劉玉山 盛鑫 崔勇

在數(shù)字金融背景下，銀行業(yè)務(wù)及服務(wù)向平臺(tái)化、場(chǎng)景化、生態(tài)化方向發(fā)展，區(qū)塊鏈、云、人工智能等新技術(shù)的應(yīng)用，使第三方軟硬件供應(yīng)商激增，供應(yīng)鏈愈發(fā)龐大，其中衍生的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)爆發(fā)式增長(zhǎng)，如何平衡業(yè)務(wù)創(chuàng)新和風(fēng)險(xiǎn)管理成為各級(jí)管理者面臨的重大挑戰(zhàn)。中國(guó)工商銀行河南省分行高度重視科技安全工作，將科技安全工作納入金融科技發(fā)展和數(shù)字化委員會(huì)議程，統(tǒng)籌發(fā)展與安全，以高水平安全保障高質(zhì)量發(fā)展。

2023年10月召開的中央金融工作會(huì)議強(qiáng)調(diào)要“做好科技金融、綠色金融、普惠金融、養(yǎng)老金融、數(shù)字金融五篇大文章”，為金融工作指明了方向，也為金融科技工作提出了發(fā)展目標(biāo)。

工商銀行2021年10月成立金融科技與數(shù)字化發(fā)展委員會(huì)，作為全行數(shù)字化轉(zhuǎn)型發(fā)展的決策和協(xié)調(diào)機(jī)構(gòu)，在全行印發(fā)《深化數(shù)字化轉(zhuǎn)型總體方案》，推出“數(shù)字工行（D-ICBC）”品牌，以客戶為中心，聚焦三大核心目標(biāo)“提升用戶體驗(yàn)、提升業(yè)務(wù)效率、提升經(jīng)營(yíng)價(jià)值”，實(shí)施五維布局“數(shù)字生態(tài)、數(shù)字資產(chǎn)、數(shù)字技術(shù)、數(shù)字基建、數(shù)字基因”，加快推動(dòng)經(jīng)營(yíng)模式和治理模式的數(shù)字化變革，打造與現(xiàn)代化經(jīng)濟(jì)體系相適應(yīng)的“數(shù)字工行”。

在當(dāng)前數(shù)字金融背景下，中國(guó)工商銀行河南省分行積極落實(shí)中央金融工作會(huì)議精神和總行數(shù)字化工作要求，圍繞五維布局，深入推進(jìn)“數(shù)字工行”建設(shè)，并始終把做好金融科技安全工作放在基礎(chǔ)和保障的高度研究部署，采用“數(shù)據(jù)+技術(shù)”雙輪驅(qū)動(dòng)，以“縱深防御”理念為基礎(chǔ)，形成以基礎(chǔ)設(shè)施保障為基礎(chǔ)、安全運(yùn)營(yíng)監(jiān)控為核心、業(yè)務(wù)安全接口為支撐、協(xié)同響應(yīng)保障為目標(biāo)的信息安全技術(shù)防護(hù)體系，著力提升科技安全風(fēng)險(xiǎn)動(dòng)態(tài)防御和主動(dòng)防御能力。

金融科技安全實(shí)踐工作

1.強(qiáng)化管理引領(lǐng)統(tǒng)籌推動(dòng)

河南工行高度重視科技安全工作，一把手親自掛帥，將科技安全工作納入金融科技發(fā)展和數(shù)字化委員會(huì)議程，統(tǒng)籌發(fā)展與安全，以高水平安全保障高質(zhì)量發(fā)展。堅(jiān)持每季度召開科技安全專題會(huì)議，研究、安排全行網(wǎng)絡(luò)與信息安全工作，健全網(wǎng)絡(luò)與信息安全通報(bào)機(jī)制，形成“通力協(xié)作、齊抓共管”的良好局面；夯實(shí)各級(jí)機(jī)構(gòu)主要負(fù)責(zé)人科技安全工作第一責(zé)任人的管理職責(zé)，強(qiáng)化科技安全技術(shù)和管理體系建設(shè)，加大科技安全指標(biāo)考核力度，樹立“技術(shù)剛性控制先行、高效管控流程引航、違規(guī)高壓處罰保障”的科技安全工作理念。

