文 / 本刊記者 張麗霞
我國金融行業自上世紀70年代的金融電子化、信息化建設開始,就一直重視計算機技術的普及應用與信息安全管理的並行發展。
金融行業作為信息科技建設的先行者,最早於1997年,由人民銀行、公安部聯合開展了銀行計算機信息系統安全檢查。結果表明在銀行領域計算機安全還是一個相當薄弱的環節。對於一些電子化起步早、程度高的機構,在計算機安全方面做得相對較好;而起步晚的機構尚正處於銀行業務電子化轉軌過程中,沒有足夠的精力和技術力量來解決計算機安全的問題,故潛伏著較大的安全風險。中國人民銀行科技司原副巡視員陳天晴作為銀行信息安全最初的親歷者,給記者講述這段歷史。正是在計算機技術發展與所出現安全問題的雙重推動下,由人民銀行牽頭、各銀行業金融機構共同參與的銀行業信息安全組織體系逐步形成,銀行成為了國內首個健全安全組織機構的行業。至此,加強金融計算機信息系統的安全管理工作正式步入正軌。
金融信息安全的發展歷程
金融信息安全管理工作的首要階段是人民銀行信息安全組織架構的建立,之後推動了整個銀行業信息安全組織架構的建立,隨後保險、證券業逐步建立了其信息安全機制。金融信息安全的發展歷程,與自身的信息化建設密不可分。信息化發展到哪個階段,就需要建立與之匹配和適應的信息安全保障能力,以確保銀行的持續穩健經營。從歷史發展的各個時期來看,銀行信息安全工作的總體目標基本一致,但側重點各不相同。
從單機應用到集中聯網時期:凝心聚力。銀行業金融機構一直走在信息化建設的前列。上世紀80年代至90年代末,我國主要商業銀行陸續成立了科技部門,從在營業網點推廣使用微機開始,逐步實現了縣域、市域、省域的集中聯網。隨著各行各業信息化建設的不斷深入,由於人為或技術因素導致的信息安全問題隨之出現,影響程度越來越深,範圍越來越大。
對此,國家“八五”科技攻關特別提出:要建立一套較完整的銀行計算機稽核體系;開展金融信息安全與保密系統的研究;在現有銀行營業網點安全報警系統的基礎上,完善並研製新的銀行安全報警系統。
圖片由中國人民銀行金融信息中心信息安全部主任袁慧萍提供
同一時期,國務院發佈了《中華人民共和國計算機信息系統安全保護條例》,首次規範了我國信息系統建設、運行和使用行為。商業銀行信息安全工作也在該條例的指導下從無到有逐步開展。
在此階段,由於商業銀行的信息系統大多封閉在局域網之內,我國的互聯網也尚未大範圍普及,信息系統面臨的威脅主要來自於技術缺陷、誤操作或人為破壞。因此信息安全工作主要關注終端安全、物理安全、運行安全等方面,並有針對性地解決了部分領域出現的突出問題。
從數據集中到信息化時期:構築體系。千禧年前後,信息技術大潮席捲全球,銀行業信息科技開始全面發力、大步向前,陸續完成了全國數據集中、電子渠道體系建設等一系列重大工程。與此同時,信息技術的廣泛、深入應用也增強了銀行業對信息科技的依賴性,信息系統的高度耦合使得小故障可能導致大事件,業務連續性保障需求越來越迫切。商業銀行信息系統運行環境越來越龐大、複雜,僅靠過去的零敲碎打已經不能系統地解決複雜的信息安全問題。
在此關鍵時期,由人民銀行主導的全國首次銀行系統計算機安全工作會議於2000年1月召開,人民銀行時任副行長尚福林在會上指出,金融計算機2000問題的平穩過渡,使金融機構在防範和化解金融風險、保證金融安全工作中經受了實戰的鍛鍊和考驗,進入新千年後,銀行業還將面臨來自多方面信息安全的挑戰。如何進一步改革和完善我國銀行服務體系,增強國際金融市場競爭力,是新形勢下銀行工作面臨的嶄新課題,同時也對金融計算機安全工作提出了更高要求。
