銀行數(shù)字化轉型下信息科技安全及合規(guī)風險治理體系及治理能力的重塑

賈凱

（平安銀行股份有限公司總行科技管理部，上海 200120）

0.引言

近年來，銀行業(yè)紛紛開啟數(shù)字化轉型構建了以開放銀行、數(shù)字銀行為經(jīng)營戰(zhàn)略的科技設施，深刻改變了傳統(tǒng)業(yè)務的經(jīng)營模式。在信息科技安全風險中，銀行數(shù)據(jù)及客戶資產(chǎn)具有更強的隱私性及更強的敏感性的特點，科技安全風險顯著提升，構建一套保障數(shù)字化轉型的信息科技安全治理體系尤為迫切。

1.科技安全風險治理的趨勢及挑戰(zhàn)

1.1 數(shù)字化轉型趨勢

移動互聯(lián)網(wǎng)、大數(shù)據(jù)、生物識別、云計算等創(chuàng)新技術有力支撐了銀行數(shù)據(jù)化轉型的快速發(fā)展。銀行業(yè)底層的技術架構也發(fā)生了根本性的變化，開放銀行下與各科技伙伴公司的API對接更加紛繁復雜，業(yè)務邊界愈加模糊，風險暴露面擴大，移動互聯(lián)網(wǎng)下用戶信息的各類沉淀越來越豐富，數(shù)據(jù)的交叉共享，給個人信息隱私保護帶來了更多風險。生物識別等新技術使用的同時，安全保障技術參差不齊，這些改變從根本上給科技安全風險治理帶來新的難點。

1.2 科技安全風險治理面臨5大方面的挑戰(zhàn)

線上銀行、生態(tài)銀行、智能銀行的趨勢發(fā)展下，高并發(fā)、高性能、高擴展成為銀行科技架構的重點建設工作，科技團隊的規(guī)模也迅速擴大，安全風險治理工作面臨5大方面的變化。

1.2.1 科技人員規(guī)模

隨著各大銀行在數(shù)字化轉型程度的不斷加深，科技人員的比重在組織內(nèi)得到大幅提升。如此規(guī)模的科技團隊對傳統(tǒng)銀行的風險治理模式也造成沖擊。第一，較大占比的科技人員都來源于科技公司，科技公司與銀行在對安全風險的關注度及容忍度上存在較大差異，前者在對技術安全風險及操作行為風險方面上難以跟上銀行機構在風險管理上的要求。第二，隨著敏捷研發(fā)模式的推進，在組織架構上，業(yè)務人員與科技人員的融合更為緊密，邊界更加模糊，帶來了新的風險暴露面。第三，在研發(fā)效率，需求迭代上越來越迅速，人員規(guī)模與敏捷研發(fā)的融合都給安全治理難度帶來了指數(shù)級的提升，傳統(tǒng)的安全治理工作模式面臨巨大挑戰(zhàn)[2]。

1.2.2 新技術發(fā)展

生物識別、開放銀行、大數(shù)據(jù)等技術的推進應用促進了業(yè)務的高速發(fā)展，同時各個主題方間更加緊密的連接也為安全治理帶來更嚴峻的挑戰(zhàn)。（1）生物識別領域使身份認證更加便利，但不同技術實現(xiàn)方在認證上的安全措施參差不齊，給攻擊者帶去了新的攻擊點，Deepfake等結合了AI算法的人臉偽造技術給人臉識別的應用帶來風險。（2）開放銀行讓金融服務無處不在的理念使銀行服務融入各類互聯(lián)網(wǎng)場景中，海量的API在不同場景下的融合，在接口鑒權、邊界防護、數(shù)據(jù)反爬、業(yè)務全鏈路的欺詐防護上帶來了系統(tǒng)性安全防控的挑戰(zhàn)。（3）業(yè)務合作信息共享下數(shù)據(jù)利用的充足率提升，機器完成各種活動更加節(jié)省經(jīng)營成本，同時，數(shù)據(jù)使用的敞口擴大，3級或4級等合作機構主動參與欺詐活動，濫用數(shù)據(jù)，給數(shù)據(jù)及欺詐風險的延伸管理上帶來更大的難度[3]。

1.2.3 研發(fā)模式

敏捷研發(fā)模式替換了傳統(tǒng)瀑布式的研發(fā)流程，一方面在高速迭代的場景下，傳統(tǒng)基于人力的安全保障機制難以應對適應新時期的迭代速度，每次需求的變更如何確保安全及合規(guī)成為生產(chǎn)研發(fā)必須要關注的生命線。另一方面在生態(tài)化戰(zhàn)略下，銀行不在是業(yè)務流程中的孤島，業(yè)務流程常常跨越多家科技公司，更需要系統(tǒng)化全局的來做好安全管控。

