新形势下商业银行网络安全威胁环境分析及信息安全体系转型研究
一、 引言
伴随着金融电子化需求的日益迫切和信息技术的日新月异,商业银行传统金融业务与新兴互联网技术正在经历密切的融合,这种融合促进了商业银行的金融模式创新和服务渠道转型,但同时也带来了严峻的网络安全威胁挑战。信息安全风险在银行信息化进程中一直受到监管部门的重视。
早在1999年,巴塞尔银行监管委员会就专门设立电子银行小组(EBG),并在2004年发布的《巴塞尔资本协议II》中将信息安全风险作为新型风险纳入总体风险框架中,使信息安全成为商业银行风险管理中的重要内容,随后全球各地区的银行监管机构都设立专门的IT风险监管部门,并推行严格的信息安全管理制度和框架,例如美国三大银行业监管机构制定的《电子银行最终规则》、《银行用户身份认证体系》等,欧洲中央银行发布的《ESCB信息系统安全政策》、《关键系统支付体系业务连续性纵览》等。我国银监会近年也陆续推出《商业银行信息科技风险管理指引》、《电子银行安全评估指引》等制度规范。2014年,在中央网络安全与信息化领导小组成立的大背景下,银监会发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,表明我国银行业对信息安全的重视程度已达到空前高度。在此趋势下,国内对银行信息安全问题的理论研究逐渐增多,如吴溥峰(2010)提出一个综合动态的网上银行信息安全体系框架模型,可有效降低、控制网上银行的运行风险。汪轶(2011)对商业银行信息安全风险的VaR计量方法进行研究,为建立完整的信息科技风险监管框架提供了依据。在移动金融发展的背景下,夏伟等(2012)对移动网银方案进行研究,提出了一种假设移动终端不可信的基于智能银行卡的移动安全网银解决方案。
银行业关系到国计民生和社会稳定,在当前日益严峻的金融信息安全威胁形势下,重新审视商业银行信息系统和安全管理体系中的缺陷,优化甚至重构已有的信息安全技术架构,实施安全管理与策略的升级转型,将成为我国商业银行构建自主可控的信息安全体系的重要内容。
二、 全球银行业网络安全威胁事件汇总及形势分析
纵观全球,无论从技术建设水平还是从风险监管环境看,银行业的信息安全体系相比其他行业更为成熟和完善,商业银行除了具有网络防御、信息备份、灾难恢复和系统性能保障等完备的信息安全保障措施,还要定期接受严格的合规检查。然而,随着银行自身业务电子化依赖程度的加深以及金融服务趋于开放互联,近年来全球银行业的网络安全威胁事件不降反升,严重影响了银行声誉和社会稳定,也打击了公众对数字金融的使用信心,这些威胁事件突显了金融领域信息安全问题的严峻性、持续性和衍生性。(1)在欧洲, 2007年~2010年,黑客先后多次攻破荷兰银行的防火墙,盗取了部分账户信息并成功进行了转账操作。2014年,俄罗斯央行和商业银行的在线服务遭受DDoS攻击,造成长时间服务瘫痪。2015年伊始,芬兰波赫尤拉银行和瑞典北欧联合银行同时遭受了24小时持续性DDoS攻击,致使其停止线上服务访问,经调查本次攻击技术并不复杂,实施者可能是业余黑客。(2)在美洲,2011年,美国花旗银行数据库系统被黑客侵入,20万用户的信用卡信息被盗。2014年,摩根大通发现黑客利用复杂的技术潜入其内部网络2个月,窃取了8 300万客户资料等大量情报,震动了奥巴马政府,经调查攻击者来自当时正被西方经济制裁的俄罗斯,可能有国家黑客背景。(3)在亚洲,2012年,香港汇丰银行的汇丰理财服务等全球多个网站受到攻击,经调查可能系伊斯兰极端组织所为。2009年~2014年,韩国友利、韩亚、农协、济州等银行多次遭遇大型网络攻击,致使网络瘫痪,全国柜台和ATM无法提供数字服务,甚至灾备系统全部失效。2014年更是发生了银行信用卡信息泄露事件,导致韩国全民排队更换信用卡,影响了社会秩序。(4)在非洲,2012年南非邮政银行遭受一次策划已久的网银偷盗活动,黑客通过潜入内部员工计算机数月闯进银行核心系统,共盗取700万美元。
