先来看几条新闻。

7月28日,上海银保监局在官网公布了一份针对建行上海分行的行政处罚信息公开表。公开表格里的信息显示,2018年4月至2018年10月,建行上海市分行信息安全和员工行为管理严重违反审慎经营规则。

依据《中华人民共和国银行业监督管理法》第四十八条第(三)项,上海银保监局对建行上海分行作出责令改正,并处罚款50万元的行政处罚。同时,针对相关责任人除以禁止其从事银行业工作十年的行政处罚决定。

同月,中国人民银行成都分行公布的行政处罚信息公示表显示,成都银行股份有限公司和中国农业银行股份有限公司四川省分行因违反信用信息安全管理、报送等相关规定,分别被处以 194.6万元和 223.2万元罚款。

较早之前的今年年初,中国农业银行崇左分行曾因超范围使用千余学生信息,在未告知的情况下,私自开设了多个账户,被罚超过1100万元。而东亚银行(中国)也因违反信用信息采集、提供、查询及相关管理规定,而被中国人民银行上海分行处以罚款人民币1674万元,并责令限期改正。

如果要列举最近几年银行因信息安全保护不力而被监管部门处罚的新闻事件,这个名单可以一直拉下去,不停翻页,因为实在是连篇累牍。

众所周知,安全可靠是银行的生命线,是银行开展业务最重要的前提。而银行的安全可靠,不仅仅局限于客户资金、资产的安全可靠,还应该包括客户信息、隐私的安全可靠。但为什么这些年,银行的信息安全问题愈演愈烈,银行因信息安全保护不利而被处罚的新闻屡见不鲜?

最近这些年,在各类新技术的发展与应用,以及新冠疫情等外部环境的倒逼之下,银行的业务不断线上化,越来越多重要的客户数据都由传统的线下保存转变为线上存储。

因为业务的线上化,银行出于加强与外部场景的数据共享,加快新业务的发展,就不得不大规模地增加各种数据应用和接口。

所有这些变化,在提高用户享受金融服务的便利性,拓宽银行业务场景边界,提升金融业效率的同时,也使得银行数据规模爆发式增长,进而给银行的数据管理带来前所未有的挑战:

第一,要管理的数据内容更丰富更多元了,比如要将各种非结构化数据纳入管理范畴,要重点关注用户的个人隐私保护等等。

第二,对数据管理能力的要求也更高。比如要对海量的金融数据进行全面的安全分级管理,要具备分布式的灾备和恢复技术能力。

虽然银行的数据量激增,数字化转型提出了更多、更高的要求,但是就目前而言,很多银行的数据安全保护体系建设得还不够完善。一个典型的例子是,很多业务或技术人员对数据安全的管理目标认识不够清晰,数据安全意识和风险防范意识不强,认为数据安全只是安全团队的工作,与自身无关。

在具体实践层面,大量的银行业务或者技术人员依旧未能建立起按照数据安全合规流程来处理业务的习惯,导致银行内部安全合规问题时有发生。

除此之外,在云计算、大数据、人工智能等技术的推动下,不法分子发起网络攻击的手段、强度都不断升级迭代,使得传统的安全防御技术日益暴露不足,无法有效抵御外界的入侵。

传统的网络安全防护技术主要是通过在网络边界部署防火墙等安全设备,通过流量分析和边界防护的方式提供安全保护。但是在大数据环境下,高级可持续攻击(APT)往往隐蔽性高、感知困难,因此传统的安全防护技术基本无法防御。不仅如此,在大数据时代,网络攻击手段和攻击程序也在爆发式增多,例如借助云计算的强大算力,再结合人工智能等技术,能更加智能地发起攻击,而且还能将攻击巧妙地隐藏起来、躲过检测。

所有这些内部、外部、主观、客观原因,都使得银行信息安全风险几乎无处不在,这也解释了为何银行信息安全事件频发。

为了加强金融信息保护,过去几年,中国人民银行、银保监会等监管部门出台了一系列有关法律法规及管理规范,包括《中国人民银行金融消费者权益保护实施办法》《金融消费者权益保护实施办法》《个人金融信息保护技术规范》《金融数据安全:数据安全分级指南》《金融数据安全、数据生命周期安全规范》等。

今年8月9日,银保监会办公厅又下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,金融数据安全监管力度进一步升级,监管内容也更为细化。

《通知》首先要求,银行保险机构全面摸排自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找个人信息保护方面存在的问题。据悉,近年来监管多次对银行业的个人信息保护问题“重拳出击”,罚款金额由数百万至上千万不等。

其次,对于整治发现的问题,《通知》要求银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。

此外,《通知》还对本次专项整治划定了阶段和时间表——

金融是国家经济的命脉,金融数据安全事关国计民生。保障金融数据安全离不开所有人的努力,尤其是银行。

国家从法律法规、管理办法等顶层设计层面做出了指引,提供了制度保障,银行及从业者则需要通过完善的举措将数据安全保护落到实处。

银行首先应该加强金融数据安全内容的宣传与教育——数据安全内容包括数据安全分类、不同岗位的安全职责、数据安全保护法律法规、违法安全问题带来的后果等,强化全员的数据安全意识,形成数据安全制度,不定期进行安全制度考核,以激励和引导全体人员关注金融数据安全。

