摘? 要：在當前新一輪科技革命和產(chǎn)業(yè)變革的形勢下，金融與科技的融合發(fā)展已成為未來發(fā)展的大趨勢，銀行業(yè)的發(fā)展離不開科技力量的支持，云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)技術的高速發(fā)展正深刻改變著傳統(tǒng)的銀行運營模式，成為銀行業(yè)務發(fā)展和創(chuàng)新的重要推動力。[[1]]在國內(nèi)銀行業(yè)金融科技如火如荼發(fā)展的大背景下，甘肅省地方性商業(yè)銀行緊隨發(fā)展趨勢，積極開展移動互聯(lián)網(wǎng)金融建設，積極促進了銀行各項業(yè)務的發(fā)展。隨著網(wǎng)絡基礎設施的不斷完善，人民經(jīng)濟生活與網(wǎng)絡的融合飛速發(fā)展，對地方性商業(yè)銀行網(wǎng)絡金融服務供給提出了更高要求，銀行業(yè)網(wǎng)絡安全管理也面臨著巨大的考驗。本文以人民銀行開展地方性商業(yè)銀行網(wǎng)絡安全調研為契機，對地方性商業(yè)銀行網(wǎng)絡安全管理開展深入研究，并提出相關建議。

關鍵詞：網(wǎng)絡安全管理;地方性商業(yè)銀行;風險管理;金融科技

中圖分類號： TP393????? 文獻標志碼：A

1、甘肅省地方性商業(yè)銀行網(wǎng)絡安全管理概述

甘肅省地方性商業(yè)銀行發(fā)展起步較晚，但近些年其業(yè)務內(nèi)容擴展迅速，營業(yè)范圍和網(wǎng)點數(shù)量急劇增加，為實現(xiàn)普惠金融、綠色金融，支持扶貧脫貧提供了有效補充，成為甘肅省銀行業(yè)不可缺少的力量。在國內(nèi)銀行業(yè)信息技術快速發(fā)展的背景下，甘肅省地方商業(yè)銀行緊跟國家經(jīng)濟發(fā)展的大趨勢。積極研究大數(shù)據(jù)，云計算和網(wǎng)絡態(tài)勢感知等新技術，并付諸于實際應用，積極轉型為移動互聯(lián)網(wǎng)金融銀行和信息銀行。在金融業(yè)信息技術快速發(fā)展的過程中，經(jīng)過多年的持續(xù)建設，甘肅省地方商業(yè)銀行在硬件設施、業(yè)務電子化程度和處理效率等方面與國內(nèi)總體水平相當，但是，金融科技創(chuàng)新也帶來技術、網(wǎng)絡、數(shù)據(jù)的多重風險疊加，間接影響區(qū)域金融穩(wěn)定和金融網(wǎng)絡安全。因此，地方性商業(yè)銀行在提升金融科技水平的同時，更要加強網(wǎng)絡安全管理水平。本文以甘肅省地方性商業(yè)銀行為例，對其網(wǎng)絡安全管理情況開展了深入調查研究，并針對具體問題提出相關建議和意見。

2、甘肅省地方性商業(yè)銀行網(wǎng)絡安全管理現(xiàn)狀

經(jīng)過多年的不斷建設，甘肅省地方性商業(yè)銀行初步建立了比較完善的網(wǎng)絡體系。但是，網(wǎng)絡安全管理是商業(yè)銀行健全運營和可持續(xù)發(fā)展的基礎，甘肅省地方性商業(yè)銀行網(wǎng)絡安全管理水平仍落后于國有商業(yè)銀行和國內(nèi)外發(fā)達銀行。

