中國銀行信息科技部副總工程師馮愷

　　作為一家全球經營的大型金融企業，中國銀行認為滿足FinTech發展要求的網絡安全保障體系應具備統一指揮、隨時應對全球7×24小時安全威脅的監測和應急響應能力，全面、智能、可視化的信息安全威脅態勢分析能力，貫穿信息系統生命周期各環節的安全漏洞的自動化發現能力，以及策略統一、梯次部署、縱深防御的安全技術架構四項能力。

　　近年來，隨著大數據、云計算、物聯網、區塊鏈、移動支付、人工智能等新技術的興起，“金融科技(FinTech)創新”快速發展，為銀行業的產品服務、商業模式、經營理念帶來了深刻變革，拓寬了金融可獲得性，提高了金融體系深度和效率，成為影響未來金融業務模式的最重要因素之一。與此同時，FinTech引發的網絡安全問題日益凸顯，網絡安全威脅日趨復雜。在當今萬物互聯的FinTech時代背景下，商業銀行面臨愈發嚴峻的網絡安全形勢。

　　一、FinTech時代網絡安全挑戰與機遇并存

　　站在商業銀行的角度來看，根植于新技術的FinTech使得信息科技與銀行業務實現了前所未有的緊密結合。一方面，銀行對信息系統高度依賴，主要業務都離不開網絡與系統，中國銀行絕大多數交易通過電子渠道進行。另一方面，銀行業務與信息科技的深度融合也使得科技風險高度集中。銀行內部系統和數據高度集中，業務應用之間的關聯關系錯綜復雜，交易路徑長、安全控制難度大。銀行系統與大量第三方機構系統存在對接，安全邊界日益模糊，安全策略難以貫徹到位。

　　FinTech不斷推動銀行業實現產品服務和商業模式的創新，從根本上改變金融業態的同時，也使得銀行同業競爭日趨激烈?！爸貥I務發展，輕安全控制;重業務需求，輕安全需求;重項目建設，輕安全運營”的現象時有發生。方便快捷的客戶體驗與審慎穩鍵的網絡安全策略難以兼顧，安全服務于業務并規范業務的目標實現難度較大。

　　2017年6月我國《網絡安全法》的正式實施，標志著網絡安全業已上升至國家主權范疇。作為關鍵基礎設施的運營者，銀行網絡安全一直是監管部門重點關注的目標。伴隨著我國“一帶一路”戰略的發展，中國銀行已在42個國家和地區設立海外機構，需要滿足來自世界各國對于隱私保護、跨境數據傳輸等多方面的監管要求，網絡安全保障壓力日趨增大。

　　FinTech在對銀行業網絡安全保障帶來壓力的同時，也為商業銀行網絡安全保障體系建設注入了新的思路。機器學習、人工智能等新技術運用將促進安全保障工作由傳統的人工操作向自動化、智能化的方向發展;先進的數據采集和數據分析技術可以實現安全威脅和漏洞的實時發現和精準定位;態勢感知、安全情報等新興技術有助于銀行整體把控網絡安全態勢，提升信息系統的網絡安全防御水平。

　　二、積極轉型，全面建設中國銀行一體化網絡安全保障體系

　　中國銀行網絡安全保障體系自藍圖建設至今，雖經不斷持續完善，但仍是以邊界防御和主機防御的思想為主，面對現今技術極其復雜的網絡攻擊，其防御能力具有很大的局限性。FinTech在推進業務轉型升級的同時，其各項先進技術也給全行范圍的安全保障工作帶來了新的發展思路。

　　與互聯網金融企業不同，中國銀行不是在白紙上繪圖，其面對的信息系統環境跨越了我國信息技術發展的各個階段。信息系統的復雜程度決定了網絡安全保障工作的難度遠遠超出了人們的想象。在不改變歷史遺存信息系統架構，保護既有安全技術投入的基礎上，中國銀行從提升系統的防護時間、降低檢測時間和響應時間兩個角度出發，以安全運營中心(SOC)建設為核心，立足本行網絡安全實際，結合國內外安全技術標準和最佳實踐，從安全威脅管理、安全漏洞管理、安全防御技術三個領域出發，整合傳統安全防御技術，提出了“以主動防御為目標，縱深防御為基礎的中國銀行一體化網絡安全保障技術體系”的建設目標。

　　1.強化安全威脅監測和處置

　　在安全威脅管理領域，中國銀行加大安全威脅監測技術投入，通過建設信息安全事件集中管理(SIEM)系統，使用分布式存儲和分布式計算技術，從網絡安全設備、系統、應用、中間件、數據庫等信息資產中，集中收集各類安全日志信息，并結合網絡流量數據進行關聯分析。從而改變了傳統離散的安全監測模式，實現了安全威脅監測的一體化集中管理。通過引入安全威脅情報、大數據分析、機器學習等新興技術，強化了對于高級持續性威脅(APT)和精準式網絡攻擊的實時發現及智能化預警能力。

