近日，香港人工智能與機(jī)器人學(xué)會(huì)（HKSAIR）副理事長(zhǎng)鄭松巖做客HKSAIR《AI金融》系列線上講座，以“香港金融業(yè)網(wǎng)絡(luò)安全和個(gè)人隱私數(shù)據(jù)保護(hù)”為主題進(jìn)行分享。

以下為鄭松巖演講全文，雷鋒網(wǎng)做了不改變?cè)獾恼恚?/strong>

大家好，我是鄭松巖，我今天跟大家分享一下香港金融業(yè)網(wǎng)絡(luò)安全跟個(gè)人隱私數(shù)據(jù)保護(hù)的情況跟做法。

香港金融主要還是銀行、證券、保險(xiǎn)，但三個(gè)細(xì)分行業(yè)監(jiān)管的嚴(yán)謹(jǐn)程度存在較大的差異。銀行監(jiān)管最嚴(yán)謹(jǐn)，所以我們講的主要是銀行相關(guān)的部分。

銀行業(yè)“水深火熱”的網(wǎng)絡(luò)安全現(xiàn)狀

2018-2019這兩年出現(xiàn)很多資料被盜的案例，不過(guò)不是在金融行業(yè)，而是在其他行業(yè)。

2018年10月，國(guó)泰航空公司總共有900多萬(wàn)的客戶資料被泄露。其實(shí)國(guó)泰內(nèi)部早在2018年4月份就發(fā)現(xiàn)問(wèn)題，只是延后公布。

新加坡醫(yī)療集團(tuán)Sing Health則丟失了150萬(wàn)病人的資料，這與國(guó)泰事件發(fā)生時(shí)間很接近，但兩者處理事件的方式大不相同。

Sing Health在出現(xiàn)問(wèn)題的時(shí)候，政府監(jiān)管馬上跟進(jìn)，幾個(gè)月后公布調(diào)查報(bào)告并供公眾查閱。

萬(wàn)豪旗下的喜來(lái)登酒店也曾經(jīng)丟失超過(guò)3億用戶的個(gè)人資料。Facebook更是頻頻通過(guò)心理測(cè)試或者各種游戲，竊取用戶個(gè)人資料。Facebook近年不斷出現(xiàn)一些系統(tǒng)漏洞，很多用戶的個(gè)人電話、郵箱、信用卡或身份證資料都暴露了。

這些案例看似與金融業(yè)務(wù)無(wú)關(guān)，但這些被泄露的客戶資料有信用卡號(hào)碼、身份證號(hào)碼，都可能被盜用。將來(lái)用戶在銀行申請(qǐng)開(kāi)戶、貸款，這對(duì)客戶本人就會(huì)產(chǎn)生危害。

2019年也出現(xiàn)了很多泄露事件，比如新加坡另外一間醫(yī)療機(jī)構(gòu)HSA，發(fā)現(xiàn)很多客戶資料被掛在黑網(wǎng)上售賣(mài)。同時(shí)，像Instagram等社交媒體，都有很多信息外泄情況。

還有第一資本也丟失了客戶資料，它本身就是金融機(jī)構(gòu)，丟失資料更容易導(dǎo)致客戶信息被盜用，引起金融方面的損失。

再往前看，2016-2017這兩年，是全球銀行經(jīng)歷最多線上劫案的時(shí)候。線上劫案，也就是網(wǎng)絡(luò)攻擊。

Swift是跨國(guó)家或地區(qū)的一種匯款轉(zhuǎn)賬方式，該機(jī)構(gòu)在各銀行安裝轉(zhuǎn)賬終端機(jī)器。孟加拉央行被黑客進(jìn)入，通過(guò)Swift被盜取8100萬(wàn)美金。香港很多網(wǎng)上銀行用戶個(gè)人資料丟失后，被黑客冒用做股票交易進(jìn)行現(xiàn)金套現(xiàn)。

臺(tái)灣第一銀行ATM服務(wù)器被攻破，導(dǎo)致很多不同地區(qū)的ATM某天自動(dòng)吐錢(qián)。泰國(guó)也出現(xiàn)過(guò)ATM被盜，是在機(jī)構(gòu)更新ATM程序時(shí)趁虛而入。

