國內外金融業信息安全綜述

李連朋，羅宏

（1. 中國人民銀行總行，北京 100800；2. 中國人民銀行成都分行，四川 成都 610041）

國內外金融業信息安全綜述

李連朋1，羅宏2

（1. 中國人民銀行總行，北京 100800；2. 中國人民銀行成都分行，四川 成都 610041）

從金融信息化、金融信息安全概念著手，就當前國內外金融業信息安全面臨的包括網絡安全、數據安全和業務連續性安全在內的主要風險展開綜述，對業界一些有效技術和控制措施進行介紹，并給出相關啟示和提出建議。

金融信息安全；金融信息化；信息安全；風險控制

1 引言

金融是一個國家國民經濟的命脈，金融業發展與變革牽動全球各行業的神經系統。自20世紀60年代以來，計算機科學發展與應用顛覆了傳統金融業的運營模式，金融產品與服務不斷推陳出新，金融核心業務與信息技術呈現緊耦合。進入21世紀，以互聯化、數字化、智能化為標志的信息技術創新出現深度融合、廣泛應用和快速變化的特征，物聯網、移動互聯、大數據、云計算、區塊鏈等新技術的研究應用，深刻地影響著人們的生活形態和行為方式，也同步引領和改變現代金融業發展的戰略、理念和行動。

信息科技儼然已成為現代金融發展的基礎和支柱，全球各國金融行業的基礎業務、核心流程、客戶關系、行業間往來等事務和活動都運行在信息化基礎設施之上，關鍵、敏感數據都以電子化、數字化形式存儲在信息系統和信息設備中，海量信息和數據通過封閉或開放、專用或公用的電子網絡完成傳輸和交換。金融業具有行業特殊性，經營和管理巨額資金的同時，高度運用信息技術開展業務，存儲重要和敏感數據信息，對信息安全的需求極為苛刻，信息安全已融入到金融信息化的全生命周期。隨著移動互聯網技術的廣泛應用，金融犯罪呈現網絡化、高科技化和快速敏捷化特征，金融信息安全受到威脅和挑戰。

2 金融信息化簡介

2.1 金融信息化的概念

維基百科（Wikipedia）[1]對金融信息化做出3個方面的釋義。1) 金融信息化是指在金融領域全面發展和應用現代信息技術，以創新智能技術工具更新改造和裝備金融業，使金融活動的范圍和重心從物理空間向信息空間轉變的過程。2) 金融信息化是信息技術（如計算機技術、通信技術、智能技術、控制技術）廣泛應用于金融領域，引起金融理論與實務發生革命性、根本性變革的過程。3) 金融信息化是構建在由計算機、通信網絡、信息資源和人力資源四要素組成的國家信息基礎框架之上，由具有統一技術標準，通過不同速率傳送數據、圖形圖像、音頻視頻的綜合信息網絡，將具備智能交換和增值服務的多種以計算機為主的金融信息系統互聯在一起，創造金融經營、服務和管理新型模式的系統工程。

2.2 金融信息化的發展歷程

全球金融行業信息化發展歷經了3個重要階段[2]。1) 金融業內部信息化建設。其主要以銀行業為代表，參考傳統會計業務活動進行流程再造，運用計算機技術、網絡技術和存儲技術構建銀行內部業務處理系統，即技術先進且相互協調的柜面業務服務網絡以及以經營管理為目標的銀行管理綜合信息系統網絡。2) 金融業之間橫向信息系統建設。隨著各項業務往來的頻繁，銀行間的票據和現金轉賬結算業務急劇上升，資金清算的及時、有效處理成為提高銀行經營管理效率的重要措施。發達國家的大型銀行之間以及全球性金融服務機構開始建立統一、標準化的資金清算體系，以實現快速高效、安全可靠的資金清算。例如，環球同業銀行金融電訊協會的全球銀行結算網絡系統（SWIFT）、美聯儲電子資金轉賬系統（FEDWIRE）、美國紐約清算所銀行同業支付系統（CHIPS）、日本匯票與支票清算系統（BCCS）、日本銀行金融網絡系統（BOJ-NET）、中國人民銀行的現代化支付清算體系（大小額支付系統、網上支付跨行清算系統和人民幣跨境支付系統）等，這些金融信息化設施的建立在降低交易成本的同時，加快了金融交易速度，為客戶提供多種新型金融服務。3) 金融業面向客戶的信息系統。金融企業推出面向社會公眾的各類智能化、自動化服務，建立全方位的客戶服務網絡系統，包括金融機構面向企業客戶建立企業金融平臺，以及金融機構面向社會大眾建立的電話金融、網絡金融、移動金融，通過各類電子服務終端為客戶提供全面、多樣化的金融服務。