此後幾年間,我國相繼發佈了一系列等級保護國家及行業標準,為金融行業開展等級保護工作提供了專業指導。中國印鈔造幣總公司董事郭全明(時任人民銀行科技司安全處處長)親歷了這一重要時期。他認為,只有解決好認識問題,才能把握好前進的方向,才能增強責任感,主動開展工作,因此正確理解信息系統等級保護的意義和作用是做好等級保護工作的第一步。等級保護就是統籌兼顧、重點保護,把有限的資源用在刀刃上,突出保護好那些事關國家安全、社會穩定、公眾利益的信息系統安全。持續8年之久,人民銀行保障了金融系統日常的數據安全和運行安全,建立了從網絡層到應用層的安全防護機制,構築了相對完整的信息安全保障體系,有力促進了銀行業信息安全防護體系,包括應急災備體系等的建設與完善。與此同時,人民銀行協同各商業銀行順利確保了奧運會、上海世博會、汶川大地震、南方雨雪災害等重保期間,銀行信息系統的安全平穩運行。
至此,銀行業逐步開始嘗試用體系化的思維來解決發展過程中遇到的越來越普遍的信息安全問題,通過落實國家網絡安全等級保護要求,實現信息安全“同步規劃、同步建設、同步運行”;通過構建生產運行管理、應急管理和災備管理體系,全面保障信息系統運行的穩定性和連續性;通過引入和對標ISO27001等國際標準,不斷提升信息安全管理的規範化水平。
從互聯網到移動互聯時期:重點突破。進入21世紀以來,信息科技獲得了井噴式發展。從互聯網到移動互聯網,從第二代到第四代移動通信網絡,銀行業藉助技術的革新,迅速地將各類線下業務線上化,以提供更加優質便捷的金融服務。在信息系統走向開放的同時,銀行所面臨的外部攻擊的威脅與日俱增,網絡攻擊防護、數據安全保護等重點領域成為銀行安全亟待解決的問題。
特別是2013年6月,前美國中央情報局僱員斯諾登對媒體陸續揭露美國國家安全局“稜鏡”監聽項目,震驚了國際社會。受此影響,我國顯著加速網絡安全國家治理,2014年2月,成立中央網絡安全和信息化領導小組(2018年3月更名為中央網絡安全和信息化委員會),習近平總書記擔任領導小組組長。2016年正式頒佈《中華人民共和國網絡安全法》,這是我國互聯網、信息安全領域首部完整性和基礎性法律。
《網絡安全法》的發佈實行為各行業開展網絡安全工作指明瞭方向、搭建了框架、提出了要求,對保障國家網絡空間主權、促進網絡應用健康發展、打擊網絡違法犯罪、維護公民和組織合法權益具有重大意義。為了全面貫徹落實《網絡安全法》,人民銀行科技司認真組織金融機構科技部門從關鍵信息基礎設施保護、網絡安全審查、網絡安全通報等多個方面有序開展工作,確保了金融行業網絡和信息系統整體運行平穩。
在此時期,商業銀行除了繼續做好日常安全管理工作之外,還重點針對各類外部安全威脅開始發力,在應用安全、網絡安全、系統安全等各個細分領域不斷投入人力物力,從人才、技術、平臺等多方面入手構建信息安全專業能力。在不斷提升信息系統健壯性的同時,提高全網安全態勢感知、預警、響應、溯源能力,以切實履行保護客戶資金和個人信息安全的職責。
表1 國家層面信息安全監管制度發佈情況
表2 金融行業信息安全監管制度發佈情況
立足當下,展望未來
面對滾滾而來的全球數字化浪潮,銀行業再一次站在自我變革的十字路口。雲計算、大數據、人工智能、移動通信等系列技術先後取得重大突破,並逐步應用到各種金融業務場景中。新技術在深刻改變金融服務和產品形態的同時,也給銀行業金融機構帶來了新的網絡安全問題。中國農業銀行科技與產品管理局副總經理王怡認為,在日益嚴峻複雜的網絡安全環境下守住安全底線和紅線,為數字化轉型戰略的順利實施提供可靠的安全保障,是未來各銀行業金融機構信息安全工作的主要目標。
落實等保、關保工作要求,保護銀行關鍵資產是關鍵。近年來,國家相關政府部門審時度勢,加速推進網絡安全相關立法和標準制修訂工作。尤其是即將出臺的《網絡安全等級保護條例(徵求意見稿)》《國家關鍵信息基礎設施安全保護條例》及其配套的系列技術標準,都為銀行信息化建設勾勒出了清晰而明確的重點保護目標和安全底線。
銀行業金融機構迫切需要結合數字化轉型下業務和技術的發展變化,重新梳理和識別關鍵信息資產,尤其是大數據時代新產生的各類高價值資產。王怡表示,針對識別出的高級別信息資產,商業銀行需要嚴格按照國家等保、關保相關工作要求實施重點防護,確保主要資源投入到關鍵目標的保護中,防止高價值資產被破壞導致企業遭受嚴重損失。
