<video id="zjj55"><delect id="zjj55"></delect></video>

<big id="zjj55"><listing id="zjj55"><del id="zjj55"></del></listing></big>

<menuitem id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></menuitem>

<output id="zjj55"></output>
<video id="zjj55"></video>

<menuitem id="zjj55"></menuitem>

    <video id="zjj55"><listing id="zjj55"></listing></video>

    <menuitem id="zjj55"></menuitem>
    <output id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></output>

    <menuitem id="zjj55"></menuitem>
    <menuitem id="zjj55"></menuitem>

        <big id="zjj55"></big>
          1. 移動端
            訪問手機端
            官微
            訪問官微

            搜索
            取消
            溫馨提示:
            敬愛的用戶,您的瀏覽器版本過低,會導致頁面瀏覽異常,建議您升級瀏覽器版本或更換其他瀏覽器打開。

            在金融科技時代 推進金融網絡安全“最佳實踐”

            謝宗曉 來源:《中國信息安全》雜志 2017-08-01 09:42:21 金融科技 網絡安全 金融安全
            謝宗曉     來源:《中國信息安全》雜志     2017-08-01 09:42:21

            核心提示如何在金融科技時代來臨的時候保障金融信息的安全?本文在分析金融科技所面臨的新威脅的基礎上,討論了建立金融行業網絡安全“最佳實踐”的必要性和現實性。

            在金融科技時代 推進金融網絡安全“最佳實踐”

              作者:中國金融認證中心(CFCA)信息安全服務部 謝宗曉

              金融科技(Fintech)是由finance 與technology 的合成的新詞匯,其概念產生于2011 年,起源于硅谷的科技企業。經過近幾年的發展,金融科技正在改變金融業的業態,例如,國有四大行已經悄然放下身價與國內互聯網巨頭BATJ 形成了“強強聯合”的態勢。雖然到目前為止,金融科技依然沒有非常準確的定義,但毫無疑問會涉及金融業務的各個方面,也就意味著,安全所面臨的形勢更加嚴峻,安全在其中也變得愈加重要。

              那么,如何在金融科技時代來臨的時候保障金融信息的安全?本文在分析金融科技所面臨的新威脅的基礎上,討論了建立金融行業網絡安全“最佳實踐”的必要性和現實性。

              一、金融科技帶來的網絡安全風險

              金融科技本質上是廣義的,其實踐可以追溯到20世紀60 年代通信技術在金融領域中開始應用,在之后,雖然沒有專門的詞匯上升至重塑金融業生態格局的高度去描述這些現象,但是源源不斷的新技術還是被引入金融領域,極大地推動了金融業務的發展。但是如上文所述,由于該詞匯起源于科技領域,所以一度存在是“科技的金融”還是“金融的科技”之爭。

              最近的文獻逐步達成一致,即金融科技是“技術驅動的金融創新”,核心是利用新興技術改造或創新金融產品、經營模式和業務流程。在當前的環境中,核心是利用大數據、人工智能、云計算、區塊鏈和移動互聯等,提升金融服務能力和效率,降低金融交易成本,拓展金融發展廣度與深度。

              金融科技強調新技術對金融業務的輔助、支持和優化作用,所帶來的優勢是不言而喻的,但是同時也存在陰暗面,有可能給金融體系帶來不可預知的系統性風險,我們重點分析網絡安全方面存在的隱患。

              (一)網絡犯罪(cybercrime)的形式更加多樣化

              一般而言,更多的技術應用和更廣泛的數字化會留給攻擊者更多的可攻擊目標,例如,廣泛應用的電子錢包使得攻擊者有了更多的選擇。同時,金融詐騙手段也不斷地推陳出新,甚至呈現出了專業化、平臺化和產業化的趨勢。以偽基站為例,國外黑客組織開發并公開了核心代碼,國內不法廠商則迅速產品化,通過網絡等渠道進行售賣。不僅如此,網絡金融詐騙集團也開始線上線下相結合的方式。

