您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
觀點丨??銀行網(wǎng)絡(luò)安全治理工作思考
文 / 中國光大銀行信息科技部? 楊增宇
背 景
自2016年底我國《網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》以及相關(guān)配套法律法規(guī)發(fā)布以來,網(wǎng)絡(luò)安全工作重要性已經(jīng)被各行各業(yè)接受。各家銀行逐步加強網(wǎng)絡(luò)安全工作投入,上線各種安全設(shè)備和系統(tǒng),大幅提高應(yīng)對各種安全威脅的防御能力。2019年以來,光大銀行根據(jù)實際情況明確近期網(wǎng)絡(luò)安全重點工作任務(wù),主要包括:加大頂層設(shè)計,構(gòu)建新型動態(tài)信息安全防御體系;打造一流安全合規(guī)能力、一流實戰(zhàn)攻防能力;持續(xù)強化安全管理、安全運營、安全技術(shù)三個領(lǐng)域,推動信息化建設(shè)與信息安全“同步規(guī)劃、同步建設(shè)、同步使用”,做實做精安全防護(hù)和運營體系。上述這些規(guī)劃的工作目標(biāo)在日常安全工作中起到了很好的引領(lǐng)作用,對完善光大銀行整體網(wǎng)絡(luò)安全防御體系起到了積極作用。
當(dāng)前網(wǎng)絡(luò)安全已經(jīng)上升到國家層面,網(wǎng)絡(luò)安全形勢嚴(yán)峻、攻守雙方技術(shù)博弈瞬息萬變。金融業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施運營企業(yè),應(yīng)與時俱進(jìn),結(jié)合內(nèi)外部因素進(jìn)一步開展安全治理,推動各項安全工作有序開展。下面對銀行業(yè)進(jìn)一步深化網(wǎng)絡(luò)安全治理工作驅(qū)動力,以及需要加強的治理方向、任務(wù)和思路進(jìn)行闡述。
進(jìn)一步強化網(wǎng)絡(luò)安全治理工作力度的驅(qū)動因素
1.國家安全宏觀要求
十九屆五中全會公告提出“統(tǒng)籌發(fā)展和安全,建設(shè)更高水平的平安中國”。習(xí)總書記在關(guān)于《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年計劃和二零三五年遠(yuǎn)景目標(biāo)的建議》(以下簡稱建議)的說明中指出:“我們越來越深刻地認(rèn)識到,安全是發(fā)展的前提,發(fā)展是安全的保障”“增強機遇意識和風(fēng)險意識,樹立底線思維,把困難估計得更充分些”。在建議的十三章、49條提出“全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)”;50條中提出“維護(hù)水利、電力......金融等重要基礎(chǔ)設(shè)施安全”。
十九屆五中全會對網(wǎng)絡(luò)安全工作提出了明確的目標(biāo)要求,各家銀行作為國家金融行業(yè)重要基礎(chǔ)設(shè)施運營者,需要貫徹國家安全宏觀要求,開展網(wǎng)絡(luò)安全治理,加強安全保障體系和能力建設(shè)。
2.行業(yè)監(jiān)管強力驅(qū)動
人民銀行印發(fā)《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021年)》,公安部發(fā)布等保2.0標(biāo)準(zhǔn)、印發(fā)《貫徹落實網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》,以及多部門聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》《個人敏感信息保護(hù)法》等等,都對網(wǎng)絡(luò)安全工作提出大量合規(guī)要求,覆蓋面之廣、內(nèi)容之詳細(xì)前所未有,需要銀行厘清各項安全合規(guī)制度、標(biāo)準(zhǔn)內(nèi)容,通過安全治理抓手設(shè)定工作方案,變被動合規(guī)為主動能力提升。