1.2.4 治理緯度

數(shù)字化轉型下面臨的安全風險是多方位的，隨著不法分子在竊取用戶信息，盜取用戶資產(chǎn)的科技含量不斷升級，同時銀行與各合作方面臨的不同監(jiān)管要求，對安全及風險理解和接受度不一致。涉及的安全風險管理領域不斷擴展，有傳統(tǒng)的技術安全風險、組織不斷擴大的人員操作風險、合規(guī)風險等，面臨更多領域的安全風險治理挑戰(zhàn)。從整體經(jīng)營視角來看，治理緯度根本上分為”人與工具”兩大緯度的風險。

1.2.5 治理模式演化

隨著科技轉型的深化，科技安全風險正逐漸受到監(jiān)管部門越來越高的重視，未來還將面臨更多安全風險類的治理的新要求及新挑戰(zhàn)，將變得更加精細化及多元化，這就要求銀行需要從純依靠制度檢查的管理模式轉化為管理和治理2個方向相結合的管控思路，轉換為科技手段治理為主結合人力治理并行的治理模式[4]。

2.構建系統(tǒng)性的科技安全風險治理體系

科技基礎設施是開展金融科技的基本保障，科技的基礎設施建設至關重要，科技風險治理的效率取決于基礎設施建設的水平，在生產(chǎn)迭代中需構建研發(fā)生產(chǎn)全生命周期的安全風險治理體系，將安全風險的感知能力貫穿整個生產(chǎn)過程，構建出科技空間中的各個角色、各個應用系統(tǒng)及使用用戶的安全畫像[5]。以風險治理為導向，科技活動中面臨多方面的挑戰(zhàn)。

2.1 傳統(tǒng)研發(fā)安全風險

基于研發(fā)設計不當導致的各類傳統(tǒng)軟件安全漏洞，這些安全漏洞對銀行業(yè)資金及客戶數(shù)據(jù)及業(yè)務的穩(wěn)定運營造成巨大的安全隱患。

2.1.1 開源及軟件供應鏈安全風險

一方面，當下開源技術得到快速發(fā)展，大量的開源項目被引用到業(yè)務系統(tǒng)中，然而因其本身具有的開放、共建、自由傳播等特性，各類安全漏洞也同時被引入軟件供應鏈，另一方面，在整套新系統(tǒng)的引入上，供應商自身的安全意識和技術水平不足也隨之產(chǎn)生各類安全風險，而由于商務合作、設計架構與銀行自身科技架構的差異，后期維護成本等因素上的影響，也給安全風險修復帶來不小的阻礙。

2.1.2 新技術應用的安全風險

人臉、指紋等生物識別方式實現(xiàn)上因安全技術參差不齊給軟件供應鏈帶來新的安全隱患。

2.1.3 數(shù)據(jù)安全風險

數(shù)據(jù)安全法已于近期實施，在開放銀行、數(shù)據(jù)經(jīng)營的理念下，基于金融生態(tài)下業(yè)務合作使得數(shù)據(jù)的流向越來越廣泛，而針對數(shù)據(jù)本身采集至共享交換等數(shù)據(jù)生命周期場景下，對數(shù)據(jù)的濫用及整體數(shù)據(jù)安全管理上的缺失也將導致更多的數(shù)據(jù)安全風險。

2.1.4 人員操作及各類合規(guī)風險

隨著人員規(guī)模的增長，在數(shù)據(jù)安全管控等緯度面臨的內(nèi)部員工各類操作行為的風險顯著增加，同時監(jiān)管對銀行信息科技風險治理要求也在不斷提升。

建設安全治理基礎設施，貫徹管理加治理聯(lián)動的管控體系。

（1）從運動式檢查轉向長效化管控。隨著銀行科技架構轉向互聯(lián)網(wǎng)統(tǒng)一標準化，基礎架構的完善也為科技安全風險治理的基礎設施搭建打下堅實的基礎，通過從各個公共基礎部門獲取業(yè)務系統(tǒng)的各個層面的運行屬性，構建起覆蓋業(yè)務系統(tǒng)各屬性的全流程監(jiān)測體系，促進從運動式檢查到長效化管控的治理閉環(huán)[6]。

（2）由從被動治理轉為主動發(fā)現(xiàn)。通過科技風險治理的基礎設施搭建，建立覆蓋業(yè)務系統(tǒng)的上下游各關聯(lián)方的風險監(jiān)測機制，推進風險治理由基于事件型的被動應對到伴隨生產(chǎn)運行全過程的風險主動感知能力的轉變。

