中國民生銀行信息科技部副總經理呂曉強

　　《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）于2017年6月1日正式實施。該法案的實施對于保障我國網絡安全、維護國家總體安全具有深遠而重大的意義，同時也對各行業的應用系統安全性提出了更高要求?！毒W絡安全法》中明確指出銀行自身不僅是網絡服務的提供者，也是關鍵信息基礎設施的運營者，即明確了銀行業的戰略地位和作用，也明確了銀行業及金融機構做好自身網絡安全工作的義務和責任。本文將著重對《網絡安全法》的實施對銀行應用系統帶來的改變進行研究和探討。

　　《網絡安全法》對銀行思想上的轉變

　　《網絡安全法》的出現給銀行從業者帶來了五個思想上的轉變。

　　1.信息安全責任主體的轉變。相較于其他行業來說，銀行業在信息安全上的投入一直處于行業領先位置，安全水平高、防護能力強。隨著《網絡安全法》的到來，原有追責主體發生了變化，由對主要技術負責人的追責轉變為機構主要負責人，將會迫使其更加重視信息安全工作并增加投入。

　　2.遵從并快速調整合規性要求的轉變。在《網絡安全法》對于客戶信息保護方面的要求下，各機構將在原信息收集方面進行快速調整，由求全轉為有限、由主動轉為授權、由敏感轉為公開。同時，更加注重自有數據的分析和運營工作，審慎處理外部征信數據的合作與應用。

　　3.開發思路和技術架構的轉變。為應對互聯網科技公司的沖擊，銀行業改變了新技術應用的保守思想，采用了更加開放、敏捷的開發思路，在保證安全底線的情況下更加側重用戶體驗和快速迭代，在《網絡安全法》的要求下會適當降低開發進度來解決安全問題。同時，技術架構更加注重應用安全、開發安全、數據安全等各方面的保護要求，從而在技術框架、代碼底層上實現更好的防護效果。

　　4.信息系統安全防御從事后關注到全生命周期保護理念的轉變?！毒W絡安全法》明確要做好關鍵信息基礎設施重點保護，必須重視并保證安全技術措施的同步規劃、同步建設、同步使用。將安全風險控制由上線運行階段轉變為對信息系統安全進行全生命周期安全管理，在系統需求階段、設計階段、開發/測試階段、上線階段、運行階段，持續對系統開展全方面的分析、評估和檢查工作。

　　5.新技術新應用安全風險防范理念的轉變。銀行業進入互聯網+時代，大數據、云計算、生物識別、機器學習等新技術的應用推廣，對業務安全、系統安全帶來了極大挑戰。新技術新應用在實際業務中的應用應遵循安全漸進原則，由限制性應用到充分應用，如匯款限額逐漸增加，確保風險整體可控。同時，主動對業界出現的新技術進行安全性研究，總結新技術的風險、適用范圍、安全驗證方法等，實現對新技術的安全性有整體了解，增強對風險和異常的預警能力，規避或減少業務風險。

　　《網絡安全法》對銀行應用系統改造產生的影響

　　以《網絡安全法》實施為契機，銀行業應不斷加強系統改造、新技術應用等法律合規框架下的金融融合發展與實施方面的探索，將思想轉變落實為具體行動，實現網絡安全風險的精細化管理。具體體現在如下方面。

　　1.應用系統應采用實名認證機制?！毒W絡安全法》中明確規定網絡運營者不得為非實名用戶提供服務，以法律的形式對“網絡實名制”做出了規定。銀行機構所使用的網站論壇、在線客服、即時通訊等服務，應當要求并驗證用戶所提供的真實身份信息，原有系統不支持實名認證的應盡快進行改造。例如通過實名制短信驗證、數字證書認證等多維度方式聯網檢查身份的真實性，并使上述系統具有違法信息審查及禁止發送的功能。用戶不提供真實身份信息的，銀行機構不得為其提供相關服務。

　　2.應用系統應加強個人信息保護的力度?！毒W絡安全法》第四十條到第四十五條規定“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則”“明示收集、使用信息的目的、方式和范圍，并經被收集者同意”。銀行機構應建立以數據分類分級為核心，覆蓋數據產生、存儲、使用、傳輸銷毀等全生命周期的數據安全管理框架，完善各階段的安全邊界、責任主休、防護級別和管控措施。同時，應依法收集、存儲、使用個人敏感信息，不得非法或超授權采集個人客戶端的各類信息。以手機銀行、直銷銀行等APP類程序為例，銀行機構為提高客戶體驗、打擊層出不窮的新型網絡詐騙犯罪，往往采集了客戶終端的指紋信息、位置信息等，應明確告知客戶并獲得授權，并采取加密技術和其他必要措施確保個人信息的安全性和防范超授權使用。

　　3.應用系統應加強業務連續性保護的力度?！毒W絡安全法》第三十四條規定“關鍵信息基礎設施的運營者應當對重要系統和數據進行容災備份”。銀行機構一直致力于健全和完善信息科技災備體系，基本都形成了“大同城、小異地”的兩地三中心模式，形成了應用系統災難恢復的災備體系。為加強應用系統業務連續性提供保障，銀行業應定期對應用系統進行數據備份與恢復驗證，依據應用系統的不同級別，對數據庫、重要生產數據文件等進行聯機全備份和歸檔日志備份，并對備份數據進行數據恢復、介質讀取、備份結果檢查等驗證，測試數據恢復后的可用性，確保重要業務系統的持續運行。

　　4.應用系統應加強監控預警與應急處置的力度?！毒W絡安全法》第五章，監測預警與應用處置對國家網信部門、政府部門對關鍵信息設施的安全應進行監測。銀行機構對關鍵業務系統部署監控節點探針，將應用系統鏡像流量供給監控平臺進行報文解析，整體展現交易渠道、中間層系統、服務層系統、外聯渠道的實時交易情況，通過大數據技術對業務交易日志、安全日志進行分析，實現對應用系統網絡安全威脅的智能分析和準確識別。另外，依據服務路徑圖中業務系統中應用服務的業務邏輯和依賴關系，建立應用系統安全健康指標，通過智能化資產管理系統快速定位故障根源、故障時間以及受影響應用系統范圍。以手機銀行系統、征信系統、郵件系統為例，通過對其系統的交易日志、流量信息進行大數據分析，建立業務交易和網絡威脅的事前預警、事中監測和事后分析，實現應用系統業務安全和網絡安全可視化的態勢感知。

　　結束語

　　《網絡安全法》近一年的實施是落實中央全面依法治國戰略的重要部署，是完善我國網絡安全法律法規體系建設的重要里程碑。通過對應用系統的不斷優化和完善，加強和改進網絡安全管理能力，維護行業健康穩定發展，實現網絡空間的安全環境。

　　(本文作者系中國民生銀行信息科技部副總經理）

責任編輯：韓希宇