實(shí)際上，現(xiàn)在很多地下黑網(wǎng)都會(huì)給這種網(wǎng)絡(luò)攻擊明碼標(biāo)價(jià)，盜取的店面數(shù)量、賬戶總值都可以在網(wǎng)上看到。

• 釣魚(yú)工具典型案例之孟加拉央行

這種盜取很多資金攻擊，是不是很復(fù)雜？這里以孟加拉銀行為例做出解釋。

黑客并不是直接攻擊銀行數(shù)據(jù)中心，因?yàn)閿?shù)據(jù)中心的服務(wù)器比較復(fù)雜，而是利用釣魚(yú)郵件，比如假裝成求職簡(jiǎn)歷，郵件發(fā)送到央行人事部門(mén)，部門(mén)人員點(diǎn)進(jìn)去就中招。這樣，接收文件的那臺(tái)個(gè)人電腦就被黑客入侵了。

除了用戶自身操作以外，很多系統(tǒng)管理人員也在這臺(tái)電腦安裝過(guò)軟件或是日常維護(hù)，黑客也就順勢(shì)拿到系統(tǒng)管理人員的密碼，就可以嘗試通過(guò)網(wǎng)絡(luò)控制其他服務(wù)器。再利用服務(wù)器，安裝一個(gè)能夠獲取用戶鍵盤(pán)輸入信息的程序。

如果此時(shí)這臺(tái)電腦是給用戶用Swift做匯款操作的，那黑客就能獲取Swift匯款的ID和信息，遠(yuǎn)程操控這臺(tái)機(jī)器。

這樣的操作，一直持續(xù)了39天，央行一直不知情，直到有一次黑客打錯(cuò)收款人姓名，交易被中斷。銀行內(nèi)部做檢查，發(fā)現(xiàn)這不是內(nèi)部人員所為，才追蹤發(fā)現(xiàn)這件事情。

這就是從終端電腦開(kāi)始慢慢安裝軟件，潛伏，通過(guò)網(wǎng)絡(luò)搜尋獲取更高權(quán)限，層層遞進(jìn)，最終發(fā)動(dòng)攻擊。

• 釣魚(yú)工具典型案例之臺(tái)灣第一銀行

而入侵臺(tái)灣第一銀行的程序，實(shí)際上它是從倫敦的一個(gè)終端機(jī)上進(jìn)入的，通過(guò)網(wǎng)絡(luò)掌控到傳真式服務(wù)器。

傳真經(jīng)常會(huì)和總部有資料往來(lái)，他們之間有連接。黑客通過(guò)傳真式服務(wù)器、倫敦的服務(wù)器，再進(jìn)入到臺(tái)灣本部的服務(wù)器，一層層操作后掌控自動(dòng)柜員機(jī)的服務(wù)器，黑客可以操作指定區(qū)域的ATM機(jī)器，給出取錢(qián)指令，直接得到現(xiàn)金。

我們的慣性思維會(huì)認(rèn)為，網(wǎng)絡(luò)攻擊就是攻擊服務(wù)器、數(shù)據(jù)中心，但這是從技術(shù)層面來(lái)講。釣魚(yú)軟件則是一種從終端用戶切入的攻擊，低成本高效益，操作更容易，也不容易被追蹤。

對(duì)用戶來(lái)說(shuō)，網(wǎng)上銀行要輸入ID，同時(shí)還有短信之類(lèi)的雙重認(rèn)證。

黑客用釣魚(yú)軟件，程序很簡(jiǎn)單，比如給用戶發(fā)鏈接，點(diǎn)進(jìn)去之后顯示的銀行登陸界面需要輸入ID、密碼、驗(yàn)證碼，用戶更容易信以為真。但這個(gè)彈出的網(wǎng)上銀行界面，其實(shí)是黑客電腦上的，不是真正網(wǎng)銀界面。

