陳濤

摘要： 隨著信息技術(shù)的快速發(fā)展，特別是以大數(shù)據(jù)、人工智能、云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈為代表的新一代信息技術(shù)，在金融行業(yè)得到深入廣泛運(yùn)用，金融業(yè)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)形勢(shì)嚴(yán)峻，風(fēng)險(xiǎn)防控任務(wù)艱巨。本文從基層央行的視角，分析金融業(yè)信息安全管理面臨的形勢(shì)及主要風(fēng)險(xiǎn)，探討基層央行實(shí)施“三道防線”提高信息安全的保障措施，行業(yè)指導(dǎo)協(xié)調(diào)的工作實(shí)踐與模式。

關(guān)鍵詞： 信息安全? 金融科技

一、基層央行信息安全管理面臨的形勢(shì)及主要風(fēng)險(xiǎn)分析

（一）金融業(yè)網(wǎng)絡(luò)安全形勢(shì)日趨復(fù)雜嚴(yán)峻

新技術(shù)的廣泛運(yùn)用，在為金融發(fā)展正面賦能的同時(shí)，也使得風(fēng)險(xiǎn)的傳染性更強(qiáng)，隱蔽性更大，傳播速度更快，風(fēng)險(xiǎn)形勢(shì)更加錯(cuò)綜復(fù)雜。一方面，伴隨金融信息基礎(chǔ)設(shè)施規(guī)模逐漸升級(jí)，通訊互聯(lián)互通范圍更加廣泛，生產(chǎn)操作自動(dòng)化程度越來越高，傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之高度聚集，系統(tǒng)服務(wù)中斷事件時(shí)有發(fā)生，重要數(shù)據(jù)泄漏嚴(yán)重危害用戶利益;另一方面，金融科技風(fēng)險(xiǎn)不斷加劇，互聯(lián)網(wǎng)環(huán)境下，服務(wù)方式更加虛擬，業(yè)務(wù)邊界逐漸模糊，經(jīng)營(yíng)環(huán)境不斷開放，也加大了信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)等傳統(tǒng)金融風(fēng)險(xiǎn)產(chǎn)品、市場(chǎng)層面的外溢效應(yīng)，業(yè)務(wù)風(fēng)險(xiǎn)防控任務(wù)更加艱巨。由于行業(yè)的特殊性，金融歷來是網(wǎng)絡(luò)攻擊的重點(diǎn)之一。網(wǎng)絡(luò)黑客的攻擊手段也在不斷翻新，網(wǎng)絡(luò)攻擊行為從最初的零散性、偶發(fā)性行為，轉(zhuǎn)變?yōu)橛薪M織、規(guī)?；?，網(wǎng)絡(luò)空間的對(duì)抗和博弈不斷升級(jí)。網(wǎng)絡(luò)安全的形式非常嚴(yán)峻。

（二）金融業(yè)IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn)隱患不容忽視

隨著金融機(jī)構(gòu)業(yè)務(wù)和信息化程度的快速發(fā)展，數(shù)據(jù)中心規(guī)模不斷擴(kuò)大，支持金融業(yè)務(wù)的技術(shù)架構(gòu)和應(yīng)用日趨復(fù)雜，保障網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定運(yùn)行所需維護(hù)的設(shè)備數(shù)量不斷增長(zhǎng)，金融機(jī)構(gòu)IT運(yùn)維部門面臨巨大壓力。金融機(jī)構(gòu)數(shù)據(jù)中心規(guī)模不斷擴(kuò)大，支持金融業(yè)務(wù)的技術(shù)架構(gòu)和應(yīng)用日趨復(fù)雜，保障網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定運(yùn)行所需維護(hù)的設(shè)備數(shù)量不斷增長(zhǎng)，金融機(jī)構(gòu)IT運(yùn)維部門面臨巨大壓力，監(jiān)控系統(tǒng)告警數(shù)量繁多，多為無效信息，運(yùn)維人員很難迅速精準(zhǔn)定位問題。關(guān)鍵IT基礎(chǔ)設(shè)施難以實(shí)現(xiàn)自主可控，存在巨大安全隱患。

