2.1　金融行業(yè)信息安全態(tài)勢

金融機構(gòu)最初的信息安全工作，大都是以達成金融行業(yè)的監(jiān)管要求作為主要和基礎(chǔ)的目標，如銀行業(yè)信息科技部門會圍繞《商業(yè)銀行信息科技風(fēng)險管理指引》來構(gòu)建安全組織架構(gòu)，形成安全管理制度和流程，建立安全檢查、風(fēng)險評估和整改機制，這時候的信息安全從業(yè)人員大多處于“管理流派”。2010年前后說起信息安全，業(yè)內(nèi)人士開口閉口就是防病毒、“IPS/IDS”“WAF”“DLP”等，“設(shè)備流派”占據(jù)主流；而最近幾年說到信息安全，不說些安全態(tài)勢感知、安全大數(shù)據(jù)分析、人工智能等概念，就明顯落伍了，“數(shù)據(jù)流派”儼然引領(lǐng)潮流。

但是，不管是“管理流派”“設(shè)備流派”還是“數(shù)據(jù)流派”，金融行業(yè)的信息安全人員都清醒地知道，監(jiān)管要求越來越嚴格，信息安全形勢越來越嚴峻，攻擊技術(shù)手段越來越進化。金融企業(yè)需要清楚分析面臨的監(jiān)管要求、外部形勢和內(nèi)部需求，然后針對性地制訂安全戰(zhàn)略規(guī)劃、安全管理和技術(shù)架構(gòu)，進而在安全管理和安全技術(shù)方面落地實施，方可立于不敗之地。

1.金融行業(yè)信息科技監(jiān)管趨勢

金融行業(yè)業(yè)務(wù)已經(jīng)高度信息化、自動化、流程化，向客戶提供的所有服務(wù)和日常運營基本都依賴信息系統(tǒng)開展。金融行業(yè)信息科技從業(yè)者們很明顯的一點感受就是，無論內(nèi)外部審計還是監(jiān)管檢查，無論檢查重點是針對哪一類的金融業(yè)務(wù)，信息科技都是配合部門之一。另一方面，金融行業(yè)的業(yè)務(wù)戰(zhàn)略都需要信息科技戰(zhàn)略的支撐，業(yè)務(wù)目標最后都可能轉(zhuǎn)化為對信息科技工作的需求。

金融行業(yè)信息科技風(fēng)險具有影響范圍廣、破壞性大、突發(fā)性強、資金損失風(fēng)險高等特點，信息科技風(fēng)險作為唯一可能導(dǎo)致全部金融業(yè)務(wù)瞬間癱瘓的風(fēng)險，一直是金融行業(yè)監(jiān)管的重點和難點。因此，金融行業(yè)的監(jiān)管部門逐年加大了信息科技風(fēng)險監(jiān)管的力度。針對銀行業(yè)金融機構(gòu)，2009年中國銀監(jiān)會印發(fā)《商業(yè)銀行信息科技風(fēng)險管理指引》，奠定了銀行業(yè)信息科技風(fēng)險監(jiān)管的基礎(chǔ)，此后幾年陸續(xù)印發(fā)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》《銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引》等各領(lǐng)域的監(jiān)管制度；針對證券、期貨等行業(yè)，陸續(xù)出臺《證券期貨業(yè)信息安全保障管理辦法》《證券公司信息技術(shù)管理規(guī)范》《證券期貨業(yè)信息系統(tǒng)運維管理規(guī)范》等監(jiān)管要求；針對其他金融行業(yè)，也或多或少有專門針對信息科技的監(jiān)管要求。

從各類監(jiān)管要求來看，信息科技監(jiān)管有這樣幾個趨勢：

·監(jiān)管機構(gòu)越來越重視信息科技治理，強調(diào)和重視董事會、監(jiān)事會和高管層的履職情況。秉承“實質(zhì)重于形式”的原則，董、監(jiān)、高的履職已經(jīng)不能僅限于參與幾次會議、做出幾項決策，而是要看信息安全風(fēng)險控制的實際效果。如果信息科技管理工作或信息科技風(fēng)險管理有重大缺失，就是履職不力的表現(xiàn)。

·監(jiān)管重點從“管理為主”往“管理和技術(shù)并舉”方向發(fā)展，或是要求“人防補技防”，或是要求“技防補人防”，總之“兩手抓、兩手都要硬”。監(jiān)管的現(xiàn)場檢查、風(fēng)險提示等，都已經(jīng)從組織架構(gòu)、制度建設(shè)、流程機制等管理層面，延展到業(yè)務(wù)流程設(shè)計、企業(yè)技術(shù)架構(gòu)、系統(tǒng)邏輯設(shè)計等具體和實質(zhì)的技術(shù)控制和實現(xiàn)層面。

·對于信息科技部門職責(zé)的規(guī)定和約束，逐漸精細化、具體化、層次化，信息科技風(fēng)險防控要求涵蓋信息科技工作的方方面面。

·信息科技風(fēng)險管控不僅是信息科技部門的責(zé)任，還要求全行風(fēng)險管理部門、內(nèi)控合規(guī)部門、稽核審計部門都參與其中，各司其職，存在制約、促進的關(guān)系。

·信息科技風(fēng)險管控與業(yè)務(wù)密不可分，業(yè)務(wù)邏輯風(fēng)險控制、業(yè)務(wù)需求匹配度和業(yè)務(wù)功能滿足度、業(yè)務(wù)效益后評價、業(yè)務(wù)外包中的信息科技活動等，都延伸至業(yè)務(wù)部門。

