淺談銀行業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)識(shí)別與防范

文/吳俊 王章淵，湖北工業(yè)大學(xué)經(jīng)濟(jì)與管理學(xué)院

信息技術(shù)的飛速發(fā)展加大了銀行信息系統(tǒng)的安全風(fēng)險(xiǎn)。論文在分析我國(guó)銀行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的現(xiàn)狀基礎(chǔ)上，論述了銀行信息系統(tǒng)安全風(fēng)險(xiǎn)識(shí)別的方法，并且就銀行信息系統(tǒng)安全風(fēng)險(xiǎn)識(shí)別、預(yù)防、解決提出了相應(yīng)的建議。

銀行業(yè)；信息系統(tǒng)；安全風(fēng)險(xiǎn)

信息化帶來銀行業(yè)的巨大變化，主要表現(xiàn)在：銀行業(yè)務(wù)網(wǎng)絡(luò)化、電子化、虛擬化。銀行業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)日益加大，黑客攻擊、計(jì)算機(jī)病毒傳播、系統(tǒng)自身漏洞、銀行日常管理疏忽等都是銀行信息系統(tǒng)安全風(fēng)險(xiǎn)的重要因素?！吧綎|徐玉玉案”的類似故事，再次深刻警醒銀行從業(yè)者和普通用戶：風(fēng)險(xiǎn)識(shí)別和防范時(shí)刻不能松懈。

1 銀行信息系統(tǒng)安全風(fēng)險(xiǎn)的現(xiàn)狀

1.1 信息技術(shù)的安全風(fēng)險(xiǎn)

銀行信息化的典型表現(xiàn)就是計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用。網(wǎng)絡(luò)化受到威脅的因素主要是：（1）內(nèi)部因素，是指網(wǎng)絡(luò)本身存在的漏洞或缺陷，導(dǎo)致用戶使用時(shí)造成一系列的程序性安全風(fēng)險(xiǎn)；（2）外部因素，是指用戶在使用網(wǎng)絡(luò)操作時(shí)缺少專業(yè)科學(xué)的操控體系，使得網(wǎng)絡(luò)在承受風(fēng)險(xiǎn)的情況下運(yùn)行。

在銀行的網(wǎng)絡(luò)安全體系結(jié)構(gòu)上，隨著電子銀行業(yè)務(wù)數(shù)量劇增，銀行在硬件和軟件上日益顯得落后于現(xiàn)實(shí)需要。銀行和用戶（特別是界面操作者）的信息安全風(fēng)險(xiǎn)防范意識(shí)比較淡薄，一些銀行信息安全風(fēng)險(xiǎn)的控制預(yù)防機(jī)制發(fā)揮的作用不理想，對(duì)于隨時(shí)可能爆發(fā)的網(wǎng)絡(luò)漏洞或缺陷，無法及時(shí)排查應(yīng)對(duì)，安全風(fēng)險(xiǎn)應(yīng)急預(yù)案不足，現(xiàn)時(shí)處置不當(dāng)。我國(guó)很多個(gè)人用戶，習(xí)慣使用搜索引擎搜索開戶銀行，很容易會(huì)被錯(cuò)誤鏈接進(jìn)入虛假網(wǎng)站的圈套。

1.2 云服務(wù)的安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)和信息化發(fā)展的最新階段是“云計(jì)算時(shí)代”。銀行通過和企業(yè)共享的“云計(jì)算平臺(tái)”信息系統(tǒng)，運(yùn)營(yíng)數(shù)十萬個(gè)、百萬個(gè)財(cái)務(wù)和ERP系統(tǒng)，直接從貸款企業(yè)的財(cái)務(wù)和經(jīng)營(yíng)信息，已經(jīng)由一種可能的設(shè)想變?yōu)楝F(xiàn)時(shí)存在。該云計(jì)算平臺(tái)擁有巨大的“長(zhǎng)尾效應(yīng)優(yōu)勢(shì)”：（1）會(huì)深度開掘個(gè)性化數(shù)字出版產(chǎn)品而形成“產(chǎn)品長(zhǎng)尾”；（2）會(huì)交叉關(guān)聯(lián)無數(shù)小眾群落而形成“受眾長(zhǎng)尾”；（3）會(huì)建成扁平化信息流通渠道而形成“渠道長(zhǎng)尾”。