（三）金融網(wǎng)絡(luò)安全生產(chǎn)事件時(shí)有發(fā)生

近年來，人民銀行和商業(yè)銀行在網(wǎng)絡(luò)信息系統(tǒng)的生產(chǎn)運(yùn)維過程中，發(fā)生了多起安全生產(chǎn)事件：某行發(fā)生重要業(yè)務(wù)系統(tǒng)故障，造成系統(tǒng)無法正常運(yùn)行50多小時(shí);重要業(yè)務(wù)參數(shù)設(shè)置錯(cuò)誤，造成堆棧溢出問題隱患，引發(fā)系統(tǒng)服務(wù)癱瘓;存儲(chǔ)虛擬化設(shè)備故障、光纖通信線路異常、機(jī)房配電柜掉電導(dǎo)致服務(wù)器宕機(jī)、核心系統(tǒng)業(yè)務(wù)中斷，遭受漏洞攻擊偽冒開立II、III類賬戶等。這些事件，有的是系統(tǒng)的漏洞，有的是被植入惡意程序，有的是設(shè)備的缺陷，有的是外圍監(jiān)控系統(tǒng)的傳染導(dǎo)致核心系統(tǒng)故障，可歸結(jié)為系統(tǒng)故障、基礎(chǔ)設(shè)施故障、網(wǎng)絡(luò)攻擊三類安全風(fēng)險(xiǎn)。

二、基層央行信息安全生產(chǎn)保障主要措施

人民銀行網(wǎng)絡(luò)系統(tǒng)作為金融業(yè)重要的連接樞紐，其網(wǎng)絡(luò)安全防御體系的建設(shè)對(duì)整個(gè)金融行業(yè)網(wǎng)絡(luò)安全防范能力提升具有重大意義。人民銀行昆明中心支行通過建立“三道防線”，加強(qiáng)網(wǎng)絡(luò)安全防御體系建設(shè)，夯實(shí)自身信息安全生產(chǎn)管理基礎(chǔ)。

（一）建立信息安全管理技術(shù)防線

1.提高網(wǎng)絡(luò)安全生產(chǎn)能力，開展IT基礎(chǔ)設(shè)施改造建設(shè)。開展業(yè)務(wù)網(wǎng)重構(gòu)工程和全省業(yè)務(wù)網(wǎng)電路提速建設(shè)，實(shí)施“五區(qū)三層”網(wǎng)絡(luò)架構(gòu)改造，實(shí)現(xiàn)業(yè)務(wù)網(wǎng)的規(guī)范化架構(gòu)管控。組織全省開展IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn)排查，建立信息技術(shù)基礎(chǔ)設(shè)施臺(tái)賬和更新計(jì)劃。組織全省UPS標(biāo)準(zhǔn)化改造，實(shí)現(xiàn)全省縣支行UPS電源系統(tǒng)雙機(jī)熱備和負(fù)載均衡。

2.提高網(wǎng)絡(luò)安全防護(hù)能力，部署安全管理防護(hù)系統(tǒng)。建設(shè)和部署防病毒、補(bǔ)丁分發(fā)、漏洞掃描、審計(jì)堡壘機(jī)等系列安全防護(hù)系統(tǒng)，增添安全審計(jì)管理手段。建設(shè)云南省數(shù)據(jù)中心運(yùn)維安全管理與審計(jì)系統(tǒng)，以技術(shù)手段實(shí)現(xiàn)對(duì)170余個(gè)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備的操作跟蹤記錄、監(jiān)控和審計(jì)，有效防范運(yùn)維操作風(fēng)險(xiǎn)。與安全類系統(tǒng)有效組合，全面提升安全管理技術(shù)水平。

3.提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知力，部署網(wǎng)絡(luò)回溯分析系統(tǒng)。建設(shè)和部署網(wǎng)絡(luò)回溯分析系統(tǒng)，通過多維度網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)警、網(wǎng)絡(luò)歷史數(shù)據(jù)回溯分析等功能，精準(zhǔn)掌握網(wǎng)絡(luò)應(yīng)用健康狀況，實(shí)時(shí)感知網(wǎng)絡(luò)異常和潛在安全風(fēng)險(xiǎn)，加強(qiáng)網(wǎng)絡(luò)安全預(yù)警監(jiān)測(cè)，為支撐央行履職提供更好的網(wǎng)絡(luò)通信服務(wù)。部署一體化終端管理系統(tǒng)，實(shí)現(xiàn)“統(tǒng)一安全管控策略，快速分析定位事件，集中展示安全全貌”的終端管理模式，提高終端安全防控性能。

（二）建立信息安全管理督查防線

1.開展IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn)排查。加強(qiáng)IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn)隱患排查管，制定IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn)排查指標(biāo)方案，涵蓋機(jī)房、網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器、應(yīng)用系統(tǒng)、UPS、消防等243個(gè)排查項(xiàng);開展網(wǎng)絡(luò)信息安全等級(jí)保護(hù)測(cè)評(píng)，全面梳理全省信息系統(tǒng)建設(shè)、綜合布線、防護(hù)措施調(diào)整等網(wǎng)絡(luò)安全管理工作。

2.開展信息安全檢查和審計(jì)。建立季度安全基線，采用動(dòng)態(tài)抽查和交叉檢查相結(jié)合的方式，組織全省開展信息安全檢查，提高網(wǎng)絡(luò)安全保障能力和防護(hù)水平，提高網(wǎng)絡(luò)信息系統(tǒng)安全生產(chǎn)保障。