2020年三季度人民銀行印發(fā)的《向各商業(yè)銀行開展金融業(yè)網(wǎng)絡(luò)安全與信息化“十四五”發(fā)展規(guī)劃調(diào)研工作》聯(lián)系函,讓各家銀行更加感受到行業(yè)主管部門積極推動銀行開展網(wǎng)絡(luò)安全治理和規(guī)劃工作的力度,“十四五”期間銀行業(yè)網(wǎng)絡(luò)安全工作將會迎來更大發(fā)展。
3.敵對勢力破壞黑產(chǎn)肆意謀財
美國網(wǎng)軍年度預(yù)算超過80億美元,網(wǎng)軍人數(shù)、武器庫、分工都進(jìn)一步增強。中美對抗、臺海問題升溫,網(wǎng)絡(luò)戰(zhàn)將是最前沿陣地,能源、金融、電信行業(yè)是網(wǎng)絡(luò)戰(zhàn)攻擊首選目標(biāo),一旦開戰(zhàn)銀行將是一線陣地。目前黑產(chǎn)大肆利用勒索病毒攻擊企業(yè)和個人,對全球企業(yè)造成巨大壓力,曾導(dǎo)致本田停產(chǎn)、Garmin全球業(yè)務(wù)癱瘓。同時黑產(chǎn)利用身份證、手機號、卡號金融信息三要素組合猖狂開展資金欺詐。監(jiān)管部門強調(diào)各家銀行要對網(wǎng)絡(luò)安全工作要有大局意識、政治意識、敵情意識,我認(rèn)為應(yīng)該再增加一個生存意識。網(wǎng)絡(luò)安全工作不到位,銀行正常運轉(zhuǎn)將可能瞬間被破壞,不但要承受巨大損失和輿情危機,還要受到安全工作不到位的監(jiān)管合規(guī)處罰。
4.夯實數(shù)字化轉(zhuǎn)型安全底座
當(dāng)前各家銀行都已經(jīng)開啟數(shù)字化轉(zhuǎn)型之路,光大銀行也提出了打造數(shù)字化一流財富管理銀行的目標(biāo),探索具有光大特色的“123+N”數(shù)字銀行發(fā)展體系。無論從客戶體驗性、可用性、易用性、愉悅性哪一項出發(fā),安全性始終是金融服務(wù)穩(wěn)健經(jīng)營的基石。由于數(shù)字智能化的程度越來越高,其背后的風(fēng)險也越加隱蔽,對于金融安全的訴求也就愈加重要。實現(xiàn)網(wǎng)絡(luò)安全工作價值的口號我們喊了很多年,沒有哪一個時期能比現(xiàn)階段更適合發(fā)揮安全的價值了,積極開展網(wǎng)絡(luò)安全治理工作,安全價值必定會在這個時期凸顯。
5.內(nèi)部理順安全工作需要
近幾年各家銀行都已經(jīng)加大了網(wǎng)絡(luò)安全工作人財物力量投入,安全相關(guān)團(tuán)隊、安全崗位人員、安全項目數(shù)量和安全資金投入都成倍增長,縱深部署的網(wǎng)絡(luò)安全設(shè)備和控制軟件眾多。安全工作大幅投入帶來安全工作的復(fù)雜性,新時期呈現(xiàn)的安全焦點問題,都需要各家銀行加強安全治理力度,迭代演進(jìn)提升安全工作效果。
銀行業(yè)下一步網(wǎng)絡(luò)安全治理主要任務(wù)及思路
國家安全、監(jiān)管部門、敵對黑產(chǎn)、數(shù)字轉(zhuǎn)型、理順工作五個層面均需要進(jìn)一步強化網(wǎng)絡(luò)安全工作,各家銀行應(yīng)以更大的魄力推動安全工作機制的完善與革新,深入開展網(wǎng)絡(luò)安全治理。
1.以底線思維調(diào)整網(wǎng)絡(luò)安全方針策略
樹立底線思維是統(tǒng)籌好發(fā)展與安全的關(guān)鍵。安全底線是在網(wǎng)絡(luò)與信息安全所有領(lǐng)域,包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、終端安全、人員安全、外包安全、新技術(shù)安全等等,明確安全管控的底線、紅線。從方針政策層面落實推進(jìn)安全底線,將對安全工作的各參與方提出更高要求,網(wǎng)絡(luò)安全控制的脈絡(luò)將更加清晰,保障能力可衡量水平將會大幅提高,銀行開展數(shù)字化轉(zhuǎn)型的安全底座將更加牢固。
2.外掛安全進(jìn)階到內(nèi)生安全