云計(jì)算服務(wù)已經(jīng)發(fā)展成為跨越互聯(lián)網(wǎng)、涵蓋計(jì)算機(jī)網(wǎng)絡(luò)各個(gè)層次、涉及各種網(wǎng)絡(luò)技術(shù)的服務(wù)。從硬件安全到軟件安全，從內(nèi)部安全到外部安全，網(wǎng)絡(luò)層次的各項(xiàng)漏洞都不可避免地給云服務(wù)帶來意想不到的安全風(fēng)險(xiǎn)和巨大的技術(shù)服務(wù)、管理方面挑戰(zhàn)。一旦被騙子利用，后果非常嚴(yán)重。

據(jù)報(bào)載案例：某網(wǎng)友父母的銀行卡被盜走6萬元、貸款4萬元。原來是其母親使用網(wǎng)絡(luò)銀行APP，疏于防范且操作不熟，騙子在早上通過手機(jī)短信通知詐騙鏈接，模仿銀行發(fā)送“新增云同步設(shè)備”的通知提醒，其母點(diǎn)擊后落入詐騙圈套。馬上就陸續(xù)收到銀行發(fā)送的多條短信驗(yàn)證碼、多條轉(zhuǎn)賬成功、貸款成功的通知，時(shí)間間隔非常短。

2 銀行信息系統(tǒng)安全風(fēng)險(xiǎn)的成因

2.1 信息技術(shù)基礎(chǔ)薄弱

2.1.1 黑客攻擊。在計(jì)算機(jī)網(wǎng)絡(luò)上，日益頻繁升級(jí)接續(xù)出現(xiàn)的黑客攻擊，威脅著我國(guó)的網(wǎng)絡(luò)安全，銀行的信息系統(tǒng)安全更是首要直接目標(biāo)之一。

2.1.2 計(jì)算機(jī)病毒。其蔓延速度驚人，傳播容易，造成的損失更是不計(jì)其數(shù)。如果銀行的信息系統(tǒng)染上計(jì)算機(jī)病毒更是會(huì)造成嚴(yán)重的后果，其損失難以估計(jì)。

2.1.3 系統(tǒng)和服務(wù)器漏洞。一些銀行的信息系統(tǒng)本身就存在漏洞，銀行信息系統(tǒng)潛在的安全風(fēng)險(xiǎn)比較大，易遭受網(wǎng)絡(luò)黑客的攻擊。服務(wù)器漏洞主要是Web服務(wù)器、瀏覽器采用的 CGI 程序缺陷較多。

2.1.4 系統(tǒng)設(shè)計(jì)人員在編寫程序指令時(shí)出現(xiàn)錯(cuò)誤。使銀行計(jì)算機(jī)系統(tǒng)安全性降低，給一些非法入侵系統(tǒng)人員創(chuàng)作的有利條件。如果有軟件或者系統(tǒng)的缺陷就是十分嚴(yán)重的安全風(fēng)險(xiǎn)，一旦銀行因?yàn)槟硞€(gè)軟件的缺陷發(fā)生問題就會(huì)引發(fā)一些嚴(yán)重的系統(tǒng)故障，影響銀行的正常運(yùn)行。

2.1.5 算機(jī)網(wǎng)絡(luò)管理疏忽。辦公自動(dòng)化下，網(wǎng)絡(luò)的日常維護(hù)工作是一個(gè)關(guān)鍵節(jié)點(diǎn)。銀行業(yè)的計(jì)算機(jī)系統(tǒng)非常復(fù)雜、龐大，包括各類硬件和軟件，連接網(wǎng)絡(luò)和諸多子系統(tǒng)，更加需要加強(qiáng)日常維護(hù)和管理。

2.2 云計(jì)算服務(wù)模式不成熟

云計(jì)算服務(wù)模式有3 種：SaaS（軟件即服務(wù)）、PaaS（平臺(tái)即服務(wù)）和IaaS（基礎(chǔ)設(shè)施即服務(wù)）。

2.2.1 用戶接入門戶：云計(jì)算服務(wù)是通過網(wǎng)絡(luò)提供的，用戶使用固定或移動(dòng)的智能終端登錄到云服務(wù)上，接入門戶就是云計(jì)算服務(wù)的網(wǎng)址，是外部訪問者的必經(jīng)之路。這里是云計(jì)算的“大門”，用戶從這里進(jìn)來，攻擊者也從這里進(jìn)來。

