银行业网络安全探讨及趋势分析

中国民生银行信息科技部总经理助理吕晓强

2017年中国国际金融展在北京展览馆拉开帷幕。本届展会以“创新驱动稳健转型共享金融”为主题，集中展示了各类金融机构、金融科技企业的创新发展成果。作为历届积极参展的金融机构之一，中国民生银行在本次展会上，独具匠心地构建“惠民生”、“防风险”和“融创新”三大功能板块，生动展示了该行依托先进科技在公司、零售、网络金融等业务领域的创新实践与系列成果。

与此同时，在北京展览馆报告厅同期举办了第十八届中国金融发展论坛。现场邀请到金融管理部门领导、金融机构高管、商界领袖、IT企业领军人物和国内外著名专家学者，共同就“创新驱动稳健转型共享金融”、“金融网络安全趋势研讨”、“支付产业发展前瞻”、“我国现金机具管理之路”等专题进行研讨。中国民生银行信息科技部总经理助理吕晓强出席本次论坛并发表讲话。

以下为吕总讲话实录：

各位领导、各位同仁、各位来宾，很荣幸代表民生银行就银行业网络安全探讨及趋势分析这一主题与各位做一个交流与共享。

随着互联网经济的迅猛发展，互联网在推动银行业务快速变革发展的同时，我们也更应清晰地认识到整个互联网银行业愈发严峻的安全形势和外界经济环境的整体变化趋势。刚看到全球与中国IT信息安全发展成熟度的能力对比数据，我国的银行业还有很多工作要做，这对我们来说既是一种机遇又是一种挑战。所以我重点与大家交流一下银行业信息安全面临的威胁与挑战、信息安全工作的探索及信息安全发展的对策和建议。

近几年来，银行业务越来越互联网化，全球化的互联网金融已融入我们的生活，像生活的必需品一样无处不在，在带来便捷的同时，却也带来了问题。

一是互联网经济犯罪活动居高不下。网络经济犯罪行为的趋利化特征日益明显，网络经济犯罪向规模化、综合化、集成化和智能化方向发展，给全球银行业带来了极大的威胁。此类威胁的特点在于利益驱使高、受害主体广、攻击方式多、社会危害大；二是银行互联网面临的网络高级威胁不断加剧。随着黑客的攻击手段不断升级，新兴APT攻击威胁层出不穷，恶意木马病毒持续泛滥，零日漏洞的精准突袭，网络安全的主要威胁已经从黑客攻击模式转化成为犯罪分子规模化敛财模式，呈现出明显的组织化、规模化、产业化趋势；三是基础设施安全不可控。我们的基础设施并不完全可靠，也不是完全可控，近几年频发的通用软件漏洞导致全球服务器、网络设备、Web应用遭受影响就是典型的案例；四是移动设备和支付安全问题凸显。银行业在互联网上的安全防御能力并没跟上互联网的发展。随着移动支付方式的普及，我们24小时都暴露在互联网攻击之下，安全威胁在不断升高；五是泄露窃密性攻击步入“高发期”。除了要防范攻击外，更需防范数据的丢失有组织的窃取，这关系到银行的声誉和品牌形象；六是新技术、新应用带来的潜在风险。通过互联互通、大数据、跨界融合，银行业可在方方面面与各行业合作，但其所带来的数字流转交换，使银行业面临更多技术的挑战。

面对上述信息安全的威胁与挑战我们该如何应对？我个人认为应该提升全面的安全感知能力、有效的安全防护能力和有力的应急响应能力的所谓“三项能力”。着力建设银行业信息安全防御体系使其具备高效成本的安全防护能力，这是信息安全工作的基石。同时采用技术手段感知安全防护的能力，实现精准的全场景保护措施，建立一个管理闭环环境。这个环境如何跟周边的各个业务、开发、网络、测试、运营发生安全交互，也正是我们持续在研究和关注的。

在此基础上，我们又明确了工作方向，即做到信息安全的“可见、可管、可控”。可见就是信息安全的感知和预警，能够实时了解信息安全的状况；可管就是对发现的信息安全行为进行管控，把控整体信息安全防护保障措施；可控就是控制信息安全的影响范围和行为，能够及时进行响应与处置。

银行业在“十三五”期间的重点任务之一就是严格贯彻落实国家信息安全政策，把信息安全工作提升到企业发展的战略性高度，健全信息安全管理体系，加强信息安全技术防护，提升关键信息基础设施的安全保障水平，确保风险可控。而民生银行正在通过系统定级将整体目标分解，打造一个等级化的安全体系，融入到全行体系建设中去。

首先是严格贯彻执行《网络安全法》的相关要求，做好系统的定级、备案、评估，健全完善银行业网络安全防护体系，将其纳入银行已有的信息安全体系建设和运行当中。

其次是基于大数据分析网络安全态势，通过数据采集和分析做到可视化、可测量、自动化、可检测，提升民生银行的风险感知及预警能力，实现安全风险的可视化管理。同时建立客户反欺诈监测预警体系，通过大数据平台对复杂多样的业务场景威胁进行智能化学习与分析，建立海量威胁情报库识别业务安全风险，从而感知客户信息泄露及业务欺诈风险，能够主动利用业务应急措施、风险管控手段，管控客户欺诈等行为，保障客户资金交易及业务安全。

再次是加强敏感数据安全保护。民生银行正在积极推进数据分级和分类管理体系的建立，深入评估客户敏感信息在创建、存储、传输、使用和销毁等过程中的安全风险，综合运用多种手段，防范敏感数据泄露、篡改、丢失和非授权访问。总体而言，我们正不断完善数据风险防范体系，建立敏感数据的监测体系，强化敏感信息保护措施，加强数据外泄溯源追踪能力。

最后是打造安全运营协同防护机制。建立系统开发、系统运维、安全测试等部门的运维与安全协同工作机制，建立共享情报与处置平台，在事件预警、指标监测、应急处置等方面优化流程，形成联动效应。同时加强网络和信息安全领域的安全交流合作，建立威胁情报共享机制和技术平台，实现威胁情报协同处置。

综上所述，通过自适应的安全防护体系，根据威胁情报等预测结果做出相应信息安全预警，同时对潜在威胁风险进行持续检测，并动态调整安全防护策略实现对安全事件的阻断，最后对检测结果快速响应（Respond），形成信息安全的预测、阻止、检测、响应的闭环体系。

可见，面对日益严峻的安全风险，民生银行在安全建设工作中已取得了阶段性成果。但我们也并未松懈，适时制定了下一步的工作计划和安全对策：

一是继续深入贯彻落实《网络安全法》，强化安全制度体系的建设，确保网络安全各项工作的部署和落实，强化组织领导，把网络安全工作做细、做实。

二是强化网络安全顶层设计，提高网络安全战略能力，这是一个基础工作，也是一项长期工作。持续优化和改进网络安全管理机制，加大信息安全投入，推动信息安全人才队伍建设，都是提升网络安全管理水平的必要措施。

三是定期开展信息安全监督检查，推动全行业的信息安全风险评估，逐步形成常态化的安全检查和评估机制。

四是推进网络安全综合防御技术体系建设，全面梳理现有的安全防御技术，重点关注互联网接入区域的防御，建立严密的外网安全防护系统，提升网络安全威胁的检测、分析和预警能力，将安全威胁拒之门外。

银行业的安全管理和防控仍是一项艰巨但重要的工作，需要不断改进和提升，可谓任重而道远。民生银行也希望与各行各业一道，为国家和行业的信息安全建设工作贡献绵薄之力。