文 / 中國人民銀行金融信息中心 袁慧萍
舉國歡慶偉大祖國成立70週年之際,中國人民銀行牽頭的銀行業計算機安全、信息安全、網絡安全協調管理工作(以下簡稱為“網絡安全”)也走過20年輝煌歷程,在增強銀行關鍵信息基礎設施保護能力、提升核心技術安全可控能力、遏制電信欺詐高發勢頭、維護國家金融穩定等諸多方面取得可喜成績。
銀行業網絡安全協調管理工作回顧
1.銀行業計算機安全組織機構初創階段(2000年-2002年)。1999年,人民銀行牽頭成功應對“千年蟲”危機,完成全國金融機構首次安全大檢查,研究應對計算機犯罪嚴重、安全管理不健全、安全技術措施薄弱之策。2000年1月18日,人民銀行組織召開第一次全國銀行系統計算機安全工作會議,印發《關於加強銀行計算機安全防範金融計算機犯罪若干問題的決定》,在銀行業自上而下成立專門安全機構並配置專崗人員,聘請院士專家顧問,編寫《銀行計算機信息系統安全技術規範》《銀行計算機安全知識本》培訓材料,銀行業成為第一家擁有健全計算機安全組織保障的行業。
2002年呈報《關於我國銀行計算機信息系統安全若干問題的報告》,系統總結各銀行機構在安全組織、隊伍保障、技術防護、加密保密、安全管理等領域為系統性防範和化解銀行業務數據集中技術風險、保障金融安全所做的多方努力,對當時社會專家的不實表述予以澄清。
2002年2月,人民銀行科技司組織知名安全專家就《關於我國銀行計算機信息系統安全若干問題的報告》進行專家評審。
2.銀行信息安全漸成體系階段(2003年-2013年)。2003年國務院信息化工作辦公室成立並印發《關於加強信息安全保障工作的意見》(27號文),是計算機安全走向信息安全體系化的分水嶺。人民銀行作為“8+2”國家信息安全協調機制成員單位,重點推進如下工作。
(1)行業宣貫。人民銀行認真學習全國信息安全保障工作會議精神,研究部署貫徹措施,2004年以來連續多年組織召開銀行金融機構信息安全保障工作會議,印發《關於銀行業加強信息安全保障工作的意見》,其中《我國銀行信息安全存在的主要問題與對策建議》作為國家網絡與信息安全協調小組會議材料呈報。
(2)等保落地。積極配合公安部開展重要信息系統安全等級保護國家標準試點,制訂發佈具有金融行業特色的一系列標準,從國家、行業、部門到實施層層落實;建立金融行業等級保護測評專門隊伍,組織銀行業開展等級定級備案,實施有行業特色的等級保護。
(3)事件通報與處置。建成快速通報機制,發佈銀行計算機安全事件報告制度、金融業信息安全預警通報;連續多年部署“兩會”以及其他重要敏感時期的銀行業信息安全保障工作,出色完成奧運安保、十七大保障、九三閱兵以及國慶70週年等重保任務,多次獲得國家主管部門嘉獎。期間成功協調處置多起銀行業安全事件:2005針對大型商業銀行系統硬件故障引發重大停機事件,組織召開專題研判會,協調廠商快速恢復業務、全面健康巡檢;2007年及時協調解決某大型銀行客戶網銀資金被盜事件並在銀行業信息安全研討會上做行業警示研討。
(4)災難恢復規範。2003年完成《國家重要信息系統災難備份研究工作報告》;2004年組織召開首屆銀行業災難備份研討會;2006年提出同步規劃、同步實現災備體系建設等明確要求;2008年頒佈《銀行業信息系統災難恢復管理規範》標準;2013年發佈《關於調整優化銀行業金融機構災難備份中心整體佈局的指導意見》,系統性協調指導災難恢復工作。
(5)網銀安全規範。 通過規範先行、定期抽查、及時預警方式科學治理網銀風險,2004年聯合國家安全專控隊伍開展網上銀行系統風險評估;2005年牽頭組織網上銀行安全現狀調查;2008年開展網上銀行現場檢查;2009年研製發佈《網上銀行系統信息安全通用規範》標準。
