文 / 中国人民银行金融信息中心 袁慧萍

举国欢庆伟大祖国成立70周年之际,中国人民银行牵头的银行业计算机安全、信息安全、网络安全协调管理工作(以下简称为“网络安全”)也走过20年辉煌历程,在增强银行关键信息基础设施保护能力、提升核心技术安全可控能力、遏制电信欺诈高发势头、维护国家金融稳定等诸多方面取得可喜成绩。

银行业网络安全协调管理工作回顾

1.银行业计算机安全组织机构初创阶段(2000年-2002年)。1999年,人民银行牵头成功应对“千年虫”危机,完成全国金融机构首次安全大检查,研究应对计算机犯罪严重、安全管理不健全、安全技术措施薄弱之策。2000年1月18日,人民银行组织召开第一次全国银行系统计算机安全工作会议,印发《关于加强银行计算机安全防范金融计算机犯罪若干问题的决定》,在银行业自上而下成立专门安全机构并配置专岗人员,聘请院士专家顾问,编写《银行计算机信息系统安全技术规范》《银行计算机安全知识本》培训材料,银行业成为第一家拥有健全计算机安全组织保障的行业。

2002年呈报《关于我国银行计算机信息系统安全若干问题的报告》,系统总结各银行机构在安全组织、队伍保障、技术防护、加密保密、安全管理等领域为系统性防范和化解银行业务数据集中技术风险、保障金融安全所做的多方努力,对当时社会专家的不实表述予以澄清。

2002年2月,人民银行科技司组织知名安全专家就《关于我国银行计算机信息系统安全若干问题的报告》进行专家评审。

2.银行信息安全渐成体系阶段(2003年-2013年)。2003年国务院信息化工作办公室成立并印发《关于加强信息安全保障工作的意见》(27号文),是计算机安全走向信息安全体系化的分水岭。人民银行作为“8+2”国家信息安全协调机制成员单位,重点推进如下工作。

(1)行业宣贯。人民银行认真学习全国信息安全保障工作会议精神,研究部署贯彻措施,2004年以来连续多年组织召开银行金融机构信息安全保障工作会议,印发《关于银行业加强信息安全保障工作的意见》,其中《我国银行信息安全存在的主要问题与对策建议》作为国家网络与信息安全协调小组会议材料呈报。

(2)等保落地。积极配合公安部开展重要信息系统安全等级保护国家标准试点,制订发布具有金融行业特色的一系列标准,从国家、行业、部门到实施层层落实;建立金融行业等级保护测评专门队伍,组织银行业开展等级定级备案,实施有行业特色的等级保护。

(3)事件通报与处置。建成快速通报机制,发布银行计算机安全事件报告制度、金融业信息安全预警通报;连续多年部署“两会”以及其他重要敏感时期的银行业信息安全保障工作,出色完成奥运安保、十七大保障、九三阅兵以及国庆70周年等重保任务,多次获得国家主管部门嘉奖。期间成功协调处置多起银行业安全事件:2005针对大型商业银行系统硬件故障引发重大停机事件,组织召开专题研判会,协调厂商快速恢复业务、全面健康巡检;2007年及时协调解决某大型银行客户网银资金被盗事件并在银行业信息安全研讨会上做行业警示研讨。

(4)灾难恢复规范。2003年完成《国家重要信息系统灾难备份研究工作报告》;2004年组织召开首届银行业灾难备份研讨会;2006年提出同步规划、同步实现灾备体系建设等明确要求;2008年颁布《银行业信息系统灾难恢复管理规范》标准;2013年发布《关于调整优化银行业金融机构灾难备份中心整体布局的指导意见》,系统性协调指导灾难恢复工作。

(5)网银安全规范。通过规范先行、定期抽查、及时预警方式科学治理网银风险,2004年联合国家安全专控队伍开展网上银行系统风险评估;2005年牵头组织网上银行安全现状调查;2008年开展网上银行现场检查;2009年研制发布《网上银行系统信息安全通用规范》标准。

