淺談銀行業信息系統的安全風險識別與防范

淺談銀行業信息系統的安全風險識別與防范

文/吳俊 王章淵，湖北工業大學經濟與管理學院

信息技術的飛速發展加大了銀行信息系統的安全風險。論文在分析我國銀行業信息系統安全風險的現狀基礎上，論述了銀行信息系統安全風險識別的方法，并且就銀行信息系統安全風險識別、預防、解決提出了相應的建議。

銀行業；信息系統；安全風險

信息化帶來銀行業的巨大變化，主要表現在：銀行業務網絡化、電子化、虛擬化。銀行業信息系統的安全風險日益加大，黑客攻擊、計算機病毒傳播、系統自身漏洞、銀行日常管理疏忽等都是銀行信息系統安全風險的重要因素。“山東徐玉玉案”的類似故事，再次深刻警醒銀行從業者和普通用戶：風險識別和防范時刻不能松懈。

1 銀行信息系統安全風險的現狀

1.1 信息技術的安全風險

銀行信息化的典型表現就是計算機網絡的廣泛使用。網絡化受到威脅的因素主要是：（1）內部因素，是指網絡本身存在的漏洞或缺陷，導致用戶使用時造成一系列的程序性安全風險；（2）外部因素，是指用戶在使用網絡操作時缺少專業科學的操控體系，使得網絡在承受風險的情況下運行。

在銀行的網絡安全體系結構上，隨著電子銀行業務數量劇增，銀行在硬件和軟件上日益顯得落后于現實需要。銀行和用戶（特別是界面操作者）的信息安全風險防范意識比較淡薄，一些銀行信息安全風險的控制預防機制發揮的作用不理想，對于隨時可能爆發的網絡漏洞或缺陷，無法及時排查應對，安全風險應急預案不足，現時處置不當。我國很多個人用戶，習慣使用搜索引擎搜索開戶銀行，很容易會被錯誤鏈接進入虛假網站的圈套。

1.2 云服務的安全風險

網絡和信息化發展的最新階段是“云計算時代”。銀行通過和企業共享的“云計算平臺”信息系統，運營數十萬個、百萬個財務和ERP系統，直接從貸款企業的財務和經營信息，已經由一種可能的設想變為現時存在。該云計算平臺擁有巨大的“長尾效應優勢”：（1）會深度開掘個性化數字出版產品而形成“產品長尾”；（2）會交叉關聯無數小眾群落而形成“受眾長尾”；（3）會建成扁平化信息流通渠道而形成“渠道長尾”。

云計算服務已經發展成為跨越互聯網、涵蓋計算機網絡各個層次、涉及各種網絡技術的服務。從硬件安全到軟件安全，從內部安全到外部安全，網絡層次的各項漏洞都不可避免地給云服務帶來意想不到的安全風險和巨大的技術服務、管理方面挑戰。一旦被騙子利用，后果非常嚴重。

據報載案例：某網友父母的銀行卡被盜走6萬元、貸款4萬元。原來是其母親使用網絡銀行APP，疏于防范且操作不熟，騙子在早上通過手機短信通知詐騙鏈接，模仿銀行發送“新增云同步設備”的通知提醒，其母點擊后落入詐騙圈套。馬上就陸續收到銀行發送的多條短信驗證碼、多條轉賬成功、貸款成功的通知，時間間隔非常短。

2 銀行信息系統安全風險的成因

2.1 信息技術基礎薄弱

2.1.1 黑客攻擊。在計算機網絡上，日益頻繁升級接續出現的黑客攻擊，威脅著我國的網絡安全，銀行的信息系統安全更是首要直接目標之一。

2.1.2 計算機病毒。其蔓延速度驚人，傳播容易，造成的損失更是不計其數。如果銀行的信息系統染上計算機病毒更是會造成嚴重的后果，其損失難以估計。

2.1.3 系統和服務器漏洞。一些銀行的信息系統本身就存在漏洞，銀行信息系統潛在的安全風險比較大，易遭受網絡黑客的攻擊。服務器漏洞主要是Web服務器、瀏覽器采用的 CGI 程序缺陷較多。

