您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
觀點(diǎn)丨??銀行網(wǎng)絡(luò)安全治理工作思考
文 / 中國(guó)光大銀行信息科技部? 楊增宇
背 景
自2016年底我國(guó)《網(wǎng)絡(luò)安全法》《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》以及相關(guān)配套法律法規(guī)發(fā)布以來(lái),網(wǎng)絡(luò)安全工作重要性已經(jīng)被各行各業(yè)接受。各家銀行逐步加強(qiáng)網(wǎng)絡(luò)安全工作投入,上線各種安全設(shè)備和系統(tǒng),大幅提高應(yīng)對(duì)各種安全威脅的防御能力。2019年以來(lái),光大銀行根據(jù)實(shí)際情況明確近期網(wǎng)絡(luò)安全重點(diǎn)工作任務(wù),主要包括:加大頂層設(shè)計(jì),構(gòu)建新型動(dòng)態(tài)信息安全防御體系;打造一流安全合規(guī)能力、一流實(shí)戰(zhàn)攻防能力;持續(xù)強(qiáng)化安全管理、安全運(yùn)營(yíng)、安全技術(shù)三個(gè)領(lǐng)域,推動(dòng)信息化建設(shè)與信息安全“同步規(guī)劃、同步建設(shè)、同步使用”,做實(shí)做精安全防護(hù)和運(yùn)營(yíng)體系。上述這些規(guī)劃的工作目標(biāo)在日常安全工作中起到了很好的引領(lǐng)作用,對(duì)完善光大銀行整體網(wǎng)絡(luò)安全防御體系起到了積極作用。
當(dāng)前網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家層面,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻、攻守雙方技術(shù)博弈瞬息萬(wàn)變。金融業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)企業(yè),應(yīng)與時(shí)俱進(jìn),結(jié)合內(nèi)外部因素進(jìn)一步開(kāi)展安全治理,推動(dòng)各項(xiàng)安全工作有序開(kāi)展。下面對(duì)銀行業(yè)進(jìn)一步深化網(wǎng)絡(luò)安全治理工作驅(qū)動(dòng)力,以及需要加強(qiáng)的治理方向、任務(wù)和思路進(jìn)行闡述。
進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全治理工作力度的驅(qū)動(dòng)因素
1.國(guó)家安全宏觀要求
十九屆五中全會(huì)公告提出“統(tǒng)籌發(fā)展和安全,建設(shè)更高水平的平安中國(guó)”。習(xí)總書記在關(guān)于《中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年計(jì)劃和二零三五年遠(yuǎn)景目標(biāo)的建議》(以下簡(jiǎn)稱建議)的說(shuō)明中指出:“我們?cè)絹?lái)越深刻地認(rèn)識(shí)到,安全是發(fā)展的前提,發(fā)展是安全的保障”“增強(qiáng)機(jī)遇意識(shí)和風(fēng)險(xiǎn)意識(shí),樹(shù)立底線思維,把困難估計(jì)得更充分些”。在建議的十三章、49條提出“全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)”;50條中提出“維護(hù)水利、電力......金融等重要基礎(chǔ)設(shè)施安全”。
