金融观察
此次“勒索病毒”事件昭示着,对于以风险为头号天敌的金融业,“安全”不仅限于资金流动下的系统性风险,还有赖于监测风险的根本基石。
一款名为WannaCry(想哭)的勒索病毒来袭,全世界当即陷入恐慌。相较于此番沦为重灾区的高校、企事业单位、政府机关,我国金融系统的表现相对稳定。除去证监会内部人士称停网自查外,金融公司也各显神通防范病毒入侵,真融宝Linux系统多重网络安全防御体系,买单侠系统补丁定期推送,苏宁金融则建立异构防火墙+物理隔离。
“股神”巴菲特日前在股东大会上曾发出警告:“人类所面临的最大威胁是网络攻击”。在全行业齐并革新的今日,传统与非传统的边界已变得如此模糊,当然也包括金融。
支付宝、余额宝、微信支付、手机理财等业务助推了互联网金融的发展。许多银行已感到了新业态对传统业务的实际威胁,开始了与互联网金融平台的合作,有的已将研发重点转向互联网金融。无论互联网金融平台对银行冲击的结果如何,互联网金融和传统银行都将在网络环境下共同发展,新的互联网金融工具还会接踵而至。
然而,有光的地方就有阴影。当我们正为互联网所带来的缩减成本而庆幸时,安全战场却已在隐形升级。对于以风险为头号天敌的金融业,“安全”不仅限于资金流动下的系统性风险,还有赖于监测风险的根本基石。
此次病毒侵袭恰恰昭示着,留给传统金融机构的时间不多了,尽快提供与银行业务相适应的金融安全服务是当务之急。
事实上,除去病毒入侵可能造成的系统瘫痪,移动支付过程下的网络骗术也“水涨船高”。对于敏感性强,流通性快的金融业,“敌变我变,敌未变我也变”才是防范风险的必然出路。
比如,有的单位虽然安全系统早已建立,却忽视了升级补丁的重要性。WINCRY1.0勒索病毒已产生变种,金融安全事关国家安全,单位在加大防毒投入的同时,也要注重技术力量的加强。
另一方面,在移动支付场景下,金融机构的“敞口”风险也需要接口升级。银行应该合理配置移动渠道的身份认证方式及资金交易限额,对于大额交易应尽量采用与移动设备相互独立的第二通道身份验证方式,这样,即使客户的手机丢失或号码被盗也能最大限度地降低客户的损失。商业银行还应建设交易监测系统或机制,并与网络安全公司合作主动监测和屏蔽钓鱼网站。
最后,对大数据安全风险,首要措施是进行确权。目前,大数据归属尚未确权,要建立国家层面的大数据确权法律框架。秉承最小权限和最小开放的原则,对整个系统进行权限设置管理,关闭不必要的端口及服务。对大数据的处理要有专业化技术引领,对一些敏感的数据进行“脱敏”处理,实现敏感数据的隐私保护。此外,要建立大数据纵深防御体系,整体防御与分区防御相结合。
□蔡恩泽(专栏作家)