從全球金融信息化發展看，呈現2個方面的轉變[3]。首先，金融信息的技術化很大程度改變了金融經營環境，金融體制、經營方式和運營模式發生根本性變革，先進信息技術已成為金融變革的主要驅動力和支撐力。其次，金融信息服務呈現產業化發展模式，運用金融電子化技術為客戶提供更加優質的金融業務支持與金融信息服務。金融機構通過金融信息化產品為客戶提供“5A”（anyone、anytime、anywhere、anyway、anyservice）服務，持續提升金融服務水平和質量。近幾年，隨著移動互聯網普及應用，以大數據和云計算為主導的新興技術再一次引領金融行業進入新的信息化時代——互聯網金融（ITFIN）[4]。互聯網金融是傳統金融機構與互聯網企業利用互聯網技術和信息通信技術實現資金融通、支付、投資和信息中介服務的新型金融業務模式，互聯網金融是在實現安全、移動等網絡技術水平上，從用戶體驗角度出發，設計、開發的金融新模式及新業務，是傳統金融行業與互聯網技術相結合的新興領域。

3 金融業信息安全

3.1 信息安全的概念

信息安全的范圍非常廣泛，從國家層面講，信息安全關系到國家利益和安全；從組織機構層面看，信息安全關系到組織的信息資產和商業機密，關系到機構的正常運作和持續發展；就個人而言，信息安全是個人隱私保護和個人財產安全的客觀要求。無論是國家、組織機構還是個人，保證關鍵信息資產和重要數據的安全性都十分重要。信息安全的目標，就是采取有效措施（技術方法、管理行為和強制措施）使信息資產受到保護，或者將威脅的后果和風險的可能性降到可容忍程度，以維護信息主體的權益。表1列舉了業界對信息安全的定義[5～8]。

本文認為國際標準化組織對信息安全的定義更具通用性。從微觀角度看，信息安全主要是指信息生產、加工、傳播、采集、處理直至提取利用等信息傳輸與使用全過程中的信息資源安全，信息安全的核心是信息處理過程的安全、信息存儲環境的安全以及信息傳輸和數據交換過程的安全這3個方面。從宏觀視角看，信息安全是國家的信息化產業能力，以及信息技術體系能夠抵御外來威脅與侵害，強調的是全面信息化產生的信息安全問題：一方面泛指信息技術和信息系統發展的安全；另一方面特指國家重要信息化體系（如國家金融信息系統、國家通信信息系統、國防信息系統等）的安全。隨著網絡技術的發展，信息安全的內涵已經發展為信息系統運行安全、數據信息安全和通信網絡安全，包括物理環境安全，軟件、硬件和網絡系統安全，信息保密安全，組織和個人隱私安全，信息系統基礎設施與國家信息安全。

3.2 金融信息安全的主要屬性

金融信息安全是信息安全在金融行業中的應用，除了具備廣義信息安全的通用定義和特性外，還具有一些關鍵屬性。根據ISO/IEC 27001∶2013信息安全管理體系，結合金融業對信息安全的主要需求，金融信息安全具有9個關鍵屬性（如表2所示）。

表1 信息安全的概念

表2 金融信息安全的屬性特征

總的來說，金融信息安全研究的領域和范疇與一般信息安全有較多相似性，但從行業應用來看，更加注重涉及保密性、完整性、可用性、真實性、可追溯性、可靠性保護和連續性等方面的技術和理論。

3.3 金融業信息安全事件和事故回顧

按照ISO/IEC 27001∶2013標準解讀及改版分析，信息安全事件是指識別出發生的系統、服務或網絡事件，表明可能違反信息安全策略或防護措施失效，或以前未知的與安全相關的情況。信息安全事故是指一個或系列非期望的或非預期的信息安全事件，這些信息安全事件可能對業務運營造成嚴重影響或威脅信息安全。

對于金融信息安全事件，由于金融業多金的本質，長期以來，全球各類非法組織、不法分子不斷研究和嘗試運用各種先進技術手段，利用金融企業管理和金融信息系統的信息安全缺陷和脆弱性，策劃和組織金融犯罪活動，資金損失、信息泄密事件層出不窮。此外，金融業一些內部從業人員，也因為利益的驅使，放下道德底線，從內部竊取數據或越權操縱，導致安全堡壘從內部被攻破，內外安全問題夾擊，使金融業信息安全更加危機四伏。

對于金融信息安全事故，金融信息化建設促進金融業信息化程度高度發達，但由于核心業務和核心數據高度依賴信息系統，系統任一環節的運行故障或操作失誤都可能會造成嚴重事故，關鍵數據的損失可能會對金融企業和金融行業造成致命打擊。而信息系統運維失誤、外部因素導致的系統運行連續性事故往往是產生金融信息安全事故的主要來源。表3收集了互聯網上公布的近3年來全球范圍發生的金融信息安全事件和事故。

