文 \ 中国银行信息科技部总经理 刘秋万

“十三五”是我国全面建成小康社会、实现第一个百年目标的决胜阶段。中国银行将紧密围绕国家金融改革发展战略,持续完善金融信息基础设施,发挥国际化优势,打造“一带一路”金融大动脉,支持人民币国际化,为中国企业走出国门、行稳致远保驾护航,为沿线国家的共同繁荣发展贡献中国力量。

经过多年高速发展,网络与信息技术在金融领域得到了广泛和深入的应用,网络安全是金融安全的重要基石,确保金融网络安全是防范系统性金融风险必须考虑的因素,直接关系到国家安全和社会稳定。当前,中国正在从网络大国向网络强国迈进,确保金融网络安全是建设网络强国的重要任务。然而,网络攻防的博弈不会停息。道高一尺,魔高一丈,网络安全永无止境,金融网络安全工作永远在路上。

过去五年中行信息安全管理体系建设情况

网络改变了人们的生活方式,也成为金融发展的催化剂。过去五年,电子渠道高速发展,移动互联技术广泛应用,金融行业的新理念、新产品和新服务不断产生。在此期间,中行国内IT蓝图项目完美收官,海外系统整合转型工程全面启动,建立了“两地三中心”的基础架构格局,形成了全球一体化IT服务体系。与此同时,科技风险上升成为全局性、系统性重要风险,中行不断健全信息安全管理机制,持续完善科技风险管理流程,将科技风险作为集团系统性重要风险进行统一管控。

近年来,互联网金融业务的兴起和发展,更是对网络和信息安全提出了更高要求,中行顺应信息技术发展趋势,持续更新信息安全技术和工具,着力提升网络和信息安全防护能力。回顾过去五年,中行信息科技安全工作成果主要体现在以下三个方面。

1.完善了信息安全治理机制,提升了信息科技风险管控能力

随着中行业务的全球化发展和IT服务的全球一体化,信息安全工作面临国际化要求。中行按照国内外监管法规,持续完善信息安全管理策略、制度规范和技术标准,以适应业务多元化和海内外一体化的发展要求,按照信息安全专业领域细化安全管理组织架构和职责分工,形成自上而下,垂直贯穿海内外各级机构的信息安全管控体系。进一步充实了全行信息安全组织架构和岗位配置,明确了信息安全管理对象和管控要求,通过ISO27001、ISO20000等国际标准认证,统一了全行信息安全管理的标准和方法,建立了安全管理机制和流程,提升了IT风险管理水平。

2.构建了信息防泄露体系,提升数据安全保护能力

在全球系统和数据集中运行模式下,中行建立了数据的传输、存储、使用、备份与恢复、清除等环节的安全控制及保护机制,制定了数据的分级保护策略,实施了数据防泄漏(DLP)体系建设工程,实现了对办公桌面终端安全的集中统一管控,对移动终端和移动APP实施了安全加固,对移动介质进行加密和集中管控,对涉密文件进行加密传输和存储,对邮件系统进行敏感信息监测和过滤。与此同时,中行坚持内外网逻辑隔离和内网分区管理,严格执行终端准入策略,有效防范了网络的非授权访问和敏感信息泄露风险。

3.构建了安全事件应急机制,提升了灾难恢复能力

在全球化战略和一体化IT运营模式下,中行完成了安全运营中心(SOC)的初步建设,建立了海内外联动的信息安全事件响应机制,包括对各类安全事件的处理策略和处置流程,落实跨机构、跨部门和跨国界的职责分工和协同工作机制,明确了总分行、各条线的职责分工和应急流程,同时强化了业务部门和科技部门以及与第三方的联动,并强调应急预案的后评价和定期更新,信息安全事件应急处置能力得到全面提升。此外,建立“两地三中心”灾备体系,逐步扩大每年灾难恢复演练的业务范围和交易种类,加强灾备管理,促进中行灾难恢复计划(DRP)和业务连续性计划(BCP)的有效衔接,全面提升了系统和业务的灾难恢复能力

