商业银行信息安全风险的防范

20世纪以来，信息技术在金融业中大量广泛使用，商业银行累积了大量的客户交易数据。越来越多的银行意识到数据和数据分析的作用，无论是从初始阶段对客户风险偏好的识别，还是针对客户需求和风险偏好做模型，每一步都离不开大数据对客户需求准确的把握。与此同时，银行业信息安全风险日益集中、不断增大，若不采取合理有效的应对措施可能会给商业银行带来严重的经济和声誉损失。

一、商业银行面临的信息安全风险的特点

从本质上看，信息安全风险具有以下特性：第一，客观存在。只要商业银行坚持信息化，这种风险就始终如影相随，不会以人的意志为转移或消失。第二，时刻变化。这种风险并非一成不变，而是与信息科技的发展紧密相关，会随着不同阶段信息化建设状况的变化而变化。

在金融科技时代下，商业银行面临的信息安全风险呈现出以下新特点。

第一，新技术带来了新的安全漏洞。新技术是一把双刃剑。无论是IT技术服务商还是IT技术的应用方，为了迅速抢占市场获取商业利益，在新技术发展的初期往往将功能实现放在首要位置，安全性往往沦为次要考虑甚至是被忽略的地位。因此，新技术获得广泛应用后，大量新的漏洞呈现爆发趋势，严重威胁到系统安全。

第二，传统安全手段无法有效应对新安全威胁。新技术往往采用了新的架构，给业务模式带来了新变化。当业务和架构发生变化后，原有安全防御手段可能无法完全满足新环境下安全保障的需求。

第三，新研发模式导致了更多的系统缺陷。互联网思维以“用户体验”为中心，以对需求的快速响应抢占市场先机，并持续通过扩大客户群体和保持客户黏性获得优势市场地位。商业银行为了快速响应市场需求变化，需要改变现有的系统研发模式，缩短系统研发时间和流程。

二、新形势下商业银行信息安全风险应对策略建议

“坚持用发展的办法解决前进中的问题。”面对信息化建设过程中带来的信息安全风险，商业银行应当加强顶层规划和整体设计，从治理、管理、机制等多方面入手，多管齐下、多措并举，做到“以安全保发展、以发展促安全”。

第一，加强信息科技基础性管理工作。

无论信息科技工作的环境发生什么样的变化，信息科技工作的本质和基本原理并不会变。加强信息科技基础性管理、提升管理精细化水平永远是控制信息安全风险的最有效手段。

第二，充分运用新技术应对新安全问题。

商业银行必须充分预判和挖掘大数据、云计算、移动互联网等新技术存在的信息安全风险，确保新技术的应用不会造成重大客户信息泄露和资金损失。同时，商业银行还应该意识到新技术可以提升信息安全保障能力的另一面，推动信息安全防御和信息安全事件响应工作向着纵深化、智能化、快速化的方向发展。

第三，加快推进信息安全人才队伍建设。

信息安全保障工作高度依赖于人的能力。一支技术水平高、经验丰富、战斗力强的信息安全人才队伍是商业银行做好信息安全工作的前提条件。与此同时，由于合格的信息安全从业人员既需要具备全面扎实的理论基础，又离不开丰富的实践经验，培养信息安全人才往往需要花费数年时间。因此，商业银行应该高度重视信息安全人才培养工作，通过采用内部传承和引入行业内高端人才相结合的方式，打造一支高水平的信息安全团队。

未来大数据技术的发展、国家经济增速减缓、经济结构转型、利率市场化、互联网金融冲击等因素必将深刻影响商业银行的经营方式。随着信息安全风险管控形势日益严峻，信息科技部门更是面临安全和发展的双重挑战。但无论内外部环境如何变化，机遇总是和风险并存。因此，只要商业银行正视信息安全风险，合理平衡信息化建设和信息安全之间的关系，抓住这个机遇来大力改造传统银行业务流程和金融产品，以创新姿态迎接商业银行创新发展的新篇章。