G ANSU FINANCE
甘肃金融
◎薛
【内容简介】
文章基于新业态下中小银行遭受攻击及金融欺诈的主要方式及特征分析,指出新业态下
中小银行信息安全问题存在的成因一方面是外部攻击的加剧,如钓鱼网站、木马程序、后门程序、DDoS 攻击、电子欺骗和暴力攻击等,另一方面是内部能力不足,如防护组织集中统一度不够、技术储备和先进性不足等。提出应通过打造高标准信息安全管理体系和人才队伍、完善信息安全基础防范环境、加强技术防御能力、强化支付安全保护、推进业务连续性建设、建立基于大数据技术的风控平台、注重开放API 背景下的信息安全防范和大力发展反欺诈技术等方式维护新业态下中小银行信息安全。
【关键词】
金融新业态;中小银行;信息安全
作者单位:中国人民银行兰州中心支行
金融新业态下中小银行信息安全问题成因及对策
年来,数字技术与金融的深度融合成为一种不可逆转的潮流,催生了数字金融新业态,创新的金融工具、模式、标
准层出不穷。随着金融新模式、新业态不断呈现,金融信息安全问题日益凸显。金融科技的运用在提高行业效率、降低成本、提升服务的同时,也加速业务风险外溢,出现金融机构和关联机构的数据资源被滥用、个人隐私被侵犯、客户和银行资金被盗取等严重的网络安全隐患和新的风险。特别是当系统“云化”建设、开放API 成为常态,银行机构暴露在新业态下的风险更具隐蔽性、复杂性和外溢性。与大型银行业机构相比,中小银行机构信息化基础设施和风险防控能力相对滞后,亟须处理好金融业务发展与信息安全风险防控的关系,与时俱进,采用合理有效的策略和方法,着力提升信息安全事件应对能力,确保风险防控及时有效。
新业态下中小银行遭受攻击及金融欺诈的主要方式及特征
中国人民银行安全控件下载安装
(一)银行信息系统遭受攻击的主要方式
银行机构信息系统常见的被攻击的方式有恶意程序攻击、电子欺骗(IP 欺骗)、端口扫描攻击以及分布式拒绝服务攻击(DDoS :Distribution Denial of Service )等。恶意程序攻击是指在未经授权的情况下,在信息系统中安装并执行特洛伊木马、陷门、蠕虫、逻辑、细菌、病毒等达到不正当目的的程序。电子欺骗技术是利用目标网络的信任关系来获取计算机系统非授权访问的方法。端口扫描攻击是一种获取主机信息的方法,黑客将网卡设置为混杂模式,截获特定网段信息。DDoS 攻击是指使用攻击者已经侵入并控制的主机(可能是数百台)对某一单机发起攻击,使服务资源超载,无法响应其他请求。
(二)数字金融欺诈的主要特征
金融欺诈是指以非法占有为目的,采用虚构、隐瞒、伪造事实真相的办法,骗取银行、客户资金财物、信用的行为。随着金融业务数字化而产生的数字金融成为目前金融欺诈的主要领域,并且具有高科技化、产业化、隐蔽化、专业化、场景化的特征。在银行业高度数字化、银行与新兴类金融机构信息互通、广泛合
作的背景下,出现了多种复合型数字金融欺诈方式(以中介代办、机器作案、账户盗用、财产证明盗用为手段的网络借贷欺诈);以盗取个人身份信息、手机号码、账号进行恶意营销、精准为手段的网络支付欺诈;以利用经营数据为手段的供应链金融欺诈;以网购营销为手段的“羊毛党”欺诈;以扫码为手段的手机银行欺诈;以消费金融为手段的套现欺诈等。
绝大多数银行信息系统被攻击的目的在于实施金融欺诈,金
/2020年第12期
14
融欺诈已经成为当前破坏金融秩序、金融稳定和引发金融风险的“毒瘤”,中小银行机构采用的传统反欺诈技术存在效率不高、范围狭窄、维度单一等问题,难以高效发挥作用。一是中小银行的传统反欺诈技术人工成本高,效率低,难以服务日益下沉的客户体;二是金融欺诈不断演进,呈现出“跨界”等特点,并与其他非金融场景不断结合,传统防范技术往往无法识别;三是传统银行反欺诈手段维度单一,央行征信系统覆盖率不足,数据来源渠道有限,亟须“升维”构建多维度评价防范体系。
新业态下中小银行信息安全问题成因分析
(一)外部攻击加剧
一是网络攻击行为呈现多样化特征。传统的网络攻击目的主要在于窃取银行和客户资金,现阶段,以瘫痪银行网络为主要表现的网络攻击已呈现政治特征,目的在于破坏国家正常的金融运行体系;二是攻击更富组织性。传统的网络攻击主体以单点攻击、个人攻击或者小型犯罪组织为主,现在已发展到紧密组织,甚至犯罪集团层面,不排除具有国家特征;三是攻击手段多样化、复杂化、尖端化。传统
