文\中國銀行信息科技部總經理 劉秋萬

　　“十三五”是我國全面建成小康社會、實現第一個百年目標的決勝階段。中國銀行將緊密圍繞國家金融改革發展戰略，持續完善金融信息基礎設施，發揮國際化優勢，打造“一帶一路”金融大動脈，支持人民幣國際化，為中國企業走出國門、行穩致遠保駕護航，為沿線國家的共同繁榮發展貢獻中國力量。

　　經過多年高速發展，網絡與信息技術在金融領域得到了廣泛和深入的應用，網絡安全是金融安全的重要基石，確保金融網絡安全是防范系統性金融風險必須考慮的因素，直接關系到國家安全和社會穩定。當前，中國正在從網絡大國向網絡強國邁進，確保金融網絡安全是建設網絡強國的重要任務。然而，網絡攻防的博弈不會停息。道高一尺，魔高一丈，網絡安全永無止境，金融網絡安全工作永遠在路上。

　　過去五年中行信息安全管理體系建設情況

　　網絡改變了人們的生活方式，也成為金融發展的催化劑。過去五年，電子渠道高速發展，移動互聯技術廣泛應用，金融行業的新理念、新產品和新服務不斷產生。在此期間，中行國內IT藍圖項目完美收官，海外系統整合轉型工程全面啟動，建立了“兩地三中心”的基礎架構格局，形成了全球一體化IT服務體系。與此同時，科技風險上升成為全局性、系統性重要風險，中行不斷健全信息安全管理機制，持續完善科技風險管理流程，將科技風險作為集團系統性重要風險進行統一管控。

　　近年來，互聯網金融業務的興起和發展，更是對網絡和信息安全提出了更高要求，中行順應信息技術發展趨勢，持續更新信息安全技術和工具，著力提升網絡和信息安全防護能力?；仡欉^去五年，中行信息科技安全工作成果主要體現在以下三個方面。

　　1.完善了信息安全治理機制，提升了信息科技風險管控能力

　　隨著中行業務的全球化發展和IT服務的全球一體化，信息安全工作面臨國際化要求。中行按照國內外監管法規，持續完善信息安全管理策略、制度規范和技術標準，以適應業務多元化和海內外一體化的發展要求，按照信息安全專業領域細化安全管理組織架構和職責分工，形成自上而下，垂直貫穿海內外各級機構的信息安全管控體系。進一步充實了全行信息安全組織架構和崗位配置，明確了信息安全管理對象和管控要求，通過ISO27001、ISO20000等國際標準認證，統一了全行信息安全管理的標準和方法，建立了安全管理機制和流程，提升了IT風險管理水平。

　　2.構建了信息防泄露體系，提升數據安全保護能力

　　在全球系統和數據集中運行模式下，中行建立了數據的傳輸、存儲、使用、備份與恢復、清除等環節的安全控制及保護機制，制定了數據的分級保護策略，實施了數據防泄漏（DLP）體系建設工程，實現了對辦公桌面終端安全的集中統一管控，對移動終端和移動APP實施了安全加固，對移動介質進行加密和集中管控，對涉密文件進行加密傳輸和存儲，對郵件系統進行敏感信息監測和過濾。與此同時，中行堅持內外網邏輯隔離和內網分區管理，嚴格執行終端準入策略，有效防范了網絡的非授權訪問和敏感信息泄露風險。

　　3.構建了安全事件應急機制，提升了災難恢復能力

　　在全球化戰略和一體化IT運營模式下，中行完成了安全運營中心（SOC）的初步建設，建立了海內外聯動的信息安全事件響應機制，包括對各類安全事件的處理策略和處置流程，落實跨機構、跨部門和跨國界的職責分工和協同工作機制，明確了總分行、各條線的職責分工和應急流程，同時強化了業務部門和科技部門以及與第三方的聯動，并強調應急預案的后評價和定期更新，信息安全事件應急處置能力得到全面提升。此外，建立“兩地三中心”災備體系，逐步擴大每年災難恢復演練的業務范圍和交易種類，加強災備管理，促進中行災難恢復計劃（DRP）和業務連續性計劃（BCP）的有效銜接，全面提升了系統和業務的災難恢復能力。

