以信息技术为代表的新一轮科技革命正推动金融业向移动化、数字化和智能化加速发展。但与此同时,金融网络安全保障正面临前所未有的挑战。本文分析了金融信息系统的特点以及金融业网络安全面临的威胁,为持续增强金融行业网络安全保障能力提出了几点建议。
中国数字经济发展将进入快车道,互联网在我国经济社会发展中强势崛起,“互联网+”已成常态。以信息技术为代表的新一轮科技革命推动金融业向移动化、数字化和智能化加速发展,信息化、网络化已成为现代金融的重要特征。但与此同时,金融网络安全风险也在不断积累,金融网络安全保障正面临前所未有的挑战。
金融网络安全现状
一是国家网络安全战略提出更高要求。随着信息技术的发展,信息系统已经成为现代金融运行的重要基础,关系到国家和人民的切身利益。特别是伴随着《网络安全法》的正式颁布实施,金融信息系统成为国家关键信息基础设施,国家将予以高度重视并明确实施重点保护,在主管责任、安全建设、数据保护、安全运维、采购服务等方面明确了更高要求。人民银行高度重视金融网络安全工作,《金融业信息技术“十三五”发展规划》《人民银行信息技术“十三五”发展规划》等文件对新形势下做好金融网络安全保障工作提出了工作目标。因此,对于网络安全,金融机构必须明晰职责主体,完善保障体系,建立更加先进的管理框架,从风险的角度推动网络安全管理,才能保障金融机构的可持续和科学发展。
二是全球网络威胁不断深化。近年来,全球网络空间安全威胁呈现新的变化,一些新型网络威胁正呈现全球蔓延的态势。据统计,通过互联网攻击手段实施金融犯罪活动已经成为金融犯罪的重要手段,金融组织机构也成为网络犯罪分子的首选目标。同时,网络黑产给全球所带来的安全挑战愈加严峻。各种利用互联网攻击技术进行偷盗、诈骗、敲诈等案件不断发生,围绕互联网的黑灰产业正以极快的速度蔓延且在各国之间相互渗透。“网络黑产从业人员”呈级数增长,利用黑客技术的案件数每年以超过30%的增速增长,“市场规模”也已高达千亿级别。
三是金融科技的发展带来更多挑战。科技已从后台支撑向引领业务发展转变,特别是在“互联网+”的时代背景下,技术与业务的融合,创新了金融服务与产品,但同时也给金融网络安全带来诸多问题。“互联网+”背景下金融机构的业务系统发生了诸多变化,其系统开发架构正逐渐向“胖前置、瘦核心”转变,开放式架构采用比例加大,对产品的快速上线与灵活更迭要求更高等,金融机构面临的网络风险不断增加。例如,云的使用除去要考虑传统网络安全保障体系外,私有云的安全性,云计算环境中东西向和南北向的安全隔离防护控制如何强化,云服务商安全服务和安全应急处置能力,都是必须进行深入思考的问题。大数据成为核心资产的同时,数据泄露、滥用、丢失的问题更加严重。区块链、物联网(IoT)设备等新兴技术,随着爆出来的漏洞越多,安全问题越严峻,也给新技术的使用笼罩上了阴影。
四是传统网络安全威胁依然不容忽视。传统网络安全威胁依然势头不减。以分布式拒绝服务(DDoS)攻击为例,研究数据表明金融行业有36%的机构遭遇DDos攻击,且近年来呈上升趋势。同时,网络攻击流程化、普及化,黑客门槛不断降低,各类分析、扫描、破解、攻击工具可以随意下载,漏洞利用方式越发简易。金融机构每天都接受到大量的刺探性侵扰信息,一旦发现安全隐患,可能被不同类型恶意分子反复利用,对其造成不可估量的破坏性影响。
面对目前的网络安全现状,“知己知彼”才能“百战不殆”,只有从金融业信息系统特别是关键信息基础设施所具备的特殊性出发,深入分析判断面临的网络安全威胁危害,才能促进建设维护者清醒认识,明确思路、抓住关键、确保底线,持续增强金融行业网络安全保障能力。
金融信息系统特点
中国金融业信息化建设已经由金融电子化、金融数据集中化、金融信息系统业务综合化等阶段逐步迈向以信息科技引领创新发展的新局面,金融业对信息技术的依赖程度越来越高,以信息技术为代表的金融科技正高速发展。在信息技术日新月异的同时,从安全保障的角度出发,金融业信息系统存在如下特性:
一是体系架构复杂。首先是业务条线复杂,信息化建设需求多。既有决策类、交易类、办公类,又有对外服务类等,前、中、后台都比较复杂,特别表现在逻辑关系、内部结构、业务分类、安全机制、数据流转等方面。未来为了符合金融深化改革推进的要求,以及大数据、云计算、分布式等技术的不断演化,其信息化建设和改造需求将不断增加。其次是业务外联广泛,重要性程度高。金融信息系统和网络与公安部、财政部、海关、税务等国家重要部门机构连通,并通过金融机构网点扩展到企业和个人等微观经济主体,形成国家货币投放、清算和回笼的信息高速公路,是资金和信息互联互通的中心、国家经济的生命线。
二是连续及可用性压力大。现代经济中资金的使用效率决定经济社会的发展水平,而金融信息系统作为经济发展关键基础设施,可以说其持续可用和稳定运行决定了社会资金的使用效率和社会经济的发展水平。尤其伴随着普惠金融发展,互联网金融新形态的出现,人们对金融信息传递提出更高的速度要求。因此,金融信息系统必须具有应对风险、自动调整和快速反应的能力,其可用性要求非常高。为了保障信息系统持续运行、保障金融业务持续运转,金融信息系统必须具备在规定的条件下和规定的时刻内一直处于可执行规定功能状态的能力。
三是一致及准确性要求高。数据是金融的生命线,货币流变成信息流之后,信息数据的安全代表了货币安全,因此对金融信息系统中所有数据的采集、录入、加工、处理、存储、传输全过程的安全可靠提出了更高要求。同时,金融企业大数据,除了支撑业务流程运转,已经成为金融机构的决策大脑。数据安全从某种程度也代表了金融业务的安全。一旦发生网络安全事件,对数据的可用性、完整性进行恢复成为网络安全应急的重要一环。
四是海量数据集中化。金融信息系统包含支付、征信、反洗钱等大量系统,系统更多、更庞大复杂。金融机构开展各项金融服务普遍具有实时、海量、高频资金交易和信息交换等特征,其在开展业务的过程中自然会产生海量高价值数据,其中包括客户身份、资产负债、资金收付交易等数据。以银行业为例。资料显示,银行业每创收100万美元,平均就会产生820GB(10亿字节)的数据。特别是经过数据大集中改造之后,金融信息系统基本实现了数据集中存储和业务集中处理,其数据体系更加符合大数据3V(Volume、Velocity和Variety,即数量、速度和种类)特性,金融业对大数据的使用和体系的建立也提到了新的高度。但同时也要看到,数据的海量化和集中化,也给数据安全带来更高的风险。
五是开放性需求旺盛。金融科技风起云涌,云计算、互联网、移动化、区块链和人工智能等技术在金融领域“生根发芽”,金融脱媒和利率市场化加速演进,金融业务结构调整和行业跨界竞争加剧,出现了融资脱媒和支付脱媒的新环境、新格局。金融业是面向广大客户的行业,这就决定了金融信息系统必须具有开放性,而且其系统开放性越强,越能提供管理决策有用可靠的依据,才能在竞争更加激烈的业态环境中得以生存。但更加开放的系统也意味着它所面临的威胁在成级数增加。
金融信息系统网络安全威胁分析
金融业网络安全威胁类型多种多样,可以通过威胁主体、资源、动机、途径等多种属性来描述。
系统脆弱性
一是系统开发安全生命周期管理缺乏。金融信息系统的安全开发在现实上存在很多障碍,很多金融机构对于软件的安全开发不够重视,没有一套完善的安全管理体系,安全风险缺乏控制,导致出现业务逻辑漏洞如越权操作、密码找回、垃圾注册,以及数据泄露、服务中断等严重影响金融信息系统的稳定运行的问题。主要表现在,安全开发的理念没有深入,安全前置的概念依然没有建立,金融机构未对当前的软件开发流程进行全面梳理,在需求、设计、实施、测试、发布等软件开发的各个阶段都没有提供安全能力支撑。此外,金融机构缺乏一整套的高效安全开发工具,不能够在保持业务敏捷性的前提下安全、快速地开发金融应用,无法充分满足业务拓展需求。