             ?。ǘ┮蜃非蟊憷詭淼拇嗳跣栽龆?/strong>

              脆弱性是個相對概念,諸多產品的設計本意是為了追求便利性,例如,早期的可讀寫設備,本意是為了便利,但是卻給病毒傳播可乘之機。在金融科技時代,這種現象變得越來越普遍,例如,移動計算的發展,在增加了便利性的同時,由于其可移動性,導致一旦丟失,便可能造成不可挽回的損失。同時,互聯網公司和金融機構對風險的接受程度不同,一般而言,技術公司對便利性的追求更激進,在金融科技的發展過程中,要尤其注意。

              (三)對供應商/第三方的依賴變得更加嚴重

              金融科技創新行為可能會導致金融機構對供應商/ 第三方變得更加依賴,例如,采用云計算會導致金融機構對信息系統及其數據失去控制力。在金融信息化時代,金融機構即使采用外包服務等手段,第三方機構一般不能影響其主營業務。但是在金融科技時代,以互聯網金融為例,其中的獲客途徑和業務處理等都依賴于互聯網得以實現,這種深度融合的模式可能會為金融機構帶來不可預知的風險。

             ?。ㄋ模?a href="http://www.steamlinelogistics.com/search/result.shtml?siteID=123&query=數據安全" target="_blank" title="數據安全" class="hotLink" >數據安全和隱私保護的壓力加劇

              隨著金融和科技的深度融合,數據和隱私泄露發生的可能性和嚴重性都隨之加劇,例如,在數據挖掘技術不成熟之前,從海量非格式化數據中得到有效信息并不容易,但是在大數據時代,任何看似不相關的數據,都可能泄露組織機密或個人隱私。此外,根據風險評估理論,由于數據變得越來越有價值,因此數據成為網絡犯罪行為中買賣的重要目標。

              二、已有“最佳實踐”存在的問題

              對現存問題的解決一般存在兩種途徑,第一種嚴格按照科學、技術與工程的逐步推進,例如,密碼學,起源于數學中的數論,其算法都存在形式完備的證明,然后利用計算機技術實現,最后實現產品化/ 工程化的過程。但是,不是所有的問題都存在這樣定義良好的范式,這就導致了解決問題的第二種途徑,即依靠經驗。例如,信息安全就是一個非常寬泛的概念,很難通過證明得出某信息系統的安全性。因此,解決信息安全問題一般都是依據實踐總結出來的經驗。

              在這其中,James Backhouse 所領導的團隊在1993年開發的“實用規則(A Code of Practice)”應用最廣,即后來成為國際標準的ISO/IEC27002。形如ISO/IEC27002 這樣的實踐集在管理學中常被稱作“最佳實踐”,當然,沒有絕對的“最佳”,這只是局限于認識水平上的相對概念,因此常被加引號使用。以此為基礎,現在發展成為包含了60 個標準的ISO/IEC27K標準族,該標準族也深刻地影響了其他信息安全標準體系的設計。

              信息安全等級保護和信息安全管理體系(ISO/IEC27K 標準族)可以認為是國內組織在部署信息安全時最常見的兩種“最佳實踐”,但是在金融領域具體應用時,尤其是金融科技時代,仍然存在待改進的地方。

              (一)與金融網絡安全相關的幾個標準介紹

              在ISO/IEC27K 標準族中最基本的兩個標準是ISO/IEC27001 和ISO/IEC27002,其中ISO/IEC27002 是實踐集,ISO/IEC27001 則描述了一個方法論。兩者都可以應用于所有類型的組織,并不專門針對某一類型。ISO/IEC TR 27015 是關于金融服務信息安全管理的指南,可以認為是ISO/IEC27002 的金融行業應用版本。除此之外,ISO/TC 68/SC2 還發布過ISO/TR13569:2005,專門從金融服務的視角討論其中的信息安全。

              GB/T22239-2008 給出了信息系統安全等級保護的基本要求,相當于用不同的分類方式描述了另一種“最佳實踐”,與其相關的標準還有定級指南、測評指南和實施指南等。等級保護的相關標準被修改為金融行業的行業標準,但主要用于指導實施(JR/T 0071-2012)和測評(JR/T 0072-2012 和JR/T 0073-2012),其中并不包含基本要求。

