陆霖：“数字化转型”中信息安全面临新挑战

中国财富网讯 日趋复杂的客户需求、更加线上化的客户行为和互联网企业的跨界竞争，金融机构需要从整体战略、经营机制到技术应用、创新研发等方面整体发力，“数字化转型”大幕已经拉开。然而在“数字化转型”的同时，信息安全问题的影响范围更大、程度更深，信息安全正面临前所未有的新挑战。自2018年以来，网络信息安全事件频发，包括勒索病毒GlobeImposter家族肆虐爆发、Facebook 5000万用户数据遭泄等。

       日前，中国财富网采访了亚信安全金融行业安全顾问陆霖，就金融业“数字化转型”中的信息安全问题进行了探讨。

亚信安全金融行业安全顾问陆霖

中国财富网：作为连接科技研发与业务创新的纽带，“数字化转型”兼顾了金融的本质与技术的动能，在您看来，当下金融业“数字化转型”的核心驱动力是什么？

陆霖：当下金融业数字化转型的核心驱动力是大数据与云。利用大数据系统强大的数据存储与分析能力，实现以客户为中心的精准营销。私有云的应用使得各类业务系统上下线更加迅捷，方便各种新业务的开拓。公有云或者叫金融行业云的推广，形成金融行业生态圈，实现各类金融产品的交叉销售，降低获客成本。

中国财富网：据Gartner　Group今年4月发布的报告显示，全球安全产业规模正持续、稳步增长。然而，投入的持续加大并未有效改善安全形势，网络恶性事件频率不降反升。尤其是数字经济快速发展，各领域企业、机构纷纷联网、上云进行数字化转型，让信息安全问题的影响范围更大、程度更深，您如何看待该现象？

陆霖：过去的工作重点是金融电子化，即将金融行业自身的业务系统实现电子化，客户与金融企业之间的联系更多通过线下的方法如柜员、POS机等来实现。网银和手机银行能处理的业务也相对简单。金融企业的网络呈比较封闭的状态，因此从防护的角度来讲，我们的主要任务是看紧“城门”。随着数字化的转型，更多的业务会借助移动等新型的交易渠道，更多新业务的开展以及金融产品甚至客户之间的交叉销售，需要更多的数据交互，这意味着更加开放的网络。同样也会带来更多的风险。

另外，信息安全从本质上来讲其实是一个攻防对抗的过程，即安全团队与黑客之间的对抗。那么发现更多的安全问题，是以往发生的黑客攻击事件较少，还是因为更多的安全投入发现了以往没法发现的安全事件，这也是一个耐人寻味的问题。

中国财富网：您认为，在金融业“数字化转型”过程中，信息安全主要面临哪些挑战？

陆霖：首先，大数据意味着更大的安全风险。大数据系统并非为企业数据而生，当前金融的大数据系统大都基于开源的代码改造而成，由于其并非以商用为目的，因此并没有预制相关的政策合规和风险管控等方面的协议，其自身的安全性天生就存在缺陷。

其次，移动交易渠道带来新的风险。当前，短信加密码是主要的双因素认证方式，但是在移动交易环境下，这种双因素认证方式的安全性和便利性都存在挑战。因此越来越多的生物识别技术，比如指纹、声纹和人脸识别等相关技术被加入作为认证的因素之一。不同于由三大电信运营商提供的短信方式，这类生物识别技术通常都由新兴的科技公司来提供服务，这些公司自身的稳定性和技术的领先性无法保障，应避免由于生物识别技术提供方自身的风险而导致金融企业产生相关风险。

再其次，更多的鸡蛋在一个篮子里，云是新的集中风险点。越来越多的大型金融企业在成立金融科技公司，金融科技公司的主要目标是形成科技能力和金融资源的双重输出。为了便于金融产品的交叉销售和更低的获客成本，小型金融机构会把业务系统迁移到这些金融科技公司的云服务平台上。一旦发生事故，会造成巨大的影响，今年6月底阿里云和8月初腾讯云的两次故障应引以为戒。不同于传统的基于内网环境的运营模式，多租户的云环境需要更高的科技运营水平和风险预估能力。

最后，依赖度更高。 数字化转型之后金融机构对于IT系统的依赖度会更高，同时更加开放的交易与结算渠道以及新技术的引入会带来更多的安全风险。除了强调安全防护能力，在尽量避免安全事故的同时更应加强对于应急恢复能力的建设。

中国财富网：在这一过程中，亚信安全如何赋能金融业的“数字化转型”？

陆霖：亚信安全在金融行业有众多的案例，目前几乎所有的国有或大型股份制商业银行都已经是亚信安全的客户。亚信安全在金融行业当前主要的产品方向包括态势感知、数据安全、云安全、移动安全和终端安全等，当前数字化转型中的主要挑战亚信都有对应的解决方案，同时在金融企业中有实际的应用。

中国财富网：展望未来，亚信安全在行业信息安全的战略规划是怎样的？或者面对行业的未来发展，亚信安全认为未来金融业在信息安全建设上应重点关注哪些方面？

陆霖：未来金融业应关注四个方面：一是加强对于大数据系统安全防护能力的监管。特别是对于大数据系统账号的管控，操作行为的审计和敏感数据的获取应有专门的技术手段和管理制度。

二是生物识别技术与金融机构的交易身份认证实现松耦合，即生物识别与专门的身份认证平台对接，而身份认证平台与交易系统对接。金融机构掌握身份认证平台的核心技术，避免由于生物识别技术演进或者生物识别技术供应商的运营风险，对金融企业的交易造成影响。

三是强化对于金融科技子公司的监管。一方面应强调金融科技公司的云平台应具备足够的安全防护能力，另一方面应强调风险智能预测的能力，比如通过安全态势平台预测网络攻击风险等。

四是建设基于精密编排的网络空间恢复能力。针对日益猖獗的网络攻击，全球最具权威的IT研究与顾问咨询公司Gartner提出了SOAR理论，即强调通过弹性修复来快速恢复网络的运行能力。主要包括以下几个过程：①在网络攻击发生之后，通过取证审计系统快速实现内部验伤，确认当前网络攻击对于企业内部的影响；②结合威胁情报判定本次事件的危害等级；③通过预制应急预案快速恢复网络运营能力。该应急预案的每个操作步骤必须具体且不可再分割。（筱筱）