銀行信息安全防控體系建設探討

時間:2022-09-17 04:15:09

導語:銀行信息安全防控體系建設探討一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

銀行信息安全防控體系建設探討

摘要:隨著《網絡安全法》和《國家網絡空間安全戰略》的,商業銀行信息安全防護建設面臨著多方面的挑戰。中國建設銀行廣東省分行經過多年的實踐,在信息安全頂層規劃、制度建設、新技術運用、內部管控、持續運營等多方面進行了信息安全防控體系建設的探索。結合銀行數字化轉型的未來發展趨勢,本文認為聚焦新形勢、新變化,加強新技術運用,持續提升信息安全防控水平,全面履行保障客戶信息安全的社會責任,是信息安全建設下一步發展的重要方向。

關鍵詞:商業銀行;信息安全;大數據;企業級安全架構;信息安全防護

鎖金融是經濟的核心,而銀行又是金融業的重中之重。隨著我國數字經濟發展步入快車道,商業銀行紛紛加入數字化轉型行列,而與之相關的信息安全問題愈加受到業界關注,客戶信息安全與客戶隱私保護的風險更加突出。信息安全是銀行業務開展的基礎,是銀行穩健經營的保障。如何加強商業銀行的內部管理,防范和化解信息安全風險,是當前銀行高度關注的重點和難點。

一、新形勢下商業銀行信息安全防控面臨的挑戰

(一)外部環境的變化增加新的難題。一是新技術的廣泛應用使銀行的安全防御體系面臨新的安全漏洞威脅。數字經濟時代,金融科技逐漸成為銀行核心驅動力,以人工智能、大數據、云計算、移動互聯、物聯網等新技術為核心的金融科技在銀行飛速發展。但是銀行在新技術的運用過程中,長期存在一個嚴重誤區,即銀行在構建信息系統時,往往把功能的實現放在首要位置,而忽略了安全性的考慮。因此,新技術獲得廣泛應用后,大量新的漏洞陸續爆發,嚴重威脅到應用和信息的安全,而此時要在原有龐大功能的基礎上重構其安全性,難度極大。二是移動智能設備的廣泛應用是商業銀行信息安全防控的一個重點難題。移動智能終端具有便攜性、靈活性等特性,被廣泛應用到商業銀行系統中,尤其是被用于銀行內部管理流程和管理系統中。移動智能終端的安全性成為商業銀行不容忽視的問題。三是銀行的網絡邊界趨于模糊,使其信息安全管控的難度增大。隨著數字經濟的蓬勃發展,商業銀行的金融及非金融生態圈也在逐步擴大,各種App、小程序、開放銀行等新應用不斷被推出,銀行的接入渠道更加多樣化,網絡邊界趨于模糊化,網絡遭受外部攻擊的風險逐步增大。傳統的安全防御技術主要是針對基于網絡或設備邊界的防護,而對于網絡邊界逐漸模糊的新情況則顯得無能為力。風險領域的擴大,使商業銀行信息安全管控的難度進一步加大。(二)新政策的出臺對安全防控提出更高的要求?!毒W絡安全法》首次將網絡安全工作提高到法律的高度。近年來,我國《信息安全技術網絡安全等級保護基本要求》(GB/T22239-2019)、《信息安全技術網絡安全等級保護安全設計技術要求》(GB/T25070-2019)、《信息安全技術網絡安全等級保護測評要求》(GB/T28448-2019)等關于信息安全等級保護2.0的國家標準相繼,標志著我國信息安全進入2.0時代。按照2020年3月1日正式實施的信息安全等級保護2.0標準,云計算、移動互聯、大數據等新技術新應用被納入其中,風險分析、安全態勢感知、安全監測、通報預警、應急處置、追蹤溯源等安全服務內容也體現在信息安全防控的各個環節里,這對金融機構的信息安全防控提出了更高的要求。同時,金融業的相關監管部門也對金融機構的安全建設提出了明確的指導意見。2018年5月,中國銀保監會了《銀行業金融機構數據治理指引》,引導銀行業金融機構加強數據治理。其中第二十四條明確指出“銀行業金融機構采集、應用數據涉及到個人信息的,應遵循國家個人信息保護法律法規要求,符合與個人信息安全相關的國家標準?!边@些政策的出臺激勵并引導銀行業加強信息安全防控水平。(三)安全與體驗的平衡是一個新的考驗把客戶體驗做到極致是為銀行贏得更多客戶、提升市場占有率、樹立獨特品牌形象的一項關鍵因素。因此,打造極致的客戶服務是未來銀行留住客戶的核心競爭力。而信息安全管控往往會加大信息使用的難度,導致客戶體驗變差。無論何時,銀行都要在堅守客戶資金安全、信息安全和交易安全底線的前提下追求極致的客戶體驗。因此,如何平衡好體驗和安全的關系,是銀行在信息安全管控上面臨的新考驗。