3.4 金融信息安全主要風險及控制措施

3.4.1 網絡安全風險

現代金融信息化已經高度依賴網絡技術，網絡是現代金融的基礎，也是金融信息安全的關鍵環節，網絡安全風險是目前金融業的頭號信息安全風險。據普華永道國際會計事務所（PwC）2016年發布的《關于全球金融犯罪活動的調查報告》[9]顯示：在金融犯罪活動中，利用網絡實施犯罪已成為主要手段，出現的頻率越來越高。近年來，網絡犯罪分子找到了一些新的攻擊方式，如網絡釣魚攻擊、針對某個特定目標的魚叉式釣魚攻擊、以及融合了社會工程學技術的攻擊等。隨著IT技術不斷向前發展，這些網絡攻擊手段也變得更為復雜，給金融行業的網絡安全造成了嚴重的威脅。安永國際會計事務所2016年發布了《第18屆全球信息安全調查報告》[10]，結果顯示：隨著數字化的快速發展，盡管全球金融行業在構建網絡安全方面已取得積極進展，但由于網絡攻擊者不斷尋找更新、更具侵入性的攻擊方法，網絡威脅的性質也隨之發生變化，全球1 775家被調查企業中近三成無法識別出復雜的網絡攻擊；其中，犯罪集團（59%）、內部員工（56%）和黑客組織（54%）是排名前三位的最有可能的網絡攻擊來源，同時，國家背景攻擊者（35%）位于該榜單的第六位。

表3 近3年來全球金融信息安全事件和事故

1) 網絡應用漏洞與脆弱性

美國專業從事安全基準評估公司Security Scorecard[11]2016年調查發現：在全球7 111家金融企業中，有1 356家企業的網絡至少存在一個CVE（common vulnerabilities & exposures)漏洞，并且仍未得到修復，而其余企業至少受到2個CVE漏洞的影響。其中，有72%的企業主要是受到CVE 2014-3566（poodle）的影響；另有38%的企業受到CVE 2016-0800（drown）的影響，23%的企業受到CVE 2015-0204（freak）的影響。此外，金融信息系統常見的漏洞還有CVE-2014-0160（heartbleed）、CVE-2014-6271（bash）等，這些漏洞能夠對網絡和主機系統的安全造成嚴重缺陷。Symantec[12]最新數據顯示：2015年內發現的零日漏洞是2014年的2倍，數量高達54個，高級別的網絡犯罪組織通常最先利用零日漏洞實施網絡攻擊，或將漏洞出售給低級別攻擊者以從中獲利。

在國際網絡安全組織OWASP[13]（open Web application security project）公布的金融業網絡安全漏洞造成的入侵行為中，跨站腳本（cross-site scripting）、注入漏洞（injection flaw）、遠程惡意軟件執行（malicious file execution）、跨站冒名請求（cross-site request forgery）、身份驗證功能缺失（broken authentication and session management）、未加密的存儲設備（insecure cryptographic storage）、未加密的網絡聯機（insecure communication）以及無權限的控制（failure to restrict URL access）等是當前最容易遭到利用的網絡漏洞類型，由于大量的金融應用和服務運行在內部網絡和公眾網絡，操作系統和應用系統本身的安全漏洞或脆弱性缺陷被同步放大到網絡環境，這些漏洞容易造成大面積影響。

雖然大型金融機構對網絡應用級漏洞造成的信息安全問題保持高度警惕，但全球仍有大量中、小型金融機構因為網絡漏洞控制缺失導致信息安全控制受損，甚至影響到內部業務流程和資金安全。目前，針對網絡應用漏洞，主要采取被動型系統級漏洞檢測和主動型網絡漏洞掃描的結合，系統級漏洞檢測根據漏洞庫配置策略執行基于應用、主機和目標的檢測；網絡漏洞掃描則通過編制腳本模擬攻擊行為，檢測目標網絡和應用場景的安全性。系統管理員收集漏洞檢測結果，研究分析是否采取進一步糾正措施。

2) 網絡攻擊檢測與防御

直接或間接網絡攻擊是當前金融業信息安全面臨的最嚴峻的網絡安全威脅，也是對金融業信息安全基礎設施造成損害的重大風險之一。從全球網絡安全和管理解決方案頂級企業Arbor Networks[14]公布的2016年上半年全球分布式拒絕服務（DDoS, distributed denial of service）攻擊數據來看，規模最大的DDoS攻擊流量達到579 Gbit/s，較2015年提高73%，平均大小為986 Mbit/s，較2015年增長30%；全球平均每周會發生124 000起DDoS攻擊事件，流量超過100 Gbit/s的DDoS攻擊274起，流量超過200 Gbit/s的DDoS攻擊46起，美國、法國和英國成為大部分流量超過10 Gbit/s DDos攻擊的目標。從DDoS攻擊目標中分析，針對金融業服務和互聯網商務的攻擊比例分別高達42%和37%，對金融機構、互聯網服務提供商（ISP）和政府機構發動的流量超過400 Gbit/s。在如此暴力的攻擊下，全球任何一家金融機構的網絡系統和主機系統都難以承受壓力，系統及業務連續性受到嚴重威脅。圖1是來自Arbor的DDoS應用層攻擊分類統計數據。

