如今信息安全行业风起云涌，要解决潜在的威胁，实现银行业长期稳定的发展，就需要立足于现实，对银行业信息安全方面存在的问题做全面的归纳和分析，并据此进一步提出解决方案。

  安全是银行业永不过时的话题。随着银行经营事物的规模的继续扩展，数字化、信息化程度的加强，银行业安全从业者们要练就一双“火眼金睛”，才能将业内潜在的“妖魔鬼怪”甄别出来。

  信息技术之所以被称之为“引领潮流”的技术，最终的原因在于它通过技术方法使得各项服务更加快捷高效。

  但技术的服务商终究是为了迅速抢占市场获取商业利益，在发展的初期往往将功能实现放在首要位置，安全的重要性则相对靠后。比如1969年，美国设计和构建第一代互联网的时候，就没考虑任何关于安全保护的需求。

  可以说，直到今天，针对各种内/外部攻击的安全防护仍然是金融行业信息化的首要难题。

  DDoS（分布式拒绝服务）主要是通过将巨大流量引向目标来达到压垮和瘫痪网站的目的。

  行业报告数据显示，DDoS攻击占整体网络攻击的70%，包括银行业，医疗、教育、物联网等行业在互联网化后，都遭受到不同程度的攻击，并且近年来一直呈现上升的趋势。

  据某云安全团队数据统计，网络上发生的DDoS攻击事件约三分之二以云平台IP作为攻击目标，超过四分之一的目标是专门的IDC机房IP或高防机房IP。

  由于银行机构的特殊性和敏感性，一旦网络出现中断，将会对总系统及用户造成十分负面的影响。

  互联网由多个互联的大型网络组成，每个大型网络/网络组由单个组织管理称之为自洽系统（AS）。为实现快速网络路径查找的目标，使用BGP协议（边界网关协议），使得路由尽可能高效的查找的目标IP并进行数据通信。

  从设计上，这个系统就比较脆弱，因为任何一个AS都可以简单地“撒谎”式地发布一个BGP路由通告，从而引发路由查找错误。如今，BGP劫持依然是危险的，它可以让劫持者记录流量，并试图在以后的时间里对流量做多元化的分析和解密。

  2017年发生过一次重大劫持事件，当时俄罗斯国有电信运营商Rostelecom劫持了包括Visa、Mastercard、汇丰银行等全球大型金融实体及银行机构的BGP路由。

  “社会工程学”主要指的是一类特殊的黑客攻击手段。它的攻击目标是人，是要充分的利用人性的弱点、本能反应、好奇心、信任、贪婪等心理特质，对受害者进行诈骗、恐吓等，给客户端安装恶意软件，盗取银行卡、网银密码和支付验证码。

  a. 我国研究机构发现，APT攻击组织包括APT28、Lazarus、海莲花、MuddyWater等53个，攻击的领域涵盖了包括银行业在内的众多领域。APT攻击具备高度的隐蔽性，通过向目标银行的员工发邮件等方式投送恶意代码，伺机传播并执行恶意软件。

  b. 据Gartner报告分析，为了逃避杀毒软件等安全手段的检测，现在电子邮件威胁已经慢慢的变复杂。据Verizon发布的DBIR报告显示，超过九成的恶意软件攻击是由电子邮件造成的。即便如此，仍然有许多银行员工可以在银行的电脑中任意登录邮件账户。

  c. 要对抗这些攻击手段，并不存在一劳永逸的办法。首先，许多银行领域的工作人员并没有信息安全背景，很难保障操作的严格合规性；其次，这些攻击手段会充分的利用人们内心的弱点，人们并不能时时刻刻保持充足的安全意识。

  银行业机构大量使用了第三方公司的IT 设备和软件，这些厂商可能在产品中预留一些具有系统最高控制权限的“后门”程序，从而被攻击者发现和利用。

  由于银行业的特殊性，其数据相当敏感，一旦被第三方公司掌握，尤其是是国际跨国公司，若国际政治、军事形势发生明显的变化，将会造成银行业的业务中断，极度影响金融经济秩序。

  近年来，勒索软件不断出现各种变种，带来的损失不断攀升。据统计，针对以银行业为代表的金融业的勒索病毒攻击占到了行业前十，约为总数的3.9%，情况不容乐观。预测2020年，勒索软件攻击损失将进一步增长。

