曾晨

摘 要：當(dāng)前，互聯(lián)網(wǎng)金融前景誘人，但信息安全風(fēng)險堪憂。據(jù)此，柳州銀行針對自身存在的“軟肋”，提出創(chuàng)新信息安全風(fēng)險防范體制機制的設(shè)想，并且以教育培訓(xùn)管理、自主可控、合力防范等為抓手，構(gòu)建以全員、全鏈、全程為特征的安全風(fēng)險防范體制機制，切實提高員工防范能力，信息系統(tǒng)的自主可控得到有效提升，全鏈防范合力得到明顯增強，信息安全防范整體效果明顯。文章以此為案例，進行了總結(jié)和探討。

關(guān)鍵詞：互聯(lián)網(wǎng)金融;信息安全風(fēng)險防范;體制機制;防范機制創(chuàng)新

中圖分類號：F832.5 ????文獻標(biāo)識碼：A 文章編號：1005-6432（2022）01-0048-02

DOI：10.13939/j.cnki.zgsc.2022.01.048

1 起因——基于發(fā)展形勢的深入分析

（1）互聯(lián)網(wǎng)金融前景誘人。隨著電子商務(wù)迅猛發(fā)展，網(wǎng)購已成為現(xiàn)代時尚。截至2013年6月，我國網(wǎng)上支付用戶為2.4億[1]。此外，截至2017年6月，我國網(wǎng)民規(guī)模已達7.6億[2]，這些網(wǎng)民都是互聯(lián)網(wǎng)金融的潛在客戶。據(jù)專家預(yù)測，在未來5年內(nèi)，銀行的數(shù)字化營業(yè)收入在總營業(yè)收入中的比例將高達46%[3]。可見，拓展互聯(lián)網(wǎng)金融業(yè)務(wù)前景誘人。

（2）互聯(lián)網(wǎng)金融信息安全風(fēng)險堪憂。首先，互聯(lián)網(wǎng)金融漏洞種類繁多。據(jù)統(tǒng)計，截至2017年互聯(lián)網(wǎng)金融中出現(xiàn)的主要漏洞包括XSS、代碼執(zhí)行、文件上傳、信息泄露、邏輯漏洞、SQL注入、弱口令、權(quán)限繞過八種，其中容易被利用的占59.69%，高危漏洞占63.6%[3]。其次，網(wǎng)絡(luò)黑客攻擊猖獗。據(jù)信息安全知名服務(wù)商爆料，僅2015年其為社會各類網(wǎng)站攔截的漏洞攻擊高達16.5億次，其中金融網(wǎng)站占比高達65%[4]。據(jù)資料顯示，截至2017年，網(wǎng)絡(luò)黑客產(chǎn)業(yè)規(guī)模破千億，黑客攻擊規(guī)模持續(xù)上升，互聯(lián)網(wǎng)金融成為重災(zāi)區(qū)[5]。最后，互聯(lián)網(wǎng)金融信息安全風(fēng)險危害巨大。據(jù)不完全統(tǒng)計，截至2014年，有近165家互聯(lián)網(wǎng)金融機構(gòu)由于黑客攻擊而致系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改、資金被洗劫一空[6]。這表明發(fā)展互聯(lián)網(wǎng)金融，做好信息安全風(fēng)險防范工作是關(guān)鍵。

（3）信息安全風(fēng)險防范“硬”“軟”實力的對比分析。據(jù)資料顯示，互聯(lián)網(wǎng)金融機構(gòu)的信息安全投入普遍不足，從事信息安全的人才普遍匱乏[3]。可見，信息安全風(fēng)險防范的“硬”實力不硬，這是短期內(nèi)不可改變的現(xiàn)實。柳州銀行屬于城市地域性的中小銀行，在這方面更是存在固有缺陷，因此，銀行信息安全風(fēng)險防范工作在強化“硬”實力的同時，必須通過管理創(chuàng)新不斷提升“軟”實力。

2 決策——針對三項“軟肋”，提出創(chuàng)新設(shè)想

（1）針對物質(zhì)條件“軟肋”，創(chuàng)新全員防范體制機制。柳州銀行信息安全風(fēng)險防范存在三方面的物質(zhì)條件軟肋。首先，信息安全資金投入有限，2017年該行信息安全資金投入僅占當(dāng)年IT支出金額的0.66%，而全國企業(yè)信息安全平均支出占整個IT支出的2%，全球占比為3.96%[3]。其次，與大型銀行相比，柳州銀行信息安全人員偏少。最后，柳州銀行信息安全隊伍入行前大都沒有從事信息安全工作，信息安全防范主要依賴信息安全設(shè)備與第三方的安全檢測服務(wù)。

