對金融信息安全的四個看法

　　金融信息安全是老話題，是個持續性改進的領域。就以下四個方面，談一下個人的體會和建議。

一、人民銀行關于信息安全的指導思想

　　對信息安全，人民銀行的思路和國家的思路是一致的。2012年，中國人民銀行發布了《金融行業信息系統信息安全等級保護實施指引》(銀發 163文件)等三項行業標準，把等級保護的實施指引、測評指南、安全指引等三項規范，通過金融行業標準0071到0073這三個標準規范文件落地，明確了金融行業信息安全等級保護制度。這不僅和國家的信息安全政策相一致，也是人民銀行在信息安全工作上的一個重要制度安排。

　　這一制度安排適應了銀行業在2006年全面完成數據大集中的時代變化，并在2012年等級保護規范落地制度化明確。2013年6月，電商跨界金融業務的一個標志性事件——余額寶的推出，對銀行業造成了很大的沖擊。表面上是大量存款搬家，實質上是互聯網金融給銀行業帶來了全新的變化和挑戰。

二、金融科技新變化的挑戰

　　由此引申出第二個問題，即金融科技的創新技術、業務帶來的挑戰。2013年到2015年，我國互聯網金融發展得非常迅速。但在E租寶，泛亞一系列欺詐、非法集資事件出現后，互聯網金融受到重大挫折和負面影響。國家啟動了一年多時間的整頓，成立了中國互聯網金融協會。2016年8月24日，銀監會正式發布四部委聯合起草的《網絡借貸信息中介機構業務活動管理暫行辦法》，加上較早時期人民銀行、證監會、保監會頒發的文件，互聯網金融行業性監管框架初步形成。

　　互聯網金融深入演變以及新興技術的創新發展，形成了Fintech金融科技。金融科技有六個主要技術，移動互聯網、云計算、大數據、生物識別、人工智能(AI)、區塊鏈(Blockchain)。這六個技術的成熟度不一，人工智能和區塊鏈目前還處于早期的產業化階段。

　　這些新興技術標志著銀行的信息化建設到了金融科技——一個完全智能化的時代，也帶來了信息安全方面新的挑戰。最主要的兩個挑戰是移動互聯網和云計算引入。銀行要“互聯網+”，大力發展移動金融業務，力圖將線下網點的客戶導流到線上網銀和手機銀行。于是，直銷銀行要推廣，強化手機銀行APP，向支付寶學習，接入各種線上生活服務場景。這樣一來以前數據大集中時代只需面對柜員系統、POS機、ATM機等專網系統的銀行，如今連接了越來越多的諸如電商、生活服務等外接系統，越來越深入到互聯網生態世界。一家銀行甚至能連接上千家外接系統，系統架構非常復雜。此外，線上業務現在是一年365天24小時服務，公眾對銀行服務的容忍度越來越小，系統稍有問題就會成為社會事件。

　　云計算所帶來的主要問題是安全邊界模糊。眾所周知云計算是分布式架構的計算體系，銀行業目前還處在一個向分布式架構體系發展的過程，是一個集中和分布式兼有的混合架構。而分布式架構是開放、開源的，計算、存儲、網絡資源都是共享的，加上互聯網開門引流，過去等級保護下的縱深防護、邊界防護就面臨著難以為繼的問題。

　　另外，銀行和互聯網金融企業一樣，客戶要下沉，消費金融、供應鏈金融都要做，這樣就帶來信息泄露和信息濫用的問題。信息泄露在當前社會整個環境的強力打壓下，目前得到了遏制。但信息濫用在新金融環境下問題非常突出，特別是在消費金融領域。

　　這些變化對銀行來講，單憑自身的力量，甚至包括行業的力量都很難解決，需要認真去研究。

三、監管科技如何應對新變化

　　第三點是應對思路的變化。面臨這些挑戰，人民銀行成立了金融科技監管委員會，明確提出RegTech即監管科技的思路。金融現在不僅僅是銀行、證券、保險機構的業務，社會上資金很多，科技企業有新的技術，社會資本就會投入，理論上都可以去做金融業務。這些非金融機構或科技企業，創新金融服務能普惠到過去銀行服務不到的許多消費者，新技術、新金融的趨勢是擋不住的。P2P整治一年來，雖然機構少了，但放貸出去的余額不減反增，表明我國金融供給還存在著短缺。

