北京银行业务总监、软件开发部总经理胡浩青做客本期专题对话,详解新时代信息安全防护能力的提升之策。
北京银行业务总监、软件开发部总经理 胡浩青
导语
新时代驱动金融创新逻辑升级、亮点频现。相反相成,金融信息安全形势瞬息万变、危害攀升。面对新技术综合应用的全新挑战,信息安全风险已被提升至全局性、系统性重要风险的高度,安全手段的简单叠加已难以应对信息安全体系的连续动态调整压力。如何在前台快速创新的同时,在中后台更为主动、持续地推进信息安全监督、风控措施的配套转型?
记者
胡浩青
新时代下,科技主要面临两类风险。一是技术转型风险。数字化转型驱动科技引领业务发展,敏捷和开放的理念深入人心,前沿技术逐步运用到金融领域,自动化、数字化、智能化的管理模式正在接替传统运营管理,端到端的客户旅程思维致力于打造极致的客户体验。但是,敏捷交付会对项目管理带来不确定风险,新技术引入存在适用性风险,智能化决策需要恰当的风控模型作为辅助。同以往相比,更要严防合规和操作风险。
二是外部攻击风险。如今,手机银行和网银是最重要的交易渠道,我行互联网交易比重超过80%,银行的大门完全朝互联网方向打开,同时也面临前所未有的互联网安全威胁。黑客攻击形式变化多样,开源软件应用也为安全防护带来了不可预估的挑战,如何保证中小银行在这场攻防大战中立于不败之地,是一个紧迫课题。
记者
新时代科技面临的核心风险集中体现在网络、数据、新技术应用三方面。我们一方面要“大门敞开”拥抱互联网,一方面要“严防死守”捍卫信息安全。您如何看待信息安全管理面临的两难挑战?
胡浩青
用户体验与安全永远是一对矛盾体,找到平衡点是金融服务机构信息安全管理面临的挑战,如何达到体验与安全并重,更考验金融从业者的智慧。银行不可能单纯提升用户体验而降低安全要求,而过于严苛的安全标准很可能会导致用户的流失。找到平衡点需要多方面的共同努力。
技术人员一方面需在现有技术平台下保证代码的安全,另一方面需不断了解新技术、适应新场景、支撑新业务。业务人员在设计交易流程时同样需具备信息安全意识,避免“薅羊毛”类事件的发生。运维人员需同时掌握业务知识、科技支持能力以及网络安全技术,并需综合运用分析手段,随时对运行异动保持警惕,才能在最短时间内发现问题、解决问题。中小银行是否具备充足的安全人员储备,能否持续开展安全能力建设,是信息安全面临的巨大挑战。
记者
面对新时代金融IT核心风险特征及信息安全管理挑战的变化,为进一步提高信息安全防护能力,北京银行主要做了哪些具体工作?
胡浩青
为了建立动态完善的银行安全体系,北京银行在信息安全管理方面主要开展三方面工作。
一是成立网络安全与信息化领导小组。协调全行网络安全事件工作,贯彻落实上级管理机构的决策部署,审议全行网络安全和信息化制度以及管理流程。
二是建立人才队伍。优秀的银行信息安全管理人员,既需要具备出众的网络、安全专业知识,又需要具备一定的攻防对抗能力和对抗经验,更重要的是需要了解银行业务和交易逻辑。我们一直坚持培养自有安全团队和安全人才。每年从新入行的科技员工中挑选能力突出的加入安全团队,并为其组织网络安全培训,举办攻防演练,引导大家以实战心态真正学好技能、用好技术。
三是建立双模IT运行机制。对于传统项目,采用稳态模式开发运行,通过开发、测试、监控、修复、复测的模式,保证信息系统的安全运行。对于新建项目,尝试敏态IT的“互联网+”思维模式,通过产品经理的角色,打造“小快灵”的产品开发流程,从设计阶段开始将安全性、便利性理念融入产品。
记者
信息安全体系如何动态同步于金融科技时代步伐,北京银行未来重点工作有哪些?
胡浩青
北京银行未来将从以下三方面开展信息安全体系建设工作。
一是加强全员信息安全意识。一方面,通过培训和实践,将信息安全理念植入业务流程设计工作。另一方面,强化普通员工在日常计算机使用中的安全意识,避免出现邮件诈骗、病毒传播、内部数据泄露等安全问题。二是培养专业团队。逐步培养一支能打硬仗的专业型科技人才队伍,不断提升团队创新能力、开发能力和运营管理能力,保障银行成功实现数字化转型。三是加强外部合作。借助优秀企业的技术实力,提升银行信息化建设水平,提升系统对外服务能力,提升客户体验满意度。通过外部人才资源的合作,提升银行系统建设和安全防护能力。
结语
用户体验与安全永远是一对矛盾体,找到平衡点是金融服务机构信息安全管理面临的挑战,如何达到体验与安全并重,更考验金融从业者的智慧。银行不可能单纯提升用户体验而降低安全要求,而过于严苛的安全标准很可能会导致用户的流失。找到平衡点需要多方面的共同努力。中小银行是否具备充足的安全人员储备,能否持续地开展安全能力建设,是信息安全面临的巨大挑战。
