文 / 中國光大銀行信息科技部? 楊增宇

背 景

自2016年底我國《網絡安全法》《國家網絡空間安全戰略》以及相關配套法律法規發布以來，網絡安全工作重要性已經被各行各業接受。各家銀行逐步加強網絡安全工作投入，上線各種安全設備和系統，大幅提高應對各種安全威脅的防御能力。2019年以來，光大銀行根據實際情況明確近期網絡安全重點工作任務，主要包括：加大頂層設計，構建新型動態信息安全防御體系;打造一流安全合規能力、一流實戰攻防能力;持續強化安全管理、安全運營、安全技術三個領域，推動信息化建設與信息安全“同步規劃、同步建設、同步使用”，做實做精安全防護和運營體系。上述這些規劃的工作目標在日常安全工作中起到了很好的引領作用，對完善光大銀行整體網絡安全防御體系起到了積極作用。

當前網絡安全已經上升到國家層面，網絡安全形勢嚴峻、攻守雙方技術博弈瞬息萬變。金融業作為關鍵基礎設施運營企業，應與時俱進，結合內外部因素進一步開展安全治理，推動各項安全工作有序開展。下面對銀行業進一步深化網絡安全治理工作驅動力，以及需要加強的治理方向、任務和思路進行闡述。

進一步強化網絡安全治理工作力度的驅動因素

1.國家安全宏觀要求

十九屆五中全會公告提出“統籌發展和安全，建設更高水平的平安中國”。習總書記在關于《中共中央關于制定國民經濟和社會發展第十四個五年計劃和二零三五年遠景目標的建議》(以下簡稱建議)的說明中指出：“我們越來越深刻地認識到，安全是發展的前提，發展是安全的保障”“增強機遇意識和風險意識，樹立底線思維，把困難估計得更充分些”。在建議的十三章、49條提出“全面加強網絡安全保障體系和能力建設”;50條中提出“維護水利、電力......金融等重要基礎設施安全”。

十九屆五中全會對網絡安全工作提出了明確的目標要求，各家銀行作為國家金融行業重要基礎設施運營者，需要貫徹國家安全宏觀要求，開展網絡安全治理，加強安全保障體系和能力建設。

2.行業監管強力驅動

人民銀行印發《金融科技(FinTech)發展規劃(2019-2021年)》，公安部發布等保2.0標準、印發《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，以及多部門聯合發布的《網絡安全審查辦法》《個人敏感信息保護法》等等，都對網絡安全工作提出大量合規要求，覆蓋面之廣、內容之詳細前所未有，需要銀行厘清各項安全合規制度、標準內容，通過安全治理抓手設定工作方案，變被動合規為主動能力提升。

2020年三季度人民銀行印發的《向各商業銀行開展金融業網絡安全與信息化“十四五”發展規劃調研工作》聯系函，讓各家銀行更加感受到行業主管部門積極推動銀行開展網絡安全治理和規劃工作的力度，“十四五”期間銀行業網絡安全工作將會迎來更大發展。

3.敵對勢力破壞黑產肆意謀財

美國網軍年度預算超過80億美元，網軍人數、武器庫、分工都進一步增強。中美對抗、臺海問題升溫，網絡戰將是最前沿陣地，能源、金融、電信行業是網絡戰攻擊首選目標，一旦開戰銀行將是一線陣地。目前黑產大肆利用勒索病毒攻擊企業和個人，對全球企業造成巨大壓力，曾導致本田停產、Garmin全球業務癱瘓。同時黑產利用身份證、手機號、卡號金融信息三要素組合猖狂開展資金欺詐。監管部門強調各家銀行要對網絡安全工作要有大局意識、政治意識、敵情意識，我認為應該再增加一個生存意識。網絡安全工作不到位，銀行正常運轉將可能瞬間被破壞，不但要承受巨大損失和輿情危機，還要受到安全工作不到位的監管合規處罰。

4.夯實數字化轉型安全底座

當前各家銀行都已經開啟數字化轉型之路，光大銀行也提出了打造數字化一流財富管理銀行的目標，探索具有光大特色的“123+N”數字銀行發展體系。無論從客戶體驗性、可用性、易用性、愉悅性哪一項出發，安全性始終是金融服務穩健經營的基石。由于數字智能化的程度越來越高，其背后的風險也越加隱蔽，對于金融安全的訴求也就愈加重要。實現網絡安全工作價值的口號我們喊了很多年，沒有哪一個時期能比現階段更適合發揮安全的價值了，積極開展網絡安全治理工作，安全價值必定會在這個時期凸顯。