2.1.4 系統設計人員在編寫程序指令時出現錯誤。使銀行計算機系統安全性降低，給一些非法入侵系統人員創作的有利條件。如果有軟件或者系統的缺陷就是十分嚴重的安全風險，一旦銀行因為某個軟件的缺陷發生問題就會引發一些嚴重的系統故障，影響銀行的正常運行。

2.1.5 算機網絡管理疏忽。辦公自動化下，網絡的日常維護工作是一個關鍵節點。銀行業的計算機系統非常復雜、龐大，包括各類硬件和軟件，連接網絡和諸多子系統，更加需要加強日常維護和管理。

2.2 云計算服務模式不成熟

云計算服務模式有3 種：SaaS（軟件即服務）、PaaS（平臺即服務）和IaaS（基礎設施即服務）。

2.2.1 用戶接入門戶：云計算服務是通過網絡提供的，用戶使用固定或移動的智能終端登錄到云服務上，接入門戶就是云計算服務的網址，是外部訪問者的必經之路。這里是云計算的“大門”，用戶從這里進來，攻擊者也從這里進來。

2.2.2 業務應用軟件（SaaS、PaaS服務）：無論是服務商還是用戶提供的業務軟件，都包含大量的漏洞，并且利用難度低，入侵者不僅可以通過攻擊應用軟件，獲得用戶信息，而且可以作為下一步占領“主機”的跳板。PaaS還是存在一定的技術門檻，國內大多數公司還沒有此技術實力，受到信息安全、隱私權等諸多因素的牽累。

2.2.3 IaaS服務：虛擬機是云計算服務的基本“容器”，也是IaaS服務的出租單位，它本身彈性服務能力與低廉的成本，通過簡單的商務聯系就可以使用。對黑客來說，這本身就是一個大“資源”，除了利用它，還可以突破它，入侵到服務商的后臺管理。通過IaaS這種模式，用戶可以從供應商那里獲得他所需要的虛擬機或者存儲等資源來裝載相關的應用，同時這些基礎設施的繁瑣的管理工作將由IaaS供應商來處理。IaaS能通過它上面對虛擬機支持眾多的應用。

2.2.4 數據中心：云計算服務在用戶看來是虛擬的，但最終的“工作”還是要落實到物理的機器與設備上，支撐云計算服務的數據中心是實實在在的，是清晰可查的，因此，對于云計算服務商來說，物理安全同樣重要。

3 銀行信息系統安全風險防范的建議

3.1 提高銀行信息系統安全風險防范意識

3.1.1 提高銀行信息系統安全風險防范的重視程度。銀行要從管理者開始認識信息系統安全風險防范的重要性，并且提高工作人員對銀行信息系統安全風險防范重視程度，形成銀行信息系統安全風險防范意識，嚴格規范銀行信息系統風險識別的程序，建立起完善的銀行信息安全風險識別體系，這是提高銀行信息安全風險識別能力，降低信息風險的前提和基礎。

3.1.2 提升銀行的信息安全風險識別。這是一個系統工程，銀行的管理人員在進行銀行信息系統建設時，完善銀行信息安全風險識別體系，確保銀行的信息安全風險成為可控的因素。銀行信息系統的安全風險防范是需要銀行的重視與各方面的協作，按規定做到一段時間內對銀行的信息安全風險識別系統進行可靠性評估，減少信息安全風險的系數，確保銀行的信息系統的萬無一失。

3.2 建立銀行信息系統安全風險控制機制

3.2.1 建立銀行信息安全風險控制機制。銀行要對目標的設置上做到精確，包括建立網上的風險責任機制，建立完善的風險通報機制和建立銀行信息安全風險管理團隊三個方面。為了能實現銀行信息安全風險控制的目標，并且能夠通過這項機制在風險控制時不斷優化風險管理體系的控制水平。建立風險責任機制的重點在銀行的安全風險控制體系要落實到每一個人，做到對風險的負責，更要做到對安全的負責。

3.2.2 建立銀行信息風險管理團隊。銀行信息安全風險發生后該怎樣對相關風險進行對上級或者下級的通報，要保證信息的客觀真實，既不對上級夸大也不對下級隱瞞事實的真相。人才是銀行運行的關鍵，建立一個完整的銀行信息系統安全風險管理團隊充分發揮人才的作用。既可以保障銀行信息的安全，還可以培養出一批新興人才，成為現如今銀行信息安全管理的主力軍。他們的存在使銀行在風險評估和應急方案的策劃都有保障，發揮著其重要的作用，更在銀行信息系統安全中扮演著重要的角色。

