广发银行刘远欢:金融科技时代下银行网络安全运营的思考
2019/9/19 9:48:48

文│广发银行信息科技部刘远欢

在当今科技与金融发展深度融合的趋势下,党的十九大报告中提出了对“现代金融”的要求,现代金融的核心要义即是科技驱动的新金融。金融科技已不仅仅是金融行业本身的转型发展,更重要的是对社会经济发展具有重要促进意义。各家银行积极争夺金融科技主导权,纷纷将金融科技提升到战略高度。银行业发展已进入从传统科技“支撑”到金融科技“引领”的时代,金融科技也已是银行抢占未来主战场的重要利器。

随着金融科技时代的到来,网络安全“四化”趋势日益明显,即网络犯罪组织化、攻击方式定向化、攻击目标数据化、信息系统云化,网络安全运营已经走到变革的交叉路口。网络安全和信息化建设是相辅相成的,网络安全是信息化建设的前提,信息化建设是网络安全的保障,两者相互推进。金融科技所引领的网络化、数据化、智能化生活,对银行的网络安全运营工作既是机遇,同时也是巨大的挑战。银行应该充分认识到做好金融科技时代下网络安全运营工作的重要性和紧迫性,因势而谋、乘势而上、顺势而变,变被动防御为主动管理,积极探索新的网络安全运营管理思路,才能与金融科技时代形成良好互动,赢得主动、赢得稳定、赢得未来。

一、直面金融科技时代下银行网络安全运营面临的新挑战

金融科技蓬勃发展,给银行的产品服务、商业模式、经营理念带来了深刻变革,为银行科技转型升级提供源源不断的动力。依托人工智能、区块链、云计算、大数据、物联网等技术在金融领域的应用,银行网络安全运营管理工作具有了全新的思路和手段,包括更全面的数据资源、更加智能的手段方法和更加高效的处理能力,进一步助推网络安全防御向着纵深化、智能化、快速化的方向发展。我们在看到金融科技时代下网络安全的巨大发展机遇的同时,必须承担越来越严峻的网络安全风险。

随着金融科技新技术在银行各业务领域的逐步渗透,网络安全与银行的各业务领域以及日常经营活动的关系愈加紧密,导致银行所面临的网络安全威胁更加复杂和多元化;与此同时,银行面临的网络攻击方式也日趋复杂,数据泄露、滥用问题更加严峻,窃密性攻击步入高发期,互联网面临的高级威胁不断加剧,金融科技安全运营复合型人才稀缺,业务流程与网络安全缺乏深度融合、协同联动,这无疑进一步增加了银行网络安全运营管理的难度。

(一)金融科技安全运营复合型人才稀缺,已成为银行网络安全运营发力的掣肘

人工智能、区块链、云计算、大数据等新技术面临快速迭代,银行业竞争日趋激烈,银行服务自动化、智能化的呼声越来越高,为客户带来极致体验的同时,银行必须充分预判和挖掘金融科技新技术应用存在的网络安全风险,方可做好网络安全运营工作。

金融科技时代下网络安全运营究其根本是人才工程,人才无疑是第一生产力。及时响应客户个性化、深层次的需求,打造银行特色化产品与服务,全面的安全感知、有效的安全防护、有力的应急响应均需要大量的人力投入,需要熟练掌握金融业务、深刻数字化思维以及具备网络安全整体布局、顶层设计能力的复合型人才。但传统银行在这方面的人才少有积累,掌握传统技术架构的人才多但掌握金融科技新兴技术的人才匮乏,传统软件研发人员多但网络安全工程师紧缺,实施安全漏洞检测、评估、修复的人才多但兼有网络安全整体规划和顶层设计能力的人才很少或没有。

当前我们正处在银行转型的新时代,科技正在从底层基础设施跃升为顶层的创新先导,驱动着银行的流程再造和战略转型,催生出综合化、智慧化、生态化的新金融。而网络安全风险与金融科技应用创新相伴相生、如影相随,相较于资金、技术、场景研发能力等方面的不足,金融科技安全运营复合型人才的不足已成为银行转型升级的掣肘,这也是金融科技时代下银行网络安全发展的历史长河中必须直面的问题。

(二)网络攻击手段日趋多样,数据安全管控面临挑战

金融科技新技术的快速发展在为银行科技创新推波助澜的同时,也为不法分子提供了更多的犯罪渠道和手段。当前,银行已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。