根據Arbor預測，當前DDoS攻擊的趨勢變化為：① 攻擊動機發生變化，黑客行為、蓄意破壞已不再是引發DDoS攻擊的最主要原因，而轉變成不法分子展示其攻擊實力的重要手段，并且這些攻擊也常常與企圖進行的金融犯罪有關；②攻擊規模不斷增長，規模最大的攻擊規模已經超過10年前的60倍；③ 復雜攻擊逐步興起，56%的機構同時遭到針對基礎設施、應用及服務的多矢量攻擊，更有93%的機構受到了針對應用層的攻擊；④ 反射放大攻擊平均規模增長迅速，一些大型DDoS攻擊所使用的DNS服務器，運用反射放大技術允許攻擊者增大流量；⑤ 防火墻在抵御DDoS中持續失敗，面對大規模DDoS攻擊，許多防火墻不是運行中斷就是發生故障，無法起到防御作用。

圖1 DDoS應用層攻擊目標分類

金融信息安全針對DDoS攻擊風險采取的措施通常在網絡邊界和核心網絡外圍部署攻擊檢測和防御網絡硬件設備，同時結合多層次網絡拓撲結構設計，實現對網絡攻擊的預防和控制。具體的安全技術體現2個層面[15]：網絡層攻擊檢測和控制、應用層攻擊檢測和控制。具體如下。

網絡層攻擊檢測和控制。DDoS在網絡層攻擊首先會引起不同協議類型數據分組的數量分布發生變化，也會導致相同協議不同類型數據分組在數據分組頭信息、訪問源地址數量及分布、數量比例等多個方面發生變化，同時會導致鏈路嚴重擁塞，數據傳輸時延迅速增加。根據防御控制設備在網絡結構中部署的位置，DDoS網絡層攻擊控制可分為源端遷移控制（source）、中間層限流控制（intermediate）、末端阻斷控制（victim or end）以及采用專門設計的網絡體系結構和網絡安全協議實施控制。

應用層攻擊檢測和控制。與DDoS網絡層攻擊不同，DDoS應用層攻擊在網絡層沒有明顯異常特征，上述DDoS網絡層攻擊的檢測方法不適用于DDoS應用層攻擊，必須通過應用層協議開展檢測和分析。DDoS應用層攻擊比較突出的特點是導致應用服務的訪問量大幅增加，同時伴隨出現一些明顯特征。例如，不同于正常訪問，單個用戶發起的訪問請求數變大，出現大量地址聚簇（cluster），訪問地址分布及訪問量相對均勻，訪問請求也集中在少數消耗較多主機處理能力的服務文件。DDoS應用層攻擊控制的研究主要側重于如何區分正常數據流和異常數據流，一般分為基于行為模型的方法（根據網絡分層模型理論按照速率、時間和請求對象序列建立行為觀測模型）以及基于流量測試的方法（根據活躍流量的自相似性和統計分析方法建立的測試模型）。這些模型是根據金融業務服務的主體和業務類型來設計和定制的。

3) 網絡訪問控制

網絡訪問控制是網絡安全控制最基本的技術和手段，一般通過網絡硬件設備（如路由器、交換機）、硬件軟件一體化設備（防火墻）以及應用軟件（網絡管理服務）等途徑實現，但由于金融系統網絡體系結構復雜，網絡上的各類設備、應用、人員都需要配置不同的訪問控制范圍和權限，網絡內外部訪問關系錯綜復雜，因此訪問控制也是容易出現漏洞和缺陷的環節。此外，金融信息網絡在一定程度上具有開放性，即便是金融內部網絡，局域網絡范圍內也具有相對開放性。網絡的開放性，致使網絡中的身份識別、攻擊源查找困難，病毒、木馬、入侵、IP欺騙、DNS欺騙、虛假身份和有害信息等層出不窮，嚴重威脅著網絡運行的穩定性和連續性。

金融系統網絡需要構建一個安全可信的網絡環境，可信網絡連接[16]（TNC, trusted network connect）是確保網絡訪問者的完整性。TNC的結構分為3層：① 網絡訪問層，從屬于ISO/OSI網絡體系結構的網絡互聯和安全層，支持虛擬專用網（VPN, virtual private network）和IEEE 802.1X等技術，該層包括網絡訪問請求（NAR,network access requests）、策略執行點（PEP, policy enforcement point）和網絡訪問管理（NAA, network access authority）3個組件；② 完整性評估層，該層依據一定的安全策略評估訪問請求者（AR, access requests)的完整性狀況；③ 完整性測量層，這一層負責搜集和驗證AR的完整性信息。目前，國外金融企業的最佳實踐核心框架采用安全準入控制技術實現TNC可信網絡連接框架中的用戶身份識別和用戶安全檢查，保證合法和符合安全條件的終端接入網絡。目前，可用于終端身份驗證的技術包括終端準入域控制（EDA，end user admission domination）、網絡擴展認證協議（EAP, extensible authentication protocol）、Portal協議，其中，EAP包括EAP-TLS、EAP-PEAP、EAP-MSCHAPV2等，Portal協議包括認證（authentication）、授權（authorization）、記賬（accounting）等。此外，TNC可信網絡連接框架中定義了網絡行為檢測和管控要求，通過分級授權限定用戶接入網絡后的行為，準予不同的用戶終端和角色訪問不同網絡資源，賦予運行不同網絡應用的權限，并且采取服務質量保證（QoS）為用戶終端分配差異化的網絡帶寬資源等。目前，金融機構還普遍采用了網絡審計技術，目的是監控用戶接入網絡的行為、接入網絡后的網絡訪問行為，以及用戶終端操作行為，及時發現非法接入和非法操作行為，提高網絡運行安全性。3.4.2 數據信息安全風險