  回顾过去一年多的时间，勒索病毒攻击了美国多家市政网络，造成市政服务停摆，迫使美国州政府支付赎金解决。而国内的情况也不容乐观，许多企业都曾受到勒索病毒的影响到业务的正常运行。

  银行业以其行业的特殊性，时常与现金打交道，同时其行业数据经济价值较高，使得对银行业现金、数据的盗窃成为了一项常见的犯罪行为。关于银行内部工作人员监守自盗的现象更是经常见诸于报道。如何通过技术方法减少这类盗窃行为的发生，是银行机构关心的一个话题。

  目前，AI在网络安全的应用逐渐成熟，但也成为了攻击者的目标和工具，攻击者可能会使用AI驱动的自动化攻击来探测网络和系统、搜寻可以被利用的新漏洞。

  在不久的将来，由AI驱动的攻击工具将会像其他流行的攻击工具一样，成为攻击者节省本金，提升攻击效率的新选择。怎么检验测试并追踪这些痕迹，将会成为银行信息安全新的考验。

  据国家计算机网络应急技术处理协调中心检测，国内被篡改的网站逐渐增多，银行网站自然也不例外。银行网站一旦受到篡改，不仅自身声誉受损，也会给用户所带来很大不便。

  “钓鱼”是一种网络欺诈行为，指不法分子仿冒真实网站的地址，或利用真实网站的漏洞植入危险的HTML代码，以此来骗取用户的个人资料。“钓鱼网站”的频繁出现，严重影响了在线银行金融业务，影响了公众的互联网信心。

  对银行业来说，在网银、手机、自助、POS等渠道经常遇见钓鱼网站的诈骗，随着银行互联网化的加深，在进行如网络支付、直销理财、消费信贷等创新业务时，将面临更加严峻的挑战。

  目前银行信息科技风险管理的有关制度和程序还存在一定的漏洞，具体表现在管理层往往缺少专门的信息科技风险管理机构，科技部门独立于其他业务部之外的现象比较普遍。计算机信息安全较为依赖人员的自觉性。

  这说明各银行业金融机构的分支机构计算机信息安全管理还没形成系统的计算机信息安全管理体系，计算机信息安全工作局限于个别部门与岗位。

  部分银行业机构对计算机信息安全的风险认识不足，特别是各商业银行完成了数据大集中后，分支行一致认为计算机信息安全是总行考虑的事，缺乏对分散风险和控制风险的考虑。

  由此可能会引起的一些容易忽视的问题，如允许任何地址接入电脑，打开各种未知邮件、大量敏感服务暴露、以及都会存在的弱口令问题。

  银行业机构由于信息科学技术人员较少，系统开发，技术上的支持，系统操作维护和系统安全不能严格分开，缺乏专门的技术风险管理部门或岗位进行相对有效的监督，由此造成应急方案和措施都难言健全。这是个不容忽视的安全风险隐患。这使得系统出现一些明显的异常问题时，难以依靠自身的力量解决。

  如今传统的网络边界已经消亡，银行网络中也充斥着各种引用。这些应用产生的日志是改善安全策略不可或缺的依据。通过日志收集功能，能轻松实现对银行应用全生命周期的监控，依据各种审计日志、数据信息，可以从不同角度进行画像，同时据此做多元化的分析和报告，可以有效组织破坏或限制成功攻击造成的损失。

  首先，所有的数据存在于一点上，如果发生极端情况，后果将是灾难性的。其次，在建设过程中，因为没有统筹考虑，对于系统安全部分的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数据传输中的完整性，数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次，在系统投入生产后的运维周期，主要是依靠系统承包商，自身的能力不足以做好运维工作，人力风险明显。

  各种设备都难免存在隐藏的bug，许多故障就由潜在的错误引发。还有些设备本来可以正常运作，但可能会受到系统中其他软件更新的影响，在更新后出现错误。

  为减少这样一些问题的出现，使得系统在投入到正常的使用中之后能够按照设计的方式正确运行，在正式投产前要少量部署进行专门的功能测试。

  通常在检测系统运行几个月后很容易检测出大部分问题，但由于人为疏忽、时间紧凑或其他一些原因，测试环节没有发挥出全部的作用，在系统大量投产后如果出现问题，重新进行优化就会变得非常困难。

  比如部分机房地板未能满足高度要求，不利于走线和通风；部分机房地板下走线贴地面铺设，不利于防水；没有设备空调，温湿度不能达标；或机房内无手持灭火器，缺少氧气呼吸器等；