用戶在不知情的情況下，輸入自己的ID、密碼，被黑客獲取，去真正網(wǎng)銀上輸入用戶的賬密，用戶收到輔助驗(yàn)證的短信。一旦用戶沒(méi)有發(fā)現(xiàn)端疑，按照指示操作，黑客就能拿到短信完成雙重認(rèn)證，從而進(jìn)行更多操作和交易。

金融業(yè)的網(wǎng)絡(luò)安全治理之道

金融業(yè)的網(wǎng)絡(luò)安全管制，不只是技術(shù)層面的。各業(yè)務(wù)部門(mén)和用戶，全部都要有網(wǎng)絡(luò)安全意識(shí)，無(wú)論是在哪個(gè)機(jī)構(gòu)、哪個(gè)國(guó)家或地區(qū)都是如此。

另外，不同銀行的管控能力都不同，網(wǎng)絡(luò)安全的治理跟管理要并行，這一點(diǎn)要分清楚。

管理是日常的網(wǎng)絡(luò)安全計(jì)劃，采取一定措施監(jiān)控和運(yùn)行系統(tǒng)都是屬于日常管理。但治理更重要，它處于更高層次，金融機(jī)構(gòu)必須定出一種方向，去思考：

1、對(duì)網(wǎng)絡(luò)安全的容忍度有多少？

2、網(wǎng)絡(luò)安全在機(jī)構(gòu)里，屬于最高優(yōu)先級(jí)嗎？

這些問(wèn)題的答案，直接與機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的重視程度掛鉤，包括投入的資源、人才跟資金，因?yàn)橐?gòu)很多不同的措施，包括檢查機(jī)構(gòu)網(wǎng)絡(luò)安全的水準(zhǔn)是否達(dá)到一個(gè)水平。

在座有不少朋友負(fù)責(zé)網(wǎng)絡(luò)安全，或者從事科技行業(yè)，我想請(qǐng)問(wèn)大家：當(dāng)你的管理層或董事會(huì)問(wèn)你，你覺(jué)得自家機(jī)構(gòu)的網(wǎng)絡(luò)安全與業(yè)界同行相比是什么水平？有多少差距？這個(gè)問(wèn)題你會(huì)怎么來(lái)回答呢？

網(wǎng)絡(luò)安全是一件由上到下、遍及全民的要事。香港金管局就明確規(guī)定，保障銀行的網(wǎng)絡(luò)安全是機(jī)構(gòu)董事會(huì)成員的責(zé)任，由董事會(huì)負(fù)最終責(zé)任。管理層必須根據(jù)董事會(huì)定下的網(wǎng)絡(luò)安全優(yōu)先級(jí)，去保證所有的資源架構(gòu)配套能夠到位。

• 管理層監(jiān)督
  

管理層的下一級(jí)是科技或風(fēng)險(xiǎn)管理部門(mén)，甚至是一些前線。管理層要保證計(jì)劃都能夠執(zhí)行到位，再具體到技術(shù)人員。

只有管理層乃至機(jī)構(gòu)董事會(huì)了解到整體安全保障情況，把它列入日常議程，整個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)安全資源跟能力才能持續(xù)下去。

網(wǎng)絡(luò)安全永遠(yuǎn)沒(méi)有“做到最好”這個(gè)說(shuō)法，不是監(jiān)管要求或者稽查就做一下，無(wú)人違紀(jì)就停止了，而是要持續(xù)執(zhí)行下去。

管理層監(jiān)督的對(duì)象，就是有關(guān)網(wǎng)絡(luò)安全的部門(mén)、科技部門(mén)，包括用戶。有關(guān)部門(mén)應(yīng)該收集報(bào)告，定期向高層管理、董事會(huì)匯報(bào)安全情況。

現(xiàn)在很多培訓(xùn)，只面向科技人員，這不夠。要把培訓(xùn)遍及到董事會(huì)跟高層管理，他們也充分了解當(dāng)前網(wǎng)絡(luò)安全整體趨勢(shì)，才能引起足夠重視。基層同事也要知道網(wǎng)絡(luò)安全各方面保護(hù)，不斷宣傳，讓所有的終端用戶都有這種意識(shí)。