3.開展綜合性實(shí)戰(zhàn)應(yīng)急演練。組織全省州市中支開展IT應(yīng)急設(shè)備標(biāo)準(zhǔn)化工作，開展核心網(wǎng)絡(luò)設(shè)備、公文傳輸系統(tǒng)、省級(jí)數(shù)據(jù)中心機(jī)房供配電系統(tǒng)等多重應(yīng)急演練，充分檢驗(yàn)了應(yīng)急機(jī)制和應(yīng)急預(yù)案的有效性;組織外聯(lián)機(jī)構(gòu)開展省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)“雙活”切換、MQ和Tonglink前置系統(tǒng)切換應(yīng)急演練，提高崗位人員應(yīng)對(duì)突發(fā)事件的綜合應(yīng)急處置能力。

（三）建立信息安全管理制度防線

1.落實(shí)規(guī)范數(shù)據(jù)中心機(jī)房管理制度。調(diào)研全省IT基礎(chǔ)設(shè)施情況，制訂《云南省數(shù)據(jù)中心機(jī)房管理辦法》《云南省數(shù)據(jù)中心機(jī)房巡檢實(shí)施細(xì)則》和《云南省數(shù)據(jù)中心機(jī)房值班管理辦法》等機(jī)房管理制度，確保數(shù)據(jù)中心機(jī)房安全穩(wěn)定運(yùn)行有章可循。加強(qiáng)外包服務(wù)管理，梳理維保服務(wù)項(xiàng)目，制定信息化外包風(fēng)險(xiǎn)管理實(shí)施細(xì)則，開展技能培訓(xùn)，強(qiáng)化“服務(wù)外包，責(zé)任不外包的”管理責(zé)任意識(shí)。

2.落實(shí)信息系統(tǒng)業(yè)務(wù)連續(xù)性分級(jí)保障制度。進(jìn)一步完善自建信息系統(tǒng)管理，落實(shí)《中國(guó)人民銀行信息系統(tǒng)業(yè)務(wù)連續(xù)性分級(jí)保障標(biāo)準(zhǔn)》，梳理全轄在線運(yùn)行的自建信息系統(tǒng)，針對(duì)不達(dá)標(biāo)系統(tǒng)制定整改計(jì)劃，形成新建系統(tǒng)業(yè)務(wù)連續(xù)性分級(jí)保障新要求。

三、金融業(yè)信息安全協(xié)調(diào)實(shí)踐

人民銀行對(duì)金融機(jī)構(gòu)具有提供金融服務(wù)和開展金融監(jiān)管的職能。人民銀行昆明中心支行通過協(xié)調(diào)轄內(nèi)金融機(jī)構(gòu)信息安全風(fēng)險(xiǎn)防控、指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等工作，履行行業(yè)指導(dǎo)協(xié)調(diào)的工作職責(zé)。

（一）把好“三個(gè)關(guān)口”提升服務(wù)質(zhì)量

1.把好金融城域網(wǎng)入網(wǎng)接入安全關(guān)。人民銀行昆明中心支行開展入網(wǎng)審查、現(xiàn)場(chǎng)技術(shù)環(huán)境核查、問題整改落實(shí)及入網(wǎng)實(shí)施等系列工作，為全省107家外聯(lián)機(jī)構(gòu)及其6000多個(gè)分支機(jī)構(gòu)提供安全穩(wěn)定的網(wǎng)絡(luò)通信服務(wù)。

2.把好銀行卡受理終端安全管理關(guān)。組織轄內(nèi)商業(yè)銀行和支付機(jī)構(gòu)，開展銀行卡受理終端安全管理檢查工作，加強(qiáng)信息保護(hù)和支付安全，通過微信平臺(tái)向公眾普及安全支付習(xí)慣，提升金融消費(fèi)者個(gè)人信息保護(hù)的風(fēng)險(xiǎn)防范意識(shí)。

3.把好發(fā)卡技術(shù)安全符合性標(biāo)準(zhǔn)關(guān)。開展轄內(nèi)銀行業(yè)金融機(jī)構(gòu)金融IC卡發(fā)卡技術(shù)標(biāo)準(zhǔn)符合性和安全性審核，實(shí)施非銀行支付機(jī)構(gòu)的業(yè)務(wù)牌照續(xù)展技術(shù)審查、分類評(píng)級(jí)系統(tǒng)安全性審核，發(fā)布風(fēng)險(xiǎn)提示，督促各支付機(jī)構(gòu)采取有效措施及時(shí)整改，規(guī)避風(fēng)險(xiǎn)。

（二）加強(qiáng)金融業(yè)信息安全風(fēng)險(xiǎn)防控協(xié)調(diào)