　　中行網絡安全面臨的新挑戰

　　今年6月1日，《中華人民共和國網絡安全法》正式實施，金融機構作為關鍵信息基礎設施運營者，須承擔金融系統安全運營及信息安全保護的責任和義務。一旦發生網絡被攻破、網站被篡改、客戶信息被泄露等重大安全事件，將依法追究管理者和運營者的法律責任。

　　近年來，金融科技快速發展，給銀行業的產品服務、商業模式、經營理念帶來了深刻變革，銀行服務自動化、智能化的呼聲越來越高，同時增加了IT風險管理的難度。網上唾手可得的黑客工具以及大量的信息泄露、釣魚網站、電信欺詐對金融網絡安全帶來了嚴峻挑戰。

　　1.網絡安全形勢日趨嚴峻，網絡空間對抗不斷加劇

　　當前，銀行業金融機構已成為國內外敵對勢力、黑客組織、不法分子實施網絡攻擊、電信詐騙和滲透竊密的重點目標。針對銀行業金融機構的APT（高級持續性威脅）攻擊、精準式網絡攻擊日益猖獗。根據網絡安全監控日志分析，中行網絡系統每天遭受來自互聯網的各種嗅探掃描、滲透攻擊行為多達數十萬次。黑客針對孟加拉國央行和臺灣遠東國際銀行SWIFT系統的網絡攻擊事件對金融機構網絡安全造成了巨大沖擊，這類利用內部網絡脆弱性實施的精準網絡攻擊行為很可能出現大幅增長。

　　2.信息系統結構日趨復雜，網絡安全運營承受更大壓力

　　中行信息化起步較早，跨越了我國信息技術發展的各個階段，系統架構和網絡結構復雜，與第三方系統關聯緊密。信息系統的復雜程度和技術跨度決定了網絡安全保障難度遠高于新興互聯網公司。與此同時，數據大集中和全球一體化系統運行模式對業務連續性提出了更高要求，局部的網絡系統故障可能波及全行網絡與關聯系統，給網絡系統安全運行帶來了更大壓力。

　　3.金融服務模式日趨開放，方便快捷與安全可控矛盾凸顯

　　傳統金融機構主要依靠自身的封閉性來保障網絡安全。隨著移動互聯技術的普及應用，網絡安全邊界日益模糊。開放的網絡環境必然帶來更高的網絡安全風險，網上銀行和移動支付成為了網絡攻擊的重點目標。一些客戶的安全意識不足，賬戶密碼可能被不法分子通過電信詐騙、釣魚網站和撞庫等手段竊取。業務發展與風險管控、客戶體驗與安全保障的矛盾凸顯。

　　4.網絡攻擊手段日趨多樣，網絡安全防御能力面臨挑戰

　　當前，針對銀行業金融機構的網絡攻擊目的性更加明確，專業性更強，一旦得手，危害也將更大。網絡攻擊者利用智能互聯設備發動大規模DDOS（分布式拒絕服務）攻擊的成本將大幅下降。系統漏洞、未知惡意軟件已經成為網絡安全的主要威脅，銀行可能遭遇大量勒索性質的網絡攻擊和各種針對應用程序新型未知漏洞（0day）攻擊，防范和處置的時間窗口將會越來越短，對中行的網絡防護和處置提出了更高要求。

　　新時期中行網絡安全建設思路

　　當前，FinTech方興未艾，互聯網安全形勢日趨嚴峻，中行面臨的網絡安全威脅與日俱增。傳統的網絡邊界防護和被動式的網絡安全防御機制難以適應新時期的網絡安全挑戰。作為國際化的大型金融企業，中行的網絡安全保障體系應具備統一指揮、隨時應對全球7×24小時安全威脅的監測和應急響應能力，全面、智能、可視化的信息安全威脅態勢分析能力，貫穿信息系統生命周期各環節的安全漏洞的自動化發現能力。

　　中行將以安全運營中心(SOC)建設為核心，結合國內外安全技術標準和最佳實踐，以安全威脅管理、安全漏洞管理、安全防御技術三個領域為重點，建立以主動防御為目標，縱深防御為基礎的一體化網絡安全保障體系，實現對網絡安全風險預警、實時監控、關聯分析與快速處置的全流程管控。