经过对上述安全事件的汇总分析,可以发现银行业网络威胁环境正面临着新形势,不仅涉及安全管理和技术问题,背后还常常伴随着国家政治经济环境问题,信息安全风险边界呈现出扩大化、分散化的趋势,主要表现在以下几点:
1. 从威胁模式看,商业银行面临多样化的网络攻击形式,高等级攻击增多。从案例中可以发现,商业银行面临的最主要的网络威胁是资金盗窃、数据泄露以及系统服务中断。具体到攻击模式,商业银行由于数据资产附加值高且安防体系健全,攻击者愿意付出更大代价,尝试新型复杂的技术手段和社会工程方法。一是针对大型银行系统的APT攻击日渐流行,其攻击行为潜伏策划期长,入侵行为隐蔽,通过层层渗透逐步获取核心系统权限;二是对于“零日”漏洞,攻守两端存在知识不对等的局面,已成为网络攻击中最有效的突破口;三是很多案例中反映出攻击者已不仅仅依靠单纯的技术手段,还表现出周密的侦察组织能力以及对银行业务流程的熟悉,甚至还出现内部技术人员参与协作的情况。
2. 从涉及地域看,信息安全风险正在威胁全球范围的商业银行。区别于实地"抢银行"的概念,在互联网金融时代,黑客已突破洲际地域界限,可以将任何区域的商业银行信息系统作为攻击目标,开展有组织的网络窃取和破坏活动,针对商业银行的网络攻击行为已成为全球性的普遍问题。从案例中可以看出无论是位于全球金融中心的美国摩根大通,还是远在非洲的南非邮政银行,都出现过较为严重的网络威胁事件记录,很多银行还不止一次的遭受黑客攻击。随着国内商业银行线上经营环境的快速开放,网络威胁事件发生的概率将进一步提高。 3. 从成本投入看,攻击成本和防御成本呈现严重不对称性。商业银行在安全设施、人才培养和技术研发方面的投入正逐年增加,例如摩根大通宣称其2014年的网络安全开支已达25亿美元,并配备了上千名专职员工,远高于IT巨头谷歌公司,但庞大的投资并未阻止其2014年发生严重的信息泄露事件。随着同类业务的泛化、攻击方法的简化和恶意工具的普及,网络攻击难度和成本正在降低,很多案件的攻击者文化水平并不高,甚至使用开源工具和简单技术即能实施攻击,即便无法实现难度较高的资金和信息窃取,也存在利用蛮力方法造成服务中断的可能。
4. 从外部因素看,网络安全与地缘政治、民族宗教等问题紧密相连,存在跨界震荡。当前,国际政治、军事、宗教等领域发生区域冲突和争端越来越多的转嫁于网络空间,带有政治意图或意识形态的网络威胁大幅增加,最典型的例子是2010年美国利用“震网”病毒入侵伊朗核设施网络,成功改变了系统相关参数,导致伊朗核计划延迟。思科在2015年度安全报告中首次将地缘政治因素纳入网络安全威胁考量。从全球银行业网络安全威胁的案例中,同样能发现“国家黑客”或恐怖主义所带来的影响。因此,商业银行作为国民经济的命脉,其网络安全环境必然与外部情报态势存在联系。
三、 我国商业银行应对网络威胁遇到的困难与挑战
全球金融信息安全形势为我国商业银行的经营发展敲响警钟,以人为镜,可以明得失,从不同维度分析我国商业银行在新形势下存在的信息安全风险,主要存在以下几点困难和挑战:
1. 系统架构日趋复杂考验自主可控能力。这主要涉及两个方面:一是国内银行网络基础设施和核心业务系统长期依赖国外厂商的技术和设备,国外IT厂商的大型机、小型机、数据库、存储设备等在国内银行业处于垄断地位。基础设施和核心架构受制于人,无法实现安全自主可控。二是信息安全技术架构日趋复杂,业务系统增长使安全加固点增多,不同网络位置的安全设备产生海量、多源、异构的原始流量信息和安全日志,同时业务数据本身也隐藏安全风险,目前尚欠缺对这些数据有效的关联分析和安全联动,难以掌握整体网络安全态势,实现安全可控。
2. 新兴业务应用的增长带来安全隐患。移动金融、网络理财、第三方支付、企业网络融资、直销银行等新应用的出现使银行线上业务链条拉长,漏洞隐患随之增多,不仅带来了技术安全问题,还表现出业务安全隐患,传统的信息安全风险评估方法已难以适应。更根本的原因是目前银行的安全体系建设并未纳入到业务发展整体中考虑,导致业务发展与安全建设脱节。
3. 网络数据量的上升引发性能瓶颈。随着传统金融业务进一步向互联网迁移,网络流量呈指数级上升,网络设备数据报文转发速率要求越来越高,银行系统产生的海量数据为现有安全设备与分析方法带来了性能考验,一是对于事中的流量安全检测,实时处理、检测和响应难度加大,二是对于事后的安全审计与取证,对海量数据归集存储能力和快速全文检索能力提出较高要求。
4. 新型攻击模式考验防御技术体系。从对现有案例的分析发现,APT等新型攻击已逐渐成为网络攻击者渗透大型商业银行网络的常态化模式,这类攻击具有潜伏期长、不确定性强、弱特征的特点,善于利用未知漏洞形成单点突破,再逐层开展内网渗透,慢速的窃取数据或有计划的破坏网络。现有防御思路更关注单点防御和阶段性防御,对于新型攻击模式缺乏有效应对手段。
5. 信息安全管理手段仍存较大缺陷。目前,商业银行通常采用较为成熟的信息安全管理规范来制定安全管理制度,其中运维保障、网络隔离、数据加密存储等技术性基础工作一般完成较好,但人员管理成为难点。核心科技人员和外包技术人员的增多,使银行网络设备及敏感数据越来越多的机会被直接操作,增加了系统不确定性和数据泄露的风险。
四、 我国商业银行信息安全体系建设转型要点
外部威胁环境的变化、监管合规要求的提高以及自身业务系统架构的复杂化都要求商业银行在信息安全体系发展建设中进行多方位转型,以实现整体的安全自主可控。本文主要从系统架构、安全技术、风险评估、安全管理和安全规划五个维度对商业银行信息安全体系转型进行要点分析。
1. 系统架构向自主可控转型。“棱镜门”事件反映出以国外软硬件产品为核心的银行信息系统存在安全隐患,根据国家政策导向趋势,“去IOE”已成为国内各大银行不得不面对的问题。然而“去IOE”并不等于生硬的国产化替代,在具体实施时将面对极为复杂的技术挑战和业务风险。要解决好这个问题,商业银行应化被动为主动,把国家层面自主可控战略作为一次系统架构升级转型契机,以业务长期发展需求为核心统筹规划,改善自主创新环境,逐步向高弹性、可扩展的架构模式转型,一方面实现对IOE架构依赖度的降低,另一方面实现业务发展的自主可控。这个问题可以借鉴互联网企业的成功经验,例如阿里巴巴从2007年开始实施“去IOE”计划,到2012年最后一台IBM小型机下线,共历时5年,主要思路包括:一是一切以业务为导向,逐步向云计算服务模式迁移;二是向x86架构转型,降低成本;三是开源软件与自主研发相结合的技术发展路线;四是通过业务创新推动技术创新,实现基础架构的高可用(例如“双十一”、“抢红包”等新兴业务访问量大,使后台技术能力不断站上新的台阶)。
