金融创新CURRENT AFFAIRS
金融创新 / 正文

为金融科技创新保驾护航

商业银行打好网络安全“攻防组合拳”

  当今,金融科技的浪潮风起云涌。随着云技术、大数据、区块链、人工智能等新兴技术在银行业务以及银行日常经营中的全面应用,金融科技对银行的推动和引领作用日渐凸显。然而,金融科技在提高金融服务质量和效率的同时,也给银行信息与网络安全带来严峻挑战。如何加强内控合规管理,构建银行信息与网络安全的有效防线、保障金融安全,也成为银行业需要解决的重大问题。

  《金融时报》记者在近日的采访中发现,多家银行逐渐加大对信息安全的投入力度,着力实现网络信息安全管理的转型,打好网络安全“保卫战”,为金融科技创新保驾护航。

  持续强化和完善基础安全建设

  金融科技目前的主要应用场景包括业务应用移动化、数据深入关联和挖掘、重复工种智能化、IT运维虚拟化、安全分析智能化、金融账务科目区块化等,关联的新技术包括移动技术、大数据、机器学习、虚拟和云计算等。围绕着新技术应用,各家银行同步开展了安全建设管理工作。

  在全球系统和数据集中运行模式下,中行建立了数据传输、存储、使用、备份与恢复、清除等环节的安全控制及保护机制,制定了数据分级保护策略,实施了数据防泄漏(DLP)体系建设工程,实现了对办公桌面终端安全的集中统一管控;对移动终端和移动APP实施了安全加固、对移动介质进行了加密和集中管控、对涉密文件进行了加密传输和存储以及对邮件系统进行了敏感信息监测和过滤。与此同时,中行坚持内外网逻辑隔离和内网分区管理,严格执行终端准入策略,有效防范了网络非授权访问和敏感信息泄露的风险。

  光大银行积极鼓励新技术的应用和创新,目前已先后研发阳光银行、苏州医保、滤镜、历史数据查询、智能客服、电子银行客户画像等新技术应用产品,同时先后建设私有云、虚拟云桌面等虚拟化设施。通过制定管理办法、开发/运维安全技术标准、推进移动应用统一开发平台建设、规范云安全管理等多项措施,光大银行将安全要求贯彻到需求、设计、开发、运维等环节,并将其管理形成闭环,构建起整体的移动应用安全管控体系。在云安全方面,借鉴同业思路,积极建设云安全监测系统,从防护、检测、阻断三个层面构建多维度、主动型智能网络安全防御体系。

  不断升级优化核心系统

  “近两年来,国内有一半以上的银行更换或升级自己的核心业务,这一波更换和升级核心业务系统的浪潮可以用风起云涌来形容。在这次升级核心业务的浪潮中,各家银行几乎都把更换核心业务系统与加强风险管理、资产负债管理、管理会计等更深层的管理应用结合起来。”一位长期在银行业工作的人士告诉《金融时报》记者。

  日前,哈尔滨银行核心业务系统成功换“心”,新一代核心系统正式上线运行。目前新一代核心系统各项指标均达到预期目标。新一代核心系统将为哈尔滨银行的产品创新、集中运营、移动金融等业务发展提供强大的功能支撑,客户金融服务体验和风险防控能力将实现质的飞跃,同时也为哈尔滨银行未来战略发展注入强大的科技动力。

  据哈尔滨银行相关负责人介绍,新一代核心系统具备先进的技术架构,通过灵活的模块化设计和高度参数化配置,可有效缩短新产品研发周期,提升快速推出新产品的能力;同时简化系统操作流程与界面,强化系统自动控制,提高单笔业务处理效率,快速满足日新月异的金融产品发展与创新的需求。

  特别值得关注的是,在备受市场和公众关注的智能安全方面,哈尔滨银行新一代核心系统的风险防控更加到位。业务内控流程直接注入系统操作之中,对交易合法性、准确性进行检查和确认,实现了前台业务操作与会计核算的相对独立,以保障客户账户资金的安全性,提升操作的易用性,强化了风险控制。

  在强化新系统的风险防控功能方面,建行的做法也可圈可点。

  “一是介入新系统开发流程中,在系统正式上线推广前开展合规性审查,重点审查新系统中各类威胁信息与网络安全的风险是否得到准确识别、防范以及应对风险的控制措施是否适当和有效。二是加强与银行信息、网络安全相关的新制度的合规性审查,从岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面对信息与网络安全工作提出审查要求,特别要将管理客户信息的岗位视为重要岗位,提出不相容岗位分离、定期轮岗等管理要求,确保新制度严格落实内部控制相关标准。”建行相关负责人表示。

  打好网络安全“保卫战”

  随着互联网金融业务的蓬勃发展,网络攻击的复杂性也在不断增加。商业银行除了常规防护之外,能否用一种有效的反制手段,甚至追踪溯源并将攻击者绳之以法?

  近日,在国家互联网应急中心举办的“2018中国网络安全年会”上,江苏银行作为唯一受邀的城商行代表分享了其智能防御经验。该行不仅在国内率先建立了互联网实时反欺诈平台,打好网络安全“保卫战”,还在近期上线了攻击欺骗与威胁检测系统,主动出击阻断攻击源,打出了一套漂亮的“攻防组合拳”。

  简单来说,这种技术就是在网络不法分子发起攻击的必经之路上构造陷阱,这个陷阱又不同于传统的“蜜罐”,而是与真实的业务系统绑定。这个陷阱的巧妙之处在于合法用户并不会触碰到这些陷阱,一旦有人触碰必定是攻击者所为。此举不仅可以混淆黑客攻击目标,同时也能够精确感知黑客攻击的行为,并通过高交互接口反向抓取攻击者信息溯源黑客身份,必要时可作为攻击证据移送公安机关处理。

  业内专家表示,要做好网络安全防御工作必须提升态势感知方面的能力,就是要“知己知彼、百战不殆”。江苏银行此次上线的攻击欺骗与威胁检测系统,就能主动感知攻击行为,与现有防御体系联动综合分析各层面监测到的攻击行为,自动化阻断攻击源,并可进行反向追踪溯源。这一套“攻防组合拳”大大提升了网络安全防御体系的主动性、智能性和一体化水平。

责任编辑:韩胜杰