在金融科技时代 推进金融网络安全“最佳实践”

专题库
谢宗晓 来源:《中国信息安全》杂志 2017-08-01 09:42:21 金融科技网络安全 信息安全

核心提示如何在金融科技时代来临的时候保障金融信息的安全?本文在分析金融科技所面临的新威胁的基础上,讨论了建立金融行业网络安全“最佳实践”的必要性和现实性。

在金融科技时代 推进金融网络安全“最佳实践”

  作者:中国金融认证中心(CFCA)信息安全服务部 谢宗晓

  金融科技(Fintech)是由finance 与technology 的合成的新词汇,其概念产生于2011 年,起源于硅谷的科技企业。经过近几年的发展,金融科技正在改变金融业的业态,例如,国有四大行已经悄然放下身价与国内互联网巨头BATJ 形成了“强强联合”的态势。虽然到目前为止,金融科技依然没有非常准确的定义,但毫无疑问会涉及金融业务的各个方面,也就意味着,安全所面临的形势更加严峻,安全在其中也变得愈加重要。

  那么,如何在金融科技时代来临的时候保障金融信息的安全?本文在分析金融科技所面临的新威胁的基础上,讨论了建立金融行业网络安全“最佳实践”的必要性和现实性。

  一、金融科技带来的网络安全风险

  金融科技本质上是广义的,其实践可以追溯到20世纪60 年代通信技术在金融领域中开始应用,在之后,虽然没有专门的词汇上升至重塑金融业生态格局的高度去描述这些现象,但是源源不断的新技术还是被引入金融领域,极大地推动了金融业务的发展。但是如上文所述,由于该词汇起源于科技领域,所以一度存在是“科技的金融”还是“金融的科技”之争。

  最近的文献逐步达成一致,即金融科技是“技术驱动的金融创新”,核心是利用新兴技术改造或创新金融产品、经营模式和业务流程。在当前的环境中,核心是利用大数据、人工智能、云计算、区块链和移动互联等,提升金融服务能力和效率,降低金融交易成本,拓展金融发展广度与深度。

  金融科技强调新技术对金融业务的辅助、支持和优化作用,所带来的优势是不言而喻的,但是同时也存在阴暗面,有可能给金融体系带来不可预知的系统性风险,我们重点分析网络安全方面存在的隐患。

  (一)网络犯罪(cybercrime)的形式更加多样化

  一般而言,更多的技术应用和更广泛的数字化会留给攻击者更多的可攻击目标,例如,广泛应用的电子钱包使得攻击者有了更多的选择。同时,金融诈骗手段也不断地推陈出新,甚至呈现出了专业化、平台化和产业化的趋势。以伪基站为例,国外黑客组织开发并公开了核心代码,国内不法厂商则迅速产品化,通过网络等渠道进行售卖。不仅如此,网络金融诈骗集团也开始线上线下相结合的方式。

  (二)因追求便利性带来的脆弱性增多

  脆弱性是个相对概念,诸多产品的设计本意是为了追求便利性,例如,早期的可读写设备,本意是为了便利,但是却给病毒传播可乘之机。在金融科技时代,这种现象变得越来越普遍,例如,移动计算的发展,在增加了便利性的同时,由于其可移动性,导致一旦丢失,便可能造成不可挽回的损失。同时,互联网公司和金融机构对风险的接受程度不同,一般而言,技术公司对便利性的追求更激进,在金融科技的发展过程中,要尤其注意。

  (三)对供应商/第三方的依赖变得更加严重

  金融科技创新行为可能会导致金融机构对供应商/ 第三方变得更加依赖,例如,采用云计算会导致金融机构对信息系统及其数据失去控制力。在金融信息化时代,金融机构即使采用外包服务等手段,第三方机构一般不能影响其主营业务。但是在金融科技时代,以互联网金融为例,其中的获客途径和业务处理等都依赖于互联网得以实现,这种深度融合的模式可能会为金融机构带来不可预知的风险。

  (四)数据安全和隐私保护的压力加剧

  随着金融和科技的深度融合,数据和隐私泄露发生的可能性和严重性都随之加剧,例如,在数据挖掘技术不成熟之前,从海量非格式化数据中得到有效信息并不容易,但是在大数据时代,任何看似不相关的数据,都可能泄露组织机密或个人隐私。此外,根据风险评估理论,由于数据变得越来越有价值,因此数据成为网络犯罪行为中买卖的重要目标。

  二、已有“最佳实践”存在的问题

  对现存问题的解决一般存在两种途径,第一种严格按照科学、技术与工程的逐步推进,例如,密码学,起源于数学中的数论,其算法都存在形式完备的证明,然后利用计算机技术实现,最后实现产品化/ 工程化的过程。但是,不是所有的问题都存在这样定义良好的范式,这就导致了解决问题的第二种途径,即依靠经验。例如,信息安全就是一个非常宽泛的概念,很难通过证明得出某信息系统的安全性。因此,解决信息安全问题一般都是依据实践总结出来的经验。

