1.2 銀行業信息系統安全現狀

伴隨著銀行信息系統互聯網化和信息技術的日新月異，商業銀行傳統金融業務與新興互聯網技術正在經歷深度的融合，這種融合是商業銀行的金融模式創新和服務渠道轉型的驅動力，同時也帶來嚴峻的網絡安全威脅。

縱觀全球，從技術建設水平以及風險監管環境看，銀行業的信息安全體系對比其他行業更為成熟和完善，表現在商業銀行普遍具備網絡防御、信息備份、災難恢復和系統性能保障等基本的信息安全保障措施，同時商業銀行接受的定期合規檢查也是最嚴格的。然而，隨著銀行自身業務電子化依賴程度的加深以及金融服務趨于開放互聯，全球銀行業的網絡安全威脅事件近年來不降反升，嚴重影響銀行聲譽，甚至影響社會穩定，打擊公眾對互聯網金融的信心。金融領域的信息安全問題具有嚴峻性、持續性和衍生性，信息安全風險邊界呈現出擴大化、分散化的趨勢，主要表現在以下幾點：

●從威脅模式看，商業銀行面臨多樣化的網絡攻擊形式，APT（高級持續威脅）攻擊增多。商業銀行面臨的最主要的網絡安全威脅是資金竊取、數據泄露以及系統服務中斷。

●從涉及地域看，信息安全風險正在威脅全球范圍的商業銀行。區別于實地“搶銀行”的概念，在互聯網金融時代，黑客已突破洲際地域界線，可以將任何區域的商業銀行信息系統作為攻擊目標，開展有組織的網絡竊取和破壞活動，針對商業銀行的網絡攻擊行為已成為全球性的普遍問題。

●從成本投入看，攻擊成本和防御成本呈現嚴重不對稱性。商業銀行在安全設施、人才培養和技術研發方面的投入正逐年增加，但同時隨著同類業務的泛化、攻擊方法的簡化和惡意工具的普及，網絡攻擊難度和成本正在降低，防御與攻擊的成本反差，都增加了防御的難度。

●從外部因素看，網絡安全與地緣政治、民族宗教等問題緊密相連，存在跨界震蕩。當前，在國際政治、軍事、宗教等領域發生的區域沖突和爭端正越來越多地轉嫁于網絡空間，帶有政治意圖或意識形態的網絡威脅大幅增加。

●從業務發展因素看，新興業務應用的增長帶來安全隱患。移動金融、網絡理財、第三方支付、企業網絡融資、直銷銀行等新應用的出現使得銀行線上業務鏈條拉長，漏洞隨之增多，不僅帶來了技術安全問題，還表現出業務安全隱患，傳統的信息安全風險評估方法已難以適應。

簡而言之，銀行業的安全狀況呈下降趨勢，傳統安全工作偏于在系統建設完成之后展開，已經無法滿足銀行業的安全要求，必須將安全工作大幅前移，全面重視開發安全，真正實現系統全生命周期的安全，保障銀行業務的穩健有序開展。