2.2 組織建設

建設完善的科技安全及合規(guī)風險治理體系，首先要根據(jù)當前機構下信息化建設的程度及進展及面向科技風險治理的總體需求及目標方針（見圖1），逐步建設好專職科技風險治理的組織架構，需要逐步配備相應的科技風險專職管理人員，將安全風險管理職責、合規(guī)管理職責落實到位[7]。

圖1 信息科技安全風險治理體系示意

2.3 制度建設

（1）面向現(xiàn)有的實際運行情況逐步完善科技風險治理的制度體系，通過人與工具的能力對制度的落實執(zhí)行檢查，提升科技風險治理的能力。

（2）根據(jù)在實際運行過程中各項指標的分析檢查各項治理工作的執(zhí)行結果，與制度進行對比分析，檢查各項制度的完備性，總結制度與實際運行中存在的問題。

（3）通過不斷的運營分析及問題總結，對制度不斷完善加以改進，形成建立-實施-監(jiān)測-持續(xù)改進的閉環(huán)流程，形成更完善的制度體系。

2.4 運行管理

（1）依據(jù)各類風險治理事件的重要及緊急程度，制定相應的處置流程，包含各處置環(huán)節(jié)，超時告警、例外審批等，通過對流程執(zhí)行的各緯度數(shù)據(jù)分析，如處置時長、中高風險個數(shù)等數(shù)據(jù)累積，關聯(lián)已有的指標分析，管控各類事件的處置，使風險得到應有的處置管理。

（2）依據(jù)各類風險治理事件逐步建設起各類風險運行指標，制定周期性的指標檢視會議機制，持續(xù)監(jiān)測各類運營指標。

（3）通過對各類指標的分析給出各個機構及組織的風險指標排名，并在周期性的檢視機制中分析原因并針對性的制定解決辦法，跟進落實，持續(xù)提升。

（4）依據(jù)指標數(shù)據(jù)，制定相應管理規(guī)則，對科技及業(yè)務各條線人員制定相應的積分考核體系，在正向激勵方面，依據(jù)風險積分進行表彰，在績效考核上給予獎勵，在反向懲戒方面對積分異常人員組織培訓，提升風險重視程度及能力，在不符合安全意識或安全能力的情況下，應禁止參與生產(chǎn)系統(tǒng)的研發(fā)及運營，同時依據(jù)風險積分在績效考核給予懲戒。

（5）通過指標體系的建立，并在持續(xù)運營過程中周期性的分析檢視，找出關鍵及重點問題，制定相應的解決辦法，通過指標的數(shù)據(jù)分析對組織人員制定獎懲舉措，持續(xù)地提升人員的安全及合規(guī)風險意識，形成不斷完善的運行管理流程。

2.4.1 風險處置流程

風險及事件處置流程。無論是合規(guī)或者風險的處置必須基于流程化、規(guī)范化、可視化的原則，各類風險及事件也應根據(jù)內(nèi)部相應的處置要求、相關職能分工完成各類事件的閉環(huán)處置工作，各類流程也應由全線上化系統(tǒng)性的強制管控來完成，如圖2所示。

圖2 一般風險事件處置流程

2.4.2 研發(fā)安全管理流程

基于研發(fā)安全風險管控的目的，業(yè)內(nèi)企業(yè)大多建設了“S-SDLC”的研發(fā)安全管理流程（見圖3），該流程通過專職安全人員參與到研發(fā)周期，通過從需求到發(fā)布的全過程安全管控措施解決了軟件研發(fā)過程中的安全風險，有效地保障了軟件的安全性。

圖3 S-SDLC研發(fā)安全生命周期

2.5 規(guī)則模型

各類監(jiān)測規(guī)則模型要依據(jù)各類科技風險的治理要求來制定，同時規(guī)則是檢測能力的體現(xiàn)，要基于各類的檢測能力進行制定編寫，在此列舉3類風險規(guī)則的應用場景。

2.5.1 人員操作風險

在人員操作風險的檢測中，通過對各業(yè)務系統(tǒng)的關鍵敏感信息接口的采集，建設涉敏及關鍵業(yè)務接口數(shù)據(jù)庫，設立異常操作的監(jiān)測規(guī)則，通過對流量及業(yè)務系統(tǒng)中的各類埋點數(shù)據(jù)的分析消化產(chǎn)生各類異常事件，同步至風險處置系統(tǒng)中進行相關流程的跟進解決，同時通過對外部事件及內(nèi)部事件的分析，提取監(jiān)測規(guī)則，在日常的運營中持續(xù)完善，不斷提升監(jiān)測能力。