2.2.2 業(yè)務(wù)應(yīng)用軟件（SaaS、PaaS服務(wù)）：無論是服務(wù)商還是用戶提供的業(yè)務(wù)軟件，都包含大量的漏洞，并且利用難度低，入侵者不僅可以通過攻擊應(yīng)用軟件，獲得用戶信息，而且可以作為下一步占領(lǐng)“主機(jī)”的跳板。PaaS還是存在一定的技術(shù)門檻，國(guó)內(nèi)大多數(shù)公司還沒有此技術(shù)實(shí)力，受到信息安全、隱私權(quán)等諸多因素的牽累。

2.2.3 IaaS服務(wù)：虛擬機(jī)是云計(jì)算服務(wù)的基本“容器”，也是IaaS服務(wù)的出租單位，它本身彈性服務(wù)能力與低廉的成本，通過簡(jiǎn)單的商務(wù)聯(lián)系就可以使用。對(duì)黑客來說，這本身就是一個(gè)大“資源”，除了利用它，還可以突破它，入侵到服務(wù)商的后臺(tái)管理。通過IaaS這種模式，用戶可以從供應(yīng)商那里獲得他所需要的虛擬機(jī)或者存儲(chǔ)等資源來裝載相關(guān)的應(yīng)用，同時(shí)這些基礎(chǔ)設(shè)施的繁瑣的管理工作將由IaaS供應(yīng)商來處理。IaaS能通過它上面對(duì)虛擬機(jī)支持眾多的應(yīng)用。

2.2.4 數(shù)據(jù)中心：云計(jì)算服務(wù)在用戶看來是虛擬的，但最終的“工作”還是要落實(shí)到物理的機(jī)器與設(shè)備上，支撐云計(jì)算服務(wù)的數(shù)據(jù)中心是實(shí)實(shí)在在的，是清晰可查的，因此，對(duì)于云計(jì)算服務(wù)商來說，物理安全同樣重要。

3 銀行信息系統(tǒng)安全風(fēng)險(xiǎn)防范的建議

3.1 提高銀行信息系統(tǒng)安全風(fēng)險(xiǎn)防范意識(shí)

3.1.1 提高銀行信息系統(tǒng)安全風(fēng)險(xiǎn)防范的重視程度。銀行要從管理者開始認(rèn)識(shí)信息系統(tǒng)安全風(fēng)險(xiǎn)防范的重要性，并且提高工作人員對(duì)銀行信息系統(tǒng)安全風(fēng)險(xiǎn)防范重視程度，形成銀行信息系統(tǒng)安全風(fēng)險(xiǎn)防范意識(shí)，嚴(yán)格規(guī)范銀行信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別的程序，建立起完善的銀行信息安全風(fēng)險(xiǎn)識(shí)別體系，這是提高銀行信息安全風(fēng)險(xiǎn)識(shí)別能力，降低信息風(fēng)險(xiǎn)的前提和基礎(chǔ)。

3.1.2 提升銀行的信息安全風(fēng)險(xiǎn)識(shí)別。這是一個(gè)系統(tǒng)工程，銀行的管理人員在進(jìn)行銀行信息系統(tǒng)建設(shè)時(shí)，完善銀行信息安全風(fēng)險(xiǎn)識(shí)別體系，確保銀行的信息安全風(fēng)險(xiǎn)成為可控的因素。銀行信息系統(tǒng)的安全風(fēng)險(xiǎn)防范是需要銀行的重視與各方面的協(xié)作，按規(guī)定做到一段時(shí)間內(nèi)對(duì)銀行的信息安全風(fēng)險(xiǎn)識(shí)別系統(tǒng)進(jìn)行可靠性評(píng)估，減少信息安全風(fēng)險(xiǎn)的系數(shù)，確保銀行的信息系統(tǒng)的萬無一失。

