文 / 中國光大銀行信息科技部? 楊增宇

背 景

自2016年底我國《網(wǎng)絡安全法》《國家網(wǎng)絡空間安全戰(zhàn)略》以及相關配套法律法規(guī)發(fā)布以來，網(wǎng)絡安全工作重要性已經(jīng)被各行各業(yè)接受。各家銀行逐步加強網(wǎng)絡安全工作投入，上線各種安全設備和系統(tǒng)，大幅提高應對各種安全威脅的防御能力。2019年以來，光大銀行根據(jù)實際情況明確近期網(wǎng)絡安全重點工作任務，主要包括：加大頂層設計，構(gòu)建新型動態(tài)信息安全防御體系;打造一流安全合規(guī)能力、一流實戰(zhàn)攻防能力;持續(xù)強化安全管理、安全運營、安全技術三個領域，推動信息化建設與信息安全“同步規(guī)劃、同步建設、同步使用”，做實做精安全防護和運營體系。上述這些規(guī)劃的工作目標在日常安全工作中起到了很好的引領作用，對完善光大銀行整體網(wǎng)絡安全防御體系起到了積極作用。

當前網(wǎng)絡安全已經(jīng)上升到國家層面，網(wǎng)絡安全形勢嚴峻、攻守雙方技術博弈瞬息萬變。金融業(yè)作為關鍵基礎設施運營企業(yè)，應與時俱進，結(jié)合內(nèi)外部因素進一步開展安全治理，推動各項安全工作有序開展。下面對銀行業(yè)進一步深化網(wǎng)絡安全治理工作驅(qū)動力，以及需要加強的治理方向、任務和思路進行闡述。

進一步強化網(wǎng)絡安全治理工作力度的驅(qū)動因素

1.國家安全宏觀要求

十九屆五中全會公告提出“統(tǒng)籌發(fā)展和安全，建設更高水平的平安中國”。習總書記在關于《中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年計劃和二零三五年遠景目標的建議》(以下簡稱建議)的說明中指出：“我們越來越深刻地認識到，安全是發(fā)展的前提，發(fā)展是安全的保障”“增強機遇意識和風險意識，樹立底線思維，把困難估計得更充分些”。在建議的十三章、49條提出“全面加強網(wǎng)絡安全保障體系和能力建設”;50條中提出“維護水利、電力......金融等重要基礎設施安全”。

十九屆五中全會對網(wǎng)絡安全工作提出了明確的目標要求，各家銀行作為國家金融行業(yè)重要基礎設施運營者，需要貫徹國家安全宏觀要求，開展網(wǎng)絡安全治理，加強安全保障體系和能力建設。

2.行業(yè)監(jiān)管強力驅(qū)動

人民銀行印發(fā)《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021年)》，公安部發(fā)布等保2.0標準、印發(fā)《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，以及多部門聯(lián)合發(fā)布的《網(wǎng)絡安全審查辦法》《個人敏感信息保護法》等等，都對網(wǎng)絡安全工作提出大量合規(guī)要求，覆蓋面之廣、內(nèi)容之詳細前所未有，需要銀行厘清各項安全合規(guī)制度、標準內(nèi)容，通過安全治理抓手設定工作方案，變被動合規(guī)為主動能力提升。

2020年三季度人民銀行印發(fā)的《向各商業(yè)銀行開展金融業(yè)網(wǎng)絡安全與信息化“十四五”發(fā)展規(guī)劃調(diào)研工作》聯(lián)系函，讓各家銀行更加感受到行業(yè)主管部門積極推動銀行開展網(wǎng)絡安全治理和規(guī)劃工作的力度，“十四五”期間銀行業(yè)網(wǎng)絡安全工作將會迎來更大發(fā)展。

