中國光大銀行信息科技部張慶華

　　隨著金融科技時代的到來，信息安全已經走到變革的交叉路口。金融科技所引領的數字化生活，對銀行的信息安全管理者既是巨大的挑戰，同時也是機遇。銀行只有順勢而為、主動整理已有經驗、積極探索新的管理思路，才能在數字化時代，贏得主動、贏得未來!

　　近年來，金融科技的浪潮風起云涌。隨著云技術、大數據、區塊鏈、人工智能等新興技術在銀行業務以及其日常經營中的全面應用，金融科技對銀行的推動和引領作用前所未有的清晰。信息安全作為銀行業務及金融科技的基石，應及時進行變革并為其前行提供充足的保障。

　　一、從信息安全角度理解金融科技

　　站在信息安全角度統觀金融及金融科技發展的歷史，我們認為，可以從三個方面理解金融科技的內涵和外延。

　　第一，金融科技較傳統的金融電子化相比具有更強的穿透性，并進一步模糊網絡邊界。雖然金融科技是金融電子化的延續和發展，但是其典型性技術，如大數據應用、移動支付、人工智能等，在推動業務更快速和更便捷的同時，進一步拉長了數據應用的鏈條，同時也將外部客戶與內部系統的聯系變得更加緊密，從而實質性地打破了內部網絡與外部網絡的隔離態勢。

　　第二，金融科技趨向更強的金融屬性，這將信息安全問題變得更為復雜。無論金融科技如何演變，其本質上仍然是金融。因此，金融科技發展的越深入，信息安全與銀行的各業務領域以及日常經營活動的關系就會變得越發緊密并產生更多的交集，導致銀行所面臨的信息安全威脅也變得更加復雜和多元化，結果就是安全保障的挑戰和壓力呈現出指數級增長的態勢。

　　第三，金融科技多學科和多領域的交叉性特點，進一步加劇金融業務的復雜性，導致信息安全決策變得更加困難。例如，現代的客戶體驗改進，往往需要通過應用大數據、市場營銷策略、客戶心理分析、運營決策、風險管理等多方面知識的綜合運用，并實現業務與安全的平衡，其中的安全決策變得極有挑戰性。

　　二、金融科技背景下信息安全管理方法的思考

　　我們認為，面對新的發展趨勢，信息安全管理方法需要作出新的變革，以積極和主動地響應外部形勢和內部保障的需求，主要有以下幾點。

　　第一，信息安全管理要作出主動和更快的轉型，即要從“重建設、輕管理、無運營”模式向“管理、運營與建設并重”的模式作出實質性轉變。尤其是要主動開展信息安全運營的建設工作，并通過運營將管理和建設串起來，使得信息安全工作由點變面，形成整體協調的信息安全治理和運作體系。

　　第二，要主動理清信息安全與IT、數據、業務、風險等銀行日常經營各項領域的關系，形成相對穩定的分頭協作管理板塊，并通過系統化的策略管理推動相關領域的信息安全建設。特別是在應對黑色產業鏈條、內部舞弊方面，需要對相關領域的工作交集和職能模糊地帶進一步整合，理清職能，建立專職隊伍和協調機制，主動推進相應領域的建設。

　　第三，要繼續穩固信息安全基礎工作，建立完善的基礎安全工作框架，并持續地將信息安全與開發、運維、質量、規劃等領域進行融合，縮小灰色地帶，形成基本無縫隙的基礎安全管理體系。其中的重點在于兩個方面：一個是通過管好規劃、管好需求，提前發現存在于業務需求、技術架構、產品選型等方面的安全隱患并消弭于無形;另一個是在ISO20000和CMMI管理體系的基礎上，將安全規范、技術標準、日常檢查融入開發和運維的日常管理，通過在開發和運維的關鍵節點建立安全管控機制，形成主動安全運維和主動安全開發的氛圍。

　　第四，強化對新技術應用的管理和建設疏導，通過業務到技術環節的風險識別機制建設以及技術實現支撐平臺的研發和推廣，引導和合理控制新技術的應用，并排除必要的安全隱患，實現既支持業務開展又安全運營的目標。

　　三、光大銀行在金融科技信息安全方面的實踐

　　在上述思路的指導下，光大銀行近幾年來逐漸加大了對信息安全的投入力度，并著力實現信息安全管理的轉型，主要包括以下幾方面的工作。

　　1.主動推進信息安全運營體系工作的建設

　　信息安全運營體系建設的意義在于，一方面，通過信息安全運營，能夠將信息安全管理的目標、方針及策略進一步細化成為具體的工作目標、任務和監督指標推動安全工作的執行，同時推動信息安全的工作協同;另一方面，信息安全運營又能將信息安全管控和建設中的重點工作，如安全監控、安全分析、安全事件管理、安全響應及應急、協同等，從零碎的狀態中剝離出來，組成系統化工作運作板塊，改變信息安全“豎井式”建設帶來的應對威脅零碎化、面對新的威脅又無法整合力量進行積極應對等諸多弊端。兩方面結合，從根本上改變以往信息安全管理和建設在銀行金融科技發展過程中處于尷尬地位的局面，并成體系化地推動信息安全體系的建設和運作。