除了全民意識(shí)，在技術(shù)層面可以有很多的手段，比如在電腦上安裝不同防護(hù)工具、加密工具或監(jiān)控工具。實(shí)際上不同機(jī)構(gòu)都會(huì)不斷互相學(xué)習(xí)，然后引進(jìn)技術(shù)手段，輻射到終端用戶和高層管理的培訓(xùn)。

香港金融管理局（下稱“金管局”）對(duì)科技的風(fēng)險(xiǎn)監(jiān)管有不同的規(guī)范，以科技管制和技術(shù)措施為主。

持續(xù)性業(yè)務(wù)，又稱TM-G2，是指業(yè)務(wù)整體都要持續(xù)有留存?zhèn)浞?，不只是科技中心的備份，還有業(yè)務(wù)操作備份、演練規(guī)劃。演練包括技術(shù)和業(yè)務(wù)層面，應(yīng)急啟動(dòng)等，都有很多不同規(guī)范。電子銀行因?yàn)樽兓煤芸?，所以有專門(mén)的管理規(guī)范和相關(guān)指引。

香港民眾對(duì)個(gè)人隱私的保護(hù)意識(shí)很強(qiáng)，是好事，當(dāng)然也沒(méi)那么快接受新鮮事物。香港有專門(mén)的隱私條例，大概有6個(gè)原則：

1. 個(gè)人資料的收集、目的及方式。社會(huì)上不同的機(jī)構(gòu)，像銀行、商店要收集客戶資料，就必須講清楚收集資料的目的跟使用方式。

2. 個(gè)人資料的準(zhǔn)確及保留期。講清楚目的后，還有使用期限，多久之內(nèi)必須要?jiǎng)h除，資料不再留存。

3. 個(gè)人資料的使用。在使用的過(guò)程中，要遵循告知用戶使用的方式且只能用于此事，用戶一旦發(fā)現(xiàn)不妥，可以投訴。

4. 個(gè)人資料的保護(hù)。即是資料在處理中、傳輸中、存放中的保護(hù)。

5. 資訊需在一般情況下可以提供。

6. 查閱、修改個(gè)人資料的權(quán)利。

根據(jù)隱私條例規(guī)定，用戶可以隨時(shí)要求查詢收集記錄的資料，也有權(quán)要求修改和刪除。

• 網(wǎng)絡(luò)安全管理指引四大重點(diǎn)

網(wǎng)絡(luò)安保方面，金管局曾給出過(guò)銀行指引，重點(diǎn)如下：

1、董事會(huì)和高級(jí)管理層的監(jiān)督

銀行網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)擁有人就是董事會(huì)，信息一旦泄漏就可能讓黑客容易進(jìn)入一些科技系統(tǒng)，因此必須建立科技跟業(yè)務(wù)并行的風(fēng)險(xiǎn)管理整體措施。

風(fēng)險(xiǎn)出現(xiàn)時(shí)，我們要面對(duì)監(jiān)管、客戶、民眾、媒體。所以這一系列活動(dòng)中，業(yè)務(wù)部門(mén)、企業(yè)職能部門(mén)都是要并行運(yùn)作的。風(fēng)險(xiǎn)管控的措施不只是科技，同時(shí)要保證多數(shù)人有網(wǎng)絡(luò)安全措施跟意識(shí)，董事會(huì)跟高級(jí)管理層有責(zé)任建立這一種文化。

2、定期評(píng)估及監(jiān)察

銀行網(wǎng)絡(luò)安全要建立一種控制基準(zhǔn)，包括治理層面。類(lèi)似的國(guó)際基準(zhǔn)有CSC20，通過(guò)標(biāo)準(zhǔn)比對(duì)，找出差距，不斷修改補(bǔ)充。

2015年時(shí)金管局提問(wèn)各個(gè)銀行：網(wǎng)絡(luò)安全團(tuán)隊(duì)有多少人？需要配備足夠的人員及人才，足夠的財(cái)務(wù)投入，才能把網(wǎng)絡(luò)安保做好，定期向董事會(huì)匯報(bào)。

