基層央行信息安全管理與行業(yè)協(xié)調(diào)工作模式實踐與探討

陳濤

摘要： 隨著信息技術(shù)的快速發(fā)展，特別是以大數(shù)據(jù)、人工智能、云計算、物聯(lián)網(wǎng)、區(qū)塊鏈為代表的新一代信息技術(shù)，在金融行業(yè)得到深入廣泛運用，金融業(yè)的網(wǎng)絡(luò)信息安全風險形勢嚴峻，風險防控任務(wù)艱巨。本文從基層央行的視角，分析金融業(yè)信息安全管理面臨的形勢及主要風險，探討基層央行實施“三道防線”提高信息安全的保障措施，行業(yè)指導協(xié)調(diào)的工作實踐與模式。

關(guān)鍵詞： 信息安全? 金融科技

一、基層央行信息安全管理面臨的形勢及主要風險分析

（一）金融業(yè)網(wǎng)絡(luò)安全形勢日趨復雜嚴峻

新技術(shù)的廣泛運用，在為金融發(fā)展正面賦能的同時，也使得風險的傳染性更強，隱蔽性更大，傳播速度更快，風險形勢更加錯綜復雜。一方面，伴隨金融信息基礎(chǔ)設(shè)施規(guī)模逐漸升級，通訊互聯(lián)互通范圍更加廣泛，生產(chǎn)操作自動化程度越來越高，傳統(tǒng)的網(wǎng)絡(luò)安全風險也隨之高度聚集，系統(tǒng)服務(wù)中斷事件時有發(fā)生，重要數(shù)據(jù)泄漏嚴重危害用戶利益;另一方面，金融科技風險不斷加劇，互聯(lián)網(wǎng)環(huán)境下，服務(wù)方式更加虛擬，業(yè)務(wù)邊界逐漸模糊，經(jīng)營環(huán)境不斷開放，也加大了信用風險、流動性風險等傳統(tǒng)金融風險產(chǎn)品、市場層面的外溢效應(yīng)，業(yè)務(wù)風險防控任務(wù)更加艱巨。由于行業(yè)的特殊性，金融歷來是網(wǎng)絡(luò)攻擊的重點之一。網(wǎng)絡(luò)黑客的攻擊手段也在不斷翻新，網(wǎng)絡(luò)攻擊行為從最初的零散性、偶發(fā)性行為，轉(zhuǎn)變?yōu)橛薪M織、規(guī)?；?，網(wǎng)絡(luò)空間的對抗和博弈不斷升級。網(wǎng)絡(luò)安全的形式非常嚴峻。

（二）金融業(yè)IT基礎(chǔ)設(shè)施風險隱患不容忽視

隨著金融機構(gòu)業(yè)務(wù)和信息化程度的快速發(fā)展，數(shù)據(jù)中心規(guī)模不斷擴大，支持金融業(yè)務(wù)的技術(shù)架構(gòu)和應(yīng)用日趨復雜，保障網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定運行所需維護的設(shè)備數(shù)量不斷增長，金融機構(gòu)IT運維部門面臨巨大壓力。金融機構(gòu)數(shù)據(jù)中心規(guī)模不斷擴大，支持金融業(yè)務(wù)的技術(shù)架構(gòu)和應(yīng)用日趨復雜，保障網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定運行所需維護的設(shè)備數(shù)量不斷增長，金融機構(gòu)IT運維部門面臨巨大壓力，監(jiān)控系統(tǒng)告警數(shù)量繁多，多為無效信息，運維人員很難迅速精準定位問題。關(guān)鍵IT基礎(chǔ)設(shè)施難以實現(xiàn)自主可控，存在巨大安全隱患。

（三）金融網(wǎng)絡(luò)安全生產(chǎn)事件時有發(fā)生

近年來，人民銀行和商業(yè)銀行在網(wǎng)絡(luò)信息系統(tǒng)的生產(chǎn)運維過程中，發(fā)生了多起安全生產(chǎn)事件：某行發(fā)生重要業(yè)務(wù)系統(tǒng)故障，造成系統(tǒng)無法正常運行50多小時;重要業(yè)務(wù)參數(shù)設(shè)置錯誤，造成堆棧溢出問題隱患，引發(fā)系統(tǒng)服務(wù)癱瘓;存儲虛擬化設(shè)備故障、光纖通信線路異常、機房配電柜掉電導致服務(wù)器宕機、核心系統(tǒng)業(yè)務(wù)中斷，遭受漏洞攻擊偽冒開立II、III類賬戶等。這些事件，有的是系統(tǒng)的漏洞，有的是被植入惡意程序，有的是設(shè)備的缺陷，有的是外圍監(jiān)控系統(tǒng)的傳染導致核心系統(tǒng)故障，可歸結(jié)為系統(tǒng)故障、基礎(chǔ)設(shè)施故障、網(wǎng)絡(luò)攻擊三類安全風險。