　　在安全威脅監測技術建設的同時，中國銀行配套建立了安全威脅運維機制，形成了安全威脅監控、預警、處置、調查、加固的生命周期運維管理流程。梳理分析200多種威脅手段，建立了包含9大威脅分類及41項威脅子類的網絡安全威脅分類模型。并以此為基礎，標準化安全威脅運維監測、應急等各項工作。

　　2.完善安全漏洞生命周期管理

　　在安全漏洞管理領域，中國銀行經過數年的實踐，基本建立了覆蓋信息系統需求、設計、開發、測試、投產、運行各生命周期的安全漏洞管理機制，形成了安全漏洞發現、驗證、確認、修復、復測、變更的閉環管理。

　　在技術平臺建設方面，通過漏洞發現工具及漏洞流程管理平臺這兩類技術平臺的建設，實現了內部安全漏洞的自動化發現和報告的技術支撐平臺。在漏洞管理方面，著重于安全漏洞的修復加固工作，建立安全漏洞相關績效考核指標，逐步降低存量漏洞數量，減少應用系統新增安全漏洞。中國銀行從2016年開始設計和開發自主知識產權的安全漏洞風險計量及管控系統，通過自主研發的風險計量算法，自動評估收集漏洞信息的風險等級，并對漏洞的確認、修復、驗收、變更等各個流程環節進行管控。

　　中國銀行的安全漏洞管理還在從深度和廣度兩個方向進行探索。在深度上，研究利用大數據采集和分析技術，通過實時資產信息采集，形成基于版本的安全漏洞實時發現能力，以應對0Day漏洞帶來的威脅。從廣度上，進一步提高安全評測產能，通過技術和能力提升，盡早、盡快地發現漏洞。

　　3.提升自主可控安全防御能力

　　在防御技術領域，為應對FinTech時代新興網絡安全風險，中國銀行于2016年聯合國家安全機構和高等院校建立了“金融信息安全聯合實驗室”，研究開發我行急需的先進安全技術和裝備。目前實施的研究項目包括了網絡安全情報、網絡安全態勢、量子保密通訊、生物識別、區塊鏈等新技術。中國銀行還在積極探索人工智能實現網絡安全智能運維的新思路，推進銀行業安全技術的自主可控以及安全運維工作的自動化、智能化發展。

　　在開展研究的各項新技術中，網絡安全態勢與安全情報技術是安全保障體系建設中兩項重要的輔助安全技術。網絡安全態勢模型研究首創以安全防御技術為主視角，從安全威脅監測，安全威脅響應、處置、調查全流程，安全漏洞發現、確認、修復、驗證全生命周期，安全防御技術部署，威脅情報收集等多維度綜合考量應對網絡攻擊的安全保障能力。安全情報建設工作旨在超越傳統的物理安全邊界，建立與國家安全部門、監管部門、研究機構和安全廠商合作共享的安全生態圈，提升對于金融業務的安全保障支持能力。

　　針對銀行業外部威脅的特點，中國銀行防御技術的建設重心在于應用層防護、數據庫防護和終端防護三個方面。應用層防護主要是通過部署應用層防火墻、WEB動態防御等安全技術，從“攻不進來”和“沒法攻”兩個方向防御網絡攻擊者對于互聯網應用的入侵。數據庫防護通過記錄對數據庫的一切合法、非法訪問和操作，根據預先制定的策略有效地防止數據庫數據被非法訪問、篡改及竊取，從而全面防止重要信息和數據的泄露;終端防護方面則是強化對于失陷設備的檢測和取證，通過攻擊鏈的木馬安裝和遠程控制環節的監測，發現已經被入侵，并植入控制、破壞、或者信息竊取等功能惡意代碼的系統和設備，以補全終端安全防御的短板。

　　三、放眼全球化運營，探索FinTech時代網絡安全發展路徑

　　作為一家全球經營的大型金融企業，中國銀行認為滿足FinTech發展要求的網絡安全保障體系應具備統一指揮、隨時應對全球7×24小時安全威脅的監測和應急響應能力，全面、智能、可視化的信息安全威脅態勢分析能力，貫穿信息系統生命周期各環節的安全漏洞的自動化發現能力，以及策略統一、梯次部署、縱深防御的安全技術架構四項能力。中國銀行以安全威脅管理、安全漏洞管理和防御技術為支撐的網絡安全保障體系設計和建設也是向這四項能力邁進的探索。我們希望通過不斷地努力，為中國銀行在金融科技創新中的戰略、業務和技術轉型重塑保駕護航，也為銀行同業的網絡安全技術發展提供可以借鑒的經驗。

責任編輯：Rachel