5.內部理順安全工作需要

近幾年各家銀行都已經加大了網絡安全工作人財物力量投入，安全相關團隊、安全崗位人員、安全項目數量和安全資金投入都成倍增長，縱深部署的網絡安全設備和控制軟件眾多。安全工作大幅投入帶來安全工作的復雜性，新時期呈現的安全焦點問題，都需要各家銀行加強安全治理力度，迭代演進提升安全工作效果。

銀行業下一步網絡安全治理主要任務及思路

國家安全、監管部門、敵對黑產、數字轉型、理順工作五個層面均需要進一步強化網絡安全工作，各家銀行應以更大的魄力推動安全工作機制的完善與革新，深入開展網絡安全治理。

1.以底線思維調整網絡安全方針策略

樹立底線思維是統籌好發展與安全的關鍵。安全底線是在網絡與信息安全所有領域，包括物理安全、網絡安全、系統安全、應用安全、終端安全、人員安全、外包安全、新技術安全等等，明確安全管控的底線、紅線。從方針政策層面落實推進安全底線，將對安全工作的各參與方提出更高要求，網絡安全控制的脈絡將更加清晰，保障能力可衡量水平將會大幅提高，銀行開展數字化轉型的安全底座將更加牢固。

2.外掛安全進階到內生安全

當前網絡邊界模糊，堆砌安全防護設備見效快，但總有防不住的攻擊，而且安全設備也有漏洞。傳統的邊界防護體系失靈，網絡應用不斷泛化，越來越難識別正常使用者和網絡攻擊者，模型顯示會有20%的高級攻擊者能夠進入網絡內部，這部分攻擊者恰好是最大的破壞者。這種圍墻式的外掛安全邊界防護，已不再適應數字化時代的需求，現在需要構建與數字化業務融合的全面防御、動態防御和縱深防御的“內生安全”體系。通過“三同步”建設“事前防控”體系，把安全能力內置到業務系統當中，來感知、響應對業務系統和數據的任何破壞行為，擺脫“事后補救”的建設模式。與此同時讓信息系統內不斷生長出安全能力，這種能力具有像免疫系統一樣的自主、自成長、自適應的特點，持續保證業務安全，真正做到“事前防控”。

3.安全左移，提升開發安全設計編碼、安全漏洞發現能力

網絡安全貫穿規劃、設計、開發、測試、運維等整個IT建設生命周期。當前各家銀行大量發現安全漏洞的階段，是系統投產運維后，是因為在“右”側建立了滲透、眾測、漏掃等相對完善的能力，形成了“左”側不斷制造漏洞，“右”側不斷發現漏洞，“左”側再不斷修補漏洞的怪圈。應強化“左”側安全能力，注重開發測試人員的安全技能培訓、建設適合的安全測試工具和系統，由開發測試人員自助式地開展安全漏洞挖掘和修補，壓縮“左”側漏洞生成土壤。減少生產環境常規漏洞數量后，安全專業崗位人員可以拿出更多精力挖掘更深層次的漏洞和未知威脅。

4.數據安全治理要回歸價值本源

當前數字經濟對數據運用將更加開放、對數據流動性提出了更高要求。傳統的對數據進行封閉性管理、限制流動、層層審批的舊有安全管控思路，已不再適應數字化轉型的需要。目前一些企業內部存在數據無成本的無序流動，導致安全管理很被動。大家都在講數據是新時期最重要的銀行資產，但無成本的共享式數據使用，沒有固定的成本付出和價值兌現框架、流程約束，在這種場景下數據安全保護一定是非常被動的。威脅情報公司、互聯網公司對數據的保護很值得研究，他們的數據有價值，所以保護的動力很強，因為有明確的流程去兌現數據的價值，所以保護數據安全的思路也很清晰。

5.與安全公司合作共研金融新安全技術

近年來金融領域由于安全引起的重大資金損失和客戶信息泄露案件頻出，各銀行在推進金融科技創新的同時也面臨著內外部網絡安全形勢的嚴峻挑戰?？焖侔l展的金融科技帶來的業務創新，對整個安全行業的安全基礎研究投入和前瞻性研究提出了更高要求。銀行可通過與頭部專業安全公司合作建立聯合創新實驗室，打造融合網絡安全理論研究、前瞻技術攻關、成熟技術場景驗證、應用場景推廣于一體的良性互動發展新模式。

網絡安全治理是戰略型治理、協作型治理、智慧型治理、技術型治理、主導型治理。做好網絡安全治理，還要注重推動上游工作的變革。通過網絡安全治理工作，制定清晰的網絡安全治理方針、策略，并一以貫之，銀行業網絡安全保障體系和能力將更上一層樓。

來源：金融電子化