保密安全与“智慧银行”调查研究报告.docx

《保密安全与“智慧银行”调查研究报告.docx》由会员分享，可在线阅读，更多相关《保密安全与“智慧银行”调查研究报告.docx（9页珍藏版）》请在第一文库网上搜索。

1、筑牢保密安全为“智慧银行”保驾护航智慧银行，是指将现代信息通信技术与金融传统基础设施有机结合，以金融智能网络设施为根基，以开放共享、安全稳定为特征，通过感知分析、系统整合银行运行系统关键信息，对各种需求做出智能响应，从而全面提升银行运营管理效率，提高管理水平，推动转型创新，激发科技动能，最终引领银行科学发展，达到具有前瞻性、尊享型的智慧状态。在智慧银行创建过程中，大数据、云平台的整合运用势必将关联银行众多领域，产生一些前所未有的新问题与新挑战。因此，在推进智慧银行建设时，为实现“促进信息资源共享，确保银行保密安全“双赢局面，银行应早介入早谋划，在保密安全管理的新思路、新方法上积极探索，培育针对

2、性强、实操性好的管理机制，为智慧银行铸就一道牢固的安全屏障。一、智慧银行创建中所积聚的保密安全风险当前，互联网、大数据、人工智能与政治、经济、军事、文化深度融合，虚拟空间和现实社会重叠交织，金融科技驱动了自动化、智能化的网络风险，加大了保密安全防御的难度，保密安全已经成为事关银行安全的重大问题，任何一家银行都不可能“独善其身”。2016年4月，习近平总书记在网络安全和信息化工作座谈会上强调，要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知安全态势，增强网络安全防御能力和威慑能力。当我们享受信息化快速发展和大数据分析技术应用带来的便利高效时，可能一双无形的手也正同时

3、利用这种便利窃取信息。探究智慧银行建设实际与运营模式，保密安全风险主要表现在以下方面：（一）数据泄密与丢失:网络威胁复杂性日增毫无疑问，借势“互联网+”深入推进，已经把大数据、云计算等推到风口浪尖，智慧银行在推动终端全面移动化、系统逐步智能化，自身信息基础设施集约化发展的同时，所带来的信息资源高度共享，加大了数据泄露与丢失、IP和身份被窃、金融欺诈等保密安全风险。银行系统逐渐成为各类趋利网络攻击的重点目标，银行业面临着复杂、严峻的网络安全形势，外部网络安全威胁日益增多。例如2019年2月，因服务器出现安全漏洞，美国多家大银行泄露了2400多万份金融及银行资料。据美国媒体报道，受影响服务器上运行

4、的数据库，包含了近10年来历史数据，比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档等。此外，随着大数据衍生为新的生产力，数据的集聚与使用也陡增了银行保密安全隐患。尤其是经济社会运行对于智慧银行应用系统的依赖程度日益加深，针对银行重要信息系统、基础应用和通用软硬件漏洞的攻击日益猖獗，漏洞风险向传统领域、智能终端领域泛化严禁，网络数据和个人信息泄露现象严重，移动应用程序成为数据泄露的新主体，移动恶意程序不断发展演化。当受到攻击引发数据破坏与灾难时,必将对银行运行管理乃至金融安全，造成重大且难以修复的打击。（二）终端及系统设备：安全威胁的集散地大量智慧终端和传感器植入智慧银行综合网络，产生了复

5、杂的接入方式，极大增加了智慧银行系统的接入风险，智慧银行运用的众多终端分布零散，并且大多数处于缺乏统一、有效的管理，信息系统架构管控能力薄弱，部分关键应用系统技术陈旧，运维管理在体系化、精细化、标准化、流程化等方面存在较大差距，保密信息的安全性无法从根本上得到有效保障。同时，智慧银行建设所应用的软硬件中，我国拥有自主知识产权的产品较少，基础操作系统、核心芯片和数据库管理软件等多被国外产品占据或主导。银行自有科技人员不足,对外包的依赖程度较高，且自身信息科技投入相对偏低，难以对保密安全提供有力支撑。整个智慧银行系统就像个巨大的“黑盒子”，其中隐藏的人为设置或程序错误造成的漏洞，目前难以被国内银行