全方位升級網絡安全防線,應對新技術帶來的內外部威脅。在“事前、事中、事後”各個環節,針對數字化轉型帶來的開放化、智能化的特點,綜合利用各類先進技術,全面升級網絡安全防線。
其一,建立高敏感度的網絡安全預警體系。數字化時代的開放性和融合性特點,決定了網絡攻擊帶來的危害影響將呈幾何級數增加。《孫子兵法》有云:“不戰而屈人之兵,善之善者也”。因此,為了避免因安全隱患造成系統性影響的最好辦法就是防範於未然。而數字化轉型可以使得任何網絡行為都留下痕跡,給判別和捕捉攻擊行為留有空間。企業可以通過積累日誌、流量等數據,並藉助雲計算、大數據等技術開展威脅建模和快速分析,從而及時預判網絡攻擊行為,做到“禦敵於國門之外”。
其二,按照“多縱深、立體化”的思路全面升級網絡安全防禦。首先,金融機構應針對不同的開放模式,重新定位安全邊界,並基於新的安全邊界充分評估現有防禦措施的完備性,根據需要升級或重鑄防線。在邊界防護無法迅速定位和佈防的情況下,構建“多縱深、立體化”的防禦體系就顯得尤為重要。一旦邊界被突破,內網邊界、服務器、終端等各層面形成的防禦體系應用層監測和遲滯攻擊行為,就會防止攻擊者進入信息系統的核心區域。
其三,用數字化轉型解決數字化轉型中存在的安全問題,不斷提升網絡安全監控和響應的自動化和智能化水平。針對人工智能以及其他新技術引入過程中暫時未知或無成熟管控手段的風險,可通過研究如何將大數據、人工智能等新技術,運用到網絡安全態勢監控和響應中,不斷提升自動化和智能化水平,通過快速響應降低未知風險引發安全事件的概率。
建立全鏈條多方聯合戰線,防範系統性風險事件。為有效應對融合化帶來的系統性風險問題,應在各個相關方之間建立聯合戰線,凝聚多方力量共同抵禦安全威脅。
一方面,建立技術與業務融合聯動的安全防線。隨著數字化轉型逐漸深入,商業銀行的網絡安全已經超出了信息科技的範疇,與業務深度融合。業務部門作為與客戶直接接觸的前臺部門,可以及時掌握客戶的安全訴求,也能夠利用藉助企業建立的安全品牌和口碑更好地開展營銷活動。此外,業務部門和科技部門在共同推動新技術應用時,可考慮對比分析新技術帶來的經濟利益和潛在資金損失的基礎上,建立備付金機制,及時賠付由於新技術缺陷造成的客戶損失。
另一方面,實現行業內部的“攻守聯盟”。商業銀行之間的公司治理、業務模式、IT架構等多個方面均有相似之處,面臨的外部威脅也大同小異。王怡認為,金融監管機構、銀行業協會等行業牽頭機構,可考慮建立商業銀行間的態勢感知、情報共享等安全平臺,幫助商業銀行及時響應數字化轉型帶來的網絡安全形勢變化。
打造信息安全技術專家隊伍,提升攻防兩端對抗能力。習近平總書記明確指出:“網絡空間的競爭,歸根結底是人才競爭”。銀行信息安全保障能力的高低,很大程度上取決於人才隊伍的經驗、技能和職業素養。王怡表示,打造一支政治素質過硬、技術水平高超的信息安全人才隊伍,對於商業銀行做好信息安全工作具有極為重要的意義。
首先,不斷拓寬人才引入渠道。目前,我國信息安全人才供需不平衡的矛盾日益突出,人才供給遠遠滿足不了社會需求。商業銀行可針對信息安全人才的特點,在校園和招聘過程中給予適當的傾斜和保障。此外,銀行業金融機構還可考慮與高校建立聯合培養機制,一方面金融機構可為在校大學生提供實習平臺,幫助其積累實踐經驗;另一方面高校可向金融機構提供穩定、高質量的人才輸出。
其次,不斷創新人才培養方式。除了傳統的授課培訓之外,銀行業金融機構還可以考慮通過設立網絡攻防實驗室持續跟蹤網絡安全最前沿技術發展、建設網絡攻防靶場並持續組織開展高強度實戰對抗等方式,培養金融行業的網絡安全高精尖領軍人才,把控和引領未來金融行業信息安全工作的總體方向。
閱讀更多 金融電子化 的文章
