银行网络安全治理工作思考
更新时间:2021-03-02
浏览量:1828

背 景

自2016年底我国《网络安全法》《国家网络空间安全战略》以及相关配套法律法规发布以来,网络安全工作重要性已经被各行各业接受。各家银行逐步加强网络安全工作投入,上线各种安全设备和系统,大幅提高应对各种安全威胁的防御能力。2019年以来,光大银行根据实际情况明确近期网络安全重点工作任务,主要包括:加大顶层设计,构建新型动态信息安全防御体系;打造一流安全合规能力、一流实战攻防能力;持续强化安全管理、安全运营、安全技术三个领域,推动信息化建设与信息安全“同步规划、同步建设、同步使用”,做实做精安全防护和运营体系。上述这些规划的工作目标在日常安全工作中起到了很好的引领作用,对完善光大银行整体网络安全防御体系起到了积极作用。

当前网络安全已经上升到国家层面,网络安全形势严峻、攻守双方技术博弈瞬息万变。金融业作为关键基础设施运营企业,应与时俱进,结合内外部因素进一步开展安全治理,推动各项安全工作有序开展。下面对银行业进一步深化网络安全治理工作驱动力,以及需要加强的治理方向、任务和思路进行阐述。

 

进一步强化网络安全治理工作力度的驱动因素

1.国家安全宏观要求

十九届五中全会公告提出“统筹发展和安全,建设更高水平的平安中国”。习总书记在关于《中共中央关于制定国民经济和社会发展第十四个五年计划和二零三五年远景目标的建议》(以下简称建议)的说明中指出:“我们越来越深刻地认识到,安全是发展的前提,发展是安全的保障”“增强机遇意识和风险意识,树立底线思维,把困难估计得更充分些”。在建议的十三章、49条提出“全面加强网络安全保障体系和能力建设”;50条中提出“维护水利、电力......金融等重要基础设施安全”。

十九届五中全会对网络安全工作提出了明确的目标要求,各家银行作为国家金融行业重要基础设施运营者,需要贯彻国家安全宏观要求,开展网络安全治理,加强安全保障体系和能力建设。

2.行业监管强力驱动

人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》,公安部发布等保2.0标准、印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,以及多部门联合发布的《网络安全审查办法》《个人敏感信息保护法》等等,都对网络安全工作提出大量合规要求,覆盖面之广、内容之详细前所未有,需要银行厘清各项安全合规制度、标准内容,通过安全治理抓手设定工作方案,变被动合规为主动能力提升。

2020年三季度人民银行印发的《向各商业银行开展金融业网络安全与信息化“十四五”发展规划调研工作》联系函,让各家银行更加感受到行业主管部门积极推动银行开展网络安全治理和规划工作的力度,“十四五”期间银行业网络安全工作将会迎来更大发展。

3.敌对势力破坏黑产肆意谋财

美国网军年度预算超过80亿美元,网军人数、武器库、分工都进一步增强。中美对抗、台海问题升温,网络战将是最前沿阵地,能源、金融、电信行业是网络战攻击首选目标,一旦开战银行将是一线阵地。目前黑产大肆利用勒索病毒攻击企业和个人,对全球企业造成巨大压力,曾导致本田停产、Garmin全球业务瘫痪。同时黑产利用身份证、手机号、卡号金融信息三要素组合猖狂开展资金欺诈。监管部门强调各家银行要对网络安全工作要有大局意识、政治意识、敌情意识,我认为应该再增加一个生存意识。网络安全工作不到位,银行正常运转将可能瞬间被破坏,不但要承受巨大损失和舆情危机,还要受到安全工作不到位的监管合规处罚。

4.夯实数字化转型安全底座

当前各家银行都已经开启数字化转型之路,光大银行也提出了打造数字化一流财富管理银行的目标,探索具有光大特色的“123+N”数字银行发展体系。无论从客户体验性、可用性、易用性、愉悦性哪一项出发,安全性始终是金融服务稳健经营的基石。由于数字智能化的程度越来越高,其背后的风险也越加隐蔽,对于金融安全的诉求也就愈加重要。实现网络安全工作价值的口号我们喊了很多年,没有哪一个时期能比现阶段更适合发挥安全的价值了,积极开展网络安全治理工作,安全价值必定会在这个时期凸显。