过去两年,以盗取资金为目的的常规攻击手段不断衍变,除了传统的SQL注入、DDOS攻击、病毒木马等常见攻击外,针对银行的APT攻击、精准式网络攻击等攻击手段也愈演愈烈,对银行网络安全,尤其是数据安全的保护提出了更高要求。一旦由于安全防控不足造成数据泄露或资金损失,银行声誉将遭受严重打击。但同时,由于银行技术实现方式的不断革新、网络互联互通、数据高度集中、系统日益复杂等现实情况,又使得银行难以将所有的风险敞口都提前覆盖并布局防御。因此数据安全管控将成为银行面临的严峻挑战。

(三)业务流程与网络安全缺乏深度融合、协同联动,业务创新与安全的矛盾凸显

随着大数据、人工智能等技术的持续渗透,银行的客户需求和行为发生了明显变化,对移动智能化、个性化、场景化提出了更高的要求。如何迎合客户需求的变化,将金融科技能力封装成标准化服务,有机融入银行各业务场景全流程,为客户带来智能高效的数字体验和智慧服务,已成为考验银行服务能力的关键,也是银行未来的核心竞争力之一。

在这个背景下,银行如果想保持核心竞争力,在激烈的市场竞争中占有一席之地,银行具备需要快速的反应能力和业务创新能力。为了快速响应市场需求变化,银行需要改变传统的系统研发模式,全力缩短系统研发流程和研发周期。在业务紧急上线的强压下,系统可能未经过充分的安全评估和测试便“带病”上线,难免在上线后出现各类安全漏洞,严重影响信息系统稳定运行。同时,业务创新必然有风险,业务环境的变化也会导致新的网络安全问题。随着大数据、人工智能在批量获客、销售支持、客户服务、运营管理、风险控制等领域的深入应用,银行数据高度集中、系统日益复杂、网络互联互通,网络安全边界逐渐淡化,互联网资产暴露面持续变化,科技风险呈现集中化、复杂化趋势,风险传导更加迅速、蔓延范围更大、影响程度更深,单个系统或设备故障可能引发连锁反应。同时,银行可能遭遇大量勒索性质的网络攻击和各种针对应用程序新型未知漏洞攻击,防范和处置的时间窗口将会越来越短,对银行的网络防护和处置提出了更高要求。在此背景下,如何将业务流程与网络安全进行深度融合,做到事前预判防住风险,事中应急控制风险、事后追溯改进风险,也成为银行业面临的共同挑战。

二、用战争的思维和视角,打赢金融科技时代下的网络安全运营保卫战

在科技发展速度指数型攀上、新技术涌现速度不断加快、迭代成熟速度不断提升的今天,抓住新技术应用的发展机遇,主动防御,迎接金融科技时代的挑战,引领和推动银行进入全新的发展阶段,是银行必须做出的选择。面对紧迫的形势,面对复杂的环境,我们要打赢网络安全这场没有硝烟的战争,就要以战略思维及战争思维去部署准备。

(一)一套权责清晰、合力联动的指挥体系,是网络安全战争取胜的关键

这里说的指挥体系,就是指银行高级管理层的重视以及完善的网络安全治理架构。银行应当根据自身情况建立权责清晰、合理有效的网络安全治理架构,确定网络安全运营管理责任,合理划分职责是做好网络安全运营工作的基础。高级管理层的参与至关重要,银行应充分发挥领导的作用,银行高级管理层应参与到网络安全治理工作中来,实施“自上而下”的管理,是网络安全目标实现的催化器和倍增器。

同时,银行的网络安全治理架构要有弹性、要敏捷灵活,能够快速决策、快速响应、快速实践,打破传统银行业务、架构、研发、运营、测试、安全团队之间的壁垒,实现多部门、多职能的协调联动。科技应主动转变与业务部门的合作模式,从传统的研发支持、安全检测,转变为联合业务共同规划、设计、打造产品,加速孵化新业态和新模式,发挥科技引领作用。

(二)一支特别能战斗的队伍,是网络安全战争制胜的根本

金融科技与网络安全实现良性互动,复兴型人才是基础。银行应坚持以人为本的原则,坚持“以安全保发展、以发展促安全”原则,持续加强金融科技安全运营复合型人才队伍储备及建设。银行要重视复合型人才的培养,建立内部复合型人才培养体系,构建自身的“造血”系统。通过专业技术培训增强金融科技创新服务输出能力,通过技术平台建设为网络安全赋能,通过内部攻防对抗和联合外部开展攻防演练等方式锻炼队伍实战能力,逐步解决人才队伍能力短板,提升队伍的专业化能力和战斗力。同时,银行还要完善自身的薪酬和绩效考核机制,从外部吸纳更多复合型人才,形成自身的“活血”能力,从而保障金融科技的可持续发展,夯实网络安全运营基础。正所谓“养兵千日、用兵一时”,自身能战斗的队伍,在关键时刻能起到非常关键的作用。