十九屆五中全會(huì)對(duì)網(wǎng)絡(luò)安全工作提出了明確的目標(biāo)要求,各家銀行作為國(guó)家金融行業(yè)重要基礎(chǔ)設(shè)施運(yùn)營(yíng)者,需要貫徹國(guó)家安全宏觀要求,開(kāi)展網(wǎng)絡(luò)安全治理,加強(qiáng)安全保障體系和能力建設(shè)。
2.行業(yè)監(jiān)管強(qiáng)力驅(qū)動(dòng)
人民銀行印發(fā)《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021年)》,公安部發(fā)布等保2.0標(biāo)準(zhǔn)、印發(fā)《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》,以及多部門聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》《個(gè)人敏感信息保護(hù)法》等等,都對(duì)網(wǎng)絡(luò)安全工作提出大量合規(guī)要求,覆蓋面之廣、內(nèi)容之詳細(xì)前所未有,需要銀行厘清各項(xiàng)安全合規(guī)制度、標(biāo)準(zhǔn)內(nèi)容,通過(guò)安全治理抓手設(shè)定工作方案,變被動(dòng)合規(guī)為主動(dòng)能力提升。
2020年三季度人民銀行印發(fā)的《向各商業(yè)銀行開(kāi)展金融業(yè)網(wǎng)絡(luò)安全與信息化“十四五”發(fā)展規(guī)劃調(diào)研工作》聯(lián)系函,讓各家銀行更加感受到行業(yè)主管部門積極推動(dòng)銀行開(kāi)展網(wǎng)絡(luò)安全治理和規(guī)劃工作的力度,“十四五”期間銀行業(yè)網(wǎng)絡(luò)安全工作將會(huì)迎來(lái)更大發(fā)展。
3.敵對(duì)勢(shì)力破壞黑產(chǎn)肆意謀財(cái)
美國(guó)網(wǎng)軍年度預(yù)算超過(guò)80億美元,網(wǎng)軍人數(shù)、武器庫(kù)、分工都進(jìn)一步增強(qiáng)。中美對(duì)抗、臺(tái)海問(wèn)題升溫,網(wǎng)絡(luò)戰(zhàn)將是最前沿陣地,能源、金融、電信行業(yè)是網(wǎng)絡(luò)戰(zhàn)攻擊首選目標(biāo),一旦開(kāi)戰(zhàn)銀行將是一線陣地。目前黑產(chǎn)大肆利用勒索病毒攻擊企業(yè)和個(gè)人,對(duì)全球企業(yè)造成巨大壓力,曾導(dǎo)致本田停產(chǎn)、Garmin全球業(yè)務(wù)癱瘓。同時(shí)黑產(chǎn)利用身份證、手機(jī)號(hào)、卡號(hào)金融信息三要素組合猖狂開(kāi)展資金欺詐。監(jiān)管部門強(qiáng)調(diào)各家銀行要對(duì)網(wǎng)絡(luò)安全工作要有大局意識(shí)、政治意識(shí)、敵情意識(shí),我認(rèn)為應(yīng)該再增加一個(gè)生存意識(shí)。網(wǎng)絡(luò)安全工作不到位,銀行正常運(yùn)轉(zhuǎn)將可能瞬間被破壞,不但要承受巨大損失和輿情危機(jī),還要受到安全工作不到位的監(jiān)管合規(guī)處罰。
4.夯實(shí)數(shù)字化轉(zhuǎn)型安全底座
當(dāng)前各家銀行都已經(jīng)開(kāi)啟數(shù)字化轉(zhuǎn)型之路,光大銀行也提出了打造數(shù)字化一流財(cái)富管理銀行的目標(biāo),探索具有光大特色的“123+N”數(shù)字銀行發(fā)展體系。無(wú)論從客戶體驗(yàn)性、可用性、易用性、愉悅性哪一項(xiàng)出發(fā),安全性始終是金融服務(wù)穩(wěn)健經(jīng)營(yíng)的基石。由于數(shù)字智能化的程度越來(lái)越高,其背后的風(fēng)險(xiǎn)也越加隱蔽,對(duì)于金融安全的訴求也就愈加重要。實(shí)現(xiàn)網(wǎng)絡(luò)安全工作價(jià)值的口號(hào)我們喊了很多年,沒(méi)有哪一個(gè)時(shí)期能比現(xiàn)階段更適合發(fā)揮安全的價(jià)值了,積極開(kāi)展網(wǎng)絡(luò)安全治理工作,安全價(jià)值必定會(huì)在這個(gè)時(shí)期凸顯。