其次,银行应坚持针对不同岗位从业者所需的金融数据安全知识和技能进行培训,既提高从业者的数据安全理论水平,也帮助其在实际工作中提升金融数据安全保护的实操能力。

此外,银行还应该积极引入人工智能、大数据、区块链、隐私计算等新技术,在技术上提高金融数据安全保护等级,同时加强在面对外部攻击时监测、识别和对抗能力,从而减少人力成本,提高数据安全保护效率,将数据安全防御模式由被动变主动。

总之,对银行来说,不能等到被监管部门重罚,才意识到金融数据安全保护之紧要和急切。

说到在金融数据安全保护上主动出击,光大银行总行是一个值得研究借鉴的代表性案例。

从2013年起,光大银行借助云计算技术,开始“大集中2.0”云环境规划与建设,将总行、分行的信息系统迁移至云环境中,实现了总分行IT资源的一体化、集中管理。

“上云”给光大银行的信息系统带来了良好的可扩展性和灵活的资源使用模式,使得业务迭代周期缩短,对客户的资源要求响应及时,各项业务系统得到了很好的支撑。但随着用户增加和应用、系统范围的扩展,更多更复杂的安全风险也随之而产生。例如云上数据是否会被高级别非法用户获取?云上数据会不会无法追踪?

这些疑问如果得不到解决,即使“上云”让光大银行内部的信息处理再方便高效,也会导致用户心存顾虑而离弃。而只有切实解决了云安全的问题,“上云”后的效率提升、灵活扩展、成本降低等指标才有意义,“上云”才能真正落地。

“上云”之后,光大银行的信息系统主要新增以下三类安全风险——

图片

❶ 数据的安全风险。

光大银行云计算平台属于私有云,虽然外部边界风险处于可控状态,但企业内部不同区域、不同级别的数据依旧存在被非法访问等风险。即使受到IPS、IDS、安全存储以及杀毒机制的保护,但由于云中数据以服务形式出现,因此被非法越权访问的风险依然大幅度上升。

❷应用的融合风险。

尽管在云计算环境下,光大银行众多平台的虚拟化技术不断标准化,在同构平台和异构平台之间具备一定的兼容性,但不同平台之间在数据存储、容灾备份、业务整合方面还无法做到无缝融合。

❸ 复杂的管理风险。

光大银行私有云中部署和建设的项目很多,管理过程极其复杂,对IT人员的技术和运维能力都有极高的要求。

所有这些,都对光大银行的信息安全保护提出了前所未有的技术挑战。

作为国内领先的可信数据基础设施提供商,八分量首先从《金融行业网络安全等级保护实施指引》的要求与光大银行的实际需求、痛点出发,明确了信息系统建设的三个核心目标能力:主动监测内外部的攻击行为,精准定位到责任人;及时发现各种安全隐患、攻击行为,并及时报警、制止;全程记录攻击破坏行为,让每一次破坏行为都可追溯。

紧接着,八分量基于可信计算、区块链、人工智能等技术,为其提供企业级可信数据基础设施产品——持续免疫系统。

不同于其他被动防御型的安全产品,持续免疫系统在技术上,有着诸多独特的亮点,具体如下——

主动防御、可信验证

以零信任理念,基于可信根对主机设备、执行环节进行动态验证,实现更主动防御,提升系统基础安全。

白名单与自动策略算法管理

证券交易系统依赖非常多,如银行,交易所,基金公司等,加上测试环境和生产环境不能保持高度一致,导致测试不能完全反映真实情况;

防范权限失陷

即使关键权限丢失,黑客也无法启动非授权程序,从而有力地防护关键信息系统的安全。

数据防篡改

区块链技术为关键数据提供防护,链上数据不可篡改,所有修改记录可查证可追溯,将入侵攻击行为存证。

用户实体行为分析(UEBA)

结合企业业务系统,利用深度学习技术对用户以及系统做“AI画像”,高效识别异常,并及时告警。

基于上述亮点,八分量突破传统被动防御模式,帮助光大银行总行以可信为基,建立起一套形成全面、完善、持续自动免疫的云安全防御体系,在提升主机安全预警、抵御未知威胁能力的同时,加强对业务系统的安全管理,特别是基于不同用户(设备)的安全机制精细度管理,并从用户、系统等维度重构安全审视维度,大大降低了系统安全运维管理的复杂度。

信息安全关乎银行业发展的生命线,银行的金融信息安全又事关经济的高质量发展。但银行的金融信息安全从来都无法一劳永逸,而是一个持续的动态过程。银行的金融信息安全守护,不仅仅需要法律法规制度的规范,也需要从业者保持空杯心态,不断强化安全意识,建立安全机制,引入新技术,升级优化防御体系。

而作为银行界为数不多直接部署在生产环境中的内生安全产品,八分量持续免疫系统凭借着创新的机制、完善的方案、突出的效果,为银行的金融数据安全持续、主动、动态保护带来了全新的解题思路和方案。