二、建行廣東省分行在信息安全防控上的實踐

信息安全防控是一項系統性工程,要從機制建設、人員培養、技術保障等多個方面相互配合,形成一個多層級、多維度的保護體系。建設銀行(以下簡稱“建行”)廣東省分行通過多年的實踐,在信息安全管控上進行了一系列探索,通過5個方面增強安全防控能力。(一)強化頂層設計,構建企業級的安全架構體系。建行總行基于“安全即服務”的設計理念,構建了企業級的安全架構體系,采用面向服務架構、云計算、組件化、可視化開發等技術,將安全功能從應用中解耦,實現安全功能的組件化、標準化和參數化,形成以客戶認證、密碼服務、安全監控、安全策略管理等七大安全組件為核心、290個安全服務為代表的“安全功能庫”。所有安全功能由策略管理中心動態調配,可依據所面臨的風險,智能匹配適用的安全策略,啟動相應的安全功能,從而靈活應對已知和未知威脅帶來的風險。企業級安全架構平臺有力支撐了建行信息系統的安全運行,保障客戶信息安全及資金安全。(二)堅持制度先行,建立信息安全“十大軍規”。為確保信息安全管理要求落實到位,建行廣東省分行依據國家法規、監管要求和建行總行的相關制度,結合分行實際情況制訂了《中國建設銀行廣東省分行信息安全管理系列制度》,內容涵蓋了物理安全、網絡安全、系統安全、終端安全、管理安全等。為切實推進信息安全管理制度落實到位,確保每位員工夠準確把握不觸碰信息安全的底線和紅線,建行廣東省分行了內部員工必須遵守的信息安全管理“十大軍規。”包括“嚴禁將未脫敏的信息在測試網中運行”“嚴禁外聯系統不通過外聯前置直接訪問我行內部網絡”“嚴禁與外聯單位進行無加密文件傳輸”“嚴禁在外聯層存放客戶敏感信息”“嚴禁未經安全檢測的系統上線運行”“嚴禁在生產系統設置弱口令密碼”“嚴禁將未經授權的非我行設備接入我行內部網絡”“嚴禁在行內辦公設備上使用撥號、接入無線網等方式訪問互聯網”“嚴禁在互聯網上存儲和我行敏感信息”“嚴禁把未安裝安全客戶端的終端設備接入我行內部網”等。通過建立健全規章制度,不斷加強自身內部建設,做到信息安全管理有章可循、有規可依。(三)運用新技術,為用戶提供“信息防護鎖”。建行積極探索大數據挖掘、人工智能等技術在信息安全防護上的應用,為用戶提供智慧、安全的信息防護手段。在安全認證方面,通過將身份信息、手機銀行客戶端與手機設備嚴密綁定,并引入指紋驗證、聲紋驗證等技術,確??蛻羯矸葑R別的準確性。在網絡金融反欺詐方面,搭建全流程企業級反欺詐管理平臺,依托基于用戶行為分析的風險引擎,實時快速分析網絡金融渠道客戶交易行為細節,建立電子化、流程化、規范化的管理方式,對海量數據進行比對、甄選,主動識別異常行為,采集異常行為數據并進行實時分析判斷,挖掘欺詐團伙作案的特征和規律,根據風險形勢變化,實時動態地部署智能化監控策略,擴大風控覆蓋范圍和攔截半徑,實現精準識別高風險網絡金融交易。設立人臉黑、白、灰名單功能,實現“一點發現,全行共享”,系統識別,有效機控,提供差異化服務,嚴防欺詐作案,有效保障客戶資金安全。此外,建行還推出“一鍵鎖卡”“快捷支付管理”“慧眼識真”等工具?!耙绘I鎖卡”可對信用卡進行智能管控,根據自身的消費時間、地點和消費習慣自助定制鎖卡方式,全面保障信用卡用卡安全;“快捷支付管理”允許用戶自主關閉和開啟快捷支付功能,讓用戶自行掌控銀行卡資金安全;“慧眼識真”為用戶提供信用卡短信真偽識別服務,讓短信詐騙露出真面目。建行還在不斷迭代升級智能安全防護功能,將客戶安全需求融入最新的科技手段,向客戶提供智能的“信息安全鎖”,為客戶資金安全保駕護航。(四)強化內部管控,筑牢網絡安全防護屏障。銀行的信息安全防護除了要化解外部威脅外,還應重視內部安全隱患的排查和管理。建行廣東省分行積極運用安全新技術,著力筑起一個內外兼防和內外并重的安全防護屏障。一是應用網絡空間測繪技術繪出建行廣東省分行轄區內的互聯網網絡空間地圖,從而全面清晰地了解轄內互聯網應用資產和網絡拓撲等信息,為全面做好網絡安全防護提供重要的基礎數據。二是實行內部終端集中管控。利用安全客戶端作為準入門檻,配合身份認證系統,杜絕非法外接、非法接入等行為,并通過安全客戶端為終端提供統一木馬查殺、漏洞修復等服務,保障終端安全。三是在信息泄露的高風險節點外層部署安全防護組件。在互聯網出口、郵件出口、終端等敏感信息泄露高風險點部署數據安全防護組件,及時阻斷行內敏感信息外傳。四是在網絡邊界部署監控和攔截工具。在各網絡邊界與交互處部署防火墻、態勢感知系統、WAF、防病毒網關、蜜罐等安全產品,并配合自動攔截和一鍵封禁工具,查殺疑似的網絡攻擊和非法行為,確保行內網絡與應用安全。五是日常內部工作全面云端化。應用云技術,按日常工作業務需求將桌面云按場景劃分為辦公、數據分析、開發測試、業務生產、運維支持5個場景云,不同場景進行物理和邏輯分隔開,提供不同的安全策略,實現行內日常工作的全面云化。同時,建行采用了數據安全管理組件、辦公沙盒、安全瀏覽器等安全工具,嚴格控制敏感數據的復制、下載、打印。此外,運用防拍照技術及實時視頻智能分析來防止屏幕信息泄露。利用最新的人工智能技術,連接現有的監控系統,對監控視頻進行實時分析,實時判斷是否有員工在用手機拍攝屏幕上的信息,并發出告警和進行存證。通過內部管控工具的不斷迭代升級,構建出一道網絡安全技術防線。(五)建設與運營并重,建立常態化網絡信息安全監測機制。“三分建設,七分運營”是網絡安全領域的至理名言。從用戶的角度看,信息安全管理體系更強調的是運營。近年來,建行廣東省分行一直嚴格執行常態化網絡安全檢測機制,由專人負責各項檢測的方案制定、檢測執行、事件分析、督促整改、進度跟進的閉環管理,通過六大措施,為網絡安全的提供常態化保障。一是終端安全檢測常態化。通過安全客戶端組件對轄內所有終端定期進行病毒木馬查殺、漏洞修復、病毒庫更新等終端安全檢測行為。二是敏感信息泄露檢測常態化。通過敏感數據防泄露組件實時監控通過互聯網、郵件、U盤等信息泄露的風險點,在實現外發監控的基礎上,建立外發敏感信息的阻斷功能,并定期對敏感數據外發行為進行全行通報,對保護敏感數據泄露起到重要的作用。三是攻擊威脅監控常態化。通過未知威脅感知系統,實時監控行外與行內網絡流量,精確發現實時攻擊威脅,通過可視化技術,清晰地展示網絡中的威脅,幫助運維人員快速研判和處置告警事件。四是自動報警攔截常態化。通過部署的防火墻、WAF,IPS等實現入侵報警與自動攔截機制,達到快速發現、自動封禁的安全風險應急響應。五是安全評估分析常態化。定期利用安全風險評估工具對服務器、網絡設備、終端等進行掃描,并針對發現的漏洞提供整改建議,督促相關責任人及時整改,保障系統安全。六是安全風險信息收集常態化。定期對安全技術公司、公安部門等機構的網絡安全風險提示、0day漏洞發現、網絡安全新技術等進行匯總和學習,提高員工的安全意識與風險發現意識。