　　在這種趨勢下，這些非金融機構也必須要接入監管機關的監管系統。央行范一飛副行長曾表示，人民銀行科技轉型有兩個突破，一個是分布式架構，一個是大數據，要抓好這兩個突破。所以人民銀行未來也會做分布式架構，做大數據分析，把自己的IT體系對外向商業銀行，向社會非金融機構對接。但這個對接和過去的銀行業務網對接不同，銀行業務網跟互聯網是邏輯隔離，互聯網的端口、流量也很少，現在已經有了很大的變化，所以對于央行來講，新技術、新金融帶來的安全挑戰也十分明顯。

　　面對新的安全挑戰，有一些做法還是要堅持，例如等級保護，但如何與時俱進延續到新的變化體系下，是我們需要探討和研究的。等級保護對數據大集中的時代是有效的，對銀行整體的信息化安全水平有著明顯的提升，新的變化時代，仍要堅持等級保護的信念。

　　怎么堅持等級保護好的做法，揚棄或者更新一些不適宜時代發展的東西，有幾個建議可供大家參考。一是金融系統已經開放性地融入互聯網生態，如何面對互聯網上的負面流量，如惡意攻擊、掃描探測、交易欺詐?這些負面流量往往是非對稱性的，金融機構從技術管理上要做到全面防護，投入大量人力物力，但是攻擊者大多只是用簡單的技術手段、隨機進行攻擊。對這個問題，建議要盡快修訂0071到0073等保三個標準規范，考慮引進Honeynet(蜜網)、Honeypot(蜜罐)技術，對外部流量全面進行監視、檢測和攻擊分析，好的流量就引入到應用系統，有問題的流量就進行更深入地分析、證據收集。

　　第二，現在各種IT設備包括安全設備都在虛擬化，如虛擬化的WAF、虛擬化的加密機等。銀行互聯網平臺應用系統往往多達上百個，大多是二級等保，個別是三級，也有一級的，對虛擬化安全性這塊該怎么來要求?三級系統與低級等保系統虛擬機隔離之間是不是要加蜜罐來預防側通道攻擊?這些要否帶進新的規范，來指導過去常說的信息化建設的五大架構體系：業務架構、應用架構、數據架構、技術架構、以及更為重要的安全架構。過去的安全架構是基于等保規范的，現在安全架構要完全按照等保做，就無法更好地去實現云計算和大數據應用。

　　不僅是虛擬化，對大量的外接平臺，都可以繼承過去等級保護的思路，可以通過修訂規范，對互聯系統實體、網絡通道、API安全要求做到規范明確。金融科技不僅重構了銀行業態，對銀行的信息系統架構也是個重構，在這個重構的過程中一定要把安全架構做好。

四、金融領域的自主可控

　　自主可控在金融領域很重要，銀行卡、網銀國產密碼推廣應用就是個很典型的例子。但到了新的時代，自主可控的很多問題銀行自己可能也無法應對。比如個人信息保護、信息濫用的問題，就得從法律層面上來解決。那么上面提到的一些新的技術，如蜜網、蜜罐，如何做到自主可控?產業界應該拿出具體解決方案，經過權威測評中心的檢測認可，達到等保的相關要求，提供給銀行。

　　此外，在新的金融科技時代，大、中銀行還有余地來創新發展，但小銀行則感到非常吃力。例如云計算的最大優點就是提供云服務，但對金融云服務的監管現在還是一種糾結的狀態，小銀行能不能在第三方的阿里云、騰訊云，甚至在社會的一些云上得到托管服務?監管機關目前并沒有許可，我認為中小銀行可能要走一種行業云或者是公有云來實現自己信息化徹底重構變身的道路。按照過去自己建系統的思路，人才財力物力乃至新技術都力所不及，那么建設的系統水平也可想而知。

　　再次，現在新技術發展日新月異，有一些重大的安全技術需要國家來主持攻關。例如同態加密技術，如果能解決并且能夠自主可控，中小銀行就可以把它的業務系統托管到安全的云上。完全靠銀行自身解決業務上公有云安全問題是不現實的，四大行對此都有些力不從心。如果類似同態加密的技術問題解決了，公有云也達到等保三級的要求，銀行數據安全、運用安全用同態加密技術能保障，監管部門至少可以在技術上放心，中小銀行也可以順利地引進金融業務外包第三方服務，充分利用安全的新技術，從而把發展重心放在自己擅長的領域。