美國“棱鏡”事件發生后，全球對數據信息安全的意識空前提高。金融信息化環境下，數據是金融業的核心和生命，金融業數據除了金融機構自身的行業運營和組織管理數據外，更多是各類客戶的海量數據，包括賬戶數據、交易數據、投資融通數據、客戶基本信息等，這些數據信息的重要性和機密性不言而喻，這些數據信息同時具有潛在的商業價值，也是金融犯罪活動瞄準和關注的目標。因此，金融行業自身以及監管機構對金融數據信息安全的要求非常苛刻，數據在產生、傳輸、處理、交換、存儲和處置的全過程必須保證數據的完整性、一致性、真實性和保密性。同時，數據在訪問和使用過程中需要進行嚴格的權限控制，避免越權和非法獲取數據。

1) 數據加密

數據加密是信息安全的核心，也是金融數據信息安全的關鍵屬性之一，通過應用加密技術，重要信息數據的保密性、完整性、可用性以及抗抵賴性能夠得到有效保證。目前，國內外金融信息安全主要采用的加密技術是對稱加密（私鑰）、非對稱加密（公鑰）。

如果加密和解密數據所使用的密鑰相同，或者盡管不完全相同，但可以通過較簡單的方式由其中任意一個推導出另一個，這種密碼體系屬于單密鑰的對稱密碼，又稱私鑰密碼。分組密碼將明文消息編碼分組后，在密鑰控制下變換成等長的輸出數字序列，是一種典型的私鑰密碼，如美國數據加密標準DES、IDEA算法、Skipjack算法、Rijndael算法等。分組密碼技術的研究和應用目前已經比較成熟，如美國國家標準技術研究所在2001公布的AES加密標準。DES、AES標準是當前金融業在支付報文交換、銀行卡數據加密中普遍采用的對稱密碼技術。

如果加密和解密數據使用的相互密鑰完全獨立，即加密和解密分別使用不同的密鑰實現，且加密密鑰（公鑰）和對應的解密密鑰（私鑰）是完全不可逆的，這種密碼體系屬于非對稱密碼。國內外金融業應用最廣泛的是1978年Rivest等提出的RSA公鑰體制。非對稱加密算法比對稱加密算法慢數千倍，但在保護數據安全方面，非對稱加密算法十分可靠。

2) 數據完整性和抗抵賴性

保障交易信息在網絡傳輸中的完整性和合法性是金融交易信息安全的關鍵。數字證書機制普遍被金融信息安全用來保護數據相關方的機密信息和交易不被未經授權的人截獲和竊取。數字證書基于公鑰/私鑰對（DES/RSA），每一個密鑰都是獨一無二的，每個用戶的身份與一份證書綁定，具有唯一性。數字簽名使用散列算法（散列函數），如MD5、SHA-1等從數據報文中提取一個摘要，但這個摘要也是不可逆的，不能通過相同的散列算法恢復原始信息，因此摘要非常安全，不會留下任何最初明文的痕跡；但如果原始信息受到任何改動，則接收方計算出的摘要與發送方生產的摘要完全不同，數據的完整性因此得到保證。

數字證書經合法的、權威的第三方證書授權中心CA（certificate authority）簽發，確保數字證書的有效性和真實性。目前，全球最大的PKI/CA運營商VeriSign為全球90%的大型金融機構提供數字信任服務，在我國，中國金融認證中心（CFCA，China Financial Certificate Authority）為國內金融機構、支付機構提供安全身份認證服務。

3) 反欺詐

中國獵網平臺[17]發布的《2015年網絡詐騙趨勢研究報告》顯示，2015年國內發生網絡詐騙舉報24 886例，涉及金額1.27億元。面對當今金融欺詐行為高居不下的態勢，近年來，國際先進金融機構把金融理論、統計分析技術和信息技術等結合起來，不斷完善反欺詐的定量管理技術。比如，發達國家的大型銀行，企業級反欺詐監控體系已經初步形成，核心目標是防止欺詐風險在銀行內部業務、人員和產品間進行轉移。目前，國際金融反欺詐研究[18]主要基于3個方面。一是交易行為特征分析。主要內容是構建實體行為檔案庫，要素包括使用的設備、關聯賬戶、交易類型、用戶偏好等行為特征數據，這些行為數據記錄和總結了這些實體在一定時間段內的交易行為特征，如平均交易金額、常用的交易方式等。在交易過程中，實時將當前交易的特征值與歷史檔案庫資料進行比對，計算出偏離值，分析判斷該筆交易發生欺詐的概率。二是智能模式識別。智能模式是一種量化模型，主要用于測算欺詐風險，將獲取的交易行為特征變量加載到模型中，得出評價結果并與模型指標控制值進行比較，衡量交易的欺詐風險，并將欺詐風險按等級分類。智能模式的起點是用戶交易的第一個行為，每次經過評估計算后，將相應的風險評估值賦予交易行為，為選擇哪種合理的智能模式，采取怎樣的反交易欺詐策略提供科學依據，對欺詐風險較高的交易進行阻斷和進一步展開調查。三是關聯分析。通過收集形成的歷史欺詐事件庫以及相關實體（如欺詐者、欺詐目標、欺詐方式等）、通過一系列數據變量（如交易時間、交易地點、交易賬號、交易對象等）把這些實體之間相似的信息進行關聯分析，必要時可以運用社會網絡關系分析，最終確定所采取的反欺詐策略和手段。