1.建立銀行業(yè)信息安全協(xié)調(diào)機(jī)制。組織全省24家銀行業(yè)金融機(jī)構(gòu)，建立銀行業(yè)網(wǎng)絡(luò)安全協(xié)調(diào)工作機(jī)制，以預(yù)警通報(bào)、應(yīng)急聯(lián)動(dòng)為主要內(nèi)容，圍繞信息安全等級(jí)保護(hù)等重點(diǎn)工作，發(fā)布信息安全通報(bào)，多次組織銀行業(yè)金融機(jī)構(gòu)順利完成重要期間的金融網(wǎng)絡(luò)安全保障工作，有效搭建起銀行業(yè)網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)交流工作平臺(tái)。

2.建立銀行業(yè)信息安全報(bào)備機(jī)制。加強(qiáng)轄內(nèi)銀行系統(tǒng)升級(jí)、應(yīng)急演練等工作的報(bào)備管理和風(fēng)險(xiǎn)防控。加強(qiáng)與網(wǎng)信辦、公安等信息安全管理部門協(xié)作配合，作為云南省網(wǎng)絡(luò)安全應(yīng)急聯(lián)動(dòng)、信息安全等級(jí)保護(hù)、預(yù)警通報(bào)等機(jī)制成員單位，利用專題會(huì)議、微信、短信等多種方式共享信息，協(xié)調(diào)互動(dòng)，提升行業(yè)信息安全指導(dǎo)統(tǒng)籌能力。

（三）加強(qiáng)金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

1.探索關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)。金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家網(wǎng)絡(luò)安全的重要組成部分，人民銀行昆明中心支行協(xié)同省委網(wǎng)信辦，組織富滇銀行成功申報(bào)2018年云南省關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)試點(diǎn)示范，研究金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃、平臺(tái)創(chuàng)新工作，從行業(yè)、技術(shù)標(biāo)準(zhǔn)化視角積極參與云南省網(wǎng)信辦關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)全國(guó)試點(diǎn)，增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力，提高應(yīng)對(duì)網(wǎng)絡(luò)安全威脅多樣化、復(fù)雜化發(fā)展的挑戰(zhàn)能力。

2.落實(shí)數(shù)據(jù)安全保護(hù)任務(wù)部署。一方面，研究制定省級(jí)數(shù)據(jù)分析平臺(tái)數(shù)據(jù)信息應(yīng)用管理辦法，實(shí)施數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、備份、使用、暫存、銷毀等環(huán)節(jié)全生命周期管理，規(guī)范數(shù)據(jù)利用規(guī)程;另一方面，會(huì)同有關(guān)部門，開展省級(jí)數(shù)據(jù)分析平臺(tái)、境內(nèi)邊民人民幣賬戶服務(wù)平臺(tái)等級(jí)保護(hù)測(cè)評(píng)和性能測(cè)評(píng)工作，明確數(shù)據(jù)保護(hù)等級(jí)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

3.推動(dòng)行業(yè)國(guó)產(chǎn)密碼運(yùn)用。深入推進(jìn)國(guó)產(chǎn)芯片和密碼算法應(yīng)用，加快信息系統(tǒng)升級(jí)改造，指導(dǎo)商業(yè)銀行建立發(fā)卡激勵(lì)機(jī)制，以本地法人商業(yè)銀行為對(duì)象，與國(guó)家密碼管理局聯(lián)合推動(dòng)行業(yè)國(guó)產(chǎn)密碼運(yùn)用推廣。據(jù)統(tǒng)計(jì)，2019上半年，試點(diǎn)地方性銀行的POS、ATM終端國(guó)密改造全部完成，改造率均達(dá)到100%，發(fā)行PBOC3.0雙算法IC卡、布放支持國(guó)密算法ATM 和POS機(jī)增量占比日益提高，行業(yè)密碼應(yīng)用基礎(chǔ)得到夯實(shí)。

四、結(jié)束語(yǔ)

金融業(yè)是一個(gè)金融業(yè)務(wù)與信息技術(shù)深度融合的行業(yè)。金融業(yè)務(wù)的開展離不開新興信息技術(shù)的應(yīng)用推廣，更離不開網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。隨著金融科技的不斷深入融合應(yīng)用，未來還會(huì)遇到更多層出不窮的新技術(shù)、新業(yè)態(tài)，具有服務(wù)和監(jiān)管職能的基層央行，需要長(zhǎng)期不懈的努力，及時(shí)了解掌握金融網(wǎng)絡(luò)安全的形勢(shì)和動(dòng)態(tài)，提高網(wǎng)絡(luò)安全防護(hù)水平，有效應(yīng)對(duì)新挑戰(zhàn)。

（作者單位：中國(guó)人民銀行昆明中心支行科技處）