5.内部理顺安全工作需要

近几年各家银行都已经加大了网络安全工作人财物力量投入,安全相关团队、安全岗位人员、安全项目数量和安全资金投入都成倍增长,纵深部署的网络安全设备和控制软件众多。安全工作大幅投入带来安全工作的复杂性,新时期呈现的安全焦点问题,都需要各家银行加强安全治理力度,迭代演进提升安全工作效果。
 

银行业下一步网络安全治理主要任务及思路

国家安全、监管部门、敌对黑产、数字转型、理顺工作五个层面均需要进一步强化网络安全工作,各家银行应以更大的魄力推动安全工作机制的完善与革新,深入开展网络安全治理。

1.以底线思维调整网络安全方针策略

树立底线思维是统筹好发展与安全的关键。安全底线是在网络与信息安全所有领域,包括物理安全、网络安全、系统安全、应用安全、终端安全、人员安全、外包安全、新技术安全等等,明确安全管控的底线、红线。从方针政策层面落实推进安全底线,将对安全工作的各参与方提出更高要求,网络安全控制的脉络将更加清晰,保障能力可衡量水平将会大幅提高,银行开展数字化转型的安全底座将更加牢固。

2.外挂安全进阶到内生安全

当前网络边界模糊,堆砌安全防护设备见效快,但总有防不住的攻击,而且安全设备也有漏洞。传统的边界防护体系失灵,网络应用不断泛化,越来越难识别正常使用者和网络攻击者,模型显示会有20%的高级攻击者能够进入网络内部,这部分攻击者恰好是最大的破坏者。这种围墙式的外挂安全边界防护,已不再适应数字化时代的需求,现在需要构建与数字化业务融合的全面防御、动态防御和纵深防御的“内生安全”体系。通过“三同步”建设“事前防控”体系,把安全能力内置到业务系统当中,来感知、响应对业务系统和数据的任何破坏行为,摆脱“事后补救”的建设模式。与此同时让信息系统内不断生长出安全能力,这种能力具有像免疫系统一样的自主、自成长、自适应的特点,持续保证业务安全,真正做到“事前防控”。

3.安全左移,提升开发安全设计编码、安全漏洞发现能力

网络安全贯穿规划、设计、开发、测试、运维等整个IT建设生命周期。当前各家银行大量发现安全漏洞的阶段,是系统投产运维后,是因为在“右”侧建立了渗透、众测、漏扫等相对完善的能力,形成了“左”侧不断制造漏洞,“右”侧不断发现漏洞,“左”侧再不断修补漏洞的怪圈。应强化“左”侧安全能力,注重开发测试人员的安全技能培训、建设适合的安全测试工具和系统,由开发测试人员自助式地开展安全漏洞挖掘和修补,压缩“左”侧漏洞生成土壤。减少生产环境常规漏洞数量后,安全专业岗位人员可以拿出更多精力挖掘更深层次的漏洞和未知威胁。

4.数据安全治理要回归价值本源

当前数字经济对数据运用将更加开放、对数据流动性提出了更高要求。传统的对数据进行封闭性管理、限制流动、层层审批的旧有安全管控思路,已不再适应数字化转型的需要。目前一些企业内部存在数据无成本的无序流动,导致安全管理很被动。大家都在讲数据是新时期最重要的银行资产,但无成本的共享式数据使用,没有固定的成本付出和价值兑现框架、流程约束,在这种场景下数据安全保护一定是非常被动的。威胁情报公司、互联网公司对数据的保护很值得研究,他们的数据有价值,所以保护的动力很强,因为有明确的流程去兑现数据的价值,所以保护数据安全的思路也很清晰。

5.与安全公司合作共研金融新安全技术

近年来金融领域由于安全引起的重大资金损失和客户信息泄露案件频出,各银行在推进金融科技创新的同时也面临着内外部网络安全形势的严峻挑战。快速发展的金融科技带来的业务创新,对整个安全行业的安全基础研究投入和前瞻性研究提出了更高要求。银行可通过与头部专业安全公司合作建立联合创新实验室,打造融合网络安全理论研究、前瞻技术攻关、成熟技术场景验证、应用场景推广于一体的良性互动发展新模式。

网络安全治理是战略型治理、协作型治理、智慧型治理、技术型治理、主导型治理。做好网络安全治理,还要注重推动上游工作的变革。通过网络安全治理工作,制定清晰的网络安全治理方针、策略,并一以贯之,银行业网络安全保障体系和能力将更上一层楼。

