金磐石：金融信息安全隐患日益增大

　　


　　图为中国建设银行信息技术管理部总经理金磐石

　　新浪财经讯 7月29日消息，由《当代金融家》杂志社主办的“2016年中国中小银行发展高峰论坛暨第五届最佳中小银行评选颁奖典礼”今日在京举行。论坛主题为“转型·竞争力”。中国建设银行信息技术管理部总经理金磐石在论坛上表示金融业务信息安全面临诸多风险的隐患，随着金融业务与科技的高度融合，业务对系统的依赖度是越来越大，系统的复杂性也越来越高，第三方互联发展迅猛，互联互通也导致了风险向相关机构的传导。

　　以下为嘉宾发言实录：

　　金磐石：各位同仁，借此机会我简要介绍一下建设银行在信息安全管理方面的一些探索和实践，内容主要分三个部分，首先是介绍一下信息安全面临的形势与管理目标，然后谈一下建设银行在信息安全方面探索和研究，最后对信息安全的应用和成效做一个简单地介绍。

　　信息安全面临诸多风险的隐患，随着金融业务与科技的高度融合，业务对系统的依赖度是越来越大，系统的复杂性也越来越高，几十万员工通过系统处理业务，科技应用的行为合规管理的程度日益加大，大数据、云计算等新技术的广泛应用，一方面由于认识能力的局限性，新技术应用风险的需要关注，另一方面云计算技术大幅度的提升了攻击者破解密码的能力，大数据技术提高了攻击者预测密码的指率，新技术增加了防御的难度。第三方互联发展迅猛，互联互通也导致了风险向相关机构的传导。

　　另外，组织化、专业化攻击已成为常态，其中信息科技，信息安全问题是必须要考虑的。像建设银行最高峰的时候这个业务处理量每天达到6.6亿，所以这个风险是相当大的。基于对信息安全面临风险的认知以及其影响分析，建设银行制订了信息安全管理的目标，包括四点，一个是有效保护信息资产，支撑业务持续运营。二是提高应对新型信息安全威胁的能力，支持业务创新。三是保护客户资金安全，维护健康信誉。四是提高合规管理能力，满足监管要求。

　　下面我介绍一下建行在信息安全管理方面的探索和研究，为实现信息安全的目标，我们行贯彻全面管理的指导思想，构建由组织管理体系，安全制度体系，安全技术体系组成的整体信息安全管理体系架构，其中在安全技术体系建设方面，建行贯彻国家等级保护要求，建立等级化安全技术保护体系，借鉴业界的最佳实践构建我们全面的安全技术保护模型，倡导安全技术服务的理念，利用组建化的方式搭建新一代安全平台，平衡便利与安全，实现了以业务为导向的安全管理模式。

　　下面分别介绍两方面的情况，在技术保障体系中，遵循国家的相关的技术标准，制订了建设银行的信息等级划分的标准，细化等级化安全保护的要求，明确安全技术的架构、策略、指南，构建安全的平台，落实等级化保护的要求。参照国际标准的并结合业界的最佳实践，建行建立了安全技术的保护模型，这个模型是围绕着访问主体和访问对象，建立了三层级的保护架构。

　　根据信息安全的技术基线，建行新一代的建设中按照组建化，企业级的方式对信息系统的安全技术平台进行重构，所以我们新一代的安全架构就是体现了全面完备的安全基础的架构，组建化的和定制的安全服务，推动了企业发展为导向的安全保护原则，就是以通用的安全技术及安全产品，完备的安全功能模块，多样灵活的部署模式，统一向我们的应用系统提供安全的功能，这是加密、身份认证、防恶通用，平衡了安全和客户体验，以组建化的形式为应用系统提供可定制的安全服务，满足不同的安全需求，以业务的视角以交易流程出发，充分剖析业务交易的要素，实现覆盖全业务流程的关联性的安全策略，实现了对交易风险的全面管控，从业务角度管控安全，将网络系统等IT的对象转变为业务的对象，形成了可信对象的概念，就是可信的接入，比如身份鉴别，可信的交易环境，比如说查询、转帐、付款等等操作行为。基于基础框架形成的安全技术和产品层，服务接入层，应用安全服务层，基础设施安全服务层等四层，所以组建化可定制的安全服务，在基础设施方面形成了终端、系统、网络、主机云环境的安全服务，在应用安全方面形成了用户认证、客户认证密码服务，数据安全，安全监控等服务。

　　业务发展为导向的安全管控，形成了安全策略管理中心，落实安全策略，安全控制要求，对总体架构各层服务全局的智能管控。在安全器服务这种基础上，我们避免了安全的短板问题，实现了边界防护和纵深防御并重，将传统保护的原理发展为纵深排列的多层子的水闸式的防控体系，在可信接入，可信环境等方面降低了安全的程度，提高了可信的数据可信的行为，保障了整体的安全水平，以安全策略，利用安全策略建设银行可以根据客户的行为，确定对应的安全验证的模式，对我们认为是好的用户就简单的就施行简单的放行，对可疑的用户降低额度等方式增强验证，对重大嫌疑引导就去网点进行实明的验证，这种模式保证了安全，同时客户满意度也增加了，所以这样的话就大大提升了系统的效应。

