文 / 本刊记者 张丽霞

我国金融行业自上世纪70年代的金融电子化、信息化建设开始,就一直重视计算机技术的普及应用与信息安全管理的并行发展。

金融行业作为信息科技建设的先行者,最早于1997年,由人民银行、公安部联合开展了银行计算机信息系统安全检查。结果表明在银行领域计算机安全还是一个相当薄弱的环节。对于一些电子化起步早、程度高的机构,在计算机安全方面做得相对较好;而起步晚的机构尚正处于银行业务电子化转轨过程中,没有足够的精力和技术力量来解决计算机安全的问题,故潜伏着较大的安全风险。中国人民银行科技司原副巡视员陈天晴作为银行信息安全最初的亲历者,给记者讲述这段历史。正是在计算机技术发展与所出现安全问题的双重推动下,由人民银行牵头、各银行业金融机构共同参与的银行业信息安全组织体系逐步形成,银行成为了国内首个健全安全组织机构的行业。至此,加强金融计算机信息系统的安全管理工作正式步入正轨。

金融信息安全的发展历程

金融信息安全管理工作的首要阶段是人民银行信息安全组织架构的建立,之后推动了整个银行业信息安全组织架构的建立,随后保险、证券业逐步建立了其信息安全机制。金融信息安全的发展历程,与自身的信息化建设密不可分。信息化发展到哪个阶段,就需要建立与之匹配和适应的信息安全保障能力,以确保银行的持续稳健经营。从历史发展的各个时期来看,银行信息安全工作的总体目标基本一致,但侧重点各不相同。

从单机应用到集中联网时期:凝心聚力。银行业金融机构一直走在信息化建设的前列。上世纪80年代至90年代末,我国主要商业银行陆续成立了科技部门,从在营业网点推广使用微机开始,逐步实现了县域、市域、省域的集中联网。随着各行各业信息化建设的不断深入,由于人为或技术因素导致的信息安全问题随之出现,影响程度越来越深,范围越来越大。

对此,国家“八五”科技攻关特别提出:要建立一套较完整的银行计算机稽核体系;开展金融信息安全与保密系统的研究;在现有银行营业网点安全报警系统的基础上,完善并研制新的银行安全报警系统。

图片由中国人民银行金融信息中心信息安全部主任袁慧萍提供

同一时期,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,首次规范了我国信息系统建设、运行和使用行为。商业银行信息安全工作也在该条例的指导下从无到有逐步开展。

在此阶段,由于商业银行的信息系统大多封闭在局域网之内,我国的互联网也尚未大范围普及,信息系统面临的威胁主要来自于技术缺陷、误操作或人为破坏。因此信息安全工作主要关注终端安全、物理安全、运行安全等方面,并有针对性地解决了部分领域出现的突出问题。

从数据集中到信息化时期:构筑体系。千禧年前后,信息技术大潮席卷全球,银行业信息科技开始全面发力、大步向前,陆续完成了全国数据集中、电子渠道体系建设等一系列重大工程。与此同时,信息技术的广泛、深入应用也增强了银行业对信息科技的依赖性,信息系统的高度耦合使得小故障可能导致大事件,业务连续性保障需求越来越迫切。商业银行信息系统运行环境越来越庞大、复杂,仅靠过去的零敲碎打已经不能系统地解决复杂的信息安全问题。

在此关键时期,由人民银行主导的全国首次银行系统计算机安全工作会议于2000年1月召开,人民银行时任副行长尚福林在会上指出,金融计算机2000问题的平稳过渡,使金融机构在防范和化解金融风险、保证金融安全工作中经受了实战的锻炼和考验,进入新千年后,银行业还将面临来自多方面信息安全的挑战。如何进一步改革和完善我国银行服务体系,增强国际金融市场竞争力,是新形势下银行工作面临的崭新课题,同时也对金融计算机安全工作提出了更高要求。