2.1、網(wǎng)絡安全管理體系不夠完善

甘肅省地方性商業(yè)銀行網(wǎng)絡安全組織機構設置方面，各機構都成立了網(wǎng)絡安全管理委員會或類似組織，全部明確管理分布和分工職責，分管網(wǎng)絡安全管理工作的機構領導是本機構第一責任人，在核心部門建立了一名全職或兼職的網(wǎng)絡安全管理員。首先，本次調查中有大部分的機構認為部門協(xié)作困難是阻礙網(wǎng)絡安全管理的主要困難。由于缺乏統(tǒng)一的網(wǎng)絡安全管理協(xié)調部門和完善的協(xié)調機制，不僅增加了網(wǎng)絡安全建設協(xié)調溝通成本，降低了網(wǎng)絡安全建設效率，而且割裂了銀行內(nèi)部科技部門與業(yè)務部門間的融合，導致業(yè)務部門與科技部門彼此理解困難，業(yè)務部門不能根據(jù)自身發(fā)展情況提出合理網(wǎng)絡安全需求，科技部門掌握技術卻無法把握業(yè)務安全的發(fā)展方向，影響網(wǎng)絡安全的建設水平。其次，網(wǎng)絡安全投資結構存在“軟硬”現(xiàn)象，部分機構投資不足。甘肅省地方性金融機構建設主要集中在硬件設備的更替上，管理機制上投入力度不大，各機構通過培訓提升員工網(wǎng)絡安全意識的重視程度不夠，網(wǎng)絡安全建設環(huán)境較為封閉，引入外部咨詢的意愿不強。

2.2、網(wǎng)絡安全管理總體水平不高

首先，甘肅省地方商業(yè)銀行的性質使高級管理層更加關注銀行業(yè)務，忽視了為基層服務的網(wǎng)絡安全管理體系，認為網(wǎng)絡安全就是購買網(wǎng)絡安全設備或安全系統(tǒng)。其次，甘肅省商業(yè)銀行員工普遍認為網(wǎng)絡安全管理工作主要依靠網(wǎng)絡人員和技術。最后，業(yè)務系統(tǒng)操作和維護人員過分強調網(wǎng)絡系統(tǒng)的可用性，并將網(wǎng)絡安全管理視為技術問題。人們認為網(wǎng)絡安全管理工作只是業(yè)務網(wǎng)絡安全和核心主機服務器的安全性。實際上，網(wǎng)絡安全管理工作更關注管理問題。[[2]]

2.3.網(wǎng)絡建設投入不足，系統(tǒng)軟硬件環(huán)境落后

地方商業(yè)銀行通常只關注新業(yè)務系統(tǒng)的上線運行，無法針對業(yè)務發(fā)展的需要來部署網(wǎng)絡安全基礎設施。目前銀行業(yè)都是網(wǎng)絡規(guī)劃集中管理，高達86.7%的全國性銀行的網(wǎng)絡安全規(guī)劃是由總行制定的，核心業(yè)務系統(tǒng)建設、網(wǎng)絡安全體系建設和網(wǎng)絡建設則全部由總行規(guī)劃實施。一方面說明總行層面信息系統(tǒng)建設已形成較為完整的網(wǎng)絡安全建設體系，分支機構在網(wǎng)絡安全建設方面的自主性較弱，另一方面也反映出分支機構結合自身實際情況，自主規(guī)劃建設的意愿相對較低。目前，甘肅省地方性商業(yè)銀行著力于開展云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)金融、人工智能等技術的應用，但對于相關的網(wǎng)絡安全管理方面投入不足，造成了金融科技發(fā)展的“木桶效應”。

2.4.缺乏風險管理標準和應急響應能力不足

移動互聯(lián)網(wǎng)金融為銀行業(yè)帶來了新的發(fā)展方向，也帶來了新的風險。網(wǎng)絡系統(tǒng)本身的不正確設計和規(guī)劃，人為錯誤，安全管理系統(tǒng)不足以及系統(tǒng)實施不足都可能導致系統(tǒng)故障和業(yè)務中斷。對于網(wǎng)絡系統(tǒng)威脅和風險事件，一些地方銀行尚未建立網(wǎng)絡系統(tǒng)風險識別，測量，監(jiān)控，報告和控制管理標準，它不能通過科學方法事先發(fā)現(xiàn)，只能在問題發(fā)生后被動處理。另外，災難恢復系統(tǒng)和網(wǎng)絡系統(tǒng)的容錯難以滿足業(yè)務安全的要求，緊急事件處理過程缺乏業(yè)務部門的積極參與。

2.5、網(wǎng)絡科技治理體系薄弱

甘肅省地方性商業(yè)銀行科技人員隊伍建設相對滯后。一些地方性商業(yè)銀行總行的技術操作和維護人員較少，多崗位交叉現(xiàn)象突出。此外，科技培訓投入有限，培訓機會較少，科技人員知識更新周期長，導致科技人員跟不上的金融業(yè)科技發(fā)展的節(jié)奏，降低了科技部門的系統(tǒng)運行維護能力和風險管理控制能力。其次，特別是地方性商業(yè)銀行基層行的網(wǎng)絡安全防護能力非常薄弱，部分基層行網(wǎng)絡或安全管理員由業(yè)務人員兼職，維護經(jīng)驗和安全意識不足。

