银行信息安全防控体系建设探讨

摘要：随着《网络安全法》和《国家网络空间安全战略》的，商业银行的信息安全防护建设面临着多方面的挑战。中国建设银行广东省分行经过多年的实践，在信息安全顶层规划、制度建设、新技术运用、内部管控、持续运营等多方面进行了信息安全防控体系建设的探索。结合银行数字化转型的未来发展趋势，本文认为聚焦新形势、新变化，加强新技术运用，持续提升信息安全防控水平，全面履行保障客户信息安全的社会责任,是信息安全建设下一步发展的重要方向。

关键词：商业银行；信息安全；大数据；企业级安全架构；信息安全防护

锁金融是经济的核心，而银行又是金融业的重中之重。随着我国数字经济发展步入快车道，商业银行纷纷加入数字化转型行列，而与之相关的信息安全问题愈加受到业界关注，客户信息安全与客户隐私保护的风险更加突出。信息安全是银行业务开展的基础，是银行稳健经营的保障。如何加强商业银行的内部管理，防范和化解信息安全风险，是当前银行高度关注的重点和难点。

一、新形势下商业银行信息安全防控面临的挑战

（一）外部环境的变化增加新的难题。一是新技术的广泛应用使银行的安全防御体系面临新的安全漏洞威胁。数字经济时代，金融科技逐渐成为银行核心驱动力，以人工智能、大数据、云计算、移动互联、物联网等新技术为核心的金融科技在银行飞速发展。但是银行在新技术的运用过程中，长期存在一个严重误区，即银行在构建信息系统时，往往把功能的实现放在首要位置，而忽略了安全性的考虑。因此，新技术获得广泛应用后，大量新的漏洞陆续爆发，严重威胁到应用和信息的安全，而此时要在原有庞大功能的基础上重构其安全性，难度极大。二是移动智能设备的广泛应用是商业银行信息安全防控的一个重点难题。移动智能终端具有便携性、灵活性等特性，被广泛应用到商业银行系统中，尤其是被用于银行内部管理流程和管理系统中。移动智能终端的安全性成为商业银行不容忽视的问题。三是银行的网络边界趋于模糊，使其信息安全管控的难度增大。随着数字经济的蓬勃发展，商业银行的金融及非金融生态圈也在逐步扩大，各种App、小程序、开放银行等新应用不断被推出，银行的接入渠道更加多样化，网络边界趋于模糊化，网络遭受外部攻击的风险逐步增大。传统的安全防御技术主要是针对基于网络或设备边界的防护，而对于网络边界逐渐模糊的新情况则显得无能为力。风险领域的扩大，使商业银行信息安全管控的难度进一步加大。（二）新政策的出台对安全防控提出更高的要求。《网络安全法》首次将网络安全工作提高到法律的高度。近年来，我国《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）等关于信息安全等级保护2.0的国家标准相继，标志着我国信息安全进入2.0时代。按照2020年3月1日正式实施的信息安全等级保护2.0标准，云计算、移动互联、大数据等新技术新应用被纳入其中，风险分析、安全态势感知、安全监测、通报预警、应急处置、追踪溯源等安全服务内容也体现在信息安全防控的各个环节里，这对金融机构的信息安全防控提出了更高的要求。同时，金融业的相关监管部门也对金融机构的安全建设提出了明确的指导意见。2018年5月，中国银保监会了《银行业金融机构数据治理指引》，引导银行业金融机构加强数据治理。其中第二十四条明确指出“银行业金融机构采集、应用数据涉及到个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。”这些政策的出台激励并引导银行业加强信息安全防控水平。（三）安全与体验的平衡是一个新的考验把客户体验做到极致是为银行赢得更多客户、提升市场占有率、树立独特品牌形象的一项关键因素。因此，打造极致的客户服务是未来银行留住客户的核心竞争力。而信息安全管控往往会加大信息使用的难度，导致客户体验变差。无论何时，银行都要在坚守客户资金安全、信息安全和交易安全底线的前提下追求极致的客户体验。因此，如何平衡好体验和安全的关系，是银行在信息安全管控上面临的新考验。