中行网络安全面临的新挑战

今年6月1日,《中华人民共和国网络安全法》正式实施,金融机构作为关键信息基础设施运营者,须承担金融系统安全运营及信息安全保护的责任和义务。一旦发生网络被攻破、网站被篡改、客户信息被泄露等重大安全事件,将依法追究管理者和运营者的法律责任。

近年来,金融科技快速发展,给银行业的产品服务、商业模式、经营理念带来了深刻变革,银行服务自动化、智能化的呼声越来越高,同时增加了IT风险管理的难度。网上唾手可得的黑客工具以及大量的信息泄露、钓鱼网站、电信欺诈对金融网络安全带来了严峻挑战。

1.网络安全形势日趋严峻,网络空间对抗不断加剧

当前,银行业金融机构已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。针对银行业金融机构的APT(高级持续性威胁)攻击、精准式网络攻击日益猖獗。根据网络安全监控日志分析,中行网络系统每天遭受来自互联网的各种嗅探扫描、渗透攻击行为多达数十万次。黑客针对孟加拉国央行和台湾远东国际银行SWIFT系统的网络攻击事件对金融机构网络安全造成了巨大冲击,这类利用内部网络脆弱性实施的精准网络攻击行为很可能出现大幅增长。

2.信息系统结构日趋复杂,网络安全运营承受更大压力

中行信息化起步较早,跨越了我国信息技术发展的各个阶段,系统架构和网络结构复杂,与第三方系统关联紧密。信息系统的复杂程度和技术跨度决定了网络安全保障难度远高于新兴互联网公司。与此同时,数据大集中和全球一体化系统运行模式对业务连续性提出了更高要求,局部的网络系统故障可能波及全行网络与关联系统,给网络系统安全运行带来了更大压力。

3.金融服务模式日趋开放,方便快捷与安全可控矛盾凸显

传统金融机构主要依靠自身的封闭性来保障网络安全。随着移动互联技术的普及应用,网络安全边界日益模糊。开放的网络环境必然带来更高的网络安全风险,网上银行和移动支付成为了网络攻击的重点目标。一些客户的安全意识不足,账户密码可能被不法分子通过电信诈骗、钓鱼网站和撞库等手段窃取。业务发展与风险管控、客户体验与安全保障的矛盾凸显。

4.网络攻击手段日趋多样,网络安全防御能力面临挑战

当前,针对银行业金融机构的网络攻击目的性更加明确,专业性更强,一旦得手,危害也将更大。网络攻击者利用智能互联设备发动大规模DDOS(分布式拒绝服务)攻击的成本将大幅下降。系统漏洞、未知恶意软件已经成为网络安全的主要威胁,银行可能遭遇大量勒索性质的网络攻击和各种针对应用程序新型未知漏洞(0day)攻击,防范和处置的时间窗口将会越来越短,对中行的网络防护和处置提出了更高要求

新时期中行网络安全建设思路

当前,FinTech方兴未艾,互联网安全形势日趋严峻,中行面临的网络安全威胁与日俱增。传统的网络边界防护和被动式的网络安全防御机制难以适应新时期的网络安全挑战。作为国际化的大型金融企业,中行的网络安全保障体系应具备统一指挥、随时应对全球7×24小时安全威胁的监测和应急响应能力,全面、智能、可视化的信息安全威胁态势分析能力,贯穿信息系统生命周期各环节的安全漏洞的自动化发现能力。

中行将以安全运营中心(SOC)建设为核心,结合国内外安全技术标准和最佳实践,以安全威胁管理、安全漏洞管理、安全防御技术三个领域为重点,建立以主动防御为目标,纵深防御为基础的一体化网络安全保障体系,实现对网络安全风险预警、实时监控、关联分析与快速处置的全流程管控。