2.6、安全防護需加重視，防護體系有待提高

各地方性商業(yè)銀行核心網(wǎng)絡承載了核心業(yè)務、運營管理、風險內(nèi)控等業(yè)務，因此各該組織在內(nèi)部網(wǎng)絡邊界構建了一個由防火墻， IDS， IPS和其他保護工具組成的保護系統(tǒng)。與核心網(wǎng)的保護相比，一些機構對互聯(lián)網(wǎng)區(qū)域和外聯(lián)區(qū)域的網(wǎng)絡安全關注不夠。在當前網(wǎng)絡安全態(tài)勢高度緊張的情況下，具有極大的網(wǎng)絡安全風險和輿論風險。

3、地方性商業(yè)銀行網(wǎng)絡安全管理的建議

在網(wǎng)絡安全領域，仍存在重技術和光管理現(xiàn)象。從實際的角度來看，過度依賴技術預防不能從根本上消除復雜多變的安全威脅和各種技術風險。銀行業(yè)應將網(wǎng)絡安全體系建設作為保障網(wǎng)絡安全，防范技術風險的重要手段，重視制度約束和規(guī)范管理。科學管理是提高網(wǎng)絡安全的重要手段。

3.1、提升網(wǎng)絡安全綜合管理能力

在發(fā)展的同時，樹立正確的網(wǎng)絡安全管理理念，增強網(wǎng)絡安全保護意識。網(wǎng)絡安全管理與當?shù)厣虡I(yè)銀行的發(fā)展戰(zhàn)略和內(nèi)部管理密切相關，與每個業(yè)務系統(tǒng)的使用者密切相關。只有制度合理和操作合規(guī)才能保證網(wǎng)絡系統(tǒng)的安全。此外，加強對監(jiān)管層技術風險管理的研究，增加網(wǎng)絡安全管理實施者的專業(yè)培訓。通過這種方式，改變了技術人員的網(wǎng)絡安全意識，提高了預防管理水平，建立了強大的網(wǎng)絡安全體系，有效提高了網(wǎng)絡安全保障能力。

3.2、科學分析建立量化網(wǎng)絡安全評級標準

隨著銀行業(yè)務的不斷創(chuàng)新和發(fā)展以及新網(wǎng)絡技術的應用，網(wǎng)絡系統(tǒng)始終處于進步之中。這也導致了新的安全漏洞和威脅的出現(xiàn)，這將隨時影響整個網(wǎng)絡系統(tǒng)的安全狀態(tài)和安全級別。因此，地方性商業(yè)銀行應建立基于科學論證的動態(tài)網(wǎng)絡安全狀態(tài)跟蹤和監(jiān)測機制。內(nèi)容應涵蓋計算機房環(huán)境，網(wǎng)絡安全，安全操作和維護，主機應用程序安全性以及應用程序訪問網(wǎng)絡安全管理?？梢詤⒖肌度嗣胥y行網(wǎng)絡系統(tǒng)網(wǎng)絡安全級別保護實施指南（試用）》和其他規(guī)定來設計滿足您需求的威脅和風險事件列表。通過定期評估，形成評估網(wǎng)絡安全性的基線，重點是監(jiān)測具有高威脅級別的預定義事件。便于建立全面的網(wǎng)絡安全應急管理，客觀地掌握網(wǎng)絡安全工作。

3.3、完善網(wǎng)絡安全管理體系建設

各機構需逐步建立網(wǎng)絡安全管理體系將其納入到機構決策層，將網(wǎng)絡安全管理建設思想、方法和路徑充分傳遞給決策層，確保決策層始終了解網(wǎng)絡安全管理的最新趨勢，促進網(wǎng)絡安全管理的建設更加全面和成熟。地方性商業(yè)銀行增加網(wǎng)絡安全管理咨詢投入，通過第三方機構發(fā)現(xiàn)網(wǎng)絡安全管理建設問題，準確研究網(wǎng)絡安全管理的發(fā)展趨勢，避免繞行網(wǎng)絡安全管理，提高網(wǎng)絡安全管理效率。[[3]]