針對上述軟肋，柳州銀行提出構(gòu)建全員風(fēng)險防范體制機制的設(shè)想。所謂構(gòu)建全員風(fēng)險防范體制機制，指通過加強管理措施，形成從領(lǐng)導(dǎo)到員工，從信息系統(tǒng)開發(fā)、運維、安全防范崗位到金融業(yè)務(wù)崗位，全員參與的互聯(lián)網(wǎng)金融信息安全風(fēng)險防范態(tài)勢。理論分析和實踐都表明，信息安全風(fēng)險并非僅僅源于信息系統(tǒng)（物質(zhì)條件）本身，人員操作不當(dāng)也是形成風(fēng)險的一個重要原因。據(jù)IDE統(tǒng)計的數(shù)據(jù)，企業(yè)中信息系統(tǒng)相關(guān)服務(wù)中斷，78%以上是業(yè)務(wù)崗位人為造成[7]?？梢?，建立全員風(fēng)險防范體制機制，切實提升“軟”實力，是彌補物質(zhì)條件“軟肋”的一條重要途徑。

（2）針對技術(shù)條件“軟肋”，創(chuàng)新全程防范體制機制。中小銀行由于天生的技術(shù)條件不足，信息系統(tǒng)開發(fā)大部分業(yè)務(wù)需要外包，這使得中小銀行信息系統(tǒng)的自主可控能力受到嚴(yán)重影響[8-9]。柳州銀行也是如此。首先，信息系統(tǒng)的基礎(chǔ)環(huán)境（包括硬件、操作系統(tǒng)、中間件、數(shù)據(jù)庫等）均由技術(shù)供應(yīng)商提供現(xiàn)成產(chǎn)品，其運維由外包服務(wù)商進行。其次，信息系統(tǒng)的應(yīng)用系統(tǒng)開發(fā)也由軟件外包商提供，銀行無知識產(chǎn)權(quán)，無法獨立改造。最后，由于不完全掌握代碼實現(xiàn)，應(yīng)用系統(tǒng)的需求也須由外包商開發(fā)。以上就是柳州銀行互聯(lián)網(wǎng)金融信息安全風(fēng)險防范存在的技術(shù)條件“軟肋”。

針對上述軟肋，該行提出建立全程防范體制機制設(shè)想。其核心內(nèi)容是：在技術(shù)外包條件下，提升銀行對信息系統(tǒng)運維和風(fēng)險防范自主能力，做到既借助外包商而又不依賴于外包商。只有構(gòu)造這樣的體制機制，才能真正做到全程防范，使風(fēng)險防范工作落到實處。

（3）針對合作商條件“軟肋”，創(chuàng)新全鏈防范體制機制。互聯(lián)網(wǎng)金融信息系統(tǒng)安全風(fēng)險也可能來自合作商[10]。一般情況下，銀行互聯(lián)網(wǎng)金融業(yè)務(wù)的合作商可區(qū)分為如下兩種類型：一種是互聯(lián)網(wǎng)金融的領(lǐng)軍企業(yè)，如銀聯(lián)、網(wǎng)聯(lián)、支付寶等，這些企業(yè)承接城市商業(yè)銀行的互聯(lián)網(wǎng)支付業(yè)務(wù)，其都有自己的信息安全技術(shù)規(guī)范，且這些安全技術(shù)規(guī)范具有較高水準(zhǔn)，并要求城市商業(yè)銀行遵循其規(guī)范與之合作;另一種是互聯(lián)網(wǎng)金融散戶，其規(guī)模小、資金有限，信息安全知識和技術(shù)防范能力較低。然而，柳州銀行經(jīng)營規(guī)模較小，其第一類合作商的業(yè)務(wù)量較小，第二類合作商的業(yè)務(wù)量較多。這是柳州銀行必須面對的第三項“軟肋”。針對上述軟肋，柳州銀行提出建立全鏈防范體制機制，從而將合作商與銀行視為命運共同體，將風(fēng)險防范工作從銀行延伸至包括合作商在內(nèi)的全“鏈”。這對銀行做好互聯(lián)網(wǎng)金融信息安全風(fēng)險防范工作至關(guān)重要。