2.強(qiáng)化信息安全風(fēng)險(xiǎn)管控

一是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)精準(zhǔn)數(shù)據(jù)傳輸。2022年底完成1121個(gè)網(wǎng)點(diǎn)三級(jí)網(wǎng)絡(luò)扁平化，采用1700余條扁平化物理線路和1100余路VPN撥號(hào)無(wú)線線路兩種模式直連省行，高效能、低成本地保障業(yè)務(wù)連續(xù)性；全面提升全省網(wǎng)絡(luò)基礎(chǔ)設(shè)施性能容量，完成二級(jí)分行68臺(tái)核心網(wǎng)絡(luò)設(shè)備升級(jí)，節(jié)點(diǎn)帶寬由千兆升級(jí)至萬(wàn)兆，以高可用、優(yōu)性能網(wǎng)絡(luò)確保業(yè)務(wù)數(shù)據(jù)傳輸安全穩(wěn)定。

二是立體化多維布局網(wǎng)絡(luò)安全防控。以“必要、必須、精準(zhǔn)”為原則，精確控制網(wǎng)絡(luò)訪問需求。在數(shù)據(jù)鏈路層做網(wǎng)絡(luò)硬控制，限定接入終端；在網(wǎng)絡(luò)層按功能劃分區(qū)域，使用訪問控制列表限制區(qū)域互訪，隔離各區(qū)域IP流量；在應(yīng)用流量層部署應(yīng)用策略控制設(shè)備，使用防火墻控制應(yīng)用接入，部署流量探針、專用IPS等設(shè)備監(jiān)測(cè)流量傳輸，多個(gè)維度共同發(fā)力保障網(wǎng)絡(luò)信息安全。

三是持續(xù)加強(qiáng)縱深防御體系建設(shè)。河南工行在做好防病毒等傳統(tǒng)防護(hù)系統(tǒng)建設(shè)的基礎(chǔ)上，部署了網(wǎng)絡(luò)異常行為感知、異常文件動(dòng)態(tài)監(jiān)測(cè)、高級(jí)威脅分析、零信任終端安全防護(hù)等多個(gè)業(yè)界領(lǐng)先的安全監(jiān)測(cè)與防護(hù)平臺(tái)，形成了多層次、全方位、高水平的安全技術(shù)防護(hù)體系；在縱深防御管理體系方面，制定了網(wǎng)絡(luò)安全、研發(fā)安全、供應(yīng)鏈安全、互聯(lián)網(wǎng)應(yīng)用安全等11個(gè)安全風(fēng)險(xiǎn)管理流程，規(guī)范了信息安全重點(diǎn)風(fēng)險(xiǎn)管理行為；在員工信息安全教育方面，采用現(xiàn)場(chǎng)授課、視頻培訓(xùn)、基層調(diào)研等多種形式，在全行范圍內(nèi)開展多層級(jí)、多維度的科技安全教育大宣講活動(dòng)，2023年已累計(jì)參訓(xùn)管理人員900余人，員工13000余人，參與率超90%，有效提升了轄內(nèi)員工信息安全意識(shí)，確保信息安全管控措施有效落地。

3.強(qiáng)化業(yè)務(wù)連續(xù)性管理

一是順利實(shí)現(xiàn)了生產(chǎn)機(jī)房平穩(wěn)搬遷。搬遷項(xiàng)目歷經(jīng)6個(gè)月，共涉及280臺(tái)服務(wù)器及網(wǎng)絡(luò)設(shè)備、1020條網(wǎng)絡(luò)線路、4套存儲(chǔ)設(shè)備、700多臺(tái)虛擬機(jī)、56個(gè)應(yīng)用系統(tǒng)，總數(shù)據(jù)量1200T。該項(xiàng)目的順利完成徹底解決生產(chǎn)機(jī)房存在的供電、防水、線路等風(fēng)險(xiǎn)隱患，強(qiáng)化了分行生產(chǎn)機(jī)房基礎(chǔ)設(shè)施的安全運(yùn)營(yíng)能力，進(jìn)一步鍛煉了科技隊(duì)伍，為業(yè)務(wù)發(fā)展和數(shù)字化轉(zhuǎn)型提供了牢固的科技支撐。