              嚴格意義上講,以上標準都是針對信息安全的,并沒有聚焦于網絡安全(cybersecurity),因此需要討論其適宜性。

             ?。ǘ男畔踩骄W絡安全的轉變

              從通信安全、計算機安全和網絡安全(networksecurity)等詞匯到信息安全是認識上的一個飛躍,這使得定義從“關注重點從物理網絡轉到所承載的信息”,而從信息安全的定義擴展至現在經常討論的網絡空間安全(cyberspace security),則是研究對象的轉移,這時候開始關注整個虛擬的網絡空間,例如,兩個人在微博上惡言相向,這不涉及信息安全問題,但是屬于網路空間安全的范疇。需要指出的是,漢語中將“網絡空間安全”縮略為“網絡安全(cybersecurity)”存在一定的歧義,需要根據語境區別是哪一種網絡安全。

              在金融科技時代,應該考慮到這種轉變,因為金融業不僅在自然空間是真實存在的,在網絡空間中也是不可或缺的行業,這兩種空間的相互滲透不可避免,例如,比特幣開始只存在于網絡空間中,用來購買游戲裝備等虛擬物品,現在也可以兌換現實中的貨幣。金融機構在其中的中介作用也開始顯現,拋開平臺安全,這并不是金融信息安全的關注重點。因此,金融信息安全也應該過渡到強調金融網絡安全。

              (三)關于現有標準適宜性和普適性的問題

              由于標準的發布周期較長,許多機構為了避開繁雜的周期,保持適宜性,會主動選擇報告的形式,例如,最早的ISO/IEC27002 版本。

              為了解決適宜性問題,對于出現的新技術,ISO/IEC27K 標準族一般會在原先架構上進行補充,例如,ISO/IEC27032:2012 網絡空間安全、ISO/IEC27017:2015/ ITU-TX.1631 云服務安全、ISO/IEC27018:2014 公有云的隱私保護和ISO/IEC27036-4:2016 供應鏈角度的云服務安全等都是新增標準。

              GB/T22239-2008 系列關于等級保護的標準則改版為“網絡安全等級保護”,對特定的新技術增加了安全擴展要求,例如待發布的GB/T22239 包括了云計算安全、移動互聯安全、物聯網安全、工業控制安全和大數據安全等。

              “最佳實踐”一旦成為標準并發布,需要在一定時間段內保持一致。而且為了追求普適性,“最佳實踐”一般會被抽象為“基線要求”,ISO/IEC27K 標準族雖然也發布有ISO/IEC TR 27015 等細分領域的標準,但對于中小銀行的應用契合度仍然存在一定的問題。那么,如何確保其適宜性?在信息安全實踐中,這很大程度上取決于采納組織和咨詢公司的理解,正如ISO/IEC27001:2005 引言中所述,“用戶負責對其進行正確的應用”。

              三、提升金融網絡安全的對策與建議

              綜上所述,存在兩個重要趨勢:第一、在金融主營業務方面,金融與科技開始深度融合,進入金融科技時代;第二、在大環境方面,信息安全開始過渡到網絡空間安全,在網絡空間中,安全的范疇變得更大,不僅僅圍繞“信息”為中心。

              針對這兩種趨勢,在戰略層次,我們提出如下對策和建議。

              (一)開發契合度更高的“最佳實踐”,并使之成為行業標準或團體標準

              正如IT 技術的“便利性”和“安全性”存在一定的矛盾,標準的“普適性”和“適宜性”也存在一定的矛盾,成為標準后的“最佳實踐”也不例外。對于如何提高標準與組織之間契合度,積極開發行業標準尤其是團體標準是解決的路徑之一。

              在現有標準基礎上開發金融網絡安全最佳實踐,并不是簡單地做一個“加強版最佳實踐”或“裁減使用”。

              首先,應該重新定義金融網絡安全,例如,ISO/IEC27000:2016 定義信息安全強調機密性、完整性和可用性,而ISO/IEC27032:2012 定義網絡空間安全強調的順序則是可用性、完整性和機密性。因為網絡空間是建立在系統和網絡基礎上的社會建構,所以可用性成了重點。金融網絡安全應該根據這個特點重新進行定義。