3.4.3 業務連續性風險

2006年，巴塞爾銀行監管委員會發布《業務連續性高級原則》[19]（high-level principles for business continuity），同時針對監管機構和銀行企業進行了責任定位和規范，并提出了原則性需求，突出了對業務連續性管理的相關重點。《巴塞爾協議 Ⅲ》（2012）強調[20]，由于信息系統軟件、硬件、網絡、機房環境、通信電力等不確定性因素發生故障，導致業務中斷或者出現差錯，將對銀行金融機構的服務、資金和名譽等造成損失，應予以重視和做好相應的業務連續性計劃并加強管理。德意志銀行從1993年開始對業務連續性風險進行分析，并建立了一整套完整的業務連續性計劃BCP(business continuity plan)，以應對突發事件或災難。2001年“911”事件發生后，德意志銀行調動全球資源，短時間內在距離紐約不遠的地方恢復了業務運行。而當時的美國紐約銀行，雖然在紐約建設了同城災備數據中心，但由于距離災難區域較近，通信線路全部中斷，導致災難連鎖反應，當時紐約銀行發布聲明，恐怖襲擊導致部分重要信息系統癱瘓，一些分支機構被迫關閉，部分業務無期限中斷。

國際標準化組織制定ISO 22301∶2012[21]指導企業對潛在的災難加以辨別分析，幫助其確定可能發生的沖擊對企業運作造成的威脅，并提供一個有效的管理機制來阻止或抵消這些威脅，減少災難事件給企業帶來的損失。金融業信息安全對業務連續性的要求是指金融企業面對信息安全災害，有快速響應、風險應對和自我修復的能力，以保證核心金融業務的連續運轉。金融業信息安全為重要應用和流程提供業務連續性應包括信息系統基礎設施和核心業務的高可用性、連續運行和災難恢復這3個方面。

對于主機系統，由于大多數大型金融機構仍然采用主機平臺運行核心業務和處理數據，通常運用高可用（HA, high availability）技術或集群（cluster）技術構建可靠的主機運行環境，確保主機單點故障能夠被零遲延處置。對于網絡系統，金融機構一般采用硬件冗余保護措施實現，即通過網絡節點和網絡線路形成網絡拓撲冗余結構，并采用多路徑自動選擇機制，確保網絡設備單點故障或通信線路局部失效時不影響網絡上其他節點的正常通信。對于數據存儲系統，國內外金融機構運用的主流技術是采用存儲陣列、存儲光網絡（SAN）、虛擬化存儲（NAS）以及卷管理技術構建的全冗余架構高可用存儲系統（storage HA），任一存儲設備出現故障時，存儲體系能夠以透明方式調度存儲資源，確保主機的數據服務不受影響，實現數據零丟失，維護業務連續性。

2) 連續運行。當設備未發生異常故障時，不會因為正常的系統運維（如檢修、備份等）工作而暫停業務運行的能力。金融機構由于信息系統復雜、數據信息量大，信息安全對系統的運行維護管理提出較高要求。因此，需要建立完善的內部管理制度并有效落實執行，包括一般性的日常運維檢查，周期性的系統脆弱性測試，關鍵技術/性能指標監測，內外部信息安全評估，科學的配置管理、變更控制和問題故障處置。這些基于管理和技術的內部控制體系，對金融機構業務連續性產生直接或間接影響。

3) 災難恢復。當災難破壞生產中心和數據中心時，使系統和數據恢復正常的能力。近年來，受嚴重自然災害和恐怖主義破壞的影響，全球金融機構對災難應對能力非常重視，災備建設遠遠領先于其他行業。目前，國內外大型金融機構通常采用IBM提出的“兩地三中心”災備技術架構，即生產數據中心、同城災備中心和異地災備中心。這種方式最核心的3個要素是：數據庫、存儲和網絡。優點是基于數據庫和存儲的復制技術有較強的兼容性和通用性，對應用的影響程度較小；缺點是備份停留在數據級別，其能容忍的最大數據丟失量（RPO, recovery point objective）和能容忍的恢復時間（RTO, recovery time objective）都不能達到最優化，更加強調數據的物理安全，且通常災備環境處于非實時同步狀態，也叫單活，在需要時通過手工切換。當前，隨著網絡技術和存儲技術的發展，更先進的信息技術逐步被應用到互聯網金融機構，包括同城多數據中心、數據庫分庫分表、應用層面同城多活、異地遠程數據備份，在保證金融數據安全（RPO接近0）的基礎上，對RTO按用戶需求分類，在單節點（單數據中心）故障場景下，RTO也接近0，相比傳統災備方案有更大的實用前景。