　　最后介绍一下新一代安全架构的应用成效，新一代的安全架构中，安全技术产品和功能，以服务的形式提供，形成了安全技术服务的新型模式，所以在我们新一代的安全架构将安全功能从应用中解瓦，实现了安全功能的标准化、组建化、专业化，面向所有的安全对象建立全面、集中、统一、灵活的安全服务体系，提供全面、透明、高效、可靠的面向服务的机制，以加密为例，各个业务系统不再需要再编写自己的加密程序，业务系统加密。

　　通过新一代的安全平台来实现，业务系统看到的只是一个加密服务的功能，具体采用什么样的算法，如何协商生成更新和交换密钥等等，以及密码的算法的选择，国产的加密，算法还是什么算法等等，这些内容都是被我们安全服务封装起来，所以数据的价值只有在使用中才能够更好的实现，因此我们在数据安全方面采用疏堵结合的方式：一是建立数据安全使用的环境，引导员工在安全环境中处理和加密数据，加工数据，实现便捷的数据加工分析，具体的包括一是分析历年业务分析和监管要求，完善数据仓库的数据源，依托数据仓库提供的快捷数据服务，减少后台数据的提取。二是建立专注的业务分析桌面云，在安全环境中进行数据加工和分析。三是建立开发测试云桌面，防范开发文档等重要信息的泄露。四是建立安全组建，脱离生产环境的数据。

　　通过严控数据留出的安全环境，有效减少信息泄露的机会，具体也包括一些措施。监控内部数据的泄露，我们有相应的工具和支持。运用新一代的安全架构，建设银行建立主动式的、自动化的渠道的风险管控机制，首先我们通过搜集网络的舆情和客户泄露的信息客户交易的记录等各类信息分析形成帐户分级的策略，然后根据将这个帐户分级的策略加载到我们安全策略管理中心，由安全策略管理中心根据帐户分级的动态调整，各个的信息安全的服务。

　　通过安全服务的接入层接入网上银行、手机银行、智慧设备实现我们全渠道的交易风险管控。最后通过全交易流程的安全监控，实现交易闭环的管理模式。通过事前的搜集信息，对帐户风险程度进行分级，在交易前对风险进行预判，在交易过程中主动采取相关的安全管控措施，实现主动式的智能化的风险管控。

　　目前我们整个新一套架构实现是安全器服务已经全部释放，平均减少了82%的应用系统的安全功能的开发工作量，缩短了应用系统开发的周期，为市场拓展赢得了商机。在支持海量交易方面，我们的网银客户认证的服务数日常交易量每天是4000万笔。

　　我们内部客户的认证交易量日均是240万笔，交易峰值在300万笔以上，我们服务的密钥管理的交易日均是21万笔，我们数据安全服务全行日均是过滤，拦截敏感信息每天是2.3万次，安全监理服务的日均采集的日志数2600万笔，日志处理是1440万笔，日均检测发现的潜在风险数量是五百余次，所以在数据保护方面，2016年我们发现和拦截内部敏感信息通过邮件外发，是11万封，通过互联网的外国页面上传等这种外发共计4.3万次，拦截外部发送到我们行内的垃圾邮件，包括反动广告的，共计1300万封。2016年上半年共获取外部泄露的是4000多万条，通过大数据分析挖掘出了16万涉及我行的高风险帐户，同时通过钓鱼网站直接获取受骗的客户大概11万条数据。2013年9月以来，我行在案件发生之前，主动识别风险客户，累积已经达到110余万，全部都加入到我们的系统的灰名单和重点监控的名单里头，有效地遏制了诈骗和客户之间被盗。

　　这里是我们新一代安全架构对电子渠道风险拦截的情况，从整个的交易拦截情况看，我们2016年上半年我们主动拦截风险，就今年上半年是1.8万笔，累积金额是1.1亿，拦截率达到了90%。建设银行现在目前整个的安全架构和信息安全工作，我们是有一批专门的团队在从事这项工作并得到了业界的认可，我们2014年在商业银行新一代安全架构研究及渠道交易风险管控体系的实践，这被评为银监会风险管理特级的一类成果。

　　2015年我们新一代的安全保障项目，荣获了亚洲银行家，亚太区最佳安全与风险管理项目大奖，2016年就今年2016年6月，我行被授予了国际信息系统审计控制协会全中国唯一的主席特别贡献奖，同月我们的IT条件下所属的北京数据中心，武汉数据中心和上海开发中心获得了ISO二期001国际信息安全管理体系认证。所以2015年银监会刚跟我们讲，建设银行在信息安全取得的成绩，得到了国家信息主管部门的充分肯定。

　　下一步建设银行在建设风控大脑和基于大数据技术的主动式的安全态势和感知方面要下工夫，在建设风控大脑方面基于历史数据对帐户所有者建立立体化的这种识别方式，让客户让帐户的后台形成一个个具有判断力，识别力的大脑，根据帐户、设备、位置、行为、关系及偏好等建立风控大脑，使得只有密码的所有者使用才可以生效。即便是入侵者获取了客户的密码和验证码信息也无法实现资金盗窃的行为，进而实现信息安全防护的智能化，在基于大数据智能的主动式的安全态势感知方面，建立基于上下文背景，灵活能防黑客攻击和资金盗窃的威胁模型，建立防控库，如恶意的IT，恶意的网址，恶意的帐户，欺诈的信息库，地理位置等等，利用基于大数据的分析，结合风控，提前主动发现和应对安全威胁。

　　以上是建设银行在信息安全管理方面的一点探索和实践，请各位指正，谢谢大家。