  在这其中,James Backhouse 所领导的团队在1993年开发的“实用规则(A Code of Practice)”应用最广,即后来成为国际标准的ISO/IEC27002。形如ISO/IEC27002 这样的实践集在管理学中常被称作“最佳实践”,当然,没有绝对的“最佳”,这只是局限于认识水平上的相对概念,因此常被加引号使用。以此为基础,现在发展成为包含了60 个标准的ISO/IEC27K标准族,该标准族也深刻地影响了其他信息安全标准体系的设计。

  信息安全等级保护和信息安全管理体系(ISO/IEC27K 标准族)可以认为是国内组织在部署信息安全时最常见的两种“最佳实践”,但是在金融领域具体应用时,尤其是金融科技时代,仍然存在待改进的地方。

  (一)与金融网络安全相关的几个标准介绍

  在ISO/IEC27K 标准族中最基本的两个标准是ISO/IEC27001 和ISO/IEC27002,其中ISO/IEC27002 是实践集,ISO/IEC27001 则描述了一个方法论。两者都可以应用于所有类型的组织,并不专门针对某一类型。ISO/IEC TR 27015 是关于金融服务信息安全管理的指南,可以认为是ISO/IEC27002 的金融行业应用版本。除此之外,ISO/TC 68/SC2 还发布过ISO/TR13569:2005,专门从金融服务的视角讨论其中的信息安全。

  GB/T22239-2008 给出了信息系统安全等级保护的基本要求,相当于用不同的分类方式描述了另一种“最佳实践”,与其相关的标准还有定级指南、测评指南和实施指南等。等级保护的相关标准被修改为金融行业的行业标准,但主要用于指导实施(JR/T 0071-2012)和测评(JR/T 0072-2012 和JR/T 0073-2012),其中并不包含基本要求。

  严格意义上讲,以上标准都是针对信息安全的,并没有聚焦于网络安全(cybersecurity),因此需要讨论其适宜性。

  (二)从信息安全到网络安全的转变

  从通信安全、计算机安全和网络安全(networksecurity)等词汇到信息安全是认识上的一个飞跃,这使得定义从“关注重点从物理网络转到所承载的信息”,而从信息安全的定义扩展至现在经常讨论的网络空间安全(cyberspace security),则是研究对象的转移,这时候开始关注整个虚拟的网络空间,例如,两个人在微博上恶言相向,这不涉及信息安全问题,但是属于网路空间安全的范畴。需要指出的是,汉语中将“网络空间安全”缩略为“网络安全(cybersecurity)”存在一定的歧义,需要根据语境区别是哪一种网络安全。

  在金融科技时代,应该考虑到这种转变,因为金融业不仅在自然空间是真实存在的,在网络空间中也是不可或缺的行业,这两种空间的相互渗透不可避免,例如,比特币开始只存在于网络空间中,用来购买游戏装备等虚拟物品,现在也可以兑换现实中的货币。金融机构在其中的中介作用也开始显现,抛开平台安全,这并不是金融信息安全的关注重点。因此,金融信息安全也应该过渡到强调金融网络安全。

  (三)关于现有标准适宜性和普适性的问题

  由于标准的发布周期较长,许多机构为了避开繁杂的周期,保持适宜性,会主动选择报告的形式,例如,最早的ISO/IEC27002 版本。

  为了解决适宜性问题,对于出现的新技术,ISO/IEC27K 标准族一般会在原先架构上进行补充,例如,ISO/IEC27032:2012 网络空间安全、ISO/IEC27017:2015/ ITU-TX.1631 云服务安全、ISO/IEC27018:2014 公有云的隐私保护和ISO/IEC27036-4:2016 供应链角度的云服务安全等都是新增标准。

  GB/T22239-2008 系列关于等级保护的标准则改版为“网络安全等级保护”,对特定的新技术增加了安全扩展要求,例如待发布的GB/T22239 包括了云计算安全、移动互联安全、物联网安全、工业控制安全和大数据安全等。

  “最佳实践”一旦成为标准并发布,需要在一定时间段内保持一致。而且为了追求普适性,“最佳实践”一般会被抽象为“基线要求”,ISO/IEC27K 标准族虽然也发布有ISO/IEC TR 27015 等细分领域的标准,但对于中小银行的应用契合度仍然存在一定的问题。那么,如何确保其适宜性?在信息安全实践中,这很大程度上取决于采纳组织和咨询公司的理解,正如ISO/IEC27001:2005 引言中所述,“用户负责对其进行正确的应用”。