3、業(yè)界合作及應(yīng)急規(guī)劃

金融機(jī)構(gòu)要跟其他行業(yè)機(jī)構(gòu)、警方互相合作，共享一些網(wǎng)絡(luò)信息；同行業(yè)間互相分享不同的安保信息。做好應(yīng)變測(cè)試，確保能夠及時(shí)處理。這里的應(yīng)變測(cè)試是指整個(gè)機(jī)構(gòu)面對(duì)問(wèn)題的時(shí)候的應(yīng)變處理。

4、定期獨(dú)立評(píng)估及測(cè)試

足夠的網(wǎng)絡(luò)安保專業(yè)人才跟知識(shí)是衡量機(jī)構(gòu)的標(biāo)準(zhǔn)。另外，要請(qǐng)有資質(zhì)的顧問(wèn)公司對(duì)機(jī)構(gòu)進(jìn)行獨(dú)立評(píng)估，這也是監(jiān)管要求之一。

• 網(wǎng)絡(luò)防衛(wèi)評(píng)估框架

金管局推出了「網(wǎng)絡(luò)防衛(wèi)評(píng)估框架」，近幾年還在繼續(xù)完善跟運(yùn)作。

評(píng)估框架要求：銀行根據(jù)自身交易量、提供交易服務(wù)的復(fù)雜程度和自身規(guī)模，進(jìn)行自我評(píng)估，判斷固有風(fēng)險(xiǎn)的高中低程度。銀行的規(guī)模越大、業(yè)務(wù)越復(fù)雜、提供的產(chǎn)品越多，固有風(fēng)險(xiǎn)就越高。

還有網(wǎng)絡(luò)安防成熟度的要求。固有風(fēng)險(xiǎn)越高，成熟度要求就越高，通過(guò)獨(dú)立的顧問(wèn)公司評(píng)估銀行，逐項(xiàng)判斷是否滿足要求。再根據(jù)評(píng)估結(jié)果找出差距，銀行必須優(yōu)化改進(jìn)。

每個(gè)銀行的評(píng)估結(jié)果最終都要上報(bào)，金管局根據(jù)結(jié)果提出意見(jiàn)，銀行再根據(jù)意見(jiàn)和評(píng)估結(jié)果制定修訂的計(jì)劃進(jìn)行整改。金管局還要求提供修訂報(bào)告，獨(dú)立顧問(wèn)公司對(duì)銀行做審查，評(píng)估整改的方案跟措施。

半年后，會(huì)要求銀行找顧問(wèn)公司再做一次評(píng)估，確認(rèn)方案是否仍然有效。全部做完后，再要求各個(gè)銀行去找顧問(wèn)公司，找出不同的場(chǎng)景在機(jī)構(gòu)里測(cè)試，然后從端對(duì)端中看能否找出漏洞。

• 網(wǎng)絡(luò)評(píng)估的要素

成熟度評(píng)估包括7個(gè)領(lǐng)域，水平分為基本、中級(jí)、高級(jí)，總共有366項(xiàng)，具體看是否完成，服務(wù)程度等。獨(dú)立顧問(wèn)公司幫忙審核，列出不符合的項(xiàng)目。

其中，風(fēng)險(xiǎn)識(shí)別這一點(diǎn)是指如何保護(hù)系統(tǒng)，如何偵測(cè)到分別來(lái)自內(nèi)部和外部的攻擊活動(dòng)，如何去法院處理，同時(shí)恢復(fù)服務(wù)，這就是風(fēng)險(xiǎn)意識(shí)。

最后一點(diǎn)是第三方的風(fēng)險(xiǎn)管理。近年來(lái)，各國(guó)對(duì)第三方的風(fēng)險(xiǎn)管理要求趨嚴(yán)，相信接下來(lái)會(huì)有更多第三方服務(wù)商（相關(guān)條例出現(xiàn)）。比如銀行將呼叫中心業(yè)務(wù)外發(fā)給第三方供應(yīng)商去做，必須監(jiān)控供應(yīng)商是否存在漏洞，以免影響服務(wù)質(zhì)量。還包括關(guān)鍵的硬件供應(yīng)商，需要有替代方案應(yīng)對(duì)突發(fā)問(wèn)題。