二、基層央行信息安全生產(chǎn)保障主要措施

人民銀行網(wǎng)絡(luò)系統(tǒng)作為金融業(yè)重要的連接樞紐，其網(wǎng)絡(luò)安全防御體系的建設(shè)對整個金融行業(yè)網(wǎng)絡(luò)安全防范能力提升具有重大意義。人民銀行昆明中心支行通過建立“三道防線”，加強網(wǎng)絡(luò)安全防御體系建設(shè)，夯實自身信息安全生產(chǎn)管理基礎(chǔ)。

（一）建立信息安全管理技術(shù)防線

1.提高網(wǎng)絡(luò)安全生產(chǎn)能力，開展IT基礎(chǔ)設(shè)施改造建設(shè)。開展業(yè)務(wù)網(wǎng)重構(gòu)工程和全省業(yè)務(wù)網(wǎng)電路提速建設(shè)，實施“五區(qū)三層”網(wǎng)絡(luò)架構(gòu)改造，實現(xiàn)業(yè)務(wù)網(wǎng)的規(guī)范化架構(gòu)管控。組織全省開展IT基礎(chǔ)設(shè)施風險排查，建立信息技術(shù)基礎(chǔ)設(shè)施臺賬和更新計劃。組織全省UPS標準化改造，實現(xiàn)全省縣支行UPS電源系統(tǒng)雙機熱備和負載均衡。

2.提高網(wǎng)絡(luò)安全防護能力，部署安全管理防護系統(tǒng)。建設(shè)和部署防病毒、補丁分發(fā)、漏洞掃描、審計堡壘機等系列安全防護系統(tǒng)，增添安全審計管理手段。建設(shè)云南省數(shù)據(jù)中心運維安全管理與審計系統(tǒng)，以技術(shù)手段實現(xiàn)對170余個應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備的操作跟蹤記錄、監(jiān)控和審計，有效防范運維操作風險。與安全類系統(tǒng)有效組合，全面提升安全管理技術(shù)水平。

3.提高網(wǎng)絡(luò)安全態(tài)勢感知力，部署網(wǎng)絡(luò)回溯分析系統(tǒng)。建設(shè)和部署網(wǎng)絡(luò)回溯分析系統(tǒng)，通過多維度網(wǎng)絡(luò)數(shù)據(jù)包分析，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢預警、網(wǎng)絡(luò)歷史數(shù)據(jù)回溯分析等功能，精準掌握網(wǎng)絡(luò)應(yīng)用健康狀況，實時感知網(wǎng)絡(luò)異常和潛在安全風險，加強網(wǎng)絡(luò)安全預警監(jiān)測，為支撐央行履職提供更好的網(wǎng)絡(luò)通信服務(wù)。部署一體化終端管理系統(tǒng)，實現(xiàn)“統(tǒng)一安全管控策略，快速分析定位事件，集中展示安全全貌”的終端管理模式，提高終端安全防控性能。

（二）建立信息安全管理督查防線

1.開展IT基礎(chǔ)設(shè)施風險排查。加強IT基礎(chǔ)設(shè)施風險隱患排查管，制定IT基礎(chǔ)設(shè)施風險排查指標方案，涵蓋機房、網(wǎng)絡(luò)、存儲、服務(wù)器、應(yīng)用系統(tǒng)、UPS、消防等243個排查項;開展網(wǎng)絡(luò)信息安全等級保護測評，全面梳理全省信息系統(tǒng)建設(shè)、綜合布線、防護措施調(diào)整等網(wǎng)絡(luò)安全管理工作。

2.開展信息安全檢查和審計。建立季度安全基線，采用動態(tài)抽查和交叉檢查相結(jié)合的方式，組織全省開展信息安全檢查，提高網(wǎng)絡(luò)安全保障能力和防護水平，提高網(wǎng)絡(luò)信息系統(tǒng)安全生產(chǎn)保障。