4 幾點啟示

2012年，國務院發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》，2014年，我國成立中央網絡安全和信息化領導小組，信息安全上升至國家戰略高度。中國人民銀行現任副行長強調，各金融機構要更加注重網絡和系統安全，建設高可用性體系和高標準高要求災備體系，保證業務連續性目標；同時，各機構應主動探索系統架構轉型，積極研究、建立靈活、可延展性強、安全可控的分布式系統架構。因此，我國金融業信息安全應得到國家層面和企業層面的更多重視，從全球性、戰略性和科學性的角度推動金融信息安全持續健康發展。

1) 注重金融安全與信息安全的融合，提升金融信息安全的戰略地位。金融是現代經濟的核心，金融安全關系著資金融通的安全和整個金融體系的穩定，金融信息安全是國家發展戰略的重要基石，與國家安全、經濟安全和社會穩定密切關聯。在全球化、網絡化發展背景下，金融安全面臨的威脅和挑戰越來越復雜，金融業的大量業務不但要滿足監管要求，在實際運營過程中對信息技術也有較高的依賴度。金融企業自身在構建金融安全防控體系架構時，應充分考慮業務安全與信息安全的有機融合，把信息安全納入企業的戰略發展規劃，與組織管理、業務創新、風險控制同步發展，加強源頭重視，完善過程控制，瞄準先進技術，使信息安全在金融信息化建設中具有重要地位。國家層面則創造積極良好的環境，嚴厲打擊金融信息犯罪，并在金融監管和金融安全體系建設中將信息安全納入監控范圍，并積極推動，促進國家金融信息安全持續健康發展。

2) 加強產業合作，共建自主可控信息安全體系。當前，我國大多數金融機構的信息化技術架構、核心設備部署、行業應用服務仍然高度依賴于國外主要的技術寡頭，特別是主機系統、核心網絡系統和數據存儲系統，長期以來受外部約束非常嚴重。近年來，隨著移動互聯網技術的突飛猛進，我國許多互聯網企業在信息技術發展和應用方面取得了卓越的進步，甚至達到世界領先水平，經過實踐和市場考驗，去IOE（IBM, ORACLE, EMC）是可行和必行的。透過這些全球領先的互聯網金融公司的技術發展路線，分布式計算機架構、國產網絡體系結構、基于網絡的數據存儲技術能夠很好地支持互聯網環境中的大數據、高吞吐、快運算，并且能夠實現信息安全的自我控制和自我修復。因此，國內大型金融機構的管理團隊和技術團隊應該積極加強與互聯網先進企業的合作，以可續和發展的視角，逐步構建具有自主知識產權，能夠實現自我管控，具備時代領先的金融信息安全體系。

3) 持續完善金融信息安全管理制度和標準化體系。制度建設是金融信息化、信息安全體系建設的重要基礎，2012年，中國人民銀行編制了《金融行業信息系統信息安全等級保護系列標準》，發布了《網上銀行系統信息安全通用規范》；2014年，銀監會聯合國家工信部發布了《銀行業應用安全可控信息技術推進指南》，證監會、保監會制定了相應的行業信息安全保障制度和信息安全等級保護基本要求。但從當前我國金融業信息安全的需求和監管要求來看，法律制度建設還存在一定的滯后性，細化并完善金融行業相關信息安全標準十分必要迫切。例如，針對金融領域大數據，建立包括數據收集、數據使用、數據開放、數據管理和數據利用在內的應用規范，為合理保護和利用大數據提供指導。針對服務外包，制定第三方安全服務機構服務質量基本評價指標體系，包括第三方安全服務機構的制度體系評價指標、服務內容合規性評價指標、人員管理水平及穩定性評價指標等。針對災備系統，建立并完善相應的運行、維護、測評和應急處置的相關標準規范體系。

5 結束語

風險管理和風險控制是金融安全的基礎，先進的信息技術手段在良好的風險控制體系配合下，可以大幅度提高金融企業管理水平和經濟效益，結合有效的信息安全控制措施，可以使高度信息化帶來的風險得到容忍和接受。金融業作為國民經濟支柱之一，必須具備高度安全的經營環境，從而有力地保障整個國家經濟的平穩健康發展。金融信息安全防控水平的提高，對國家的長治久安、經濟的平穩發展和社會的和諧進步有重要的意義。本文首先簡要介紹了金融信息化和信息安全的有關概念；然后列舉了近幾年國內外金融業信息安全事件，重點對當前金融信息安全的主要風險和控制措施進行介紹，具體包括網絡安全風險、數據安全風險以及業務連續性風險，并結合國外網金融業信息安全實際分析了風險原因，提出了相關控制措施；最后針對我國金融業信息安全發展給出了幾點啟示和提出建議。

[1] Financial informatization[EB/OL].http://wiki.mbalib.com/wiki/, 2006.