(6)应急协调处置:2005年牵头制订《银行重要信息系统应急协调预案》,明确规定跨行业应急协调资源。2006年牵头组织应急协调机制基本情况进行调查备案,搭建银行关键基础设施与电力、通信、安全保障等行业部门应急处置高效沟通渠道。

(7)安全标准规范。发布《金融业星型网间互联安全规范》《银行计算机信息系统安全技术规范》《金融城域网接入安全规范》等重要金融行业标准。印发《中国人民银行关于加强银行数据集中安全工作的指导意见》《银行计算机机房及柜面设备安全防护暂行规定》《关于加强银行业金融机构网上业务系统安全运行工作的几点意见》等管理规范。

(8)行业安全攻关。完成金融业“十五”科技攻关项目之《银行业信息安全战略研究》《银行、保险信息系统安全评测指引》《银行业密码技术应用规范》等多项银行业十五攻关项目;承担国家863高新技术项目中的《人民银行信息系统安全总体技术框架》研究任务,完成金融业信息化十三五规划。

3.银行业网络安全持续改进阶段(2014年至今)。2014年中央网络安全和信息化领导小组成立、2017年《网络安全法》将金融业列入关键信息基础设施行业以来,人民银行切实履行金融业网络安全协调任务。

(1)强化金融科技监管和风险控制。成立金融科技委员会,制订,组织金融科技领域专题攻关研究,编制金融科技发展规划,重点研究金融科技技术风险防范对策。

(2)落实关键信息基础设施保护。调查汇总金融业关键信息基础设施现状,牵头开展银行业关键信息基础设施保护课题研究,研究出台金融业关键信息基础设施认定规范和防护细则。与此同时,组织编制金融业网络安全规划、人民银行网络安全规划,搭建金融行业网络安全态势感知平台,健全金融业网络安全治理体系。

(3)提升风险评估与处置能力。人民银行以等级保护制度为主要抓手,督促银行业金融机构完成等级保护测评。落实国家网络安全检查要求,配合网信办开展抽查,关注重要系统防护较好与外围系统防护不足等“跳板”隐患。组建人民银行IT应急能力评估体系,依托各地区金融业信息安全协调机制指导金融机构不断加强应急管理。组织参加国家关键信息基础设施网络安全实战演习,工商银行和人民银行在2018年取得前十的骄人成绩,2019金融行业成绩更佳。

(4)推进架构转型替代。明确产品替代与整体技术架构转型相结合的思路,大力推广国产网络安全设备,推进SM密码在网上银行、金融IC卡、移动支付、电子认证等领域的广泛应用,推广使用国产软硬件,减少主机处理交易的种类和数量,通过技术转型降低对国外产品的依赖。

(5)宣贯交流培养。连续六年组织网络安全宣传周活动,宣传金融安全知识。连续七年组织银行业数据中心联席会议,围绕联席机制、应急管理、业务连续性、架构转型、安全保障、智能化运维专题进行专题交流。积极开展等级保护2.0宣贯,配套出台等级保护实施细则和数据安全标准,积极推进金融业安全专控队伍建设。

人民银行网络安全保障工作历程

人民银行在履行货币政策、金融稳定、金融服务等法定职能,特别在承担金融业网络安全协调工作的同时,提升自身网络安全保障工作尤为重要。

1.持续完善网络安全技术防护体系。(1)夯实安全专用系统防护基础。网络层落实建设恶意代码防护、防火墙、入侵检测、防DDOS、流量监测分析、网站云防护等手段,应用层建设CA认证、防毒墙、网页防篡改系统、安全网关等,在历次安全事件应急处置中发挥较大作用。终端层建成一体化终端安全防护体系:继2000年全行统一建设病毒防治系统、2004年建成补丁分发管理系统、2006年建成非法外联系统、2007年建成介质管控系统、2009年完成网络准入控制系统,2014年应对XP停服部署的盾甲防护系统之后,初步形成终端安全防御能力。在深入剖析震网病毒和孟加拉央行资金被窃等终端薄弱环节引发的严重事件后,人民银行于2015年1月启动一体化终端安全管理系统建设,在部委和银行业率先全面实现网络安全设施全国产化替代的同时,实现全强准入管控和一体化、策略化、可视化管理,在2017年永恒之蓝勒索病毒以及刚刚爆出的Windows远程桌面远程执行漏洞(CVE2019-0708)等重大威胁处置中得到实战检验,获得2017年银行科技发展二等奖。