二是各类系统漏洞广泛存在。金融信息系统资产庞杂,除去专门开发的相关系统之外,包含大量通用型程序或第三方服务,以及商业软硬件设施,在资产识别和管理上有一定的难度。而当某个资产出现漏洞时,不仅仅是更新升级版本的问题,而是需要梳理受影响的系统组件到底有哪些,这些组件的实时在线要求以及修复漏洞是否会导致关联服务不可用。这一系列问题都有可能直接影响到业务,所以针对存在漏洞的基础组件,不是可以“说升级就升级”的,而是可能直接导致安全问题频发。2016年人民银行信息安全专控队伍,在对20余家金融机构66个系统开展检查评测等工作中,共发现问题18044个。
外部攻击者
一是APT(Advanced Persistent Threat,高级持续性威胁)攻击。此类攻击组织性强、目标目的明确,一般具备有较强资金和后台支撑,有的甚至是国家行为,攻击潜伏期长、隐蔽性强,难以发现和回溯,其目标往往是针对金融机构的核心系统、数据资产等关键基础设施和数据信息。现多个APT组织已经把我国关键信息基础设施作为重点监测和攻击目标,根据数据分析,在针对不同种类的关键信息基础设施中,其中34.3%的网络攻击事件出现在金融领域,占比最高。2016年的孟加拉国央行和乌克兰银行被网络盗窃转账事件,都是典型的APT攻击事件。
二是恶意代码。恶意代码表现形式多样,包括病毒、特洛伊木马、蠕虫、后门等,虽然作为最常见的攻击手段由来已久,但恶意分子却往往利用它收获“奇效”。2017年5月12日,一种名为“WannaCry”的蠕虫勒索软件袭击了全球网络,造成至少150个国家、30万名用户中招,损失达80亿美元,这就是其典型案例。某些大型企业的应用系统和数据库文件被加密勒索,影响巨大。然而据从各类被拦截恶意程序样本的分析来看,各种类型木马程序中排名第一的依然是恶意代码,占了总量的66.89%。
三是DDoS攻击。DDoS攻击作为传统网络威胁,其出现频率依然值得加强关注。DDoS攻击,由于其模式多样、防御困难,中小金融机构一旦遭遇,将不得不通过临时提升带宽等资源进行对抗,因此其对金融信息系统的可用性和可持续性影响巨大。
四是软件供应链攻击。软件供应链攻击是指在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽和漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击类型。软件供应链攻击不是一种全新的攻击类型,过去几年间时有发生,只是2017年呈现出爆发态势,如今不少网络犯罪分子已经转向针对企业供应链的攻击。
内部因素
一是操作失误。内部人员没有遵循安全要求和操作流程而导致系统宕机损坏,无法对外提供服务,甚至是重要数据遭到破坏。更进一步地讲,主要是内部人员缺乏安全意识和专业技能培训,不符合岗位技能要求。
二是内部恶意人员。具体指内部恶意人员对信息系统进行破坏,采用自主或内外勾结的方式盗窃机密信息数据或进行篡改以获取利益。据调研统计,数据泄露已经成为绝大多数金融机构最关心的网络安全问题之一。数据泄露所产生的影响已经远不止数据损失这么简单,它对品牌声誉、客户资源和供应链资源都会产生很多的影响。虽然部分数据泄露是由于应用漏洞、代码编写不规范等引起,但实际上导致信息泄露问题原因更多是机构内部人员疏漏和恶意盗窃。
三是软硬件故障。由于缺乏物理环境影响分析,导致对信息系统正常运行造成影响,如断电、静电、灰尘、潮湿、温度、自然灾害等对系统运行产生影响的设备软硬件故障,以及由通信中断、系统缺陷等问题形成的设备软硬件故障。
管理制度策略