的网络攻击以钓鱼网站、木马程序、后门程序为主要方式,当前的攻击方式日趋复杂先进,以DDoS 攻击、电子欺骗、暴力攻击为主要形式。
(二)内部能力不足
一是防护组织的集中统一度不够。虽然在国家及金融监管层面有统一的标准及原则,但具体到中小银行层面,网络防护仍呈现各自为政的特征,信息交流上因商业竞争的考量,多数中小银行仍不愿意将相关经验分享,加上内部控制仍以科技信息部门为主,内部职责未全覆盖,尚未形成全员防护的良好局面;二是技术储备和先进性不足。网络安全防护必须依赖先进强大的技术手段,现阶段,中小银行的网络安全技术手段主要依赖于国内安全厂商提供,自身安全技术人员尤其是高端技术人才缺乏,成为防护能力不足的重要原因;三是核心软硬件和服务外包受制于人。在银行机构网络运行基本“云化”下,底层芯片、核心软硬件多种多样,受制于人的局面仍未打破,服务外包依赖外部厂商,安全风险难以有效控制;四是灾备能力不足。虽然多数中小银行建立了“两地三中心”的灾备格局,但在多活数据中心协同管理、业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面仍存在明显不足。
新业态下中小银行信息安全防范对策
(一)打造高标准信息安全管理体系和人才队伍
建立完备的信息安全组织架构,研究制定信息安全发展战略、总体规划、方针政策等,在此顶层架构下,明确信息科技风险管理、监督、防欺诈等职责。注重网络安全标准化认证,通过ISO27001等国际标准认证、国家网络安全相关标准认定等手段,促进网络安全水平的提高。强化信息安全人员队伍建设,引进高端技术人才,培养现有技术人员,强化安全策略、技防等专业培训,专门从事网络安全的人员一般要取得“注册信息系统安全专家(CISSP,最权威、最专业的信息安全认证)”“注册信息安全专业人员(CISP)”等专业证书。
(二)完善信息安全基础防范环境
中小银行要不断夯实包括IT安全保障平台、统一身份认证系统、IT运维审计系统(堡垒机)、开发测试云平台等安全平台建设,不断完善信息安全管理制度,优化管理策略,强化内控检查,严格落实信息安全等级保护制度。持续推进网络安全边界防护,将网络核心生产区、交易业务区、管理业务区、互联网业务区、外联区域等进行严格的物理隔离,各区域之间部署边界安全设备(硬件防火墙),通过安全策略进行业务互访控制。在网上银行、手机银行、银行等互联网业务区域部署入侵检测、入侵防御、WEB应用防火墙等网络安全防护设备等。建设统一安全管理平台,部署桌面安全管理系统和杀毒软件客户端。经验证明,在数字金融势不可挡的今天,传统物理隔离策略仍旧发挥着重要的防护作用。
(三)构筑坚强的技术防御“大堤”
持续提升互联网舆情监测能力,切实减少钓鱼网站存活时间。持续强化移动App的监测和防护,防止客户端被反编译、篡改、劫持和内存扫描。通过使用加密技术,强化安全传输机制,防止密码泄露。在App中引入生物识别尤其是人脸识别、芯盾身份认证等技术,实现多因子身份认证机制。持续增强网络安全攻击防范能力,特别是要完善DDoS攻击防护机制,采用多层防护办法,在互联网出口和骨干节点等部位部署抗DDoS攻击防护设备、持续进行流量监测、清洗和防护。在防护技术的应用方面,
FINANCIAL VIEW金融视界
Gansu Finance/甘肃金融/15
图1银行API平台应用流程示意
定网络安全和防欺诈机制,分清责任,有序、安全开展业务。
(八)大力发展反欺诈技术
在数字金融欺诈不断演进的今天,中小银行发展自身的反欺
诈技术尤为重要。反欺诈技术按照技术运用的着力点和层级,分
为数据采集、数据分析、模型构建和决策引擎等。新型数据采集
技术主要包括生物识别、设备指纹、位置识别、活体检测等。中
小银行应严格遵循监管要求,在获取用户授权的情况下使用,不得
滥用。数据分析技术包括有监督、半监督、无监督机器学习等模
图2金融反欺诈建模流程示意
16
/2020年第12期

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。