1.提升安全威胁监测和处置能力

在安全威胁管理领域,中行将加大安全威胁监测技术投入,努力改变传统离散的安全监测模式,通过部署信息安全事件集中管理(SIEM)系统,使用分布式存储和分布式计算技术,从网络安全设备、系统、应用、中间件、数据库等信息资产中,集中收集各类安全日志信息,并结合网络流量数据进行关联分析,实现安全威胁监测的一体化集中管理。通过引入安全威胁情报、大数据分析、机器学习等新兴技术,强化对于高级持续性威胁(APT)和精准式网络攻击的实时发现及智能化预警能力。

在安全威胁监测技术建设的同时,中行将持续优化安全威胁管理机制,形成安全威胁监控、预警、处置、调查、加固的全生命周期运维流程。通过梳理分析各种威胁场景,建立标准化的安全威胁运维监测和应急处置等工作流程,提升威胁处置能力。    

2.完善安全漏洞生命周期管理

在安全漏洞管理领域,中行建立了覆盖信息系统全生命周期的安全漏洞管理机制,形成了漏洞发现、验证、确认、修复、复测的闭环管理。未来,中行将建立内部安全漏洞的自动化发现和处理平台。利用安全漏洞风险计量及管控系统,通过自主研发的风险计量算法,自动评估漏洞信息的风险等级,并对漏洞的确认、修复、验收、变更等各个流程环节进行管控。

此外,还将利用大数据采集和分析技术,实时采集资产信息,形成基于版本的安全漏洞实时发现能力,进一步提高安全评测效率,尽早、尽快地发现和修复漏洞,以应对0Day漏洞带来的网络安全威胁。

3.建立主动化、一体化网络安全防御体系

在安全防御技术领域,中行将努力推进主动化、一体化的网络安全防御体系建设。其一,加大信息安全事件的监控和处置力度,有效扼制外部网络攻击威胁;其二,有针对性地开展网络攻防实战演练,有效提升应对特定网络攻击的防御能力;其三,持续开展应用系统需求设计环节的安全方案评审、开发测试过程中的安全开发测试标准实施和上线前的安全测评工作,确保重要网络信息系统不“带病上岗”。

为应对FinTech带来的网络安全新挑战,中行将积极探索利用人工智能技术实现网络安全智能化运维的新思路,推进网络安全运营和安全防御体系的自动化、智能化。

4.开展广泛合作,协同应对挑战

金融网络安全建设是长期的战略任务和系统工程,中行将加强与有关机构及网络安全产业的战略合作,推进建立安全生态圈,逐步形成网络安全积极防御态势。

具体讲,加强与金融行业监管机构的合作,共享网络安全风险情报,积极有效落实网络安全合规要求;加强与公安部门、金融机构间、网络安全产业等相关单位的合作,共同打击金融网络欺诈犯罪行为;与国家网络安全专控队伍、电信运营服务商等相关单位进行积极协作,共同提升银行金融业网络安全风险感知能力,快速、高效响应各种网络安全事件,共同应对大规模网络攻击;充分利用中行金融安全联合实验室,加强与高等院校、科研院所等单位的沟通协作,促进产学研用合作机制,与国际新兴信息技术发展接轨,及时占领网络安全技术领域的制高点

结束语

2017年10月,党的“十九大”胜利召开,吹响了决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利的时代号角。进入新时代,开启新征程,中行不忘初心,不辱使命,决心以“科技引领创新”作为发展的第一动力,全面、深入地推动落实《中国金融业信息技术“十三五”发展规划》的各项工作要求,为百年中行基业长青、为科技强国建设、为实现中华民族伟大复兴的中国梦贡献力量。

金融网络安全工作,没有完成时,只有进行时。作为关键信息基础设施的网络运营者,中行将积极贯彻落实《中华人民共和国网络安全法》,以《中国金融业信息技术“十三五”发展规划》为指导,不断提升自身网络安全防御能力,努力开创新时代金融网络安全工作的新局面,为国民经济的快速健康发展提供安全可靠的金融服务。

《金融电子化》新媒体部

主任 / 邝源   编辑 / 潘婧

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。