(6)應急協調處置:2005年牽頭制訂《銀行重要信息系統應急協調預案》,明確規定跨行業應急協調資源。2006年牽頭組織應急協調機制基本情況進行調查備案,搭建銀行關鍵基礎設施與電力、通信、安全保障等行業部門應急處置高效溝通渠道。
(7)安全標準規範。發佈《金融業星型網間互聯安全規範》《銀行計算機信息系統安全技術規範》《金融城域網接入安全規範》等重要金融行業標準。印發《中國人民銀行關於加強銀行數據集中安全工作的指導意見》《銀行計算機機房及櫃面設備安全防護暫行規定》《關於加強銀行業金融機構網上業務系統安全運行工作的幾點意見》等管理規範。
(8)行業安全攻關。完成金融業“十五”科技攻關項目之《銀行業信息安全戰略研究》《銀行、保險信息系統安全評測指引》《銀行業密碼技術應用規範》等多項銀行業十五攻關項目;承擔國家863高新技術項目中的《人民銀行信息系統安全總體技術框架》研究任務,完成金融業信息化十三五規劃。
3.銀行業網絡安全持續改進階段(2014年至今)。2014年中央網絡安全和信息化領導小組成立、2017年《網絡安全法》將金融業列入關鍵信息基礎設施行業以來,人民銀行切實履行金融業網絡安全協調任務。
(1)強化金融科技監管和風險控制。成立金融科技委員會,制訂,組織金融科技領域專題攻關研究,編制金融科技發展規劃,重點研究金融科技技術風險防範對策。
(2)落實關鍵信息基礎設施保護。調查彙總金融業關鍵信息基礎設施現狀,牽頭開展銀行業關鍵信息基礎設施保護課題研究,研究出臺金融業關鍵信息基礎設施認定規範和防護細則。與此同時,組織編制金融業網絡安全規劃、人民銀行網絡安全規劃,搭建金融行業網絡安全態勢感知平臺,健全金融業網絡安全治理體系。
(3)提升風險評估與處置能力。人民銀行以等級保護制度為主要抓手,督促銀行業金融機構完成等級保護測評。落實國家網絡安全檢查要求,配合網信辦開展抽查,關注重要系統防護較好與外圍系統防護不足等“跳板”隱患。組建人民銀行IT應急能力評估體系,依託各地區金融業信息安全協調機制指導金融機構不斷加強應急管理。組織參加國家關鍵信息基礎設施網絡安全實戰演習,工商銀行和人民銀行在2018年取得前十的驕人成績,2019金融行業成績更佳。
(4)推進架構轉型替代。明確產品替代與整體技術架構轉型相結合的思路,大力推廣國產網絡安全設備,推進SM密碼在網上銀行、金融IC卡、移動支付、電子認證等領域的廣泛應用,推廣使用國產軟硬件,減少主機處理交易的種類和數量,通過技術轉型降低對國外產品的依賴。
(5)宣貫交流培養。連續六年組織網絡安全宣傳週活動,宣傳金融安全知識。連續七年組織銀行業數據中心聯席會議,圍繞聯席機制、應急管理、業務連續性、架構轉型、安全保障、智能化運維專題進行專題交流。積極開展等級保護2.0宣貫,配套出臺等級保護實施細則和數據安全標準,積極推進金融業安全專控隊伍建設。
人民銀行網絡安全保障工作歷程
人民銀行在履行貨幣政策、金融穩定、金融服務等法定職能,特別在承擔金融業網絡安全協調工作的同時,提升自身網絡安全保障工作尤為重要。
1.持續完善網絡安全技術防護體系。(1)夯實安全專用系統防護基礎。 網絡層落實建設惡意代碼防護、防火牆、入侵檢測、防DDOS、流量監測分析、網站雲防護等手段,應用層建設CA認證、防毒牆、網頁防篡改系統、安全網關等,在歷次安全事件應急處置中發揮較大作用。終端層建成一體化終端安全防護體系:繼2000年全行統一建設病毒防治系統、2004年建成補丁分發管理系統、2006年建成非法外聯繫統、2007年建成介質管控系統、2009年完成網絡准入控制系統,2014年應對XP停服部署的盾甲防護系統之後,初步形成終端安全防禦能力。在深入剖析震網病毒和孟加拉央行資金被竊等終端薄弱環節引發的嚴重事件後,人民銀行於2015年1月啟動一體化終端安全管理系統建設,在部委和銀行業率先全面實現網絡安全設施全國產化替代的同時,實現全強准入管控和一體化、策略化、可視化管理,在2017年永恆之藍勒索病毒以及剛剛爆出的Windows遠程桌面遠程執行漏洞(CVE2019-0708)等重大威脅處置中得到實戰檢驗,獲得2017年銀行科技發展二等獎。