3 做法——運用三個抓手，落實創(chuàng)新設(shè)想

（1）以教育培訓(xùn)管理為抓手，構(gòu)建全員防范體制機制。首先，對行內(nèi)全員進行信息安全教育，并且建立風(fēng)險信息通報制度，每周通過行內(nèi)微信公眾號發(fā)送互聯(lián)網(wǎng)金融安全風(fēng)險信息，做到警鐘長鳴。通過這些措施，使全員信息安全防范意識得以普遍提升。其次，聘請專家對信息安全中心人員進行專業(yè)技能培訓(xùn)，并且由信息安全中心人員組織全員進行信息安全知識學(xué)習(xí)，每季定期開展信息安全演練，不斷提高全體員工信息安全風(fēng)險防范的實戰(zhàn)能力。最后，建立由信息安全管理人員和代碼開發(fā)、信息系統(tǒng)運維、互聯(lián)網(wǎng)金融業(yè)務(wù)等部門組成的互聯(lián)網(wǎng)金融信息系統(tǒng)風(fēng)險防范聯(lián)席會議制度。通過這一制度，形成互聯(lián)網(wǎng)金融信息安全齊抓共管的局面和風(fēng)險防范快速反應(yīng)機制。

（2）以自主可控為抓手，構(gòu)建全程防范體制機制。首先，立足自主設(shè)計，做到信息系統(tǒng)總體可控。柳州銀行堅持總體設(shè)計由行方自行完成。對互聯(lián)網(wǎng)金融系統(tǒng)項目，先由業(yè)務(wù)部門編寫業(yè)務(wù)需求，再由科技項目管理部門依據(jù)需求編寫項目概要設(shè)計，最后由信息安全部門進行安全審核，審核通過后方能將設(shè)計交由各技術(shù)外包商完成。其次，明晰外包責(zé)任，做到信息系統(tǒng)部件外包可控。柳州銀行在系統(tǒng)建設(shè)初期，就將各外包商的信息安全職責(zé)寫進外包服務(wù)合同中，規(guī)定不履行信息安全職責(zé)的罰則。在系統(tǒng)開發(fā)過程中，設(shè)立由信息安全管理、規(guī)劃開發(fā)設(shè)計、互聯(lián)網(wǎng)金融業(yè)務(wù)等人員組成的安全監(jiān)督組，負責(zé)督促外包商落實信息安全責(zé)任。在系統(tǒng)驗收階段，再由信息安全專職人員對該系統(tǒng)的信息安全性進行復(fù)核，并將該復(fù)核結(jié)果作為考核該外包商是否具有繼續(xù)合作潛質(zhì)的依據(jù)。最后，強化自身技術(shù)力量，做到信息系統(tǒng)運維和風(fēng)險防范自主可控。柳州銀行要求技術(shù)外包商在系統(tǒng)投產(chǎn)后派駐技術(shù)人員駐場運維一段時間，一方面負責(zé)系統(tǒng)的日常信息安全防范工作，另一方面向行方運維人員進行運維技術(shù)知識轉(zhuǎn)移，從而確保行方人員在外包商駐場運維結(jié)束后能保障系統(tǒng)的信息安全防護工作。

（3）以合力防范為抓手，構(gòu)建全鏈防范體制機制。首先，建立長期合作機制，夯實合力防范的組織基礎(chǔ)。柳州銀行與合作商簽訂長期合作協(xié)議，將信息安全防范定為通力合作的技術(shù)基礎(chǔ)，共同面對互聯(lián)網(wǎng)金融的信息安全工作。其次，統(tǒng)一技術(shù)標(biāo)準(zhǔn)，夯實合力防范的技術(shù)基礎(chǔ)。柳州銀行將自行制定的信息安全技術(shù)標(biāo)準(zhǔn)在合作鏈上共享，要求互聯(lián)網(wǎng)金融合作散戶在自身系統(tǒng)開發(fā)及與柳州銀行數(shù)據(jù)交換技術(shù)實現(xiàn)上遵循該標(biāo)準(zhǔn)。最后，上學(xué)下幫，切實提升合力防范的能力。柳州銀行在遵循信息安全規(guī)范的同時，花大力氣學(xué)習(xí)信息安全規(guī)范，并結(jié)合自身業(yè)務(wù)特點加以改造，將改造成果不斷融入自身的信息安全標(biāo)準(zhǔn)中，使柳州銀行信息安全標(biāo)準(zhǔn)不斷充實完善。在共享信息安全標(biāo)準(zhǔn)的同時，下派信息安全技術(shù)骨干為互聯(lián)網(wǎng)金融散戶進行信息安全能力培訓(xùn)，講解并幫助組建柳州銀行信息安全標(biāo)準(zhǔn)，確保該標(biāo)準(zhǔn)在該商戶的互聯(lián)網(wǎng)金融業(yè)務(wù)上落地。