3.敵對勢力破壞黑產(chǎn)肆意謀財

美國網(wǎng)軍年度預算超過80億美元，網(wǎng)軍人數(shù)、武器庫、分工都進一步增強。中美對抗、臺海問題升溫，網(wǎng)絡戰(zhàn)將是最前沿陣地，能源、金融、電信行業(yè)是網(wǎng)絡戰(zhàn)攻擊首選目標，一旦開戰(zhàn)銀行將是一線陣地。目前黑產(chǎn)大肆利用勒索病毒攻擊企業(yè)和個人，對全球企業(yè)造成巨大壓力，曾導致本田停產(chǎn)、Garmin全球業(yè)務癱瘓。同時黑產(chǎn)利用身份證、手機號、卡號金融信息三要素組合猖狂開展資金欺詐。監(jiān)管部門強調(diào)各家銀行要對網(wǎng)絡安全工作要有大局意識、政治意識、敵情意識，我認為應該再增加一個生存意識。網(wǎng)絡安全工作不到位，銀行正常運轉(zhuǎn)將可能瞬間被破壞，不但要承受巨大損失和輿情危機，還要受到安全工作不到位的監(jiān)管合規(guī)處罰。

4.夯實數(shù)字化轉(zhuǎn)型安全底座

當前各家銀行都已經(jīng)開啟數(shù)字化轉(zhuǎn)型之路，光大銀行也提出了打造數(shù)字化一流財富管理銀行的目標，探索具有光大特色的“123+N”數(shù)字銀行發(fā)展體系。無論從客戶體驗性、可用性、易用性、愉悅性哪一項出發(fā)，安全性始終是金融服務穩(wěn)健經(jīng)營的基石。由于數(shù)字智能化的程度越來越高，其背后的風險也越加隱蔽，對于金融安全的訴求也就愈加重要。實現(xiàn)網(wǎng)絡安全工作價值的口號我們喊了很多年，沒有哪一個時期能比現(xiàn)階段更適合發(fā)揮安全的價值了，積極開展網(wǎng)絡安全治理工作，安全價值必定會在這個時期凸顯。

5.內(nèi)部理順安全工作需要

近幾年各家銀行都已經(jīng)加大了網(wǎng)絡安全工作人財物力量投入，安全相關團隊、安全崗位人員、安全項目數(shù)量和安全資金投入都成倍增長，縱深部署的網(wǎng)絡安全設備和控制軟件眾多。安全工作大幅投入帶來安全工作的復雜性，新時期呈現(xiàn)的安全焦點問題，都需要各家銀行加強安全治理力度，迭代演進提升安全工作效果。

銀行業(yè)下一步網(wǎng)絡安全治理主要任務及思路

國家安全、監(jiān)管部門、敵對黑產(chǎn)、數(shù)字轉(zhuǎn)型、理順工作五個層面均需要進一步強化網(wǎng)絡安全工作，各家銀行應以更大的魄力推動安全工作機制的完善與革新，深入開展網(wǎng)絡安全治理。

1.以底線思維調(diào)整網(wǎng)絡安全方針策略

樹立底線思維是統(tǒng)籌好發(fā)展與安全的關鍵。安全底線是在網(wǎng)絡與信息安全所有領域，包括物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、終端安全、人員安全、外包安全、新技術安全等等，明確安全管控的底線、紅線。從方針政策層面落實推進安全底線，將對安全工作的各參與方提出更高要求，網(wǎng)絡安全控制的脈絡將更加清晰，保障能力可衡量水平將會大幅提高，銀行開展數(shù)字化轉(zhuǎn)型的安全底座將更加牢固。

2.外掛安全進階到內(nèi)生安全

當前網(wǎng)絡邊界模糊，堆砌安全防護設備見效快，但總有防不住的攻擊，而且安全設備也有漏洞。傳統(tǒng)的邊界防護體系失靈，網(wǎng)絡應用不斷泛化，越來越難識別正常使用者和網(wǎng)絡攻擊者，模型顯示會有20%的高級攻擊者能夠進入網(wǎng)絡內(nèi)部，這部分攻擊者恰好是最大的破壞者。這種圍墻式的外掛安全邊界防護，已不再適應數(shù)字化時代的需求，現(xiàn)在需要構(gòu)建與數(shù)字化業(yè)務融合的全面防御、動態(tài)防御和縱深防御的“內(nèi)生安全”體系。通過“三同步”建設“事前防控”體系，把安全能力內(nèi)置到業(yè)務系統(tǒng)當中，來感知、響應對業(yè)務系統(tǒng)和數(shù)據(jù)的任何破壞行為，擺脫“事后補救”的建設模式。與此同時讓信息系統(tǒng)內(nèi)不斷生長出安全能力，這種能力具有像免疫系統(tǒng)一樣的自主、自成長、自適應的特點，持續(xù)保證業(yè)務安全，真正做到“事前防控”。