三、持續改進優化,信息安全防護工作任重而道遠

信息安全防護是一項長期而艱巨的工作,信息安全防護只有起點沒有終點。總結上述建行廣東省分行的實踐情況,結合銀行業信息化的未來發展趨勢,筆者認為,對于商業銀行而言,亟須聚焦新形勢、新變化,加強新技術運用,持續提升信息安全防控水平,全面履行保障客戶信息安全的社會責任。(一)進一步深化對前沿技術的研究和探索。隨著5G等新技術應用的突飛猛進,金融科技正邁向以萬物互聯為特征的“下半場”。每一次新技術革命的涌現,都會誘發網絡安全的升級與變革,商業銀行需要不斷探索和研究網絡安全新技術的運用,建設更具適應性、智慧性的網絡安全防護體系。(二)進一步深化大數據等新技術在信息安全領域的應用。國務院參事、中國銀保監會原副主席王兆星發表演講時指出,金融科技的核心和關鍵還是大數據的積累和運用,金融科技的生命線也在于大數據的安全。在商業銀行信息系統的安全建設中,有必要不斷研究和探索如何利用大數據、云計算、人工智能、物聯網、區塊鏈等新技術,切實有效地保護好信息安全,使其更好地為金融科技發展服務,同時也更好地維護金融消費者的安全。(三)進一步加強聯動,共創信息安全防護大生態。面對日益復雜的網絡安全環境,信息安全防護不再是單個機構或某個領域的事情,需要各機構、各領域間協同合作。在共同的挑戰面前,商業銀行需要進一步加強同業間的合作聯動,為金融業信息安全防護大生態的建設作出貢獻。

參考文獻:

[1]雷娟.大數據環境下商業銀行分支機構信息安全風險管理的探討[J].金融科技時代,2016(4):38-40.

[2]李輝.銀行數據中心信息安全等級保護研究與實踐[J].通訊世界,2018(6):50-51.

[3]郭漢利.商業銀行信息安全的智慧防控[J].金融電子化,2019(10):57-58.

[4]中國國家標準化管理委員會.GB/T22080—2016信息安全管理體系要求[S].2016.

[5]中國國家標準化管理委員會.GB/T22239—2019信息安全技術—網絡安全等級保護基本要求[S].2019.

[6]吳明.網絡大數據時代銀行信息安全存在問題及對策[J].電腦知識與技術:學術交流,2016(6):42-44.

作者:梁文靜 單位:中國建設銀行廣東省分行金融科技部