外資訊安全形勢、監管機構自身的前瞻眼光和管理思路、金融行業已經發生的風險事件相關經驗教訓，經過歸納、總結、提煉出的綱領性、全局性要求，從戰略高度和戰術細度，提出了諸多具有很高實操性、實用價值的條款，從某種意義上說，對于金融企業形成了保護。

首先，對于很多金融企業特别是資訊安全建設處于初級階段的金融企業來說，學透了監管要求，就能把握最關鍵的資訊安全風險，搭建起基本的資訊安全防控架構，建立起組織架構和制度，使技術安全防控有章可循，也就有更好的風險防控效果。

其次，監管要求中隐含了很多其他金融企業貢獻的知識和技能，實際上是一種行業經驗的積累、沉澱和傳承。對于資訊安全基礎薄弱的金融機構來說，這是一種快速擷取同業經驗的方式。例如，監管機構曆次釋出的資訊安全風險提示和風險事件案例，實際上就是很好的“教科書”，讓風險處置經驗不足的金融企業可以提前排查類似風險隐患，防患于未然；而當實際發生風險事件時，這些内容又可以成為“知識庫”，從中先去搜尋類似案例，尋求最快的解決方案。

最後，當風險和收益發生沖突時，遵循監管要求的底線，是資訊安全人員判斷是否可以給業務“讓步”的重要參照，也是資訊安全人員有底氣說“不”的有力支撐。

2.5　監管科技

随着金融行業資訊技術的蓬勃發展，特别是金融科技的廣泛應用，監管機構的監管方式也不斷創新，監管科技幾乎是伴随着金融科技的誕生應運而生的。美國、英國作為金融科技的先行者，在監管科技這一分支領域的發展也是最早最快的，其經驗值得借鑒。中國的金融科技發展迅猛，監管科技領域也在逐漸發展。

國内外不同機構對于監管科技的定義基本達成共識，即“通過科技手段，服務監管需求，提高監管效率”。2017年中國人民銀行金融科技委員會成立，旨在加強金融科技工作的研究規劃和統籌協調，其工作職責之一是“強化監管科技（Regulatory Technology，RegTech）應用實踐，積極利用大資料、人工智能、雲計算等技術豐富金融監管手段，提升跨行業、跨市場交叉性金融風險的甄别、防範和化解能力”。

監管科技的目的一方面是控制風險，確定合規；另一方面則是保護創新，引導新技術在金融領域的正确使用。簡而言之，就是要處理好安全與發展的關系，促進金融企業安全地創新，合規地發展。

監管科技的需求對象，既包括監管機構，也包括被監管的金融企業。對于監管機構來說，利用監管科技可以減輕監管壓力，提高監管效率和水準；對于金融企業來說，利用監管科技可以快速應對監管要求，降低合規成本。可以說，在監管科技中，監管科技公司、金融企業及監管機構各司其職。

監管科技應用非常廣泛，對于金融企業來說，主要應用領域包括：

□合規管理。将外部法律法規、行業規範、監管要求以及内部規章制度要求，轉化為數字化的規則要求，為金融企業提供合規管理的平台和工具，實作資料自動收集、整理和精确分析，輸出外部監管或内控合規相關的資料和報告。

□企業風險管理。例如，實作業務反欺詐、網址反欺詐、僞基站檢測等風險監測和預警的自動化平台，以及資訊安全風險評估、安全預警的自動化平台，幫助金融企業發現并預防詐騙、攻擊等風險，并做好提前防範。

□稅務管理。例如，提供納稅解決方案的系統，收集金融企業報稅相關的各種資料，儲存執行記錄并協助完成稅務管理機構所需的報告和資料，促進納稅工作的自動化和流程合規性。

□反洗錢。建立反洗錢資料采集、處理、分析平台，建立可疑交易的資料規則和模型，實作符合特征的賬戶和交易自動預警，幫助金融企業核查是否符合反洗錢相關規定，防止金融企業被卷入非法洗錢活動。

交易監控。監控員工或客戶異常行為，確定遵守貿易限制，限制客戶進行未授權的交易活動等；對内幕交易、高頻交易等進行智能化識别、關聯賬戶識别，發現潛在交易風險等。

對于監管機構來說，監管科技的應用領域主要包括：

□金融企業日常監測。建立金融資訊統計和監管資訊系統，利用大資料、人工智能等技術對采集的金融企業資料進行綜合分析，設定監管門檻值對風險狀況進行檢測和預警，為有效識别和化解金融風險、整治金融亂象提供支撐。

□金融企業合規性分析。對法律法規、行業規範、監管政策等合規性要求的數字化提煉和表達，收集金融企業對應資訊，通過比對合規性要求和金融企業的實際情況，對金融企業進行主動監管。

□甄别不法機構和行為。收集金融企業運作資料，對業務特征資訊和行為資料進行動态分析和實時監測，有效掌控金融企業的業務模式和經營狀态，識别違規和不當行為，快速甄别名為創新、實則欺詐的不法機構，識别和打擊監管套利行為，保護金融消費者合法權益，實作金融行業可持續發展。

□發現行業性風險。搜集、分析金融行業的資料，結合網際網路上的結構化和非結構化資料，橫向實作監管資訊跨國家和地區共享，縱向整合跨越時間段的曆史資訊，進行行業性的風險趨勢分析，提前識别和預判行業性、區域性風險隐患，發現違規和不當行為，提升金融行業的風險協同處置能力。

□比特币/區塊鍊風險防範。監管方和市場各方同時存在比特币/區塊鍊上，監管方實時監控比特币/區塊鍊上的異常交易，追蹤非法交易的來源、客戶賬戶狀态和客戶身份，并提供有價值的情報和風險分析報告。

在金融科技發展日新月異的新形勢下，監管機構将大量運用監管科技手段，逐漸實作與金融企業資料的實時、準實時線上對接，對金融企業開展及時、有效、可追溯性強、不可抵賴的監管，将風險識别和控制提前到事前、事中階段，提高監管效率和能力。原有的依靠個人經驗和金融企業報表報告的方式，由于耗費大量人力且側重于事後監管，将作為輔助手段，專注于監管科技頂層規劃設計、政策和标準制定，行業統籌協調等方面。未來的金融行業監管，将由監管專家與監管科技手段協同運作，以監管科技來應對金融科技所帶來的風險隐患。

2.6　小結

本章對金融行業的資訊安全特性、安全态勢、面臨主要問題、安全目标和安全基線進行了講述，剖析了資訊安全與業務、資訊安全與監管的關系，并對監管科技的應用現狀和趨勢進行了簡要分析。使讀者可以直覺地了解資訊安全行業的概況。