第三方擴(kuò)展會(huì)越來(lái)越多，因?yàn)楝F(xiàn)在的銀行講究效率——傳統(tǒng)銀行要求客戶到分行，或用專門(mén)手機(jī)銀行做金融交易，但現(xiàn)在有Open API開(kāi)放這些應(yīng)用的接口，越來(lái)越趨向于B2B方式。

B2B2C模式是銀行跟其他非銀機(jī)構(gòu)合作提供服務(wù)，共同經(jīng)營(yíng)雙方客戶。在這種模式下，用戶可以通過(guò)一些像網(wǎng)商或航空公司等非銀機(jī)構(gòu)，在他們的網(wǎng)站直接享受銀行服務(wù)，例如開(kāi)戶、轉(zhuǎn)賬。

同樣，銀行也可以建立這種平臺(tái)，提供像汽車(chē)銷(xiāo)售、旅游計(jì)劃等商業(yè)合作。當(dāng)?shù)谌焦揪W(wǎng)站出現(xiàn)問(wèn)題，銀行必須采取行動(dòng)，及時(shí)判斷這些機(jī)構(gòu)存在的問(wèn)題，判斷其可信資質(zhì)。

最近金管局對(duì)銀行又提出關(guān)于人工智能的一些要求，指明如果銀行采用AI產(chǎn)品，或與機(jī)構(gòu)服務(wù)商合作，董事局跟高層管理也必須負(fù)責(zé)AI引起的結(jié)果。這就要求使用者對(duì)應(yīng)用程序要有足夠的專業(yè)知識(shí)，和對(duì)人工智能的認(rèn)知。

AI要用數(shù)據(jù)訓(xùn)練模型，因此也對(duì)數(shù)據(jù)質(zhì)量有所要求。AI模型還要做好核實(shí)，包括模型的可審計(jì)性。如果采用外部機(jī)構(gòu)的AI產(chǎn)品，比如NLP，涉及的編制也需核實(shí)。

外部AI或服務(wù)如何管控，如何確定變更過(guò)的模型準(zhǔn)確性不變，如何檢測(cè)程序中是否有惡意部分……這些對(duì)銀行來(lái)說(shuō)都是不小的挑戰(zhàn)。

云在內(nèi)地銀行應(yīng)用較廣泛，香港銀行相對(duì)較少，這與監(jiān)管不無(wú)關(guān)系。如果銀行使用外部云，（在香港）它會(huì)被當(dāng)成是技術(shù)外包，那技術(shù)外包也有自己的條例，包括全程監(jiān)控，可審計(jì)等。云計(jì)算上的復(fù)雜狀況不一定完全符合監(jiān)管要求，要明確監(jiān)管條例，銀行才能啟用云。

銀行用云也分為很多情況。比如銀行內(nèi)部出于成本效益考慮，選擇自建云。有些銀行是跨國(guó)且有很多子公司，它需要讓一些企業(yè)客戶跟銀行IT系統(tǒng)有連接，比如銀企直聯(lián)，企業(yè)的ERP也能夠連到銀行，在處理賬務(wù)或資金調(diào)撥時(shí)更方便。

• 歐盟GDPR VS 香港個(gè)人私隱條例

1、香港私隱條例列出6大原則，基本是原則性條文。而歐盟在2018年推出的資料保護(hù)條例叫GDPR，羅列了99條具體細(xì)則，它比香港的條例更嚴(yán)格。

2、香港把身份證、電話號(hào)碼等算在隱私范疇，而GDPR則將生物特征、車(chē)牌號(hào)、相片、IP地址、色情網(wǎng)絡(luò)記錄等等都全部列進(jìn)去。

3、GDPR條例會(huì)覆蓋到其他的國(guó)家和地區(qū)，比如別國(guó)網(wǎng)站的產(chǎn)品，如果銷(xiāo)售對(duì)象是歐洲地區(qū)的客戶，或是銷(xiāo)售中用到歐洲語(yǔ)言，會(huì)被計(jì)入GDPR。