二是不斷提升業(yè)務(wù)應(yīng)急能力。第一，梳理應(yīng)急預(yù)案。根據(jù)工作實(shí)際，及時(shí)更新或新增應(yīng)急預(yù)案，細(xì)化應(yīng)急操作步驟，完善應(yīng)急響應(yīng)機(jī)制，強(qiáng)化第三方應(yīng)急保障，提高技術(shù)人員應(yīng)急處理水平。第二，落實(shí)應(yīng)急演練。2023年完成68次多場(chǎng)景的應(yīng)急演練，充分驗(yàn)證了生產(chǎn)系統(tǒng)應(yīng)急預(yù)案的有效性，提升了應(yīng)急保障能力，為信息系統(tǒng)連續(xù)性構(gòu)建堅(jiān)實(shí)屏障。

4.強(qiáng)化自主可控改造轉(zhuǎn)型

面對(duì)復(fù)雜多變的國(guó)際形勢(shì)以及數(shù)字經(jīng)濟(jì)的發(fā)展趨勢(shì)，自主可控作為我國(guó)全面推動(dòng)科技自立自強(qiáng)的重要舉措，其目的是打造安全可控的信息技術(shù)體系，建設(shè)開放共贏的信息產(chǎn)業(yè)生態(tài)。河南工行積極響應(yīng)中央決策部署，在硬件設(shè)備、軟件產(chǎn)品和應(yīng)用系統(tǒng)三大領(lǐng)域持續(xù)推進(jìn)自主可控改造轉(zhuǎn)型。首先是嚴(yán)控增量，對(duì)于新增的開放平臺(tái)服務(wù)器、集中式存儲(chǔ)、核心交換機(jī)等關(guān)鍵核心設(shè)備國(guó)產(chǎn)化率達(dá)到100%；其次是穩(wěn)轉(zhuǎn)存量，妥善制定應(yīng)用轉(zhuǎn)型計(jì)劃，2023年完成80%存量應(yīng)用系統(tǒng)改造轉(zhuǎn)型，2024年將完成全量應(yīng)用系統(tǒng)改造轉(zhuǎn)型；在業(yè)務(wù)場(chǎng)景積極運(yùn)用區(qū)塊鏈、人工AI等技術(shù)，打造出了智慧信貸等產(chǎn)品，增強(qiáng)風(fēng)險(xiǎn)識(shí)別能力，保障金融服務(wù)安全。

5.強(qiáng)化項(xiàng)目研發(fā)安全管控

修訂完善《河南省分行產(chǎn)品創(chuàng)新研發(fā)管理細(xì)則》，規(guī)范需求編寫、產(chǎn)品設(shè)計(jì)、研發(fā)、測(cè)試、投產(chǎn)和評(píng)價(jià)等創(chuàng)新研發(fā)全鏈條風(fēng)險(xiǎn)管理。一是建立項(xiàng)目質(zhì)量管理機(jī)制，做好項(xiàng)目安全設(shè)計(jì)和安全開發(fā)，提高身份鑒別、訪問控制、數(shù)據(jù)安全、交易安全等關(guān)鍵應(yīng)用安全設(shè)計(jì)質(zhì)量，做到功能完整、流程閉環(huán)、依法合規(guī)，契合用戶應(yīng)用和安全需要。二是建立項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制，對(duì)項(xiàng)目進(jìn)行預(yù)警管理，制定應(yīng)急預(yù)案，確保項(xiàng)目安全穩(wěn)定實(shí)施。三是建立項(xiàng)目后評(píng)價(jià)及低效退出機(jī)制，研發(fā)“河南分行項(xiàng)目后評(píng)價(jià)系統(tǒng)”，減少資源占用，杜絕非必要的安全風(fēng)險(xiǎn)暴露。