6、充分知晓和全面掌握。2018年2月间，牛津、剑桥等全球14家顶尖机构专家发布报告，提示要高度警惕人工智能催生新型网络犯罪、实体攻击和政治颠覆。CybersecurityVentures最新报告预测（2019年2月），到2023年网络犯罪将造成6万亿美元损失，对全球各国的经济和社会发展造成巨大的负面影响。（）云平台:恶意软件侵害加剧云平台作为智慧银行规划方案中必不可少的一环，是提供银行智能服务的依托和根基，支撑着综合化、特色化经营战略实施。而一旦平台受到攻击，所有的相关账户必将牵涉其中。虽然我国云服务运营时间短，且规模较小，但保密安全隐患与风险却不容小觑。有数据表明，仅对云计算平台进行攻击的恶意

7、软件数量,从2011年以来就一直居高不下，并呈现爆发性增长趋势。近年来，企图通过分布式、发射型拒绝服务攻击摧毁智慧银行云服务基础架构的行径较以往更加活跃。2019年2月，360威胁情报中心发布全球高级持续性威胁(APT)2018年报告,显示金融行业主要面临着一些成熟的网络犯罪团伙的攻击威胁，其组织化的成员结构和成熟的攻击工具，试图对目标行业尝试规模化攻击，这与过去普通黑客攻击是完全不同的。因为除了针对电子商务、在线零售等业态外，银行领域将是其攻击的主要目标。而与之形成鲜明反差的是，我国云服务安全技术标准体系尚处于起步阶段，相应的信息安全保密技术还未完全孵化成熟，技术供应商重点强调的事前加密、安

8、全监控手段远远不能覆盖现实需求，云平台建设仍然存在许多脆弱性，这也给层出不穷的恶意软件实施网络侵害留下了缺口，势必将威胁我国的信息安全与核心利益，产生负面影响和重大损失。二、智慧银行运行中蕴藏保密安全风险层面我们不可能逆转信息化高速发展的态势，更不可能扼住新应用技术给信息化带来的便利性和智能性，而应当有效应对新时代发展和互联网演进下带来的智慧银行秘密保护的新课题。从传统角度来看，银行业是一个信息密集型服务产业，是一个天然的数据依赖行业。所以，银行本质其实就是一个经营信息的中介，它既是客户资金沉淀的平台，又与社会数据具有广泛的关联。而智慧银行作为数字经济的重要载体和表现形式，其所蕴含的海量信息，

9、具有高度集中、高度融合、高度互联的特点；银行传统的数据优势正在受到挑战，同时随着互联网的发展，其保密安全威胁，也从网络空间扩展到基础设施、金融调控乃至国家安全，这些内因特质都对银行保密安全提出了更高要求。笔者通过调研梳理出四个层面保密风险范畴：（一）从智慧银行终端感知层面来看，银行员工的保密安全责任意识不强虽然贯通智慧银行的主线是物联网、云计算、移动互联和大数据等各类信息技术应用，强化大数据和人工智能技术驱动的复杂数据处理、精细化数据分析，但在物联感知层背后，终端感知对象仍然是人。在实际调研中，笔者发现一些银行员工信息安全理念和保密安全意识相对缺乏，危机意识弱化淡化；对智慧银行新技术泄密风险鲜

10、有了解，对其中潜在的保密安全风险隐患不懂不会，从而导致思想麻痹产生不设防的心理。同时，面向银行内部的专业性、普及性保密安全教育不足，部分银行员工针对自身涉及的敏感信息，缺乏必要的底线思维，片面地认为无密可保。（二）从智慧银行通信网络层面来看，信息设备的保密安全防护能力弱化智慧银行高度集成了多种新形态的信息通信技术，构建起强大的平台合作和共享能力，基本实现任何时间、任何地点、任何设备的便捷接入，而由此产生的复杂的接入环境、多样化的接入方式，使得银行保密安全风险明显高频于传统互联网，亟待强化覆盖全机构、全业务、全流程的数字化智能化风险管理能力：一方面，智慧银行建设中涉及的芯片、通信链、软件系统等诸

11、多关键技术，我国科技领域还没有完全掌握，有的虽然在服务器、交换机等核心硬件上初步形成一定的保密安全防护能力，但是在数据库、虚拟化软件等方面仍然难以排除是否留有“后门”或藏有“木马”病毒；另一方面，部分智能感知设备，如传感器、智能电器设备等缺乏自我监测与保护能力，极易因自身漏洞遭到恶意攻击，或被利用后发起分布式拒绝服务攻击。（三）从智慧银行数据及服务支撑层面来看，数据信息存在保密安全隐患从本质上看，智慧银行是集聚“金融”智慧、赋予“物”以智能，全面关注客户体验，搭建支持智能化营销、经营决策、风险管理的新型混合数据架构，通过两者的互存互动,实现银行运营活动的优化。这个特点决定了智慧银行就是一个超级