監(jiān)測規(guī)則一般包含IP聚集、設備畫像聚集、高頻訪問、異常時段、高敏金融數(shù)據(jù)采集下載等。

2.5.2 開源軟件風險

通過與入侵檢測系統(tǒng)HIDS、包庫管理等運維架構基礎設施的對接建立開源軟件清單，構建業(yè)務系統(tǒng)與涉及的開源軟件之間的對應關系，建設軟件依賴成分的資產(chǎn)數(shù)據(jù)庫，在應用于架構服務治理的同時應用于科技安全風險治理工作。

在存量風險治理上，面對互聯(lián)網(wǎng)暴露的各類開源軟件漏洞，及時拉取受影響的業(yè)務系統(tǒng)，按照標準治理流程加以解決。

在增量風險的治理上，設立開源軟件評審組織，對引入的開源軟件進行安全審查，在生產(chǎn)研發(fā)過程中通過包管理工具對涉及開源軟件執(zhí)行掃描，結果數(shù)據(jù)同步至流程跟進系統(tǒng)中，管控增量引入。

對應的規(guī)則包含了歷史上開源軟件暴露出的各類安全及合規(guī)問題及當下的行業(yè)內(nèi)及各類監(jiān)管部門通報的規(guī)則。

2.5.3 其他合規(guī)風險

通過對流量、應用運行產(chǎn)生的各類數(shù)據(jù)的分析掃描對合規(guī)風險進行檢測。規(guī)則一般包含個人信息保護與信息采集授權、敏感信息處理、應用的發(fā)布、上線及下線的流程合規(guī)性要求、崗位權限及授權異動、數(shù)據(jù)治理等相關的合規(guī)性要求。

2.5.4 能力建設

基礎安全監(jiān)測能力建設是實現(xiàn)大規(guī)模科技風險治理的基礎，通過與基礎架構及運營部門的聯(lián)動采集各類業(yè)務系統(tǒng)運行數(shù)據(jù)，建設成為覆蓋業(yè)務系統(tǒng)上下游的系統(tǒng)性安全風險治理的基礎設施，以下列舉4類基礎安全風險檢測能力的建設思路。

2.5.5 S-SDLC（軟件安全開發(fā)生命周期）與DevOps結合的安全風險管控流程

通過將安全活動嵌入至研發(fā)流程，配備安全運營人員全流程跟進研發(fā)生命周期，在面向新技術的使用上，由專業(yè)的安全運營人員對涉及新技術進行專項研究，并形成安全風險檢測規(guī)則，在人工及工具2個層面覆蓋全部業(yè)務系統(tǒng)上線前的安全檢測，如圖4所示。

圖4 結合了S-SDLC的DevOps研發(fā)流程

2.5.6 流量分析及安全掃描系統(tǒng)

在圖5基于IDC機房網(wǎng)關的流量鏡像（測試區(qū)流量鏡像），同時可包含其他多種渠道的數(shù)據(jù)源，采集業(yè)務人員及科技研發(fā)過程中的操作流量，對流量進行解析后，即可對涉及的數(shù)據(jù)進行消費分析，主要分為3方面的風險處置：

圖5 集中流量分析式的動態(tài)安全漏洞掃描系統(tǒng)

（1）涉及操作風險治理場景下包含內(nèi)部員工異常操作行為監(jiān)測、業(yè)務系統(tǒng)敏感信息屏蔽監(jiān)測、異常批量敏感數(shù)據(jù)下載監(jiān)測、重要系統(tǒng)異常操作行為監(jiān)測等。

（2）在涉及安全技術風險監(jiān)測場景下，通過對測試區(qū)流量進行分析掃描，從而持續(xù)性地執(zhí)行各類安全漏洞探測發(fā)現(xiàn)。

（3）在入侵監(jiān)測場景下，通過分析流量入口的關鍵詞進而對可疑的攻擊行為進行監(jiān)測處置。

2.5.7 源代碼掃描系統(tǒng)

在存量掃描上，周期性拉取代碼倉庫代碼執(zhí)行全量代碼掃描，同步至風險治理系統(tǒng)進行跟進（見圖6）。在增量掃描上，嵌入軟件開發(fā)周期，每次構建提交執(zhí)行增量掃描，與客戶端編碼插件聯(lián)動，將結果反饋至客戶端編碼插件，前置修復，風險事項提交至研發(fā)單位修復風險隱患，在發(fā)布進行版本卡點，確保版本中的問題得到徹底解決。