此后几年间,我国相继发布了一系列等级保护国家及行业标准,为金融行业开展等级保护工作提供了专业指导。中国印钞造币总公司董事郭全明(时任人民银行科技司安全处处长)亲历了这一重要时期。他认为,只有解决好认识问题,才能把握好前进的方向,才能增强责任感,主动开展工作,因此正确理解信息系统等级保护的意义和作用是做好等级保护工作的第一步。等级保护就是统筹兼顾、重点保护,把有限的资源用在刀刃上,突出保护好那些事关国家安全、社会稳定、公众利益的信息系统安全。持续8年之久,人民银行保障了金融系统日常的数据安全和运行安全,建立了从网络层到应用层的安全防护机制,构筑了相对完整的信息安全保障体系,有力促进了银行业信息安全防护体系,包括应急灾备体系等的建设与完善。与此同时,人民银行协同各商业银行顺利确保了奥运会、上海世博会、汶川大地震、南方雨雪灾害等重保期间,银行信息系统的安全平稳运行。

至此,银行业逐步开始尝试用体系化的思维来解决发展过程中遇到的越来越普遍的信息安全问题,通过落实国家网络安全等级保护要求,实现信息安全“同步规划、同步建设、同步运行”;通过构建生产运行管理、应急管理和灾备管理体系,全面保障信息系统运行的稳定性和连续性;通过引入和对标ISO27001等国际标准,不断提升信息安全管理的规范化水平。

从互联网到移动互联时期:重点突破。进入21世纪以来,信息科技获得了井喷式发展。从互联网到移动互联网,从第二代到第四代移动通信网络,银行业借助技术的革新,迅速地将各类线下业务线上化,以提供更加优质便捷的金融服务。在信息系统走向开放的同时,银行所面临的外部攻击的威胁与日俱增,网络攻击防护、数据安全保护等重点领域成为银行安全亟待解决的问题。

特别是2013年6月,前美国中央情报局雇员斯诺登对媒体陆续揭露美国国家安全局“棱镜”监听项目,震惊了国际社会。受此影响,我国显著加速网络安全国家治理,2014年2月,成立中央网络安全和信息化领导小组(2018年3月更名为中央网络安全和信息化委员会),习近平总书记担任领导小组组长。2016年正式颁布《中华人民共和国网络安全法》,这是我国互联网、信息安全领域首部完整性和基础性法律。

《网络安全法》的发布实行为各行业开展网络安全工作指明了方向、搭建了框架、提出了要求,对保障国家网络空间主权、促进网络应用健康发展、打击网络违法犯罪、维护公民和组织合法权益具有重大意义。为了全面贯彻落实《网络安全法》,人民银行科技司认真组织金融机构科技部门从关键信息基础设施保护、网络安全审查、网络安全通报等多个方面有序开展工作,确保了金融行业网络和信息系统整体运行平稳。

在此时期,商业银行除了继续做好日常安全管理工作之外,还重点针对各类外部安全威胁开始发力,在应用安全、网络安全、系统安全等各个细分领域不断投入人力物力,从人才、技术、平台等多方面入手构建信息安全专业能力。在不断提升信息系统健壮性的同时,提高全网安全态势感知、预警、响应、溯源能力,以切实履行保护客户资金和个人信息安全的职责。

表1 国家层面信息安全监管制度发布情况

表2 金融行业信息安全监管制度发布情况

立足当下,展望未来

面对滚滚而来的全球数字化浪潮,银行业再一次站在自我变革的十字路口。云计算、大数据、人工智能、移动通信等系列技术先后取得重大突破,并逐步应用到各种金融业务场景中。新技术在深刻改变金融服务和产品形态的同时,也给银行业金融机构带来了新的网络安全问题。中国农业银行科技与产品管理局副总经理王怡认为,在日益严峻复杂的网络安全环境下守住安全底线和红线,为数字化转型战略的顺利实施提供可靠的安全保障,是未来各银行业金融机构信息安全工作的主要目标。

落实等保、关保工作要求,保护银行关键资产是关键。近年来,国家相关政府部门审时度势,加速推进网络安全相关立法和标准制修订工作。尤其是即将出台的《网络安全等级保护条例(征求意见稿)》《国家关键信息基础设施安全保护条例》及其配套的系列技术标准,都为银行信息化建设勾勒出了清晰而明确的重点保护目标和安全底线。

银行业金融机构迫切需要结合数字化转型下业务和技术的发展变化,重新梳理和识别关键信息资产,尤其是大数据时代新产生的各类高价值资产。王怡表示,针对识别出的高级别信息资产,商业银行需要严格按照国家等保、关保相关工作要求实施重点防护,确保主要资源投入到关键目标的保护中,防止高价值资产被破坏导致企业遭受严重损失。