背 景

自2016年底我国《网络安全法》《国家网络空间安全战略》以及相关配套法律法规发布以来,网络安全工作重要性已经被各行各业接受。各家银行逐步加强网络安全工作投入,上线各种安全设备和系统,大幅提高应对各种安全威胁的防御能力。2019年以来,光大银行根据实际情况明确近期网络安全重点工作任务,主要包括:加大顶层设计,构建新型动态信息安全防御体系;打造一流安全合规能力、一流实战攻防能力;持续强化安全管理、安全运营、安全技术三个领域,推动信息化建设与信息安全“同步规划、同步建设、同步使用”,做实做精安全防护和运营体系。上述这些规划的工作目标在日常安全工作中起到了很好的引领作用,对完善光大银行整体网络安全防御体系起到了积极作用。

当前网络安全已经上升到国家层面,网络安全形势严峻、攻守双方技术博弈瞬息万变。金融业作为关键基础设施运营企业,应与时俱进,结合内外部因素进一步开展安全治理,推动各项安全工作有序开展。下面对银行业进一步深化网络安全治理工作驱动力,以及需要加强的治理方向、任务和思路进行阐述。

 

进一步强化网络安全治理工作力度的驱动因素

1.国家安全宏观要求

十九届五中全会公告提出“统筹发展和安全,建设更高水平的平安中国”。习总书记在关于《中共中央关于制定国民经济和社会发展第十四个五年计划和二零三五年远景目标的建议》(以下简称建议)的说明中指出:“我们越来越深刻地认识到,安全是发展的前提,发展是安全的保障”“增强机遇意识和风险意识,树立底线思维,把困难估计得更充分些”。在建议的十三章、49条提出“全面加强网络安全保障体系和能力建设”;50条中提出“维护水利、电力......金融等重要基础设施安全”。

十九届五中全会对网络安全工作提出了明确的目标要求,各家银行作为国家金融行业重要基础设施运营者,需要贯彻国家安全宏观要求,开展网络安全治理,加强安全保障体系和能力建设。

2.行业监管强力驱动

人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》,公安部发布等保2.0标准、印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,以及多部门联合发布的《网络安全审查办法》《个人敏感信息保护法》等等,都对网络安全工作提出大量合规要求,覆盖面之广、内容之详细前所未有,需要银行厘清各项安全合规制度、标准内容,通过安全治理抓手设定工作方案,变被动合规为主动能力提升。

2020年三季度人民银行印发的《向各商业银行开展金融业网络安全与信息化“十四五”发展规划调研工作》联系函,让各家银行更加感受到行业主管部门积极推动银行开展网络安全治理和规划工作的力度,“十四五”期间银行业网络安全工作将会迎来更大发展。

3.敌对势力破坏黑产肆意谋财

美国网军年度预算超过80亿美元,网军人数、武器库、分工都进一步增强。中美对抗、台海问题升温,网络战将是最前沿阵地,能源、金融、电信行业是网络战攻击首选目标,一旦开战银行将是一线阵地。目前黑产大肆利用勒索病毒攻击企业和个人,对全球企业造成巨大压力,曾导致本田停产、Garmin全球业务瘫痪。同时黑产利用身份证、手机号、卡号金融信息三要素组合猖狂开展资金欺诈。监管部门强调各家银行要对网络安全工作要有大局意识、政治意识、敌情意识,我认为应该再增加一个生存意识。网络安全工作不到位,银行正常运转将可能瞬间被破坏,不但要承受巨大损失和舆情危机,还要受到安全工作不到位的监管合规处罚。

4.夯实数字化转型安全底座

当前各家银行都已经开启数字化转型之路,光大银行也提出了打造数字化一流财富管理银行的目标,探索具有光大特色的“123+N”数字银行发展体系。无论从客户体验性、可用性、易用性、愉悦性哪一项出发,安全性始终是金融服务稳健经营的基石。由于数字智能化的程度越来越高,其背后的风险也越加隐蔽,对于金融安全的诉求也就愈加重要。实现网络安全工作价值的口号我们喊了很多年,没有哪一个时期能比现阶段更适合发挥安全的价值了,积极开展网络安全治理工作,安全价值必定会在这个时期凸显。