(三)一套智能联动的防御体系,是网络安全战争制胜的基础

银行网络安全防守重点通常集中在边界防护层面,但面对特种木马、0day漏洞、钓鱼攻击、APT攻击等不断更新的高级攻击手段,始终会有疏漏。一旦攻击者绕过了正面防御的边界防护手段,到达内网服务器实施异常操作,如:主动外连互联网传输数据,内网横向渗透,执行命令等,这些攻击行为与服务器正常操作行为混杂在一起,具有很高的隐蔽性和破坏性。

依托于大数据、人工智能等新技术的应用,通过综合运用流量检测、系统监控、大数据、机器学习等技术手段构建模型场景,关联分析各类安全设备监控信息、威胁情报和应用系统日志的历史数据,提取服务器日常主动行为中的典型特征,建立服务器行为基线,包括互联网外连、内网互访、内部运行三个基线组,设置异常行为匹配判别策略,甄别研判明显偏离日常基线的异常行为,做到第一时间采取访问限制或拦截等应急处置措施。

以安全大数据为基础,结合机器学习和人工智能等新技术,银行可构建威胁态势可感知、攻击态势可感知、流量态势可感知、行为态势可感知的四大核心能力,达到事态可评估、趋势可预测、风险可感应、知行可管控的感知效果。通过全方位的信息采集,深入挖掘各种攻击行为,融合用户、业务、关键链路和互联网访问等多个维护的流量信息,实现对风险的可视化呈现和趋势预测。通过关联用户“上下文”动作,实现第一时间发现异常行为,更精准地追踪溯源,快速提升银行网络安全风险感知能力和预警能力。

(四)一则精准、自动和智能的安全威胁情报,是网络安全战争制胜的有力支撑

网络安全威胁情报,是银行知己知彼的一个重要途径。关起门来做网络安全,是与时代背离的。随着外部攻击形势持续恶化,银行现有安全产品无法有效应对未知威胁,未知威胁或未修复的已知威胁已成为银行的风险防控短板,基于风险漏洞为中心的防御思路,已不能应对当前复杂和严峻的安全形势。威胁情报对运营层面的安全决策以及事件处理均起到了重要的支撑作用。通过采用机器学习、聚类、分类算法,从攻击规则、用户行为、业务场景出发,对互联网应用开展实时监控,增强系统的综合安全防护能力,提升对潜在安全威胁的预判能力。通过链条性的事件追踪和数据挖掘,深度挖掘安全威胁情报,根据异常行为直接实施自动化响应处置,大幅度提升应急响应决策效率。

(五)一条独立自主的道路,是网络安全战争长期制胜的核心战斗力

新时代下银行金融科技发展的迅猛,变化之迅速,要求银行具备强大的网络安全的反应速度和应变能力。“以不变应万变”显得尤为重要,而走独立自主,自力更生的道理,就是“以不变应万变”的根基。一是要有自己的队伍,安全团队的技术基础要求高,会接触到各种非常敏感的信息,自己的队伍尤为重要,是传承,也是对自身的保护。二是要有自己的技术,技术是我们自身与外部开展斗争的必须具备的,不能依赖外部的技术。三是要有自己的“武器”,也就是安全的工具,目前银行业务场景多,涉及的人员广,现代的安全战争不能单纯依靠“小米加步枪”,不能光靠人去判断,也不能光靠个人的努力,而是需要一批现代化的武器来武装安全团队,在网络安全、数据安全等挖掘、阻断、溯源等方面提供强有力的保障。

银行在抓住金融科技助力银行科技转型升级的同时,也应寻求其在银行网络安全风险管控的有效着陆点,这对提升银行网络安全运营管理水平有着重大意义。面对复杂多变的网络安全形势,银行应当加强安全整体设计,从组织架构、管理、机制等多方面入手,多管齐下、多措并举,真正做到“以安全保发展、以发展促安全”。

(本文刊登于《中国信息安全》杂志2019年第8期)

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消