3.3 完善銀行網絡安全體系結構

3.3.1 增加銀行網絡安全體系結構。隨著計算機網絡的使用領域不斷增多，網絡安全風險也不斷增加，銀行網絡安全的體系結構更需要改進，減少銀行信息系統的安全風險的存在。銀行信息系統要健全完整的體系結構和軟件構架，不僅網絡設備的使用需要考慮信息安全的需求，服務器操作系統的選擇上更是對系統的整體安全有著很大影響。很多用戶采用Windows系統，需要在該操作系統的原有結構上進行處理改進，克服目前已經存在的安全風險，需要進一步增強加密設置。

3.3.2 完善網絡協議。用戶可在系統原有的結構上改裝處理，設置IP加密系統，增強網絡的抗風險性能。網絡協議是計算機網絡進行數據交換的而建立的規則、標準或約定的集合，對網絡協議的優化改進也是對安全體系結構改善。完善銀行網絡安全體系結構，加快技術優化和系統升級。

3.4 切實維護云服務安全

3.4.1 構建私有云模式。根據銀行信息系統各個部署模式的性質，其安全性從高到低依次為私有云、社區云、公共云。私有云是占模式，不存在多個用戶之間的共享，可以根據用戶自身需求構建，并可以僅在內部局域網內轉播，面臨的網絡風險較小。

3.4.2 加強私有云中的安全策略。為IAM以實現用戶管理，安全隔離以實現用戶自身不同安全級別數據的邏輯隔離，完整性測量以避免外部軟件的威脅、冗余存儲和數據生命周期管理。相較于私有云，社區云服務增加的最大風險來源于互聯網，因此互聯網防御、敏感數據的加密傳輸顯得尤為重要。

3.5 提升銀行信息系統安全風險應急預案水準

3.5.1 銀行信息系統安全出現問題或有潛在的風險，應該有相應的應急預案來保證銀行系統運行。例如針對黑客對銀行信息系統進行攻擊時應該采取什么具體措施進行有效應對，銀行信息系統出現突發情況，最大限度的減少銀行和客戶的損失，銀行信息部分重要信息泄露如何處置等問題。

3.5.2 銀行信息風險預案要求對各種可能突發事件進行事前考慮，并事前提出應對的具體措施。銀行信息系統安全風險預案需要對各種突發事件有所考慮，事前就要預料到事后的影響以及如何解決，針對事件的特性制定有效發應急預案，完善事前的具體應對措施，提升銀行信息系統安全風險預案水準。

3.6 加大對銀行信息犯罪的懲罰力度

3.6.1 加強防范銀行信息系統風險，就要加大對于信息犯罪的打擊力度，加強信息系統的規范化管理，從根源上防范銀行信息系統安全風險。當下我國許多銀行的信息系統的管理只是走形式，只是面子工程，對于信息犯罪的懲罰力度也比較弱，這也是導致銀行信息系統風險的重要原因之一。

3.6.2 發現問題，要及時按照相關法律法規對相關人員給予嚴厲處罰，特別是針對銀行信息系統的特大犯罪要嚴懲不貸，堅決打擊各種類型的網絡金融犯罪，形成對銀行信息安全犯罪的高壓打擊態勢。只有這樣，才能夠從根源上降低銀行信息犯罪率，保障銀行信息系統的安全運行。

[1]楊巍、李剛《云計算安全風險及對策》[J].中國科技資源導刊2013年3月.

[2]張希欽、李衛民、匡小飛.《論銀行信息安全風險識別及合理的風險防范》[J].計算機光盤軟件與應用 2013年第01期.

[3]王穎波.《計算機信息安全技術及防護研究》[J].計算機光盤軟件應用2013年.

[4]王韜.《銀行計算機信息系統安全隱患與防范探討》[J].電子技術與軟件工程2014年3月.

[5]那頌.《商業銀行信息系統風險防范有待跟進》[J].當代金融家2015年12月.