3.安全左移，提升開發(fā)安全設計編碼、安全漏洞發(fā)現(xiàn)能力

網(wǎng)絡安全貫穿規(guī)劃、設計、開發(fā)、測試、運維等整個IT建設生命周期。當前各家銀行大量發(fā)現(xiàn)安全漏洞的階段，是系統(tǒng)投產(chǎn)運維后，是因為在“右”側(cè)建立了滲透、眾測、漏掃等相對完善的能力，形成了“左”側(cè)不斷制造漏洞，“右”側(cè)不斷發(fā)現(xiàn)漏洞，“左”側(cè)再不斷修補漏洞的怪圈。應強化“左”側(cè)安全能力，注重開發(fā)測試人員的安全技能培訓、建設適合的安全測試工具和系統(tǒng)，由開發(fā)測試人員自助式地開展安全漏洞挖掘和修補，壓縮“左”側(cè)漏洞生成土壤。減少生產(chǎn)環(huán)境常規(guī)漏洞數(shù)量后，安全專業(yè)崗位人員可以拿出更多精力挖掘更深層次的漏洞和未知威脅。

4.數(shù)據(jù)安全治理要回歸價值本源

當前數(shù)字經(jīng)濟對數(shù)據(jù)運用將更加開放、對數(shù)據(jù)流動性提出了更高要求。傳統(tǒng)的對數(shù)據(jù)進行封閉性管理、限制流動、層層審批的舊有安全管控思路，已不再適應數(shù)字化轉(zhuǎn)型的需要。目前一些企業(yè)內(nèi)部存在數(shù)據(jù)無成本的無序流動，導致安全管理很被動。大家都在講數(shù)據(jù)是新時期最重要的銀行資產(chǎn)，但無成本的共享式數(shù)據(jù)使用，沒有固定的成本付出和價值兌現(xiàn)框架、流程約束，在這種場景下數(shù)據(jù)安全保護一定是非常被動的。威脅情報公司、互聯(lián)網(wǎng)公司對數(shù)據(jù)的保護很值得研究，他們的數(shù)據(jù)有價值，所以保護的動力很強，因為有明確的流程去兌現(xiàn)數(shù)據(jù)的價值，所以保護數(shù)據(jù)安全的思路也很清晰。

5.與安全公司合作共研金融新安全技術

近年來金融領域由于安全引起的重大資金損失和客戶信息泄露案件頻出，各銀行在推進金融科技創(chuàng)新的同時也面臨著內(nèi)外部網(wǎng)絡安全形勢的嚴峻挑戰(zhàn)?？焖侔l(fā)展的金融科技帶來的業(yè)務創(chuàng)新，對整個安全行業(yè)的安全基礎研究投入和前瞻性研究提出了更高要求。銀行可通過與頭部專業(yè)安全公司合作建立聯(lián)合創(chuàng)新實驗室，打造融合網(wǎng)絡安全理論研究、前瞻技術攻關、成熟技術場景驗證、應用場景推廣于一體的良性互動發(fā)展新模式。

網(wǎng)絡安全治理是戰(zhàn)略型治理、協(xié)作型治理、智慧型治理、技術型治理、主導型治理。做好網(wǎng)絡安全治理，還要注重推動上游工作的變革。通過網(wǎng)絡安全治理工作，制定清晰的網(wǎng)絡安全治理方針、策略，并一以貫之，銀行業(yè)網(wǎng)絡安全保障體系和能力將更上一層樓。

來源：金融電子化