4 檢驗——柳州銀行創(chuàng)新取得的成效

成效之一：員工防范能力得到切實提高。首先，全行員工的信息安全防范意識得到普遍強化，信息安全的經(jīng)營理念深入人心。其次，員工的信息安全防范知識得以普遍提升。最后，員工的信息安全工作習(xí)慣得以養(yǎng)成，低等級信息安全隱患已不再出現(xiàn)。

成效之二：信息系統(tǒng)的自主可控得到有效提升。首先，信息安全設(shè)計已成為柳州銀行互聯(lián)網(wǎng)金融系統(tǒng)總體設(shè)計不可或缺的一部分，互聯(lián)網(wǎng)金融系統(tǒng)信息安全功能開發(fā)有據(jù)可依。其次，在系統(tǒng)建設(shè)過程中信息安全事故處理不再推諉，信息安全事項處理及時。最后，自實行全程防范機制以來，技術(shù)外包商進行知識轉(zhuǎn)移工作達100多次，為柳州銀行培養(yǎng)了互聯(lián)網(wǎng)金融系統(tǒng)維護人員近30余人，使得行方人員能獨立開展日常的系統(tǒng)信息安全防范工作。

成效之三：全鏈防范合力得到明顯增強。首先，信息安全防范陣線得以建立，銀商合作形成了技術(shù)聯(lián)防。其次，信息安全合力防范能力得以加強。實行全鏈防范機制后，全鏈均可共享互聯(lián)網(wǎng)信息安全防范技術(shù)成果，從而有效地提升了全鏈風(fēng)險防范能力。

成效之四：信息安全防范整體效果明顯。2017年，柳州銀行全年互聯(lián)網(wǎng)金融信息系統(tǒng)檢測率100%，中、高危漏洞修補率100%，全年無互聯(lián)網(wǎng)金融客戶就信息安全問題投訴，無重大信息安全事件發(fā)生，在自治區(qū)政府聯(lián)合專業(yè)信息安全機構(gòu)開展信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)專項檢查中，信息安全防范位列所有被檢單位之首。

參考文獻：

[1]周茂清.互聯(lián)網(wǎng)金融的特點、興起原因及其風(fēng)險應(yīng)對[J].當(dāng)代經(jīng)濟管理，2014（10）.

[2]中國互聯(lián)網(wǎng)絡(luò)信息中心.第40次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[R].北京：中國互聯(lián)網(wǎng)絡(luò)信息中心，2017.

[3]國家信息技術(shù)安全研究中心.2017金融行業(yè)應(yīng)用安全態(tài)勢年度報告[R].上海：FreeBuf安全研究院，2017.

[4]360互聯(lián)網(wǎng)安全中心.2015年中國網(wǎng)站安全報告[R].北京：奇虎360科技有限公司，2015.

[5]郝東林.互聯(lián)網(wǎng)+網(wǎng)絡(luò)安全法下的轉(zhuǎn)型新思考[R].柳州：柳州銀行互聯(lián)網(wǎng)金融講堂，2018.

[6]漏洞盒子.2015上半年金融業(yè)互聯(lián)網(wǎng)安全報告[R].上海：FreeBuf安全研究院，2015.

[7]錢繼勝.中小城市商業(yè)銀行信息安全管理探討[J].金融科技時代，2014（5）.

[8]陳超.銀行IT服務(wù)外包漸成趨勢[N].國際金融報，2002-11-25.

[9]蔡穎.監(jiān)管層防范銀行業(yè)服務(wù)外包風(fēng)險[N].經(jīng)濟參考報，2012-10-23.

[10]溫婷.互聯(lián)網(wǎng)企業(yè)共話信息安全與合作[N].上海證劵報，2015-11-04.

1941501186289