中国农业银行软件开发中心总经理 蔡钊

习近平总书记在十九大报告中指出:“坚持总体国家安全观。统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则。”

随着云计算、大数据、区块链、人工智能等一系列新兴技术与金融深度融合,开启了金融科技时代。新技术是一把“双刃剑”,可以改善金融服务,但也可能引入新的安全问题。当前信息科技支撑着金融业务发展,信息科技风险也可能引发系统性风险,必须加以高度重视。农业银行结合自身实际,对金融科技创新与安全的关系进行了深入思考和研究,并不断探索实践。

一、在金融科技创新中践行总体国家安全观的思考

发展和安全是一对矛盾综合体。总体国家安全观要求我们既重视发展问题,又重视安全问题。商业银行在金融科技创新过程中,应当以总体国家安全观为指引,切实处理好发展和安全之间的关系。

1.安全是金融科技创新的生命线

金融科技创新并不能改变IT风险的隐蔽性、复杂性特征。由于广泛应用移动互联技术,金融科技创新产品一旦出现问题,不但会影响业务开展,而且还可能将风险传播到其他系统或机构,形成一个风险蔓延、一损俱损的格局,因此必须提高认识,将安全作为金融科技创新的生命线优先考虑。

2.发展是解决安全问题的根本途径

总体国家安全观指出发展才是解决安全问题的“总钥匙”。我们在金融科技创新时,一方面要坚持安全优先原则,预判和规避新技术存在的风险;另一方面也要认识到安全是相对的,不能因为追求安全就束手束脚、因噎废食。要充分认识新技术的安全价值和潜力,积极研究大数据、云计算、人工智能等在安全领域的应用,以发展促安全,以安全保发展。

3.提升统筹能力和管理水平是关键

金融科技创新要求我们快速响应市场变化、快速研发,与此同时要想有效控制风险,就要求我们不断修炼、提升内力,加强自身管理。一是要加强资源配置、项目管理、企业架构等方面统筹,促进研发效率提升;二是要加强安全合规、漏洞处置、应急灾备等方面的管理,保障信息安全。只有采用科学的管理方法,才能促进安全和效率的协调发展。

4.满足国家政策和监管要求是基本底线

商业银行的金融科技创新,不管是使用何种新兴技术、支撑何种业务,必须在符合国家的相关政策和监管要求的基础上,选择符合自身实际的安全架构和产品,实现整个系统的安全可控。同时,商业银行也应积极响应国家信息安全战略,自觉遵守法律法规要求,履行维护国家金融安全和保护公众利益的社会责任。

二、农业银行在金融科技创新中的安全管理实践

围绕以上思路,农业银行在金融科技创新过程中,进行了一些具体的安全管理探索实践。

1.树立底线思维,将安全理念融入金融科技创新

农业银行采取底线思维模式,将安全作为不可逾越的底线,在满足安全的基础上着力提升研发效率。经过长期探索,我们总结出“基础化”和“精细化”这两大制胜法宝。

(1)加强“基础化”管理,做好顶层规划和整体设计。我们从治理、管理、机制等多方面入手,建立了以应用系统为核心,以提高安全性、合规性为目标的研发风险管控体系,明确了安全管理组织,将安全管理活动贯穿整个研发生命周期,实现了有效风险防控和良性循环,为一系列安全策略的落实奠定了坚实的基础。

(2)加强“精细化”管理,做好事前防范和事中控制。通过将国家标准、监管要求和自身实际相结合,建立了覆盖各个技术领域的标准规范和指标体系,并采取技审会、专家评估、技术防范等多种手段,对项目各阶段交付物进行严格的评审与检查。通过严守安全底线,将问题化解在事前和事中阶段,降低系统带病上线的风险。

实践证明,“基础化”和“精细化”是提高风险防范能力的有效手段。未来,我们还将进一步强化底线思维模式运用,努力提高安全研发的投入产出比和效率。

2.推行自主可控,落实《国家网络空间安全战略》

“美国制裁中兴事件”再次让国人认识到技术受制于人的残酷现实。我国早在2016年即发布了《国家网络空间安全战略》,引导企业提升自主创新能力。银监会也提出了“自主可控、持续发展、科技创新”三大战略。农业银行积极响应,制定了面向自主可控的技术规划,并大力推动实施。