              其次,考慮金融科技的特點,新技術不再是“控制域”或者“擴展要求”。從長遠來看,“創新擴散”的趨勢是不可阻擋的。例如,復式記賬與流水賬相比,也實現了相互驗證的分布式記賬,與區塊鏈技術存在一定的共性?;剡^頭看,今天的各種“標配”都是昨天的各種“創新”。團體標準可以考慮放棄一部分普適性,追求更高的契合度和前瞻性。

              最后,單獨強調一下作為“重災區”的中小金融機構網絡安全。因為之前局限于認識水平,諸多大公司都經歷了“先發展,后治理”的彎路,例如,由于缺乏整體的安全規劃,導致諸多信息系統的安全控制不是從設計階段就開始,缺乏全生命周期的控制,普遍存在的SQL 注入攻擊就是最好的例子。對于國內眾多的中小金融機構而言,由于建立時間晚,信息化程度低,應該根據以上特點,積極利用后發優勢,避免走老路,推進安全先行的金融科技。

              (二)推進服務機構專業化,逐步形成良好的金融網絡安全業界生態

              雖然在網絡安全業界存在諸多的服務機構,但是整體而言,由于各種原因,到目前并沒有形成良好的教學相長的互惠生態。例如,大型服務組織對中小金融機構采取的是不分青紅皂白地“傾倒式服務”,與此同時,小型服務組織對大型金融機構而言,卻實際做成了的“人員外包”,即使門當戶對的甲方乙方,也齟齬不斷,很難形成共同成長的依存關系。究其原因,可能有以下幾點。

              首先,原則上講,專業化是社會分工的必然結果,但是網絡安全是一個龐大的產業,加上是新興行業,因此導致客戶對服務機構的理解存在一定的偏差。與此類比,醫療也是專業化的龐大產業,由于其發展成熟,不找牙醫看心臟病已經成為常識。這樣簡單的邏輯,在網絡安全領域也很難形成共識。這是產業成熟度方面的固有因素。

              其次,在細分領域精耕細作的網絡安全服務機構較少。細分領域有兩個維度,一種是只提供特定的服務,發揮“工匠精神”,把某一類服務做到極致,例如,風險管理、ISO/IEC27001部署;另一種是深耕某個行業,精通客戶主營業務,成為行業專家,例如,工控網絡安全、金融網絡安全等。對服務機構而言,細分領域的市場相對較小,在競爭壓力下不免會采取四面出擊的策略。

              最后,一個好的服務(咨詢)機構,應該做到承上啟下。承上啟下也有兩層含義,一是應該具有一定的學術研究能力和較強的轉化能力,能夠盡快地將最新的學術研究成果產品化,例如,本文中提到的James Backhouse 及其團隊就是典范。另一種承上啟下是指由于網絡安全和金融都是強監管行業,企業面臨的合規風險很高,服務機構應該是監管機構的智庫,同時也是客戶的教練。

              四、小結

              本文分析了在金融科技的背景下,金融機構所面臨的新的網絡安全風險,同時,也討論了信息安全轉向網絡空間安全的背景下,由于強調的重點不同,導致已有“最佳實踐”(或相關標準)的適宜性方面存在的問題。在此基礎上,提出了我們的觀點,即,一方面應該開發契合度更高的金融網絡安全最佳實踐,并考慮使其成為行業標準或團體標準,這對于中小金融機構而言尤為迫切;另一方面應該加強服務機構的能力建設,促進形成良好的業界生態環境?! ?/p> 人妻精品一区二区三区_好紧好湿好硬国产在线视频_亚洲精品无码mv在线观看_国内激情精品久久久

            <video id="zjj55"><delect id="zjj55"></delect></video>

            <big id="zjj55"><listing id="zjj55"><del id="zjj55"></del></listing></big>

            <menuitem id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></menuitem>

            <output id="zjj55"></output>
            <video id="zjj55"></video>

            <menuitem id="zjj55"></menuitem>

              <video id="zjj55"><listing id="zjj55"></listing></video>

              <menuitem id="zjj55"></menuitem>
              <output id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></output>

              <menuitem id="zjj55"></menuitem>
              <menuitem id="zjj55"></menuitem>

                  <big id="zjj55"></big>

                      責任編輯:韓希宇

                      免責聲明:

                      中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。

                      為你推薦

                      猜你喜歡

                      收藏成功

                      確定