  三、提升金融网络安全的对策与建议

  综上所述,存在两个重要趋势:第一、在金融主营业务方面,金融与科技开始深度融合,进入金融科技时代;第二、在大环境方面,信息安全开始过渡到网络空间安全,在网络空间中,安全的范畴变得更大,不仅仅围绕“信息”为中心。

  针对这两种趋势,在战略层次,我们提出如下对策和建议。

  (一)开发契合度更高的“最佳实践”,并使之成为行业标准或团体标准

  正如IT 技术的“便利性”和“安全性”存在一定的矛盾,标准的“普适性”和“适宜性”也存在一定的矛盾,成为标准后的“最佳实践”也不例外。对于如何提高标准与组织之间契合度,积极开发行业标准尤其是团体标准是解决的路径之一。

  在现有标准基础上开发金融网络安全最佳实践,并不是简单地做一个“加强版最佳实践”或“裁减使用”。

  首先,应该重新定义金融网络安全,例如,ISO/IEC27000:2016 定义信息安全强调机密性、完整性和可用性,而ISO/IEC27032:2012 定义网络空间安全强调的顺序则是可用性、完整性和机密性。因为网络空间是建立在系统和网络基础上的社会建构,所以可用性成了重点。金融网络安全应该根据这个特点重新进行定义。

  其次,考虑金融科技的特点,新技术不再是“控制域”或者“扩展要求”。从长远来看,“创新扩散”的趋势是不可阻挡的。例如,复式记账与流水账相比,也实现了相互验证的分布式记账,与区块链技术存在一定的共性。回过头看,今天的各种“标配”都是昨天的各种“创新”。团体标准可以考虑放弃一部分普适性,追求更高的契合度和前瞻性。

  最后,单独强调一下作为“重灾区”的中小金融机构网络安全。因为之前局限于认识水平,诸多大公司都经历了“先发展,后治理”的弯路,例如,由于缺乏整体的安全规划,导致诸多信息系统的安全控制不是从设计阶段就开始,缺乏全生命周期的控制,普遍存在的SQL 注入攻击就是最好的例子。对于国内众多的中小金融机构而言,由于建立时间晚,信息化程度低,应该根据以上特点,积极利用后发优势,避免走老路,推进安全先行的金融科技。

  (二)推进服务机构专业化,逐步形成良好的金融网络安全业界生态

  虽然在网络安全业界存在诸多的服务机构,但是整体而言,由于各种原因,到目前并没有形成良好的教学相长的互惠生态。例如,大型服务组织对中小金融机构采取的是不分青红皂白地“倾倒式服务”,与此同时,小型服务组织对大型金融机构而言,却实际做成了的“人员外包”,即使门当户对的甲方乙方,也龃龉不断,很难形成共同成长的依存关系。究其原因,可能有以下几点。

  首先,原则上讲,专业化是社会分工的必然结果,但是网络安全是一个庞大的产业,加上是新兴行业,因此导致客户对服务机构的理解存在一定的偏差。与此类比,医疗也是专业化的庞大产业,由于其发展成熟,不找牙医看心脏病已经成为常识。这样简单的逻辑,在网络安全领域也很难形成共识。这是产业成熟度方面的固有因素。

  其次,在细分领域精耕细作的网络安全服务机构较少。细分领域有两个维度,一种是只提供特定的服务,发挥“工匠精神”,把某一类服务做到极致,例如,风险管理、ISO/IEC27001部署;另一种是深耕某个行业,精通客户主营业务,成为行业专家,例如,工控网络安全、金融网络安全等。对服务机构而言,细分领域的市场相对较小,在竞争压力下不免会采取四面出击的策略。

  最后,一个好的服务(咨询)机构,应该做到承上启下。承上启下也有两层含义,一是应该具有一定的学术研究能力和较强的转化能力,能够尽快地将最新的学术研究成果产品化,例如,本文中提到的James Backhouse 及其团队就是典范。另一种承上启下是指由于网络安全和金融都是强监管行业,企业面临的合规风险很高,服务机构应该是监管机构的智库,同时也是客户的教练。

  四、小结

  本文分析了在金融科技的背景下,金融机构所面临的新的网络安全风险,同时,也讨论了信息安全转向网络空间安全的背景下,由于强调的重点不同,导致已有“最佳实践”(或相关标准)的适宜性方面存在的问题。在此基础上,提出了我们的观点,即,一方面应该开发契合度更高的金融网络安全最佳实践,并考虑使其成为行业标准或团体标准,这对于中小金融机构而言尤为迫切;另一方面应该加强服务机构的能力建设,促进形成良好的业界生态环境。  

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网