全方位升级网络安全防线,应对新技术带来的内外部威胁。在“事前、事中、事后”各个环节,针对数字化转型带来的开放化、智能化的特点,综合利用各类先进技术,全面升级网络安全防线。

其一,建立高敏感度的网络安全预警体系。数字化时代的开放性和融合性特点,决定了网络攻击带来的危害影响将呈几何级数增加。《孙子兵法》有云:“不战而屈人之兵,善之善者也”。因此,为了避免因安全隐患造成系统性影响的最好办法就是防范于未然。而数字化转型可以使得任何网络行为都留下痕迹,给判别和捕捉攻击行为留有空间。企业可以通过积累日志、流量等数据,并借助云计算、大数据等技术开展威胁建模和快速分析,从而及时预判网络攻击行为,做到“御敌于国门之外”。

其二,按照“多纵深、立体化”的思路全面升级网络安全防御。首先,金融机构应针对不同的开放模式,重新定位安全边界,并基于新的安全边界充分评估现有防御措施的完备性,根据需要升级或重铸防线。在边界防护无法迅速定位和布防的情况下,构建“多纵深、立体化”的防御体系就显得尤为重要。一旦边界被突破,内网边界、服务器、终端等各层面形成的防御体系应用层监测和迟滞攻击行为,就会防止攻击者进入信息系统的核心区域。

其三,用数字化转型解决数字化转型中存在的安全问题,不断提升网络安全监控和响应的自动化和智能化水平。针对人工智能以及其他新技术引入过程中暂时未知或无成熟管控手段的风险,可通过研究如何将大数据、人工智能等新技术,运用到网络安全态势监控和响应中,不断提升自动化和智能化水平,通过快速响应降低未知风险引发安全事件的概率。

建立全链条多方联合战线,防范系统性风险事件。为有效应对融合化带来的系统性风险问题,应在各个相关方之间建立联合战线,凝聚多方力量共同抵御安全威胁。

一方面,建立技术与业务融合联动的安全防线。随着数字化转型逐渐深入,商业银行的网络安全已经超出了信息科技的范畴,与业务深度融合。业务部门作为与客户直接接触的前台部门,可以及时掌握客户的安全诉求,也能够利用借助企业建立的安全品牌和口碑更好地开展营销活动。此外,业务部门和科技部门在共同推动新技术应用时,可考虑对比分析新技术带来的经济利益和潜在资金损失的基础上,建立备付金机制,及时赔付由于新技术缺陷造成的客户损失。

另一方面,实现行业内部的“攻守联盟”。商业银行之间的公司治理、业务模式、IT架构等多个方面均有相似之处,面临的外部威胁也大同小异。王怡认为,金融监管机构、银行业协会等行业牵头机构,可考虑建立商业银行间的态势感知、情报共享等安全平台,帮助商业银行及时响应数字化转型带来的网络安全形势变化。

打造信息安全技术专家队伍,提升攻防两端对抗能力。习近平总书记明确指出:“网络空间的竞争,归根结底是人才竞争”。银行信息安全保障能力的高低,很大程度上取决于人才队伍的经验、技能和职业素养。王怡表示,打造一支政治素质过硬、技术水平高超的信息安全人才队伍,对于商业银行做好信息安全工作具有极为重要的意义。

首先,不断拓宽人才引入渠道。目前,我国信息安全人才供需不平衡的矛盾日益突出,人才供给远远满足不了社会需求。商业银行可针对信息安全人才的特点,在校园和招聘过程中给予适当的倾斜和保障。此外,银行业金融机构还可考虑与高校建立联合培养机制,一方面金融机构可为在校大学生提供实习平台,帮助其积累实践经验;另一方面高校可向金融机构提供稳定、高质量的人才输出。

其次,不断创新人才培养方式。除了传统的授课培训之外,银行业金融机构还可以考虑通过设立网络攻防实验室持续跟踪网络安全最前沿技术发展、建设网络攻防靶场并持续组织开展高强度实战对抗等方式,培养金融行业的网络安全高精尖领军人才,把控和引领未来金融行业信息安全工作的总体方向。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。