1.3.3 新形势下网络安全的挑战
互联网极大地推动了银行业的变革,对银行业务的开展提供了许多便利。银行的服务借助互联网渠道,能够轻松突破时间与地域的限制,实现随时随地为用户提供服务。但是,互联网在对银行业务带来积极影响的同时,也带来了诸多新的问题。在互联网时代,商业银行面临的安全威胁与之前大不相同,网点、柜面、押运等实体环节的安全隐患及安全事件占比逐渐下降,而随着互联网金融、开放银行的兴起,来自互联网领域的网络安全威胁事件则逐年升高。
历来新模式、新技术的应用都是一把双刃剑,互联网模式的开放银行也不例外。即使便利度和用户体验无疑有提升,不过就安全角度来看,开放银行也暴露出一些弊端。
一是放大了安全敞口,相比封闭式系统,即便开放式架构的系统漏洞数量没有差异,但由于网上银行、微信银行、手机App等基于互联网渠道的暴露面更多,漏洞被利用的风险也被放大。
二是产品安全设计不足,产品研发过程中“重功能实现,轻应用安全”的问题依然突出,代码安全规范及业务流程设计安全考虑不足,逻辑不严谨导致的安全缺陷层出不穷,而且敏捷模式倡导的快速迭代无形中更是放大了这种风险。
三是云计算技术带来的新风险,云环境下基础设施层作为公共资源池,有效提升了资源利用率,但由于日志、数据仅能以逻辑方式隔离,对数据安全的保障提出了更高的要求,同时个别应用系统的缺陷可能导致云计算平台整体沦陷。
四是信息泄露和信息被滥用等问题日趋严峻,部分金融机构非法收集用户信息,侵犯用户个人隐私,造成极坏的社会影响。考虑到大数据客观上也促成了数据集中,一旦大数据系统被不法分子利用,数据影响面也极难控制。
综上,借助新的技术手段进行欺诈的伪装性较强,难以识别,导致的违法事件也极难防范。
线下银行网点的很大一部分安全保障工作都集中在柜面、运钞、ATM等实体环节,按照现有的监控密度,各类摄像头可以全天无死角记录,当出现安全事件时会直接报警,联系警察处理。互联网领域则全然不同,面对新态势下的网络安全挑战,威胁来自未知领域,是谁、在哪里、做了什么都不知晓,防范难度可想而知。《中华人民共和国网络安全法》于2017年6月1日正式实施后,明确了网络安全工作的义务和责任,如果出现安全事件,作为主要负责人,首先被追责的一定是网络服务提供者——银行自己。如何保持银行信息系统的安全稳定运行,加强基础设施、应用系统设计、网络安全准入等多维度的风险管控能力,提高面向业务的监控、面向运维的自动化、面向服务的快速应急能力,是商业银行迫切需要思考和解决的难题,社会各界及行业监管机构对银行信息系统网络安全工作关注程度也越来越高。
道理千万条,安全第一条,网络安全无止境,网络安全工作永远在路上。商业银行必须正视这种挑战,加强网络安全相关投入,健全网络安全保障体系,优化网络安全工作开展机制,夯实网络安全防护能力,全面提升网络安全保障水平,努力打造纵深防御,进一步完善网络安全应急处理机制和金融信息保密机制,提升金融信息系统检测、预警、应急处理和自我恢复能力,最大限度地降低系统风险,保障金融业务的持续稳定运行。