2017年2月,人民银行组织一体化终端安全管理系统上线技术培训,全面落实安全系统国产化的同时实现一体化、可视化管理。

(2)夯实网络安全基础设施。2014年建成人民银行PKI/CA信任基础设施,推广使用数字证书,落实RA特色功能改造、国产密码算法改造,平稳组织根证书延期替换,同时支持发放RSA1024、RSA2048和国密SM2等算法数字证书,支持重要银行业务系统实现身份认证、签名验签、数字信封等应用场景,为人民银行业务系统、274家银行机构和财政、税收、海关、司法等联网政府部门提供抗抵赖、完整性和保密性等安全服务。2015年建成总行数据中心安全审计平台,实施运维操作、日志、数据库操作的全方位可审计、可追溯。

2.通过管理手段提升安全的层次。(1)制度先行。印发《中国人民银行信息安全管理规定》《中国人民银行计算机机房规范化工作指引》《银行及相关金融服务信息安全管理规范》《人民银行防病毒管理办法》《中国人民银行内联网入侵检测管理办法》《中国人民银行内联网漏洞扫描管理办法》,规范安全工作。

(2)等级保护。连续八年认真开展三级以上重要信息系统等级保护测评工作,主动将所有互联网系统纳入测评范畴,引入应用渗透测试、源代码测试以开展应用增强测试,探索建立重要信息系统基线档案;编发操作系统、数据库、中间件、网络设备的安全配置规范,配套建设配置核查系统以实现自动化核查。

(3)安全检查。牵头编制人民银行信息安全检查方案,发布安全检查管理办法,组织分支行交叉现场检查。创新开展年度安全检查,适时引入红蓝对抗、渗透测试,高效融合等级保护问题核查机制,切实提升检查的深度和广度。

(4)应急管理。2005年编发人民银行IT应急预案指引以指导全行完成IT系统总体应急预案,2006年编发人民银行IT应急演练模板,逐年组织实施应急演练、应急能力评估,推动持续改进。

(5)体系认证。2018年顺利完成数据中心ISO27001体系建设及认证工作,优化信息安全管理制度规范,强化全员信息安全意识,初步构建起符合国际标准的信息安全管理体系。

3.从安全运维向安全运营转化。主动推进人民银行网络安全保障技术体系前瞻性研究,完成总体设计以及身份认证、网络边界安全、云安全、应用安全、邮件安全、大数据安全、移动安全、态势感知与安全运营专项规划,针对当前人民银行急需解决的网络安全问题提出行之有效的解决方案。成立由信息安全部牵头、网络团队和运行团队参与的协同安全工作机制,加强与外部专业队伍的深度协作,提升安全报警事件自主研判预警能力。建设总分行联动的统一安全态势感知平台,全面提升网络安全保障能力。

未来展望

一是持续推进网络强国战略,为金融网络安全提供基础性支撑。保护金融业关键信息系统等关键基础设施,在国家网络安全战略框架下构建金融业网络安全生态环境。

二是发挥监管与市场双重作用,促进金融网络安全防护水平提升。加强政府、产业、研究、学术交流,切实提高金融领域自主可控水平,降低核心技术受制于人的技术风险,建设金融行业网络安全态势感知平台,加强安全监测预警和协调指挥。

三是坚持标准赋能网络安全。提升金融安全标准供给质量、狠抓金融标准实施力度、积极引进国际先进安全标准,支持金融网络安全高质量持续提升。

四是推动金融科技创新与安全协同并进。以平衡效率与安全为准绳,以金融监管能力为关键任务,以国际交流为核心纽带,以金融科技赋能信用社会建设为重要方法,运用多种监管科技手段,推动金融科技创新工作再上新台。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。