5.內(nèi)部理順安全工作需要
近幾年各家銀行都已經(jīng)加大了網(wǎng)絡(luò)安全工作人財(cái)物力量投入,安全相關(guān)團(tuán)隊(duì)、安全崗位人員、安全項(xiàng)目數(shù)量和安全資金投入都成倍增長(zhǎng),縱深部署的網(wǎng)絡(luò)安全設(shè)備和控制軟件眾多。安全工作大幅投入帶來(lái)安全工作的復(fù)雜性,新時(shí)期呈現(xiàn)的安全焦點(diǎn)問(wèn)題,都需要各家銀行加強(qiáng)安全治理力度,迭代演進(jìn)提升安全工作效果。
銀行業(yè)下一步網(wǎng)絡(luò)安全治理主要任務(wù)及思路
國(guó)家安全、監(jiān)管部門、敵對(duì)黑產(chǎn)、數(shù)字轉(zhuǎn)型、理順工作五個(gè)層面均需要進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全工作,各家銀行應(yīng)以更大的魄力推動(dòng)安全工作機(jī)制的完善與革新,深入開(kāi)展網(wǎng)絡(luò)安全治理。
1.以底線思維調(diào)整網(wǎng)絡(luò)安全方針策略
樹(shù)立底線思維是統(tǒng)籌好發(fā)展與安全的關(guān)鍵。安全底線是在網(wǎng)絡(luò)與信息安全所有領(lǐng)域,包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、終端安全、人員安全、外包安全、新技術(shù)安全等等,明確安全管控的底線、紅線。從方針政策層面落實(shí)推進(jìn)安全底線,將對(duì)安全工作的各參與方提出更高要求,網(wǎng)絡(luò)安全控制的脈絡(luò)將更加清晰,保障能力可衡量水平將會(huì)大幅提高,銀行開(kāi)展數(shù)字化轉(zhuǎn)型的安全底座將更加牢固。
2.外掛安全進(jìn)階到內(nèi)生安全
當(dāng)前網(wǎng)絡(luò)邊界模糊,堆砌安全防護(hù)設(shè)備見(jiàn)效快,但總有防不住的攻擊,而且安全設(shè)備也有漏洞。傳統(tǒng)的邊界防護(hù)體系失靈,網(wǎng)絡(luò)應(yīng)用不斷泛化,越來(lái)越難識(shí)別正常使用者和網(wǎng)絡(luò)攻擊者,模型顯示會(huì)有20%的高級(jí)攻擊者能夠進(jìn)入網(wǎng)絡(luò)內(nèi)部,這部分攻擊者恰好是最大的破壞者。這種圍墻式的外掛安全邊界防護(hù),已不再適應(yīng)數(shù)字化時(shí)代的需求,現(xiàn)在需要構(gòu)建與數(shù)字化業(yè)務(wù)融合的全面防御、動(dòng)態(tài)防御和縱深防御的“內(nèi)生安全”體系。通過(guò)“三同步”建設(shè)“事前防控”體系,把安全能力內(nèi)置到業(yè)務(wù)系統(tǒng)當(dāng)中,來(lái)感知、響應(yīng)對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的任何破壞行為,擺脫“事后補(bǔ)救”的建設(shè)模式。與此同時(shí)讓信息系統(tǒng)內(nèi)不斷生長(zhǎng)出安全能力,這種能力具有像免疫系統(tǒng)一樣的自主、自成長(zhǎng)、自適應(yīng)的特點(diǎn),持續(xù)保證業(yè)務(wù)安全,真正做到“事前防控”。
3.安全左移,提升開(kāi)發(fā)安全設(shè)計(jì)編碼、安全漏洞發(fā)現(xiàn)能力