當(dāng)前網(wǎng)絡(luò)邊界模糊,堆砌安全防護(hù)設(shè)備見效快,但總有防不住的攻擊,而且安全設(shè)備也有漏洞。傳統(tǒng)的邊界防護(hù)體系失靈,網(wǎng)絡(luò)應(yīng)用不斷泛化,越來越難識別正常使用者和網(wǎng)絡(luò)攻擊者,模型顯示會有20%的高級攻擊者能夠進(jìn)入網(wǎng)絡(luò)內(nèi)部,這部分攻擊者恰好是最大的破壞者。這種圍墻式的外掛安全邊界防護(hù),已不再適應(yīng)數(shù)字化時代的需求,現(xiàn)在需要構(gòu)建與數(shù)字化業(yè)務(wù)融合的全面防御、動態(tài)防御和縱深防御的“內(nèi)生安全”體系。通過“三同步”建設(shè)“事前防控”體系,把安全能力內(nèi)置到業(yè)務(wù)系統(tǒng)當(dāng)中,來感知、響應(yīng)對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的任何破壞行為,擺脫“事后補救”的建設(shè)模式。與此同時讓信息系統(tǒng)內(nèi)不斷生長出安全能力,這種能力具有像免疫系統(tǒng)一樣的自主、自成長、自適應(yīng)的特點,持續(xù)保證業(yè)務(wù)安全,真正做到“事前防控”。
3.安全左移,提升開發(fā)安全設(shè)計編碼、安全漏洞發(fā)現(xiàn)能力
網(wǎng)絡(luò)安全貫穿規(guī)劃、設(shè)計、開發(fā)、測試、運維等整個IT建設(shè)生命周期。當(dāng)前各家銀行大量發(fā)現(xiàn)安全漏洞的階段,是系統(tǒng)投產(chǎn)運維后,是因為在“右”側(cè)建立了滲透、眾測、漏掃等相對完善的能力,形成了“左”側(cè)不斷制造漏洞,“右”側(cè)不斷發(fā)現(xiàn)漏洞,“左”側(cè)再不斷修補漏洞的怪圈。應(yīng)強化“左”側(cè)安全能力,注重開發(fā)測試人員的安全技能培訓(xùn)、建設(shè)適合的安全測試工具和系統(tǒng),由開發(fā)測試人員自助式地開展安全漏洞挖掘和修補,壓縮“左”側(cè)漏洞生成土壤。減少生產(chǎn)環(huán)境常規(guī)漏洞數(shù)量后,安全專業(yè)崗位人員可以拿出更多精力挖掘更深層次的漏洞和未知威脅。
4.數(shù)據(jù)安全治理要回歸價值本源
當(dāng)前數(shù)字經(jīng)濟對數(shù)據(jù)運用將更加開放、對數(shù)據(jù)流動性提出了更高要求。傳統(tǒng)的對數(shù)據(jù)進(jìn)行封閉性管理、限制流動、層層審批的舊有安全管控思路,已不再適應(yīng)數(shù)字化轉(zhuǎn)型的需要。目前一些企業(yè)內(nèi)部存在數(shù)據(jù)無成本的無序流動,導(dǎo)致安全管理很被動。大家都在講數(shù)據(jù)是新時期最重要的銀行資產(chǎn),但無成本的共享式數(shù)據(jù)使用,沒有固定的成本付出和價值兌現(xiàn)框架、流程約束,在這種場景下數(shù)據(jù)安全保護(hù)一定是非常被動的。威脅情報公司、互聯(lián)網(wǎng)公司對數(shù)據(jù)的保護(hù)很值得研究,他們的數(shù)據(jù)有價值,所以保護(hù)的動力很強,因為有明確的流程去兌現(xiàn)數(shù)據(jù)的價值,所以保護(hù)數(shù)據(jù)安全的思路也很清晰。
5.與安全公司合作共研金融新安全技術(shù)
近年來金融領(lǐng)域由于安全引起的重大資金損失和客戶信息泄露案件頻出,各銀行在推進(jìn)金融科技創(chuàng)新的同時也面臨著內(nèi)外部網(wǎng)絡(luò)安全形勢的嚴(yán)峻挑戰(zhàn)??焖侔l(fā)展的金融科技帶來的業(yè)務(wù)創(chuàng)新,對整個安全行業(yè)的安全基礎(chǔ)研究投入和前瞻性研究提出了更高要求。銀行可通過與頭部專業(yè)安全公司合作建立聯(lián)合創(chuàng)新實驗室,打造融合網(wǎng)絡(luò)安全理論研究、前瞻技術(shù)攻關(guān)、成熟技術(shù)場景驗證、應(yīng)用場景推廣于一體的良性互動發(fā)展新模式。
網(wǎng)絡(luò)安全治理是戰(zhàn)略型治理、協(xié)作型治理、智慧型治理、技術(shù)型治理、主導(dǎo)型治理。做好網(wǎng)絡(luò)安全治理,還要注重推動上游工作的變革。通過網(wǎng)絡(luò)安全治理工作,制定清晰的網(wǎng)絡(luò)安全治理方針、策略,并一以貫之,銀行業(yè)網(wǎng)絡(luò)安全保障體系和能力將更上一層樓。
來源:金融電子化