　　目前，光大銀行已經在積極推動相關的工作開展，并初步建立了安全監控的運行機制、隊伍、檢測體系和處理流程，并實現常態化運轉。同時，在主管領導的積極參與下，光大銀行正在嘗試構建以“統一運營、協同防御、主動響應、智能分析”為核心理念，包括運營隊伍、運營機制、運營平臺、快速響應在內的信息安全主動運營體系，進而推進信息安全管理體系的量化機制建設和安全防御體系可控、可管機制的優化。

　　2.開展信息安全管理體系優化

　　信息安全管理體系優化的主要工作包括主動優化信息安全治理結構，完善信息安全組織架構和隊伍建設，調整信息安全職責分工，并強化和完善基礎安全的管理要求等，為后續的工作開展奠定組織和制度保障基礎。

　　以等級保護管理制度和ISO27001信息安全管理標準體系為基礎，光大銀行對全行各級信息安全組織和職責分工進行梳理，進一步明確了全行信息安全的治理架構，并對管理層、信息科技與數據管理委員會、總行各部門及信息科技部各中心、處室的信息安全工作分工進行了優化和完善，設立安全管理專業處室，統籌全行安全管理工作。在總行各部門設立科技風險協調崗，負責數據、外包和信息安全等問題的識別。在總行信息科技部各中心、處室設立安全架構師崗、開發安全崗、運維安全崗、數據安全崗等，推動IT領域的安全建設。在分行設立信息安全崗和安全協調崗，推動分行本部及支行網點的信息安全工作。同時，對全行各類制度進行梳理和識別，重新提煉信息安全管理要求，并完成信息安全管理制度文件體系的新增、修訂和廢止工作。

　　3.持續強化和完善基礎安全建設和管理

　　基礎安全的主要內容包括基礎設施加固、訪問管控、脆弱性管理等內容?；A設施加固，主要是從系統、網絡、終端等方面進行安全性加固，并逐步實現加固標準執行的常態化、安全防護動態基線化的目標;訪問管控，主要是積極建設各類堡壘機并進行網絡訪問關系的梳理，收緊基礎設施的訪問權限，從而達到基礎設施安全可控、可管的目標;脆弱性管理，即從安全補丁和安全漏洞的角度，建立常態的評估和修復機制，減少確定性問題帶來的不確定性風險。

　　圍繞著基礎安全建設和管理，光大銀行開展了多項相關的工作，主要有安全基線標準化建設、終端安全加固、網絡訪問控制關系常態審計、系統服務器和網絡設備的堡壘機管理、安全漏洞的風險評估和修復機制建設、安全補丁的管理建設等。在建設中不斷梳理和優化安全與運維的分工，將可提煉的工作例行化，并融入日常開發和運維工作中。同時還針對整體安全狀況水平追蹤，與國家隊合作開展長期的系統和網絡安全風險評估工作，定期總結經驗并改進基礎安全管理。

　　4.積極運用新技術應用并加強建設管理

　　金融科技目前的主要應用場景包括業務應用移動化、數據的深入關聯和挖掘、重復工種的智能化、IT運維的虛擬化、安全分析智能化、金融賬務科目的區塊化等，關聯的新技術包括移動技術、大數據、機器學習、虛擬和云計算等。光大銀行積極鼓勵新技術的應用和創新，目前已先后研發陽光銀行、蘇州醫保、濾鏡、歷史數據查詢、智能客服、電子銀行客戶畫像等新技術應用產品，同時先后建設私有云、虛擬云桌面等虛擬化設施。

　　圍繞著新技術應用，光大銀行同步開展了安全建設管理工作。如在移動應用建設方面，光大銀行通過制定管理辦法、開發/運維安全技術標準、推進移動應用統一開發平臺建設、規范云安全管理等多項措施，將安全要求貫徹到需求、設計、開發、運維等環節，并將其管理形成閉環，構建起整體的移動應用安全管控體系。在云安全方面，光大銀行借鑒同業思路，積極建設云安全監測系統，從防護、檢測、阻斷三個層面構建多維度、主動型智能網絡安全防御體系。

　　隨著金融科技時代的到來，信息安全已經走到變革的交叉路口。金融科技所引領的數字化生活，對銀行的信息安全管理者既是巨大的挑戰，同時也是機遇。銀行只有順勢而為、主動整理已有經驗、積極探索新的管理思路，才能在數字化時代，贏得主動、贏得未來!

責任編輯：韓希宇