[2] 孫天琦，焦琦斌. 信息化與金融安全：開放視角下的分析[J]. 工程研究，2013,5(2):166-167. SUN T Q, JIAO Q B. Information and financial security: open analysis perspective[J]. Journal of Engineering Studies, 2013, 5(2): 166-167.

[3] 賈鳳軍. 關于金融信息化熱點問題的深度思考[J]. 中國金融電腦, 2009(6): 24-26. JIA F J. Deep thinking on the hot issue about financial information[J]. Financial Computer of China, 2009(6): 24-26.

[4] 姚文平. 互聯網金融：即將到來的新金融時代[M]. 北京:中信出版社, 2014. YAO W P. Internet financial: upcoming financial times[M]. Beijing: China CITIC Press, 2014.

[5] 謝宗曉, 孔慶志. ISO/IEC 27001:2013 標準解讀及改版分析[M].北京: 中國標準出版社, 2014. XIE Z X, KONG Q Z. ISO/IEC 27001:2013 revision of the standard interpretation and analysis[M]. Beijing: China Standards Press, 2014.

[6] 魏軍，謝宗曉. 信息安全管理體系審核指南[M]. 北京:中國標準出版社, 2012. WEI J, XIE Z X. Guidelines for information security management systems auditing[M]. Beijing: China Standards Press, 2012.

[7] 戴宗坤. 信息安全管理指南[M]. 重慶: 重慶大學出版社，2008. DAI Z K. Guidelines for information security management[M]. Chongqing: Chongqing University Press, 2008.

[8] 沈昌祥. 信息安全導論[M]. 北京: 電子工業出版社，2009. SHEN C X. Introduction to information security[M]. Beijing: Publishing House of Electronics Industry, 2009.

[9] PWC. Global economic crime survey[EB/OL]. http://www.pwc. com/crimesurvey.

[10] EY. The 18 th global information security survey[EB/OL]. http:// www.ey.com/gl.

[11] Security Scorecard. 2016 financial industry cybersecurity report[EB/OL]. https://securityscorecard.com/featured.

[12] Symantec. Internet security threat report 2016[EB/OL]. https://www.symantec.com/security-center/threat-report.

[13] OWASP. Top security risks and state of security with financial networks[EB/OL]. https://www.owasp.org/.

[14] Arbor. Annual worldwide DDoS and security reports Q2 2016[EB/OL]. https://www.arbornetworks.com.

[15] 張永停, 肖軍. DDoS 攻擊檢測和控制方法[J]. 軟件學報，2012,23(8): 2058-2072. ZHANG Y T, XIAO J. Attack detection and control methods to DDoS[J]. Journal of Software, 2012, 23(8): 2058-2072.

[16] 黎澤良，佘健. 可信網絡訪問控制技術及系統[J]. 電信科學，2010,15(12): 115-116. LI Z L, SHE J, Trusted network access control technology and system [J]. Telecommunications Science, 2010,15(12):115-116.

[17] 360獵網平臺. 2015年網絡詐騙趨勢研究[EB/OL]. https://110. 360.cn/.2015. 360 game network. 2015 online fraud trends[EB/OL]. https:// 110.360.cn/. 2015.

[18] Peter goldmann. Financial services anti-fraud risk and control workbook[M]. Wiley, 2009.

[19] Basel committee on banking supervision. High-level principles for business continuity[M]. Switzerland: Bank for International Settlements Press & Communications, 2006.

[20] 肖祖珽. 巴塞爾資本協議與商業銀行全面風險管理[M]. 北京:中國人民大學出版社, 2014. XIAO Z T. Basel capital accord and the commercial bank's comprehensive risk management[M]. Beijing: China Renmin University Press, 2014

[21] TONY D. Manager's guide to ISO 22301[M]. ITGP Press, 2013.

李連朋（1978-），男，河北衡水人，碩士，中國人民銀行總行工程師，主要研究方向為信息技術審計、金融網絡安全、金融信息安全。

羅宏（1978-），男，重慶涪陵人，碩士，中國人民銀行成都分行工程師，主要研究方向為中央銀行信息技術審計、金融網絡安全、金融信息安全。

Review of domestic and international financial security

LI Lian-peng1, LUO Hong2

(1. The People’s Bank of China, Beijing 100800, China; 2. Chengdu Branch, The People’s Bank of China, Chengdu 610041, China)

Based on financial informatization, financial information security concept, current major risks to financial information security in domestic and international were overviewed and summarized, including network security, data security and business & services continuity, etc. Some effective techniques and control measures in this areas were introduced. Finally, relevant implications and recommendations were proposed.

financial information security, financial informatization, information security, risk control

F49

A

10.11959/j.issn.2096-109x.2017.00124

2016-10-21；

2016-12-07。通信作者：李連朋，35110085@qq.com