二、建行广东省分行在信息安全防控上的实践

信息安全防控是一项系统性工程，要从机制建设、人员培养、技术保障等多个方面相互配合，形成一个多层级、多维度的保护体系。建设银行（以下简称“建行”）广东省分行通过多年的实践，在信息安全管控上进行了一系列探索，通过5个方面增强安全防控能力。（一）强化顶层设计，构建企业级的安全架构体系。建行总行基于“安全即服务”的设计理念，构建了企业级的安全架构体系，采用面向服务架构、云计算、组件化、可视化开发等技术，将安全功能从应用中解耦，实现安全功能的组件化、标准化和参数化，形成以客户认证、密码服务、安全监控、安全策略管理等七大安全组件为核心、290个安全服务为代表的“安全功能库”。所有安全功能由策略管理中心动态调配，可依据所面临的风险，智能匹配适用的安全策略，启动相应的安全功能，从而灵活应对已知和未知威胁带来的风险。企业级安全架构平台有力支撑了建行信息系统的安全运行，保障客户信息安全及资金安全。（二）坚持制度先行，建立信息安全“十大军规”。为确保信息安全管理要求落实到位，建行广东省分行依据国家法规、监管要求和建行总行的相关制度，结合分行实际情况制订了《中国建设银行广东省分行信息安全管理系列制度》，内容涵盖了物理安全、网络安全、系统安全、终端安全、管理安全等。为切实推进信息安全管理制度落实到位，确保每位员工够准确把握不触碰信息安全的底线和红线，建行广东省分行了内部员工必须遵守的信息安全管理“十大军规。”包括“严禁将未脱敏的信息在测试网中运行”“严禁外联系统不通过外联前置直接访问我行内部网络”“严禁与外联单位进行无加密文件传输”“严禁在外联层存放客户敏感信息”“严禁未经安全检测的系统上线运行”“严禁在生产系统设置弱口令密码”“严禁将未经授权的非我行设备接入我行内部网络”“严禁在行内办公设备上使用拨号、接入无线网等方式访问互联网”“严禁在互联网上存储和我行敏感信息”“严禁把未安装安全客户端的终端设备接入我行内部网”等。通过建立健全规章制度，不断加强自身内部建设，做到信息安全管理有章可循、有规可依。（三）运用新技术，为用户提供“信息防护锁”。建行积极探索大数据挖掘、人工智能等技术在信息安全防护上的应用，为用户提供智慧、安全的信息防护手段。在安全认证方面，通过将身份信息、手机银行客户端与手机设备严密绑定，并引入指纹验证、声纹验证等技术，确保客户身份识别的准确性。在网络金融反欺诈方面，搭建全流程企业级反欺诈管理平台，依托基于用户行为分析的风险引擎，实时快速分析网络金融渠道客户交易行为细节，建立电子化、流程化、规范化的管理方式，对海量数据进行比对、甄选，主动识别异常行为，采集异常行为数据并进行实时分析判断，挖掘欺诈团伙作案的特征和规律，根据风险形势变化，实时动态地部署智能化监控策略，扩大风控覆盖范围和拦截半径，实现精准识别高风险网络金融交易。设立人脸黑、白、灰名单功能，实现“一点发现，全行共享”，系统识别，有效机控，提供差异化服务，严防欺诈作案，有效保障客户资金安全。此外，建行还推出“一键锁卡”“快捷支付管理”“慧眼识真”等工具。“一键锁卡”可对信用卡进行智能管控，根据自身的消费时间、地点和消费习惯自助定制锁卡方式，全面保障信用卡用卡安全；“快捷支付管理”允许用户自主关闭和开启快捷支付功能，让用户自行掌控银行卡资金安全；“慧眼识真”为用户提供信用卡短信真伪识别服务，让短信诈骗露出真面目。建行还在不断迭代升级智能安全防护功能，将客户安全需求融入最新的科技手段，向客户提供智能的“信息安全锁”，为客户资金安全保驾护航。（四）强化内部管控，筑牢网络安全防护屏障。银行的信息安全防护除了要化解外部威胁外，还应重视内部安全隐患的排查和管理。建行广东省分行积极运用安全新技术，着力筑起一个内外兼防和内外并重的安全防护屏障。一是应用网络空间测绘技术绘出建行广东省分行辖区内的互联网网络空间地图，从而全面清晰地了解辖内互联网应用资产和网络拓扑等信息，为全面做好网络安全防护提供重要的基础数据。二是实行内部终端集中管控。利用安全客户端作为准入门槛，配合身份认证系统，杜绝非法外接、非法接入等行为，并通过安全客户端为终端提供统一木马查杀、漏洞修复等服务，保障终端安全。三是在信息泄露的高风险节点外层部署安全防护组件。在互联网出口、邮件出口、终端等敏感信息泄露高风险点部署数据安全防护组件，及时阻断行内敏感信息外传。四是在网络边界部署监控和拦截工具。在各网络边界与交互处部署防火墙、态势感知系统、WAF、防病毒网关、蜜罐等安全产品，并配合自动拦截和一键封禁工具，查杀疑似的网络攻击和非法行为，确保行内网络与应用安全。五是日常内部工作全面云端化。应用云技术，按日常工作业务需求将桌面云按场景划分为办公、数据分析、开发测试、业务生产、运维支持5个场景云，不同场景进行物理和逻辑分隔开，提供不同的安全策略，实现行内日常工作的全面云化。同时，建行采用了数据安全管理组件、办公沙盒、安全浏览器等安全工具，严格控制敏感数据的复制、下载、打印。此外，运用防拍照技术及实时视频智能分析来防止屏幕信息泄露。利用最新的人工智能技术，连接现有的监控系统，对监控视频进行实时分析，实时判断是否有员工在用手机拍摄屏幕上的信息，并发出告警和进行存证。通过内部管控工具的不断迭代升级，构建出一道网络安全技术防线。（五）建设与运营并重，建立常态化网络信息安全监测机制。“三分建设，七分运营”是网络安全领域的至理名言。从用户的角度看，信息安全管理体系更强调的是运营。近年来，建行广东省分行一直严格执行常态化网络安全检测机制，由专人负责各项检测的方案制定、检测执行、事件分析、督促整改、进度跟进的闭环管理，通过六大措施，为网络安全的提供常态化保障。一是终端安全检测常态化。通过安全客户端组件对辖内所有终端定期进行病毒木马查杀、漏洞修复、病毒库更新等终端安全检测行为。二是敏感信息泄露检测常态化。通过敏感数据防泄露组件实时监控通过互联网、邮件、U盘等信息泄露的风险点，在实现外发监控的基础上，建立外发敏感信息的阻断功能，并定期对敏感数据外发行为进行全行通报，对保护敏感数据泄露起到重要的作用。三是攻击威胁监控常态化。通过未知威胁感知系统，实时监控行外与行内网络流量，精确发现实时攻击威胁，通过可视化技术，清晰地展示网络中的威胁，帮助运维人员快速研判和处置告警事件。四是自动报警拦截常态化。通过部署的防火墙、WAF，IPS等实现入侵报警与自动拦截机制，达到快速发现、自动封禁的安全风险应急响应。五是安全评估分析常态化。定期利用安全风险评估工具对服务器、网络设备、终端等进行扫描，并针对发现的漏洞提供整改建议，督促相关责任人及时整改，保障系统安全。六是安全风险信息收集常态化。定期对安全技术公司、公安部门等机构的网络安全风险提示、0day漏洞发现、网络安全新技术等进行汇总和学习，提高员工的安全意识与风险发现意识。