6.強(qiáng)化銀行數(shù)據(jù)安全管理

銀行客戶信息、交易信息等數(shù)據(jù)安全事關(guān)國(guó)家安全紅線，必須把數(shù)據(jù)安全貫穿到數(shù)據(jù)治理全過程。為實(shí)現(xiàn)這一目標(biāo)，河南工行建立全流程的數(shù)據(jù)安全管理制度。結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果，明確差異化的安全保護(hù)管理和技術(shù)措施要求，并制定數(shù)據(jù)處理操作規(guī)程，規(guī)范各類內(nèi)部審批和授權(quán)流程。同時(shí)，還建立了數(shù)據(jù)安全策略與標(biāo)準(zhǔn)，依法合規(guī)采集、應(yīng)用數(shù)據(jù)，依法保護(hù)客戶隱私，劃分?jǐn)?shù)據(jù)安全等級(jí)，明確訪問和拷貝等權(quán)限，監(jiān)控訪問和拷貝等行為，完善數(shù)據(jù)安全技術(shù)，定期審計(jì)數(shù)據(jù)安全。

目前面臨的挑戰(zhàn)

全球范圍內(nèi)的網(wǎng)絡(luò)安全局勢(shì)日益嚴(yán)峻，安全威脅逐步向國(guó)家重要行業(yè)和領(lǐng)域滲透。在數(shù)字金融背景下，銀行業(yè)務(wù)及服務(wù)向平臺(tái)化、場(chǎng)景化、生態(tài)化方向發(fā)展，區(qū)塊鏈、云、人工智能等新技術(shù)的應(yīng)用，以及開源代碼和組件的大量使用，使第三方軟硬件供應(yīng)商激增，供應(yīng)鏈愈發(fā)龐大，其中衍生的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)爆發(fā)式增長(zhǎng)，如何平衡業(yè)務(wù)創(chuàng)新和風(fēng)險(xiǎn)管理成為各級(jí)管理者面臨的重大挑戰(zhàn)。

一是數(shù)據(jù)管理問題。數(shù)字金融依賴于大量的數(shù)據(jù)收集、存儲(chǔ)、傳輸和分析，銀行內(nèi)部數(shù)據(jù)資產(chǎn)歷史存量巨大，信息化程度相對(duì)較低，大多以統(tǒng)計(jì)信息或登記信息的形式孤立存在，數(shù)據(jù)間的應(yīng)用關(guān)聯(lián)關(guān)系較少，銀行現(xiàn)階段掌握的數(shù)據(jù)，遠(yuǎn)遠(yuǎn)達(dá)不到全量，還存在數(shù)據(jù)覆蓋、數(shù)據(jù)維度、數(shù)據(jù)質(zhì)量等方面的問題。受限于部門權(quán)責(zé)邊界，難以對(duì)行內(nèi)數(shù)據(jù)資源進(jìn)行全口徑、全周期的有效管理。數(shù)據(jù)資源使用率不高，數(shù)據(jù)價(jià)值難以充分體現(xiàn)。同時(shí)，隨著數(shù)據(jù)資產(chǎn)不斷增長(zhǎng)，涉及機(jī)構(gòu)和人員激增，數(shù)據(jù)安全和隱私保護(hù)的難度和信息泄露風(fēng)險(xiǎn)也在不斷擴(kuò)大。

