银行业的一大优势就是可以获取客户的交易数据，包括交易流向、交易地点、交易金额，这些数据都是真实的，所以数据质量也很高。对银行来说，这是非常重要的资源。众所周知，企业数据本身就蕴藏着价值，银行所掌握的企业人员情况、工资表、生产经营情况、上下游关系对发展信贷业务至关重要，对其他业务也拥有价值转化力量。但是，国内很多银行仍然只是将信息简单存储，仅将其当作客户资料加以妥善保管，而不是将它们作为生产力的转化工具。

华尔街的敛财高手们却正在挖掘这些数据财富，先人一步用其预判市场走势，取得了不俗的收益：华尔街根据民众情绪抛售股票；对冲基金依据购物网站的顾客评论，分析企业产品销售状况；银行根据求职网站的岗位数量，推断就业率；投资机构搜集并分析上市企业声明，从中寻找破产的蛛丝马迹；美国疾病控制和预防中心依据网民搜索，分析全球范围内流感等病疫的传播状况；美国总统奥巴马的竞选团队依据选民的微博，实时分析选民对总统竞选人的喜好。在这个时代，大数据更进一步体现出了科学技术作为第一生产力的极大价值。但是，风险和价值就像是一枚硬币的两面。想要追求信息技术带来的巨大价值，商业银行必须承担越来越严峻的信息安全风险。

 

从本质上看，信息安全风险具有以下特性：第一，客观存在。只要商业银行坚持信息化，这种风险就始终如影相随，不会以人的意志为转移或消失。第二，时刻变化。这种风险并非一成不变，而是与信息科技的发展紧密相关，会随着不同阶段信息化建设状况的变化而变化。当然，信息安全风险和其他风险一样与收益成正比，更多地采用新技术，更多地承担信息安全风险，也更可能获得超出市场平均回报率的收益。

在金融科技时代下，商业银行面临的信息安全风险呈现出以下新特点。

第一，新技术带来了新的安全漏洞。新技术是一把双刃剑。信息技术之所以能够做到“引领”，其根本还是通过新技术的应用，使得金融服务不断改善，更加快捷高效、贴近民众。但无论是IT技术服务商还是IT技术的应用方，为了迅速抢占市场获取商业利益，在新技术发展的初期往往将功能实现放在首要位置，安全性往往沦为次要考虑甚至是被忽略的地位。因此，新技术获得广泛应用后，大量新的漏洞呈现爆发趋势，严重威胁到系统安全。

第二，传统安全手段无法有效应对新安全威胁。常见的安全防御手段主要针对传统业务和技术架构进行设计和部署，而新技术往往采用了新的架构，给业务模式带来了新变化。当业务和架构发生变化后，原有安全防御手段可能无法完全满足新环境下安全保障的需求。

第三，新研发模式导致了更多的系统缺陷。自互联网金融元年以来，各大商业银行反应迅速，深入学习互联网思维，全身心投入到互联网金融的研究和应用中。互联网思维以“用户体验”为中心，以对需求的快速响应抢占市场先机，并持续通过扩大客户群体和保持客户黏性获得优势市场地位。商业银行为了快速响应市场需求变化，需要改变现有的系统研发模式，缩短系统研发时间和流程。

在传统的开发模式下，一个应用系统从需求研制到投产上线，在所有环节中都嵌入了各类安全活动，包括安全需求分析、安全架构设计、代码安全检查、应用安全测试等。但为了确保快速上线，项目研发时间被压缩，应用系统可能未经过充分的安全设计和测试就迫于业务压力匆忙上线。此类系统往往存在更多的缺陷，难免在上线后出现各类安全漏洞。与此同时，科技人员为了修复系统缺陷，不得不多次将更新后的软件版本重新发布到生产环境，这又成为了另一个不利于生产运行环境安全稳定的因素。

 

习近平总书记曾经说过：“坚持用发展的办法解决前进中的问题。”信息化潮流不可逆转，商业银行如果想保持核心竞争力，在未来激烈的市场竞争中占有一席之地，就必须坚持运用科技手段不断提升服务和产品质量。而面对信息化建设过程中带来的信息安全风险，商业银行应当加强顶层规划和整体设计，从治理、管理、机制等多方面入手，多管齐下、多措并举，做到“以安全保发展、以发展促安全”。

第一，加强信息科技基础性管理工作。

无论信息科技工作的环境发生什么样的变化，信息科技工作的本质和基本原理并不会变。加强信息科技基础性管理、提升管理精细化水平永远是控制信息安全风险的最有效手段。

例如，在系统研发阶段，只要项目的需求管理、质量管理、风险管理、进度管理等各个环节严格遵照标准和制度要求，无论是采用瀑布模型还是敏捷开发，都可以做到确保良好的开发质量，尽可能降低系统带病运行的风险;在系统运行阶段，只要严格遵守安全制度要求，切实落实安全运营、安全监测、安全预警、应急响应等各个环节工作要求，即使系统出现安全漏洞，也能够迅速化解风险，保护系统正常运行。因此，加强信息科技基础性管理是修炼提升内功，这样才能以不变应万变，坦然面对外部安全风险形势变化。

第二，充分运用新技术应对新安全问题。

商业银行必须充分预判和挖掘大数据、云计算、移动互联网等新技术存在的信息安全风险，确保新技术的应用不会造成重大客户信息泄露和资金损失。同时，商业银行还应该意识到新技术可以提升信息安全保障能力的另一面，积极研究大数据、云计算、人工智能等在信息安全态势感知、信息安全威胁情报分析、信息安全策略集中管控等方面的应用，推动信息安全防御和信息安全事件响应工作向着纵深化、智能化、快速化的方向发展。

第三，加快推进信息安全人才队伍建设。

信息安全保障工作高度依赖于人的能力。一支技术水平高、经验丰富、战斗力强的信息安全人才队伍是商业银行做好信息安全工作的前提条件。与此同时，由于合格的信息安全从业人员既需要具备全面扎实的理论基础，又离不开丰富的实践经验，培养信息安全人才往往需要花费数年时间。因此，商业银行应该高度重视信息安全人才培养工作，通过采用内部传承和引入行业内高端人才相结合的方式，打造一支高水平的信息安全团队。

未来大数据技术的发展、国家经济增速减缓、经济结构转型、利率市场化、互联网金融冲击等因素必将深刻影响商业银行的经营方式。随着信息安全风险管控形势日益严峻，信息科技部门更是面临安全和发展的双重挑战。但无论内外部环境如何变化，机遇总是和风险并存。因此，只要商业银行正视信息安全风险，合理平衡信息化建设和信息安全之间的关系，抓住这个机遇来大力改造传统银行业务流程和金融产品，以创新姿态迎接商业银行创新发展的新篇章。

作者：曹县农商银行 苏艺敏