(1)确保关键核心系统的自主可控。关键核心系统对于维护金融安全至关重要。在国产技术尚未成熟的情况下,农业银行积极主动、勇于创新,成为我国第一家自主设计和研发完成核心银行系统颠覆式改造的大型银行、第一家采用自主研发的信用卡系统替代国外信用卡系统的银行等。

(2)努力提高自主创新能力。通过借鉴和消化吸收,努力研发出符合自身特点、掌握核心技术的产品。如:大数据平台以“国产MPP架构数据库+国产PCServe集群+开源主流框架+自主研发的全流程配套工具”方式,开启了国产数据库支撑金融业PB级大数据计算的先河。

(3)着力提升安全可控水平。为打造安全可控的IT环境,我们高度重视信息安全产品的自主可控,确保安全问题的可发现、可控制。目前网络安全设备、加密设备、自助终端等的国产化率接近100%;国密算法实现对核心系统、电子银行系统、卡受理等重要渠道重要交易的全覆盖。

面向未来,农业银行仍将坚持自主可控发展战略,综合业界发展情况和自身需求,优先选用国产产品和服务,积极推进国产技术应用。

3.重视安全态势,履行《网络安全法》规定义务

众多金融科技创新应用以互联网为入口,容易成为网络攻击的目标。我国《网络安全法》规定,网络运营者具有保护网络安全的义务。农业银行高度重视《网络安全法》的颁布,以“履行法律义务、弥补自身短板、改进安全态势”为目标,推动了三项重点工作开展。

(1)落实等级保护制度。通过建立完善的组织、制度和标准,形成了等级保护工作体系,创新性地以量化评分方式开展等级保护定级,并聘请公安部机构定期开展安全测评,认真开展问题整改,确保每个系统尤其是“关键信息基础设施”系统满足等级保护要求。

(2)及时处置系统漏洞。组建专业的安全技术团队,建立常态化的漏洞处置工作机制,以“信息保护、快速处置、全面排查、等级区分、资源倾斜”为原则,着力提高漏洞发现的全面性和漏洞修复的及时性,尽一切可能妥善弥补漏洞,缩小风险敞口。

(3)加强客户信息保护。通过开展客户信息保护专项治理工作,全面梳理和改造了信息系统,规避客户信息过度展示、过度授权等情况,并采取桌面虚拟化、数据隔离等措施,强化了工作过程中的信息泄露防护。

通过长期的努力,农业银行总体安全态势良好,被FreeBuf《金融行业应用安全态势年度报告》评为银行业领先水平。下一步,我们将加强威胁情报、态势感知等技术研究和应用,持续维护和巩固网络安全态势。

4.以平台化思维,助力金融科技创新安全水平提升

金融科技创新不可避免地要用到身份认证、数据加密等安全技术。但安全标准不统一、重复建设、架构零散等问题制约着研发工作效率的提高。农业银行采用平台化思维,提供统一的安全架构和服务,为金融科技创新注入强劲动力。

(1)规划统一安全架构。良好的企业架构是解决重复、分散建设问题的不二选择。农业银行以标准化、平台化、服务化为导向,规划出新一代应用安全架构,提出了在安全策略、标准和服务方面的“三个统一”。

(2)建设统一安全平台。克服存量系统多、重构难度大、阵痛期长等困难,通过对旧有安全类系统的统一改造、整合收敛和增强完善,打造出统一安全认证、统一加密、统一日志服务等功能完善、服务能力强大的安全平台。

(3)提供统一安全服务。目前,各安全平台已接入总分行上百个应用,为其提供统一的安全策略、资源和功能等服务,有效提升了安全研发和运维工作效率,在规范系统安全设计、快速响应落实监管要求等方面也发挥了巨大作用。

未来,安全平台的发展方向必然是私有云化,即以云形式提供透明、高效、可扩展的安全架构及服务。当开发一个新应用时,研发人员不需要知道安全架构的细节,享受套餐化、模板化的安全服务即可。

综上,在金融科技浪潮风起云涌的今天,金融科技创新已成为引领商业银行成功转型的关键。安全永远是金融科技发展的生命线,是金融科技创新过程中不可忽视的一环。面对监管趋严、网络安全形势严峻、新技术引入新风险等诸多挑战,商业银行应积极践行总体国家安全观,做到“创新”和“安全”两手抓,为业务与科技的融合发展提供安全保障,开启金融科技创新新征程。

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。