二是網(wǎng)絡(luò)與信息安全問題，業(yè)務(wù)增長(zhǎng)帶來的第三方接入增多，與第三方的邊界管理變得復(fù)雜。同時(shí)，國(guó)際國(guó)內(nèi)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，新的攻擊技術(shù)層出不窮，攻擊手段愈發(fā)多樣化，進(jìn)一步加劇了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這就需要我們一方面要筑牢網(wǎng)絡(luò)安全的防護(hù)堤壩，不斷提升網(wǎng)絡(luò)安全防護(hù)技術(shù)和能力，持續(xù)關(guān)注業(yè)務(wù)創(chuàng)新產(chǎn)品的研發(fā)質(zhì)量和風(fēng)險(xiǎn)管控水平，另一方面不斷強(qiáng)化全行網(wǎng)絡(luò)安全意識(shí)教育，提升全行的網(wǎng)絡(luò)安全管理水平。

三是互聯(lián)網(wǎng)資產(chǎn)安全問題，在當(dāng)前外部網(wǎng)絡(luò)與信息安全環(huán)境嚴(yán)峻，數(shù)字化轉(zhuǎn)型工作持續(xù)推進(jìn)的背景下，互聯(lián)網(wǎng)金融面臨著前所未有的挑戰(zhàn)。網(wǎng)絡(luò)黑客攻擊具有多樣性、復(fù)雜性和不可預(yù)見性，其影響涉及科技安全、經(jīng)濟(jì)安全以及政治安全等。近年來，由于河南工行數(shù)字化戰(zhàn)略的持續(xù)深入，互聯(lián)網(wǎng)應(yīng)用的需求呈現(xiàn)不斷上升趨勢(shì)，如稅務(wù)貸、非稅繳費(fèi)、醫(yī)保電子憑證、健步行、河南省全程電子化企業(yè)登記平臺(tái)預(yù)開戶、普惠貸款小助手等互聯(lián)網(wǎng)應(yīng)用項(xiàng)目陸續(xù)進(jìn)入研發(fā)、測(cè)試，上線投產(chǎn)階段，對(duì)核心內(nèi)網(wǎng)的沖擊日益增大，如何防范黑客攻擊，安全有效地加固互聯(lián)網(wǎng)應(yīng)用成為當(dāng)下工作必不可少的重要環(huán)節(jié)。

工作的思考

隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的不斷深入，金融服務(wù)發(fā)展呈現(xiàn)出線上化、數(shù)字化、智能化等特點(diǎn)。網(wǎng)絡(luò)環(huán)境越來越開放，系統(tǒng)架構(gòu)越來越復(fù)雜，外部網(wǎng)絡(luò)攻擊及內(nèi)部技術(shù)故障引起的服務(wù)中斷風(fēng)險(xiǎn)在不斷提高?？萍及踩粌H要做好信息系統(tǒng)網(wǎng)絡(luò)的高性能、高可用保障，更要適應(yīng)新形勢(shì)下的網(wǎng)絡(luò)安全變化，提前布局網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控，主動(dòng)擁抱新技術(shù)帶來的網(wǎng)絡(luò)安全挑戰(zhàn)。

一是統(tǒng)籌發(fā)展與安全，深化科技強(qiáng)行建設(shè)。全面貫徹落實(shí)工行《關(guān)于更好統(tǒng)籌發(fā)展和安全 深化科技強(qiáng)行建設(shè)的意見》的工作要求，健全科技治理架構(gòu)，完善風(fēng)險(xiǎn)防控體系，持續(xù)加大對(duì)科技安全的支持保障力度，以高水平安全保障高質(zhì)量發(fā)展，以高質(zhì)量發(fā)展促進(jìn)高水平安全，實(shí)現(xiàn)兩者良性互動(dòng)、兩翼齊飛。

二是厚植合規(guī)文化，嚴(yán)守底線思維。制度規(guī)范是最好的安全防御保護(hù)盾，通過多層級(jí)多形式的宣傳教育，使廣大員工合規(guī)意識(shí)入腦入心，自覺維護(hù)制度底線，主動(dòng)防范安全風(fēng)險(xiǎn)。