3.2 建立銀行信息系統(tǒng)安全風(fēng)險(xiǎn)控制機(jī)制

3.2.1 建立銀行信息安全風(fēng)險(xiǎn)控制機(jī)制。銀行要對(duì)目標(biāo)的設(shè)置上做到精確，包括建立網(wǎng)上的風(fēng)險(xiǎn)責(zé)任機(jī)制，建立完善的風(fēng)險(xiǎn)通報(bào)機(jī)制和建立銀行信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)三個(gè)方面。為了能實(shí)現(xiàn)銀行信息安全風(fēng)險(xiǎn)控制的目標(biāo)，并且能夠通過這項(xiàng)機(jī)制在風(fēng)險(xiǎn)控制時(shí)不斷優(yōu)化風(fēng)險(xiǎn)管理體系的控制水平。建立風(fēng)險(xiǎn)責(zé)任機(jī)制的重點(diǎn)在銀行的安全風(fēng)險(xiǎn)控制體系要落實(shí)到每一個(gè)人，做到對(duì)風(fēng)險(xiǎn)的負(fù)責(zé)，更要做到對(duì)安全的負(fù)責(zé)。

3.2.2 建立銀行信息風(fēng)險(xiǎn)管理團(tuán)隊(duì)。銀行信息安全風(fēng)險(xiǎn)發(fā)生后該怎樣對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行對(duì)上級(jí)或者下級(jí)的通報(bào)，要保證信息的客觀真實(shí)，既不對(duì)上級(jí)夸大也不對(duì)下級(jí)隱瞞事實(shí)的真相。人才是銀行運(yùn)行的關(guān)鍵，建立一個(gè)完整的銀行信息系統(tǒng)安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)充分發(fā)揮人才的作用。既可以保障銀行信息的安全，還可以培養(yǎng)出一批新興人才，成為現(xiàn)如今銀行信息安全管理的主力軍。他們的存在使銀行在風(fēng)險(xiǎn)評(píng)估和應(yīng)急方案的策劃都有保障，發(fā)揮著其重要的作用，更在銀行信息系統(tǒng)安全中扮演著重要的角色。

3.3 完善銀行網(wǎng)絡(luò)安全體系結(jié)構(gòu)

3.3.1 增加銀行網(wǎng)絡(luò)安全體系結(jié)構(gòu)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的使用領(lǐng)域不斷增多，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷增加，銀行網(wǎng)絡(luò)安全的體系結(jié)構(gòu)更需要改進(jìn)，減少銀行信息系統(tǒng)的安全風(fēng)險(xiǎn)的存在。銀行信息系統(tǒng)要健全完整的體系結(jié)構(gòu)和軟件構(gòu)架，不僅網(wǎng)絡(luò)設(shè)備的使用需要考慮信息安全的需求，服務(wù)器操作系統(tǒng)的選擇上更是對(duì)系統(tǒng)的整體安全有著很大影響。很多用戶采用Windows系統(tǒng)，需要在該操作系統(tǒng)的原有結(jié)構(gòu)上進(jìn)行處理改進(jìn)，克服目前已經(jīng)存在的安全風(fēng)險(xiǎn)，需要進(jìn)一步增強(qiáng)加密設(shè)置。

3.3.2 完善網(wǎng)絡(luò)協(xié)議。用戶可在系統(tǒng)原有的結(jié)構(gòu)上改裝處理，設(shè)置IP加密系統(tǒng)，增強(qiáng)網(wǎng)絡(luò)的抗風(fēng)險(xiǎn)性能。網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換的而建立的規(guī)則、標(biāo)準(zhǔn)或約定的集合，對(duì)網(wǎng)絡(luò)協(xié)議的優(yōu)化改進(jìn)也是對(duì)安全體系結(jié)構(gòu)改善。完善銀行網(wǎng)絡(luò)安全體系結(jié)構(gòu)，加快技術(shù)優(yōu)化和系統(tǒng)升級(jí)。

3.4 切實(shí)維護(hù)云服務(wù)安全

3.4.1 構(gòu)建私有云模式。根據(jù)銀行信息系統(tǒng)各個(gè)部署模式的性質(zhì)，其安全性從高到低依次為私有云、社區(qū)云、公共云。私有云是占模式，不存在多個(gè)用戶之間的共享，可以根據(jù)用戶自身需求構(gòu)建，并可以僅在內(nèi)部局域網(wǎng)內(nèi)轉(zhuǎn)播，面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)較小。