12、“数据市场”，收集容纳着海量的金融、经济、科技、客户、服务等信息资源，并以此实现多元数据的共享与融合。海量数据在云端集中存储与利用，使得数据破坏、数据丢失、数据泄漏等安全威胁系数陡增；在云环境下导致的审核困难，使得用户难以对云服务供应商的安全控制措施和访问记录进行及时有效监督；而云服务后期监管的缺位，又埋下了用户数据资源被滥用，甚至敏感信息被窃取等隐患。同时，当信息通过无线网络在智能设备间传输时，又极易被干扰、截获或破解，这些都将为来自世界各个角落的网络攻击、数据窃取、假冒身份等行为提供了控制跳板，一旦服务支撑层遭遇网络中断、云计算“失算”等服务瘫痪，将很容易导致银行保密管理混乱、运行决策失误

13、，小到影响银行信息安全，大到威胁国家资金安全。此外，针对数据信息库中的泄密渠道，除去公开数据带来的安全风险，还有一些途径值得格外关注：一是内部人员暗中窃取；二是存储介质引发泄密；三是访问控制存在缺陷;四是外包服务模式带来隐患。（四）从智慧银行应用层面来看，保密安全防护缺乏顶层设计与强力执行目前，我国智慧银行的应用环境缺乏相应的法律法规规范，而保密安全防护的顶层设计和具体指导又相对滞后，智慧银行建设尚没有严格的监管体系，缺乏监管主体和行业标准，导致不同地区对智慧银行保密安全的认知把握不一。有的在创建规划设计时，并未充分考虑保密需求，对外披露数据信息时，忽略了强制保密审查，缺乏必要的保密管理制度措

14、施，缺失刚性的保密安全执行效力。三、智慧银行优化中保密风险防范要点和实施举措（一）做好谋篇布局，坚持顶层规划与机制完善并举一是从搭建银行保密安全管理综合体系入手。要全面检视智慧银行整体规划与创建路径，切实将银行保密安全纳入核心工作范畴，实施顶层规划，完善组织架构，加快制度建设，明确攻坚重点，聚焦关键风险隐患，全力整改预防杜绝；在保密责任体系中，要从“强调千遍”到“问责一遍”，将重点放在责任落地；在组织机构体系中，要从“单打独斗”到“联动协同”，将重心放在高效配合。二是从构建银行保密安全管理长效机制入手。要努力提升保密安全综合保障与防控能力，突出强化政治引领，主动适应形势任务，在工作流程、方法手

15、段、目标措施等方面提高服务保障能力，在基础设施的配备、运维、管理等方面推进标准化、规范化综合治理效力。各项管理机制要从“零星碎片”到“有机融合”，将保密工作要求嵌入业务制度流程，按照“总体分析、发现难点、分散核实、系统研究”工作模式，促进保密管理的深入化、精细化。（二）拧紧思想阀门，抓好全面宣贯与关键把控同步当前，智慧银行保密安全宣教存在以下问题：保密安全理念基本形成，但认识尚未上升到应有高度；案例通报是最直观、最直接的宣教手段，但受众有限，未达到应有效果；新媒体是目前较好的宣教平台，但没有充分利用起来，保密常识尚未普及。为此，一是要注重全面宣贯。在保密教育培训中，要从“内容单一”转向“文化建

16、设”，在原本警示视频、海报宣传、专题讲座等固有形式的基础上，开展日常保密知识竞赛、失泄密事件宣讲、新媒体宣教创意等活动，着眼实效，选准载体，抓好保密文化建设软实力。二是要注重从点上发力。在定密关键环节中，要从“简单机械”转向“精准识别”，管控好银行保密信息，不能停留在“形式”上的程序规范，还要加快密点的精准识别，保证银行涉密信息载体在使用、传递、保管等过程中，既不扩大银行秘密知悉范围，又能高效保障智慧银行运营。（三）用好监管利剑，加强常态监查和问责追究并行一是在监督检查体系中，要突出从“严防死守”到“强化日常”。在运用以往的全面排查、阶段自查、整改纠偏等监管手段基础上，逐步将监督检查重点放在日常管理，针对银行涉密信息、敏感数据和隐私保护，组织开展安全审计、风险评估与隐患分析，发现问题，堵塞漏洞。逐步建立银行数据分级分类管理体系，加大敏感信息保护力度，明确标识赋码、科学分类、风险定级、数据脱敏等技术方法，强化信息脱密和敏感信息保