·信息安全意識培訓(xùn)和教育，要求針對全員開展，提升全員意識，突破了信息科技人員的范疇。

·監(jiān)管手段逐漸向技術(shù)化發(fā)展。除了在監(jiān)管指引上逐步完善之外，非現(xiàn)場監(jiān)管數(shù)據(jù)化、現(xiàn)場檢查工具化的趨勢較為明顯，監(jiān)管科技的發(fā)展已經(jīng)從初露端倪到如火如荼。

2.金融行業(yè)面臨的外部信息安全態(tài)勢

由于金融行業(yè)的服務(wù)幾乎與每個人日常工作和生活息息相關(guān)，處理的業(yè)務(wù)關(guān)乎每個人的錢袋子，服務(wù)結(jié)果又要求必須實時和高度準確，因此，面臨的外部信息安全態(tài)勢也是在各行各業(yè)中最為復(fù)雜和嚴峻的。以下主要分析金融企業(yè)幾個重要的利益相關(guān)者：客戶、合作機構(gòu)以及外部攻擊者的信息安全態(tài)勢。

（1）客戶方面

隨著移動互聯(lián)網(wǎng)的發(fā)展和金融科技的演化，金融企業(yè)的客戶越來越少地接觸實體門店，取而代之的是電子渠道，客戶更多以互聯(lián)網(wǎng)作為觸點來使用金融企業(yè)的服務(wù)。

但是客戶在享受互聯(lián)網(wǎng)便利性的同時，也承擔(dān)著互聯(lián)網(wǎng)帶來的風(fēng)險，因此近年來由于客戶信息安全意識不強導(dǎo)致的金融行業(yè)風(fēng)險事件屢見不鮮，例如，由于客戶受到不良誘導(dǎo)、客戶對銀行卡等介質(zhì)保管不善、客戶自身信息泄漏、客戶口令設(shè)置脆弱（如弱口令、不同場景單一口令等）等導(dǎo)致的風(fēng)險事件，各種各樣的電信詐騙事件、釣魚網(wǎng)站事件也持續(xù)不斷地出現(xiàn)。客戶信息安全意識教育成為金融行業(yè)亟待深化開展的重點工作。

（2）外部合作商方面

金融行業(yè)的服務(wù)提供需要大量的外部合作商，既包括業(yè)務(wù)合作方，也包括外包供應(yīng)商。合作商的信息安全管理不善、員工主動泄密等，對金融行業(yè)的信息安全也形成一定的威脅。2015年電視臺曝光了某金融機構(gòu)客戶信息泄露導(dǎo)致資金損失的事件，事后內(nèi)部調(diào)查發(fā)現(xiàn)，原因是負責(zé)卡片寄送的合作機構(gòu)員工有心收集并販賣客戶信息。外部合作商雖然引入了一定的信息安全威脅，但不能因噎廢食，需要通過合作協(xié)議約束、信息交換最小化限制、技術(shù)防范等方式，盡可能降低合作的風(fēng)險。

（3）攻擊者方面

伴隨著金融業(yè)務(wù)全球化、移動互聯(lián)網(wǎng)和金融科技的發(fā)展，虎視眈眈的攻擊者們也在隨之轉(zhuǎn)換方法和重點，對金融機構(gòu)的攻擊數(shù)量和質(zhì)量持續(xù)提高。

從近年來發(fā)生的大型攻擊事件看，攻擊既針對金融企業(yè)的基礎(chǔ)設(shè)施和員工，也針對其外包商或客戶；既針對ATM、SWIFT、電子銀行等傳統(tǒng)系統(tǒng)，也針對社交媒體、區(qū)塊鏈、云計算等新興技術(shù)；既針對金融行業(yè)的服務(wù)器，也針對終端設(shè)備。概括來說，攻擊重點與時俱進，攻擊手段變化多端，攻擊目標無孔不入，給金融行業(yè)信息安全帶來了巨大的威脅和挑戰(zhàn)。“打鐵還需自身硬”，金融企業(yè)本身就是具有經(jīng)營風(fēng)險的企業(yè)，外部攻擊是必須面對和解決的問題，強身健體、見招拆招，方為正道。

3.金融行業(yè)內(nèi)在的信息安全管理需求

在監(jiān)管要求日益提高、外部安全態(tài)勢日益復(fù)雜的情況下，金融企業(yè)基于自身的業(yè)務(wù)發(fā)展和安全需要，也會提出大量的信息安全管理要求。

金融行業(yè)的信息安全管理有著不同于其他行業(yè)的特點，最主要的幾個特點如下：

·金融行業(yè)整體信息化程度高，而且未來趨勢是進一步的數(shù)字化、智能化，這就意味著被攻擊的風(fēng)險點增多，薄弱環(huán)節(jié)增加，脆弱性增大，遭受攻擊的可能性上升。

·金融服務(wù)實時性和準確性要求高，對于信息安全問題的容忍度低，出現(xiàn)問題后社會影響大，輿論壓力大。

·金融行業(yè)直接處理對象為資金，敏感信息價值高，對于攻擊者來說獲利性大，鋌而走險的動機強烈。

·金融行業(yè)積極應(yīng)用新技術(shù)，但信息安全防控往往滯后于新技術(shù)應(yīng)用，導(dǎo)致面臨的新風(fēng)險無法得到及時有效的控制。

因此，金融企業(yè)的信息安全工作要求也會高于其他行業(yè)，在深度和廣度上都必須兼顧，需要從組織架構(gòu)、制度流程、團隊能力、安全意識、外包管理、安全技術(shù)等各方面，統(tǒng)籌做好規(guī)劃和落地實施，方可滿足自身的需要。