一是制度不完善职责不清晰。网络安全组织体系不完善,网络安全管理目标和策略不明晰。不仅未建立信息安全整体策略和检查评价方法,信息安全管理基础流程不够完善,还缺乏相应外包风险管控能力,内部信息技术(IT)安全管控和服务能力;或安全开发和运维管理流程、制度、标准缺乏,授权、变更、供应商管理各项管理措施不到位,安全人员的权责关系不明确,信息安全风险管理体系建设未深入人心等,导致网络安全管理内部标准没有形成,对漏洞问题的响应速度和能力难以提升,尤其是灾难恢复手册、运维操作手册等内容流于形式、内容简单,遇到突发事件时无法发挥实质作用。
二是网络安全专业人才缺乏。在网络安全攻击愈演愈烈的形势下,有效的安全分析能力成为刚需。而在当前网络安全专业人才短缺的大环境下,有的金融机构特别是网络安全部门的人员基本由运维人员兼职,即使设置有专业安全岗位,工作职责也是以沟通协调为主。由于缺乏足够有效的安全培训,导致知识脱节,难以应对复杂安全形势。同时还要看到部分机构把网络安全工作仅作为部门某岗位专职工作,未在业务、技术、管理等多个层面进行行之有效的安全意识教育,导致整体安全意识缺乏的现象依然明显。
三是安全投入有待提高。随着金融行业的竞争加大,利润空间受到挤压,总体信息化建设投入存在下降的趋势,网络安全建设方面也存在同样问题。很多金融机构目前是围绕单点解决方案构建安全基础设施,往往是因为此类解决方案只需要数额较小的短期投资,意欲利用边界型的防御阻止各种攻击和风险。以多维度、多层面融合的,围绕预测、预防、监测、响应、处置、改善的体系化网络安全防御体系建设投入明显不足,难以使网络安全能力成为机构核心竞争力之一。
应对措施建议
一是提升意识、明晰风险。在战略规划和重大决策中贯彻网络安全要求,健全安全组织体系和战略规划,加强网络安全意识教育和专业培训,提高全员安全意识,建设专业的安全团队。同时,注重利用好等级保护测评、风险评估、渗透测试和内部审计等手段,强化对自身信息资产梳理和分析,力争做到每个资产形成风险分值,强化发现问题的及时整改和跟踪管理,将网络安全风险完整纳入机构风险管理体系。
二是转变思维,建设安全体系。面对不断变化的安全威胁,首先,要有安全前置思维,将安全贯穿于整个信息系统建设使用生命周期,从需求—建设—测试—投产—升级各阶段将安全作为必选项,特别是安全要求贯注于开发平台、代码仓库、测试用例等方面,保证所有信息化建设项目都处于安全掌控之中;其次,要有随时面对攻击的思维,承认系统时刻处于被攻击之中,通过对全面的基础信息(用户+行为+流量+日志+资产)进行集中采集、存储和持续深层分析,构建监控分析和响应处置体系,建立事件持续响应处理机制;最后,要有主动纵深防御思维,被动式的城墙防御机制已经难以应对多样的网络安全威胁,要以威胁为中心构筑主动防御,以数据为基点形成纵深防御,融合防御、检测、响应溯源和预测全生命周期的威胁应对机制,构建自适应安全体系,弹性应对来自外部和内部的各种威胁,实现全网安全态势可知、可见、可控的闭环。
三是合作赋能,搭建安全生态。在“互联网+”不断深入生活方方面面的时代背景下,国家和行业专控队伍、安全厂商的赋能作用凸显。在网络安全产业分工更加精细化的趋势下,金融机构、专控队伍、安全厂商、供应链企业之间联动可在彼此防护能力的基础上由点成线,合力构筑一条安全堤坝。借助各方人才技术优势,研究探索国内外安全先进理念、模型、技术的运用,增强网络安全预警、分析和追溯的能力,特别是事后应急响应和快速修复能力,开展合作共治,形成安全生态链,链接利益,共谋发展,共同提高金融网络空间安全防范能力。
四是共享共赢,抵御网络威胁。针对各类外部攻击和威胁,探索建立行业网络安全信息共享机制,逐步形成行业安全专家联合研判和应急处置的有效机制。监管机构可在总体要求框架下,建设行业性态势感知和共享平台,围绕金融行业网络安全态势感知信息共享需求,构建集威胁识别、防御控制、信息共享、应急响应于一体的技术体系。进一步加大金融行业和网络安全行业交流力度,充分发挥联合优势,凝聚共识、加强合作、为维护国家金融行业网络安全和公众利益提供支撑。
(唐辉为中国金融电子化公司测试中心副总经理。本文编辑/谢松燕)