三、持续改进优化，信息安全防护工作任重而道远

信息安全防护是一项长期而艰巨的工作，信息安全防护只有起点没有终点。总结上述建行广东省分行的实践情况，结合银行业信息化的未来发展趋势，笔者认为，对于商业银行而言，亟须聚焦新形势、新变化，加强新技术运用，持续提升信息安全防控水平，全面履行保障客户信息安全的社会责任。（一）进一步深化对前沿技术的研究和探索。随着5G等新技术应用的突飞猛进，金融科技正迈向以万物互联为特征的“下半场”。每一次新技术革命的涌现，都会诱发网络安全的升级与变革，商业银行需要不断探索和研究网络安全新技术的运用，建设更具适应性、智慧性的网络安全防护体系。（二）进一步深化大数据等新技术在信息安全领域的应用。国务院参事、中国银保监会原副主席王兆星发表演讲时指出，金融科技的核心和关键还是大数据的积累和运用，金融科技的生命线也在于大数据的安全。在商业银行信息系统的安全建设中，有必要不断研究和探索如何利用大数据、云计算、人工智能、物联网、区块链等新技术，切实有效地保护好信息安全，使其更好地为金融科技发展服务，同时也更好地维护金融消费者的安全。（三）进一步加强联动，共创信息安全防护大生态。面对日益复杂的网络安全环境，信息安全防护不再是单个机构或某个领域的事情，需要各机构、各领域间协同合作。在共同的挑战面前，商业银行需要进一步加强同业间的合作联动，为金融业信息安全防护大生态的建设作出贡献。

参考文献：

[1]雷娟.大数据环境下商业银行分支机构信息安全风险管理的探讨[J].金融科技时代，2016(4):38-40.

[2]李辉.银行数据中心信息安全等级保护研究与实践[J].通讯世界，2018(6):50-51.

[3]郭汉利.商业银行信息安全的智慧防控[J].金融电子化，2019(10):57-58.

[4]中国国家标准化管理委员会.GB/T22080—2016信息安全管理体系要求[S].2016.

[5]中国国家标准化管理委员会.GB/T22239—2019信息安全技术—网络安全等级保护基本要求[S].2019.

[6]吴明.网络大数据时代银行信息安全存在问题及对策[J].电脑知识与技术：学术交流，2016(6):42-44.

作者:梁文静 单位:中国建设银行广东省分行金融科技部