3.4、加強網(wǎng)絡安全管理組織建設和人才隊伍建設

地方性商業(yè)銀行網(wǎng)絡安全人員和業(yè)務人員要加大交流力度，增進彼此業(yè)務的相互學習。通過持續(xù)交流學習培養(yǎng)業(yè)務人員的網(wǎng)絡安全意識，網(wǎng)絡安全管理人員理解業(yè)務基本流程，提高業(yè)務安全要求的準確性，不斷提高業(yè)務人員和網(wǎng)絡安全管理人員的網(wǎng)絡安全意識。鼓勵科技部門根據(jù)信息技術發(fā)展狀況啟發(fā)業(yè)務部門提出網(wǎng)絡安全具體需求。加強網(wǎng)絡安全人員培訓，加大高科技人才的引進和交流。建立網(wǎng)絡安全管理和支持工作激勵，獎懲機制，建立專業(yè)，高效，團結的網(wǎng)絡安全管理團隊和支持團隊。

3.5、建立健全風險管理機制，加強網(wǎng)絡安全等級保護

地方性商業(yè)銀行應完善風險管理機制，風險管理人員應掌握應急操作程序。分析自然災害和人為災害的時間，恢復時間和相關經(jīng)濟損失，并分析系統(tǒng)的脆弱性。建立針對不同威脅的風險評級列表，并制定技術和管理預防和控制措施以應對風險。此外，在統(tǒng)一的應急預案框架下，地方商業(yè)銀行應制定各種網(wǎng)絡安全事故應急預案。定期組織相應的網(wǎng)絡安全應急培訓，定期進行應急演練，確保應急演練有足夠的人力，設備，技術和資源。在演習結束時，有必要重新審查和評估應急計劃并對其進行修改。

4、總結

銀行的網(wǎng)絡安全管理涉及多層次的戰(zhàn)略，組織，系統(tǒng)，技術等，必須抵御外部攻擊。防范內(nèi)部風險也是必要的，任何遺漏都可能影響網(wǎng)絡安全的整體水平。為了實現(xiàn)網(wǎng)絡安全目標，構成網(wǎng)絡安全的所有木板必須具有一定的長度。為實現(xiàn)網(wǎng)絡安全目標，運用一定的手段或措施。技術、管理雙管齊下，建立合理的網(wǎng)絡安全管理體系，讓堅固的安全堡壘助力用戶在風起云涌的金融新形勢下立于不敗之地?，F(xiàn)代銀行業(yè)的發(fā)展離不開網(wǎng)絡技術的應用。所有主要商業(yè)銀行都將網(wǎng)絡安全置于網(wǎng)絡建設的關鍵位置。網(wǎng)絡安全已演變成一個必須首先在建立銀行網(wǎng)絡的過程中加以考慮和解決的問題。[[4]]目前，我省當?shù)厣虡I(yè)銀行起步較晚，但發(fā)展迅速。因此，加強網(wǎng)絡安全管理已成為當?shù)厣虡I(yè)銀行的首要任務。而此次地方性商業(yè)銀行網(wǎng)絡安全管理現(xiàn)狀調查，不僅全面了解甘肅省地方性商業(yè)銀行網(wǎng)絡安全管理現(xiàn)狀，而且準確掌握銀行業(yè)金融機構抵抗網(wǎng)絡風險的能力。它將為未來人民銀行指導全省銀行業(yè)金融機構網(wǎng)絡安全管理建設提供堅實的基礎。

參考文獻：

[[1]]李東榮.加快推進城市商業(yè)銀行金融科技建設[J].金融電子化，2018（4）：08-10.

[[2]]錢繼勝.中小城市商業(yè)銀行信息安全管理探討[J].金融科技時代，2014（5）：101-103

[[3]]孔潔.地方性金融機構信息安全隱患及建議[J].金融科技時代，2016（12）：45-47

[[4]]周瀅.互聯(lián)網(wǎng)金融背景下地方性商業(yè)銀行金融創(chuàng)新[J].現(xiàn)代經(jīng)濟信息，2019（2）：351

聯(lián)系方式：段夢博? 中國人民銀行蘭州中心支行? 甘肅省蘭州市城關區(qū)東崗西路698號? 730000

作者簡介：段夢博（1983年），男，漢族，甘肅武威人，碩士研究生，工程師，主要從事網(wǎng)絡維護和網(wǎng)絡安全工作。