圖6 源代碼安全掃描流程示意

2.5.8 交互式安全風險檢測系統(tǒng)

圖7為獲取業(yè)務系統(tǒng)上部署的APM檢測工具上的應用埋點數(shù)據(jù)（應用在生產(chǎn)上的運行過程數(shù)據(jù)，取決于是否部署基于字節(jié)碼技術的APM監(jiān)測工具）對安全檢測相關的數(shù)據(jù)進行分析，基于安全及合規(guī)檢測規(guī)則發(fā)現(xiàn)安全及合規(guī)風險，并將數(shù)據(jù)同步至跟進系統(tǒng)中完成處置閉環(huán)。

圖7 結合了內(nèi)部APM監(jiān)測平臺基于字節(jié)碼技術的漏洞檢測過程

3.未來安全風險治理發(fā)展趨勢

銀行業(yè)的科技風險治理正處于一個關鍵的背景下，一方面行業(yè)內(nèi)各個單位的安全風險治理能力已經(jīng)得到較大幅度的提升。另一方面當下信創(chuàng)產(chǎn)業(yè)正蓬勃發(fā)展，銀行業(yè)作為經(jīng)濟發(fā)展的重要基礎設施，將作為國產(chǎn)化、信創(chuàng)的優(yōu)先推進方向。在新一輪科技浪潮中面臨的各類安全及合規(guī)風險挑戰(zhàn)愈發(fā)擴大，安全及合規(guī)風險得到監(jiān)管層面更高的重視。

3.1 數(shù)據(jù)安全風險及相應的治理能力持續(xù)增強

隨著開放銀行、數(shù)據(jù)經(jīng)營理念的深入推進，數(shù)據(jù)安全風險不斷加大，金融用戶數(shù)據(jù)采集、使用、傳輸、存儲、共享等階段的數(shù)據(jù)安全保護措施將是需要更高重視度的問題，基于隱私求交，聯(lián)邦學習，多方安全計算的數(shù)據(jù)安全保護技術將成為行業(yè)重點應用方向。

3.2 金融云安全及合規(guī)風險進一步凸顯

當下各大銀行都已開啟了自建私有云服務的進程，在滿足自身科技轉型后，將多余的計算資源開放給中小銀行等金融機構，形成金融專有云模式。而在微服務、虛擬化發(fā)展的趨勢下，安全性還是關注的要點。從研發(fā)模式上來看，需求的迭代將會越來越迅速，部署也越來越便捷，安全及合規(guī)方面的檢測能力也需要適應各類的架構及部署模式。

3.3 供應鏈金融安全風險增大

供應鏈金融對產(chǎn)業(yè)創(chuàng)新發(fā)展發(fā)揮著越來越重要的作用，該業(yè)務基于各行業(yè)供應鏈上的核心企業(yè)的真實交易信息，整合信息及資金流，為行業(yè)上下游企業(yè)提供融資、結算、現(xiàn)金管理等綜合金融服務。當下，物聯(lián)網(wǎng)技術在供應鏈金融中也得到了廣泛的應用，網(wǎng)絡設備無處不在，金融與科技高度融合都加大了風險治理的難點。構建安全可控的供應鏈金融管理平臺及各環(huán)節(jié)下業(yè)務系統(tǒng)的安全治理能力，將成為下階段的重點安全關注工作[8]。

4.結語

當下，數(shù)字化深刻改變了傳統(tǒng)銀行的基礎架構設施及業(yè)務模式，而同時面臨的安全等科技風險也越來越嚴峻，在轉型進程中既要注重科技與業(yè)務的融合，也要符合監(jiān)管的要求，防范安全及合規(guī)風險。本文在此背景探討了在安全及合規(guī)風險的治理工作上面臨的挑戰(zhàn)，從全局的科技風險治理角度給出了治理框架建議，分為總體需求及目標方針、組織建設、制度建設、運行管理、流程建設、規(guī)則模型、基礎設施建設7個方面，總體目標是站在科技條線的視角管控人與工具2個緯度產(chǎn)生的各類安全風險。為數(shù)據(jù)化轉型中的科技風險治理工作提出一套以風險為導向，覆蓋面廣、高自動化、高效的治理框架。最后對未來銀行業(yè)面臨的科技風險挑戰(zhàn)做了分析。面對數(shù)字化的趨勢，在擁抱科技的同時，要牢守科技安全及合規(guī)風險底線，構建一套全方位的安全及合規(guī)風險治理體系，主動應對挑戰(zhàn)，才能向更高質(zhì)量更高水平的數(shù)字化銀行邁進。