3.4.2 加強(qiáng)私有云中的安全策略。為IAM以實(shí)現(xiàn)用戶管理，安全隔離以實(shí)現(xiàn)用戶自身不同安全級(jí)別數(shù)據(jù)的邏輯隔離，完整性測(cè)量以避免外部軟件的威脅、冗余存儲(chǔ)和數(shù)據(jù)生命周期管理。相較于私有云，社區(qū)云服務(wù)增加的最大風(fēng)險(xiǎn)來源于互聯(lián)網(wǎng)，因此互聯(lián)網(wǎng)防御、敏感數(shù)據(jù)的加密傳輸顯得尤為重要。

3.5 提升銀行信息系統(tǒng)安全風(fēng)險(xiǎn)應(yīng)急預(yù)案水準(zhǔn)

3.5.1 銀行信息系統(tǒng)安全出現(xiàn)問題或有潛在的風(fēng)險(xiǎn)，應(yīng)該有相應(yīng)的應(yīng)急預(yù)案來保證銀行系統(tǒng)運(yùn)行。例如針對(duì)黑客對(duì)銀行信息系統(tǒng)進(jìn)行攻擊時(shí)應(yīng)該采取什么具體措施進(jìn)行有效應(yīng)對(duì)，銀行信息系統(tǒng)出現(xiàn)突發(fā)情況，最大限度的減少銀行和客戶的損失，銀行信息部分重要信息泄露如何處置等問題。

3.5.2 銀行信息風(fēng)險(xiǎn)預(yù)案要求對(duì)各種可能突發(fā)事件進(jìn)行事前考慮，并事前提出應(yīng)對(duì)的具體措施。銀行信息系統(tǒng)安全風(fēng)險(xiǎn)預(yù)案需要對(duì)各種突發(fā)事件有所考慮，事前就要預(yù)料到事后的影響以及如何解決，針對(duì)事件的特性制定有效發(fā)應(yīng)急預(yù)案，完善事前的具體應(yīng)對(duì)措施，提升銀行信息系統(tǒng)安全風(fēng)險(xiǎn)預(yù)案水準(zhǔn)。

3.6 加大對(duì)銀行信息犯罪的懲罰力度

3.6.1 加強(qiáng)防范銀行信息系統(tǒng)風(fēng)險(xiǎn)，就要加大對(duì)于信息犯罪的打擊力度，加強(qiáng)信息系統(tǒng)的規(guī)范化管理，從根源上防范銀行信息系統(tǒng)安全風(fēng)險(xiǎn)。當(dāng)下我國(guó)許多銀行的信息系統(tǒng)的管理只是走形式，只是面子工程，對(duì)于信息犯罪的懲罰力度也比較弱，這也是導(dǎo)致銀行信息系統(tǒng)風(fēng)險(xiǎn)的重要原因之一。

3.6.2 發(fā)現(xiàn)問題，要及時(shí)按照相關(guān)法律法規(guī)對(duì)相關(guān)人員給予嚴(yán)厲處罰，特別是針對(duì)銀行信息系統(tǒng)的特大犯罪要嚴(yán)懲不貸，堅(jiān)決打擊各種類型的網(wǎng)絡(luò)金融犯罪，形成對(duì)銀行信息安全犯罪的高壓打擊態(tài)勢(shì)。只有這樣，才能夠從根源上降低銀行信息犯罪率，保障銀行信息系統(tǒng)的安全運(yùn)行。

[1]楊巍、李剛《云計(jì)算安全風(fēng)險(xiǎn)及對(duì)策》[J].中國(guó)科技資源導(dǎo)刊2013年3月.

[2]張希欽、李衛(wèi)民、匡小飛.《論銀行信息安全風(fēng)險(xiǎn)識(shí)別及合理的風(fēng)險(xiǎn)防范》[J].計(jì)算機(jī)光盤軟件與應(yīng)用 2013年第01期.

[3]王穎波.《計(jì)算機(jī)信息安全技術(shù)及防護(hù)研究》[J].計(jì)算機(jī)光盤軟件應(yīng)用2013年.

[4]王韜.《銀行計(jì)算機(jī)信息系統(tǒng)安全隱患與防范探討》[J].電子技術(shù)與軟件工程2014年3月.

[5]那頌.《商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)防范有待跟進(jìn)》[J].當(dāng)代金融家2015年12月.