2. 安全技术向大数据智能安全升级。传统的安全软硬件产品如杀毒软件、入侵检测、Web防火墙等,主要解决的是单点安全问题,且多是基于特征码和规则库的检测方法,缺乏网络全局的安全态势感知能力和基于行为的智能分析手段,无法应付新型的高等级威胁。基于大数据技术的智能安全将是银行安全技术转型的方向,著名信息技术咨询公司Gartner(2014)预测2016年25%的国际型大公司会将大数据技术应用于至少一个安全或异常检测中。大数据智能安全技术主要包括两大部分:一是安全数据的感知归集。主要任务是对异源异构的安全数据进行采集、过滤、存储和格式化,对于银行系统,数据源不仅要包含网络设备的流量数据和应用系统的服务日志,还要包含业务系统的各类操作日志,为后续的安全分析和取证提供基础。二是安全数据的关联分析。建立在大数据存储的基础上,安全防护具备了长周期检测和异源异构关联分析条件,Hadoop、Spark等技术的发展为海量数据的高效并行计算为技术团队基于大数据的安全建模能力。 3. 风险评估向动态开放方向转型。目前,我国商业银行主要是遵从或参考《商业银行信息科技风险管理指引》、《信息安全等级保护管理办法》、GB20984 、ISO27001、COBIT等国内外较为成熟的安全评估管理标准和规范,开展信息安全风险评估、测试、改进等工作,以满足内部控制和合规管理的要求。从实际效果看,这些标准在实践中有效帮助商业银行建立了规范完善的信息安全评估管理体系,能够及时发现风险并采取控制措施。而在新技术条件下,现有的评估管理体系略显机械,很多评估结果仅是列出孤立的风险项,无法反映核心问题,以年为周期组织的评估活动也无法适应不断变化的网络威胁环境。建议在现有风险评估体系基础上增加灵活性:一是可酌情引入“白帽子”评估测试机制,“白帽子”漏洞发现能力强,评估方法客观,可避免评估思路的固化单一;二是常态化的开展动态局部的评估活动,而不是简单应付几月一次的整体合规检查;三是对新业务开展有效的专项安全评估,例如手机银行安全评估、私有云安全评估等。
4. 安全管理应突出“以人为本”。人是信息系统的拥有者、管理者和使用者,据统计,只有20%~30%的信息安全事件是因为纯黑客入侵或其他外部原因造成,另外70%~80%都存在内部员工的疏忽或有意泄漏。商业银行在落实信息安全管理制度时,应将人员管理作为安全管理的核心。一是进行细粒度的系统权限划分,根据内部人员开发、维护、管理职责和级别的不同进行权限分配,规范操作流程,避免修改删除自操作日志等情况。二是在外包项目中要加强对第三方人员的操作监控,对于核心数据读取和计算场景,增加数据同态加解密、数据脱敏等机制。三是强化日常运维、应急响应、安全专家等专设小组的职能定位和能力建设,打造立体化的信息安全管理队伍。四是定期开展信息安全培训和演练,提高全员安全意识和安全技能。
5. 安全规划要与银行战略和业务需求相捆绑。传统的安全规划更像是安全设备和产品的采购方案,关注眼前的安全防护,并与实际业务脱节严重,在商业银行线上业务快速扩展的背景下,这种规划方法已远远不够。商业银行信息安全规划必须更具前瞻性,要从企业战略和业务需求出发,追求规划的持续性、实施的可操作性以及应用实施时的弹性。国际流行的EA、TOGAF、SABSA等架构模型都为商业银行安全规划转型提供了参考,其核心思想都是建立从企业战略、到业务需求、到系统架构、到技术架构、到实施管理、再到新业务和架构变更的全生命周期安全规划框架。