　　1.提升安全威脅監測和處置能力

　　在安全威脅管理領域，中行將加大安全威脅監測技術投入，努力改變傳統離散的安全監測模式，通過部署信息安全事件集中管理(SIEM)系統，使用分布式存儲和分布式計算技術，從網絡安全設備、系統、應用、中間件、數據庫等信息資產中，集中收集各類安全日志信息，并結合網絡流量數據進行關聯分析，實現安全威脅監測的一體化集中管理。通過引入安全威脅情報、大數據分析、機器學習等新興技術，強化對于高級持續性威脅(APT)和精準式網絡攻擊的實時發現及智能化預警能力。

　　在安全威脅監測技術建設的同時，中行將持續優化安全威脅管理機制，形成安全威脅監控、預警、處置、調查、加固的全生命周期運維流程。通過梳理分析各種威脅場景，建立標準化的安全威脅運維監測和應急處置等工作流程，提升威脅處置能力。

　　2.完善安全漏洞生命周期管理

　　在安全漏洞管理領域，中行建立了覆蓋信息系統全生命周期的安全漏洞管理機制，形成了漏洞發現、驗證、確認、修復、復測的閉環管理。未來，中行將建立內部安全漏洞的自動化發現和處理平臺。利用安全漏洞風險計量及管控系統，通過自主研發的風險計量算法，自動評估漏洞信息的風險等級，并對漏洞的確認、修復、驗收、變更等各個流程環節進行管控。

　　此外，還將利用大數據采集和分析技術，實時采集資產信息，形成基于版本的安全漏洞實時發現能力，進一步提高安全評測效率，盡早、盡快地發現和修復漏洞，以應對0Day漏洞帶來的網絡安全威脅。

　　3.建立主動化、一體化網絡安全防御體系

　　在安全防御技術領域，中行將努力推進主動化、一體化的網絡安全防御體系建設。其一，加大信息安全事件的監控和處置力度，有效扼制外部網絡攻擊威脅；其二，有針對性地開展網絡攻防實戰演練，有效提升應對特定網絡攻擊的防御能力；其三，持續開展應用系統需求設計環節的安全方案評審、開發測試過程中的安全開發測試標準實施和上線前的安全測評工作，確保重要網絡信息系統不“帶病上崗”。

　　為應對FinTech帶來的網絡安全新挑戰，中行將積極探索利用人工智能技術實現網絡安全智能化運維的新思路，推進網絡安全運營和安全防御體系的自動化、智能化。

　　4.開展廣泛合作，協同應對挑戰

　　金融網絡安全建設是長期的戰略任務和系統工程，中行將加強與有關機構及網絡安全產業的戰略合作，推進建立安全生態圈，逐步形成網絡安全積極防御態勢。

　　具體講，加強與金融行業監管機構的合作，共享網絡安全風險情報，積極有效落實網絡安全合規要求；加強與公安部門、金融機構間、網絡安全產業等相關單位的合作，共同打擊金融網絡欺詐犯罪行為；與國家網絡安全?？仃犖?、電信運營服務商等相關單位進行積極協作，共同提升銀行金融業網絡安全風險感知能力，快速、高效響應各種網絡安全事件，共同應對大規模網絡攻擊；充分利用中行金融安全聯合實驗室，加強與高等院校、科研院所等單位的溝通協作，促進產學研用合作機制，與國際新興信息技術發展接軌，及時占領網絡安全技術領域的制高點。

　　結束語

　　2017年10月，黨的“十九大”勝利召開，吹響了決勝全面建成小康社會、奪取新時代中國特色社會主義偉大勝利的時代號角。進入新時代，開啟新征程，中行不忘初心，不辱使命，決心以“科技引領創新”作為發展的第一動力，全面、深入地推動落實《中國金融業信息技術“十三五”發展規劃》的各項工作要求，為百年中行基業長青、為科技強國建設、為實現中華民族偉大復興的中國夢貢獻力量。

　　金融網絡安全工作，沒有完成時，只有進行時。作為關鍵信息基礎設施的網絡運營者，中行將積極貫徹落實《中華人民共和國網絡安全法》，以《中國金融業信息技術“十三五”發展規劃》為指導，不斷提升自身網絡安全防御能力，努力開創新時代金融網絡安全工作的新局面，為國民經濟的快速健康發展提供安全可靠的金融服務。

責任編輯：韓希宇