  银行的设备更新和检查较为迟缓，部分组件出了故障，有几率会使服务不再安全或服务不可用。

  例如，目前各银行卡几乎全部为磁条式银行卡，从技术和物理特性上看，磁条卡这种磁介质具有内含的数据信息容易被复制盗取的安全隐患。

  对于监控而言，存在死角、视频存放时间比较短等问题；部分ATM存在设备老化、机具安全性达不到要求、运维管理欠佳等问题。

  银行业金融机构虽不像工业、农业、矿业等行业对自然条件有较强的依赖性，但偶然发生的如台风、火山、洪水、地震等自然灾害仍可能威胁着银行业务的安全。每次自然灾害的发生，不但对昂贵的器材和银行中存放的资金造成极大的损害，还可能会引起系统性的业务停顿与客户流失，甚至会引起业务系统瘫痪，造成社会不稳定。

  在美国，针对2005年卡特琳娜飓风所造成的灾害，美国议会和货币监理署为规范化应对自然灾害对银行等金融机构的影响，不但出台了专门的法案，还通过在官方网站设立专门的栏目、灵活调整政策等方式来常态化对受灾地区施加影响。

  随着IT外包服务的概念逐步被各银行业机构接受，各银行业机构开始尝试实施IT服务外包，这既有利于银行降低经营成本，更有助于银行集中精力专注于自身的核心业务发展。

  但是，银行不是一般的企业，它是经营货币的特殊企业，银行信息系统、数据的安全不仅关系着自身的生存，而且关系着整个国家的经济命脉，而实行IT外包服务后不仅银行内部掌握的大量敏感数据可能不再安全，更重要的是目前可以为银行提供IT外包服务的大多数是国际跨国公司，若国际政治、军事形势发生明显的变化，外包公司随时有可能停止提供服务，造成银行业的业务中断，极度影响金融经济秩序。

  为应对各种攻击行为，尽管已经有了各种防御手段。但常见的安全防御手段主要是针对传统业务和技术架构进行设计和部署，而新的攻击方式却占有先发优势，可采用各种新技术使得原有安全防御手段效果大打折扣。

  例如，在系统安全方面，云计算由于其高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等特点获得了愈来愈普遍的应用，同时也使得原有安全方案难以满足云计算环境下的租户角色信任、隐私数据保护等安全需求，安全风险可能快速蔓延。

  在网络安全方面，为满足慢慢的变多的信息流动和新业务需求，网络边界慢慢的变模糊，通信数据流也随义务的变化而变化，传统的“网络边界防护+固定安全策略”的模式可能已无法满足信息化发展的需要。

  在数据安全方面，过去通常采用数据分级、数据访问权限控制、数据加密等方式来防止数据安全性遭到破坏;而在大数据场景下，数据内容不停衍化，数据边界日益模糊，访问主体和客体关系异常复杂，硬件性能更是不足以满足海量数据的加解密需求，以上特点导致了传统手段已无法应对新的数据安全问题。

  数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高，但银行数据大集中后，可能带来的风险隐患也随之加大。

  一是不可抗力引发的风险带来的负面影响会更加显著；二是系统安全维护工作不及时引发的危险。由于数据集中后的系统的架构变得更加复杂，牵涉的各方面因素比原来大大增加，一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险，在数据大集中后，对系统开发、网络管理、运行维护等的要求更加专业化了。

  其次，在建设过程中，因为没有统筹考虑，对于系统安全部分的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数据传输中的完整性，数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次，在系统投入生产后的运维周期，主要依靠系统承包商，自身的能力不足以做好运维工作，人力风险明显。

  银行的日常经营活动或各类交易都应当遵守相关的商业准则和法律规定。在这个过程中，倘若不足以满足或违反了法律要求，将可能给银行造成经济损失，此为法律风险。

  随着金融安全监管和安全合规趋严，近年来，《网络安全法》、《密码法》等一系列法律条文的颁布，将等级保护提升到法律层面。近日国家网信办、发改委等12部门联合颁布的《网络安全审查办法》，将重点评估采购网络产品和服务可能带来的国家安全风险，值得从业机构正视。

  引发银行法律风险的因素是多元的，根本在于法律、金融、风险之间的动态关系，可能会造成银行基于错误的法律理解或适用而实施的商业行为、监督管理的机构的不当法律执行的因素。返回搜狐，查看更加多