4、如果有出現(xiàn)問(wèn)題，你一定要72小時(shí)內(nèi)上報(bào)到某一個(gè)機(jī)構(gòu)。

5、很多地區(qū)的私隱條例只講了原則，沒(méi)有具體的違規(guī)處罰方式。歐盟就規(guī)定很清楚，說(shuō)最高可處以2000萬(wàn)歐元的罰款或者全球營(yíng)業(yè)額的4%。

如何持續(xù)優(yōu)化一個(gè)金融機(jī)構(gòu)的網(wǎng)絡(luò)安全能力？

第一，定期外聘一個(gè)具認(rèn)受性的顧問(wèn)公司對(duì)機(jī)構(gòu)的網(wǎng)絡(luò)安全做成熟度評(píng)估。

這是多維度的考察，并不只是檢查技術(shù)上的防護(hù)。比如畢馬威的成熟度評(píng)估模型，總共分了6個(gè)維度，評(píng)估管制跟領(lǐng)導(dǎo)、整體信息風(fēng)險(xiǎn)管理、法律合規(guī)方面機(jī)制等；運(yùn)作與科技只占一項(xiàng)，還有業(yè)務(wù)持續(xù)性、人員素質(zhì)……每個(gè)維度又分成5個(gè)層次，從初始級(jí)到優(yōu)化級(jí)，定出一個(gè)最適合自己的標(biāo)準(zhǔn)。

金融機(jī)構(gòu)如果期望更好的效果，就應(yīng)該通過(guò)各個(gè)維度找出差距并整改補(bǔ)齊。 整改時(shí)要對(duì)措施的有效性進(jìn)行評(píng)估，整改后再對(duì)措施的持續(xù)性作評(píng)估。

由于不同的顧問(wèn)公司的評(píng)估模型稍有差異，因而找不同的公司作評(píng)估，可以從更多的方位找出改善的地方。

第二，不斷演練。

機(jī)構(gòu)應(yīng)事先制定好不同的場(chǎng)景，像網(wǎng)絡(luò)攻擊、阻斷式攻擊、釣魚(yú)等，并制定好每年演練場(chǎng)景的數(shù)量、所需時(shí)間，按照規(guī)劃完成。從高級(jí)管理層到終端用戶、科技人員、科技系統(tǒng)等全都會(huì)加入。另外也可以聘請(qǐng)外部機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安保方面的攻防演練，找出漏洞并修補(bǔ)。

系統(tǒng)中的補(bǔ)丁，也是很多機(jī)構(gòu)容易疏忽的一點(diǎn)。一個(gè)中大型的機(jī)構(gòu)，比如服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端機(jī)等，時(shí)而有補(bǔ)丁可更改，但也要分析實(shí)際作用再做定奪。而且要及時(shí)知道新的補(bǔ)丁上線時(shí)間，這要跟供應(yīng)商保持溝通，確定補(bǔ)丁需要的時(shí)間、風(fēng)險(xiǎn)優(yōu)先級(jí)等。

有沒(méi)有出現(xiàn)過(guò)沒(méi)按規(guī)定打補(bǔ)丁的事件？早幾年的Wanna Cry（永恒之藍(lán)）就是，它個(gè)病毒會(huì)鎖掉所有檔案資料，黑客收取比特幣之后才能解鎖。當(dāng)時(shí)全球很多地方都中招了，如果及時(shí)打上Microsoft Shop的OS補(bǔ)丁，是可以避免的。

第三，人員意識(shí)培訓(xùn)。負(fù)責(zé)網(wǎng)絡(luò)安保的人員是否具備專業(yè)知識(shí)跟能力？這必須由專業(yè)人才進(jìn)行培訓(xùn)。很多人認(rèn)為，有充分的實(shí)戰(zhàn)經(jīng)驗(yàn)就行了，但還是必須要求有專業(yè)認(rèn)證。