三是加強(qiáng)監(jiān)控預(yù)警，完善應(yīng)急管理。構(gòu)建立體化的安全防御體系，完善多層安全保護(hù)系統(tǒng)和訪問控制管理機(jī)制。通過系統(tǒng)監(jiān)控及時(shí)預(yù)警風(fēng)險(xiǎn)行為，通過應(yīng)急演練主動(dòng)發(fā)掘潛在風(fēng)險(xiǎn)，不斷完善應(yīng)急場(chǎng)景和應(yīng)急預(yù)案，不斷提升風(fēng)險(xiǎn)動(dòng)態(tài)防御和主動(dòng)防御能力。

四是強(qiáng)化互聯(lián)網(wǎng)資產(chǎn)管理，堵住重點(diǎn)風(fēng)險(xiǎn)。建立全行統(tǒng)一的互聯(lián)網(wǎng)資產(chǎn)臺(tái)賬，建立完善的風(fēng)險(xiǎn)管理體系。定期開展資產(chǎn)梳理、更新工作。依據(jù)總行制度，結(jié)合河南工行實(shí)際情況，制訂互聯(lián)網(wǎng)應(yīng)用安全風(fēng)險(xiǎn)控制流程，提升互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)管控水平。定期組織網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練，反復(fù)排查互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)，通過實(shí)戰(zhàn)檢驗(yàn)各機(jī)構(gòu)互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)防范能力。

五是借力用力，科學(xué)利用外包資源。在銀行科技安全防護(hù)實(shí)際工作中，技術(shù)部門因人員不足或?qū)I(yè)水平不夠等原因，對(duì)日趨復(fù)雜的安全防護(hù)任務(wù)往往力不從心。通過外包安全服務(wù)，借助外包公司規(guī)?；蛯I(yè)化的優(yōu)勢(shì)，利用他們豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)和技術(shù)能力，加強(qiáng)科技安全的資源和能力保障。同時(shí)，還可以使銀行從業(yè)人員快速獲得先進(jìn)的技術(shù)和專業(yè)知識(shí)，自身安全防護(hù)能力得到大幅提升。

六是儲(chǔ)備技術(shù)人才，應(yīng)對(duì)安全挑戰(zhàn)。加大對(duì)科技前沿新技術(shù)研究和開發(fā)投入，向有良好業(yè)務(wù)前景的新技術(shù)傾斜；制定有針對(duì)性的科技人才培養(yǎng)政策，向具備領(lǐng)軍人物素質(zhì)的高水平人才傾斜；加強(qiáng)科技隊(duì)伍新平臺(tái)、新技術(shù)的學(xué)習(xí)培訓(xùn)，加深與業(yè)內(nèi)外高水平機(jī)構(gòu)的技術(shù)交流，打造一支高水準(zhǔn)科技安全人才隊(duì)伍，以應(yīng)對(duì)日趨復(fù)雜的科技安全挑戰(zhàn)。

七是進(jìn)一步深化技術(shù)防、智能控，提高防控水平。首先，加強(qiáng)技術(shù)研發(fā)和創(chuàng)新，投入更多資源進(jìn)行技術(shù)研究和開發(fā)，提高技術(shù)水平，以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全威脅。例如，研究新的加密算法、安全協(xié)議和防護(hù)技術(shù)，以提高系統(tǒng)的安全性。其次，利用人工智能（AI）和機(jī)器學(xué)習(xí)（ML）技術(shù)，自動(dòng)識(shí)別和分析潛在的網(wǎng)絡(luò)攻擊，提高安全防護(hù)能力。例如，使用機(jī)器學(xué)習(xí)算法對(duì)大量網(wǎng)絡(luò)流量進(jìn)行分析，以識(shí)別異常行為和潛在攻擊。最后，通過自動(dòng)化和智能化手段，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的快速響應(yīng)和有效防御。例如，使用自動(dòng)化工具進(jìn)行漏洞掃描和修復(fù)，以及實(shí)時(shí)監(jiān)控系統(tǒng)和應(yīng)用程序的日志，以便及時(shí)發(fā)現(xiàn)異常行為和潛在攻擊。

責(zé)任編輯_趙曉璐