2017年2月,人民銀行組織一體化終端安全管理系統上線技術培訓,全面落實安全系統國產化的同時實現一體化、可視化管理。
(2)夯實網絡安全基礎設施。2014年建成人民銀行PKI/CA信任基礎設施,推廣使用數字證書,落實RA特色功能改造、國產密碼算法改造,平穩組織根證書延期替換,同時支持發放RSA1024、RSA2048和國密SM2等算法數字證書,支持重要銀行業務系統實現身份認證、簽名驗籤、數字信封等應用場景,為人民銀行業務系統、274家銀行機構和財政、稅收、海關、司法等聯網政府部門提供抗抵賴、完整性和保密性等安全服務。2015年建成總行數據中心安全審計平臺,實施運維操作、日誌、數據庫操作的全方位可審計、可追溯。
2.通過管理手段提升安全的層次。(1)制度先行。印發《中國人民銀行信息安全管理規定》《中國人民銀行計算機機房規範化工作指引》《銀行及相關金融服務信息安全管理規範》《人民銀行防病毒管理辦法》《中國人民銀行內聯網入侵檢測管理辦法》《中國人民銀行內聯網漏洞掃描管理辦法》,規範安全工作。
(2)等級保護。連續八年認真開展三級以上重要信息系統等級保護測評工作,主動將所有互聯網系統納入測評範疇,引入應用滲透測試、源代碼測試以開展應用增強測試,探索建立重要信息系統基線檔案;編髮操作系統、數據庫、中間件、網絡設備的安全配置規範,配套建設配置核查系統以實現自動化核查。
(3)安全檢查。牽頭編制人民銀行信息安全檢查方案,發佈安全檢查管理辦法,組織分支行交叉現場檢查。創新開展年度安全檢查,適時引入紅藍對抗、滲透測試,高效融合等級保護問題核查機制,切實提升檢查的深度和廣度。
(4)應急管理。2005年編髮人民銀行IT應急預案指引以指導全行完成IT系統總體應急預案,2006年編髮人民銀行IT應急演練模板,逐年組織實施應急演練、應急能力評估,推動持續改進。
(5)體系認證。2018年順利完成數據中心ISO27001體系建設及認證工作,優化信息安全管理制度規範,強化全員信息安全意識,初步構建起符合國際標準的信息安全管理體系。
3.從安全運維向安全運營轉化。主動推進人民銀行網絡安全保障技術體系前瞻性研究,完成總體設計以及身份認證、網絡邊界安全、雲安全、應用安全、郵件安全、大數據安全、移動安全、態勢感知與安全運營專項規劃,針對當前人民銀行急需解決的網絡安全問題提出行之有效的解決方案。成立由信息安全部牽頭、網絡團隊和運行團隊參與的協同安全工作機制,加強與外部專業隊伍的深度協作,提升安全報警事件自主研判預警能力。建設總分行聯動的統一安全態勢感知平臺,全面提升網絡安全保障能力。
未來展望
一是持續推進網絡強國戰略,為金融網絡安全提供基礎性支撐。保護金融業關鍵信息系統等關鍵基礎設施,在國家網絡安全戰略框架下構建金融業網絡安全生態環境。
二是發揮監管與市場雙重作用,促進金融網絡安全防護水平提升。加強政府、產業、研究、學術交流,切實提高金融領域自主可控水平,降低核心技術受制於人的技術風險,建設金融行業網絡安全態勢感知平臺,加強安全監測預警和協調指揮。
三是堅持標準賦能網絡安全。提升金融安全標準供給質量、狠抓金融標準實施力度、積極引進國際先進安全標準,支持金融網絡安全高質量持續提升。
四是推動金融科技創新與安全協同並進。以平衡效率與安全為準繩,以金融監管能力為關鍵任務,以國際交流為核心紐帶,以金融科技賦能信用社會建設為重要方法,運用多種監管科技手段,推動金融科技創新工作再上新臺。
閱讀更多 金融電子化 的文章