因?yàn)榻?jīng)驗(yàn)會(huì)隨人員流動(dòng)，有專業(yè)認(rèn)證起碼能保證網(wǎng)絡(luò)安保人員認(rèn)知的水平在同一水平線。像科技風(fēng)險(xiǎn)管理或者網(wǎng)絡(luò)安保之類(lèi)的認(rèn)證人員數(shù)量，至少要占團(tuán)隊(duì)90%以上。同時(shí)經(jīng)常舉辦不同的網(wǎng)絡(luò)安保培訓(xùn)活動(dòng)。另外也可以通過(guò)攻防演練、座談會(huì)、網(wǎng)絡(luò)學(xué)習(xí)、釣魚(yú)測(cè)試等培養(yǎng)安全意識(shí)。

• 引入智能化分析工具

很多機(jī)構(gòu)有不同工具，例如防病毒、防攻擊、防侵入等，在服務(wù)器上有防脆弱、防檔案更改的工具，網(wǎng)絡(luò)有一些像DDOS防阻塞式攻擊的工具。

監(jiān)控，其實(shí)都是監(jiān)控到不同前中后臺(tái)、終端或是服務(wù)器網(wǎng)絡(luò)設(shè)備日志。日志單獨(dú)查看可能很難看出問(wèn)題，需要引入智能化分析工具，像Cyber Security Analytic，把不同設(shè)備的訪問(wèn)日志以及一些來(lái)自外部的訪問(wèn)IP的信息聚合在一起通過(guò)工具進(jìn)行關(guān)聯(lián)性分析，找出較為隠蔽的問(wèn)題。 

例如有些服務(wù)器或應(yīng)用系統(tǒng)正常運(yùn)行，但某時(shí)段有一個(gè)IP在極短時(shí)間內(nèi)出現(xiàn)不合理的交易數(shù)量，便可藉此提示是否有使用機(jī)器人進(jìn)行操作的可能。

實(shí)際上，近兩年病毒或DDOS類(lèi)型的攻擊反而較少，更危險(xiǎn)的是APT攻擊（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）。它是在一個(gè)位置記錄搜尋漏洞，找到更重要的一個(gè)設(shè)備，再在設(shè)備上找新漏洞，找到它認(rèn)為合適的時(shí)候才發(fā)起攻擊，手段非常隱蔽，攻擊讓人措手不及。這就需要建構(gòu)大數(shù)據(jù)網(wǎng)絡(luò)安保分析平臺(tái)來(lái)應(yīng)對(duì)。

實(shí)際上，網(wǎng)絡(luò)安全、信息安全是政府、企業(yè)跟個(gè)人的共同責(zé)任。政府要做好立法和執(zhí)法。企業(yè)方面，各個(gè)企業(yè)的網(wǎng)絡(luò)安控水準(zhǔn)跟意識(shí)各不相同，有些中小型企業(yè)沒(méi)有資金跟人才去部署，怎么保證他們都有這樣一種安全意識(shí)也是問(wèn)題所在。

同時(shí)，個(gè)人也要提高安全防范意識(shí)，注意個(gè)人ID密碼被盜，釣魚(yú)郵件，WiFi安全性等等。甚至平時(shí)你填的表格信息，也要考慮到信息用途，說(shuō)不定很多信息因此就丟失。

即將啟幕

CCF-GAIR 全球人工智能與機(jī)器人峰會(huì)———AI金融專場(chǎng)

歷屆 CCF-GAIR 已匯聚多位諾獎(jiǎng)、圖靈獎(jiǎng)得主，28位海內(nèi)外院士，21位世界A類(lèi)頂會(huì)主席，103位Fellow，400多位知名企業(yè)家以及100余位VC創(chuàng)始人出席。

8月7日-9日，《AI金融評(píng)論》將在第五屆CCF-GAIR中舉辦「AI金融專場(chǎng)」，目前統(tǒng)計(jì)學(xué)“諾貝爾”— COPSS總統(tǒng)獎(jiǎng)得主，摩根大通執(zhí)行董事，世界頂級(jí)學(xué)會(huì)主席，金融巨頭首席科學(xué)家、首席風(fēng)控官，已確認(rèn)出席。

會(huì)議詳情與合作，可聯(lián)系專場(chǎng)負(fù)責(zé)人周蕾，微信：LorraineSummer

更多會(huì)議安排點(diǎn)擊https://gair.leiphone.com/gair/gair2020查看。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。