5.内部理顺安全工作需要

近几年各家银行都已经加大了网络安全工作人财物力量投入,安全相关团队、安全岗位人员、安全项目数量和安全资金投入都成倍增长,纵深部署的网络安全设备和控制软件众多。安全工作大幅投入带来安全工作的复杂性,新时期呈现的安全焦点问题,都需要各家银行加强安全治理力度,迭代演进提升安全工作效果。
 

银行业下一步网络安全治理主要任务及思路

国家安全、监管部门、敌对黑产、数字转型、理顺工作五个层面均需要进一步强化网络安全工作,各家银行应以更大的魄力推动安全工作机制的完善与革新,深入开展网络安全治理。

1.以底线思维调整网络安全方针策略

树立底线思维是统筹好发展与安全的关键。安全底线是在网络与信息安全所有领域,包括物理安全、网络安全、系统安全、应用安全、终端安全、人员安全、外包安全、新技术安全等等,明确安全管控的底线、红线。从方针政策层面落实推进安全底线,将对安全工作的各参与方提出更高要求,网络安全控制的脉络将更加清晰,保障能力可衡量水平将会大幅提高,银行开展数字化转型的安全底座将更加牢固。

2.外挂安全进阶到内生安全

当前网络边界模糊,堆砌安全防护设备见效快,但总有防不住的攻击,而且安全设备也有漏洞。传统的边界防护体系失灵,网络应用不断泛化,越来越难识别正常使用者和网络攻击者,模型显示会有20%的高级攻击者能够进入网络内部,这部分攻击者恰好是最大的破坏者。这种围墙式的外挂安全边界防护,已不再适应数字化时代的需求,现在需要构建与数字化业务融合的全面防御、动态防御和纵深防御的“内生安全”体系。通过“三同步”建设“事前防控”体系,把安全能力内置到业务系统当中,来感知、响应对业务系统和数据的任何破坏行为,摆脱“事后补救”的建设模式。与此同时让信息系统内不断生长出安全能力,这种能力具有像免疫系统一样的自主、自成长、自适应的特点,持续保证业务安全,真正做到“事前防控”。

3.安全左移,提升开发安全设计编码、安全漏洞发现能力

网络安全贯穿规划、设计、开发、测试、运维等整个IT建设生命周期。当前各家银行大量发现安全漏洞的阶段,是系统投产运维后,是因为在“右”侧建立了渗透、众测、漏扫等相对完善的能力,形成了“左”侧不断制造漏洞,“右”侧不断发现漏洞,“左”侧再不断修补漏洞的怪圈。应强化“左”侧安全能力,注重开发测试人员的安全技能培训、建设适合的安全测试工具和系统,由开发测试人员自助式地开展安全漏洞挖掘和修补,压缩“左”侧漏洞生成土壤。减少生产环境常规漏洞数量后,安全专业岗位人员可以拿出更多精力挖掘更深层次的漏洞和未知威胁。

4.数据安全治理要回归价值本源

当前数字经济对数据运用将更加开放、对数据流动性提出了更高要求。传统的对数据进行封闭性管理、限制流动、层层审批的旧有安全管控思路,已不再适应数字化转型的需要。目前一些企业内部存在数据无成本的无序流动,导致安全管理很被动。大家都在讲数据是新时期最重要的银行资产,但无成本的共享式数据使用,没有固定的成本付出和价值兑现框架、流程约束,在这种场景下数据安全保护一定是非常被动的。威胁情报公司、互联网公司对数据的保护很值得研究,他们的数据有价值,所以保护的动力很强,因为有明确的流程去兑现数据的价值,所以保护数据安全的思路也很清晰。

5.与安全公司合作共研金融新安全技术

近年来金融领域由于安全引起的重大资金损失和客户信息泄露案件频出,各银行在推进金融科技创新的同时也面临着内外部网络安全形势的严峻挑战。快速发展的金融科技带来的业务创新,对整个安全行业的安全基础研究投入和前瞻性研究提出了更高要求。银行可通过与头部专业安全公司合作建立联合创新实验室,打造融合网络安全理论研究、前瞻技术攻关、成熟技术场景验证、应用场景推广于一体的良性互动发展新模式。

网络安全治理是战略型治理、协作型治理、智慧型治理、技术型治理、主导型治理。做好网络安全治理,还要注重推动上游工作的变革。通过网络安全治理工作,制定清晰的网络安全治理方针、策略,并一以贯之,银行业网络安全保障体系和能力将更上一层楼。