網(wǎng)絡(luò)安全貫穿規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)維等整個(gè)IT建設(shè)生命周期。當(dāng)前各家銀行大量發(fā)現(xiàn)安全漏洞的階段,是系統(tǒng)投產(chǎn)運(yùn)維后,是因?yàn)樵凇坝摇眰?cè)建立了滲透、眾測(cè)、漏掃等相對(duì)完善的能力,形成了“左”側(cè)不斷制造漏洞,“右”側(cè)不斷發(fā)現(xiàn)漏洞,“左”側(cè)再不斷修補(bǔ)漏洞的怪圈。應(yīng)強(qiáng)化“左”側(cè)安全能力,注重開(kāi)發(fā)測(cè)試人員的安全技能培訓(xùn)、建設(shè)適合的安全測(cè)試工具和系統(tǒng),由開(kāi)發(fā)測(cè)試人員自助式地開(kāi)展安全漏洞挖掘和修補(bǔ),壓縮“左”側(cè)漏洞生成土壤。減少生產(chǎn)環(huán)境常規(guī)漏洞數(shù)量后,安全專業(yè)崗位人員可以拿出更多精力挖掘更深層次的漏洞和未知威脅。
4.數(shù)據(jù)安全治理要回歸價(jià)值本源
當(dāng)前數(shù)字經(jīng)濟(jì)對(duì)數(shù)據(jù)運(yùn)用將更加開(kāi)放、對(duì)數(shù)據(jù)流動(dòng)性提出了更高要求。傳統(tǒng)的對(duì)數(shù)據(jù)進(jìn)行封閉性管理、限制流動(dòng)、層層審批的舊有安全管控思路,已不再適應(yīng)數(shù)字化轉(zhuǎn)型的需要。目前一些企業(yè)內(nèi)部存在數(shù)據(jù)無(wú)成本的無(wú)序流動(dòng),導(dǎo)致安全管理很被動(dòng)。大家都在講數(shù)據(jù)是新時(shí)期最重要的銀行資產(chǎn),但無(wú)成本的共享式數(shù)據(jù)使用,沒(méi)有固定的成本付出和價(jià)值兌現(xiàn)框架、流程約束,在這種場(chǎng)景下數(shù)據(jù)安全保護(hù)一定是非常被動(dòng)的。威脅情報(bào)公司、互聯(lián)網(wǎng)公司對(duì)數(shù)據(jù)的保護(hù)很值得研究,他們的數(shù)據(jù)有價(jià)值,所以保護(hù)的動(dòng)力很強(qiáng),因?yàn)橛忻鞔_的流程去兌現(xiàn)數(shù)據(jù)的價(jià)值,所以保護(hù)數(shù)據(jù)安全的思路也很清晰。
5.與安全公司合作共研金融新安全技術(shù)
近年來(lái)金融領(lǐng)域由于安全引起的重大資金損失和客戶信息泄露案件頻出,各銀行在推進(jìn)金融科技創(chuàng)新的同時(shí)也面臨著內(nèi)外部網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻挑戰(zhàn)??焖侔l(fā)展的金融科技帶來(lái)的業(yè)務(wù)創(chuàng)新,對(duì)整個(gè)安全行業(yè)的安全基礎(chǔ)研究投入和前瞻性研究提出了更高要求。銀行可通過(guò)與頭部專業(yè)安全公司合作建立聯(lián)合創(chuàng)新實(shí)驗(yàn)室,打造融合網(wǎng)絡(luò)安全理論研究、前瞻技術(shù)攻關(guān)、成熟技術(shù)場(chǎng)景驗(yàn)證、應(yīng)用場(chǎng)景推廣于一體的良性互動(dòng)發(fā)展新模式。
網(wǎng)絡(luò)安全治理是戰(zhàn)略型治理、協(xié)作型治理、智慧型治理、技術(shù)型治理、主導(dǎo)型治理。做好網(wǎng)絡(luò)安全治理,還要注重推動(dòng)上游工作的變革。通過(guò)網(wǎng)絡(luò)安全治理工作,制定清晰的網(wǎng)絡(luò)安全治理方針、策略,并一以貫之,銀行業(yè)網(wǎng)絡(luò)安全保障體系和能力將更上一層樓。
來(lái)源:金融電子化