3.開展綜合性實戰(zhàn)應(yīng)急演練。組織全省州市中支開展IT應(yīng)急設(shè)備標準化工作，開展核心網(wǎng)絡(luò)設(shè)備、公文傳輸系統(tǒng)、省級數(shù)據(jù)中心機房供配電系統(tǒng)等多重應(yīng)急演練，充分檢驗了應(yīng)急機制和應(yīng)急預案的有效性;組織外聯(lián)機構(gòu)開展省級數(shù)據(jù)中心網(wǎng)絡(luò)“雙活”切換、MQ和Tonglink前置系統(tǒng)切換應(yīng)急演練，提高崗位人員應(yīng)對突發(fā)事件的綜合應(yīng)急處置能力。

（三）建立信息安全管理制度防線

1.落實規(guī)范數(shù)據(jù)中心機房管理制度。調(diào)研全省IT基礎(chǔ)設(shè)施情況，制訂《云南省數(shù)據(jù)中心機房管理辦法》《云南省數(shù)據(jù)中心機房巡檢實施細則》和《云南省數(shù)據(jù)中心機房值班管理辦法》等機房管理制度，確保數(shù)據(jù)中心機房安全穩(wěn)定運行有章可循。加強外包服務(wù)管理，梳理維保服務(wù)項目，制定信息化外包風險管理實施細則，開展技能培訓，強化“服務(wù)外包，責任不外包的”管理責任意識。

2.落實信息系統(tǒng)業(yè)務(wù)連續(xù)性分級保障制度。進一步完善自建信息系統(tǒng)管理，落實《中國人民銀行信息系統(tǒng)業(yè)務(wù)連續(xù)性分級保障標準》，梳理全轄在線運行的自建信息系統(tǒng)，針對不達標系統(tǒng)制定整改計劃，形成新建系統(tǒng)業(yè)務(wù)連續(xù)性分級保障新要求。

三、金融業(yè)信息安全協(xié)調(diào)實踐

人民銀行對金融機構(gòu)具有提供金融服務(wù)和開展金融監(jiān)管的職能。人民銀行昆明中心支行通過協(xié)調(diào)轄內(nèi)金融機構(gòu)信息安全風險防控、指導關(guān)鍵信息基礎(chǔ)設(shè)施保護等工作，履行行業(yè)指導協(xié)調(diào)的工作職責。

（一）把好“三個關(guān)口”提升服務(wù)質(zhì)量

1.把好金融城域網(wǎng)入網(wǎng)接入安全關(guān)。人民銀行昆明中心支行開展入網(wǎng)審查、現(xiàn)場技術(shù)環(huán)境核查、問題整改落實及入網(wǎng)實施等系列工作，為全省107家外聯(lián)機構(gòu)及其6000多個分支機構(gòu)提供安全穩(wěn)定的網(wǎng)絡(luò)通信服務(wù)。

2.把好銀行卡受理終端安全管理關(guān)。組織轄內(nèi)商業(yè)銀行和支付機構(gòu)，開展銀行卡受理終端安全管理檢查工作，加強信息保護和支付安全，通過微信平臺向公眾普及安全支付習慣，提升金融消費者個人信息保護的風險防范意識。

3.把好發(fā)卡技術(shù)安全符合性標準關(guān)。開展轄內(nèi)銀行業(yè)金融機構(gòu)金融IC卡發(fā)卡技術(shù)標準符合性和安全性審核，實施非銀行支付機構(gòu)的業(yè)務(wù)牌照續(xù)展技術(shù)審查、分類評級系統(tǒng)安全性審核，發(fā)布風險提示，督促各支付機構(gòu)采取有效措施及時整改，規(guī)避風險。

（二）加強金融業(yè)信息安全風險防控協(xié)調(diào)

1.建立銀行業(yè)信息安全協(xié)調(diào)機制。組織全省24家銀行業(yè)金融機構(gòu)，建立銀行業(yè)網(wǎng)絡(luò)安全協(xié)調(diào)工作機制，以預警通報、應(yīng)急聯(lián)動為主要內(nèi)容，圍繞信息安全等級保護等重點工作，發(fā)布信息安全通報，多次組織銀行業(yè)金融機構(gòu)順利完成重要期間的金融網(wǎng)絡(luò)安全保障工作，有效搭建起銀行業(yè)網(wǎng)絡(luò)安全工作經(jīng)驗交流工作平臺。

2.建立銀行業(yè)信息安全報備機制。加強轄內(nèi)銀行系統(tǒng)升級、應(yīng)急演練等工作的報備管理和風險防控。加強與網(wǎng)信辦、公安等信息安全管理部門協(xié)作配合，作為云南省網(wǎng)絡(luò)安全應(yīng)急聯(lián)動、信息安全等級保護、預警通報等機制成員單位，利用專題會議、微信、短信等多種方式共享信息，協(xié)調(diào)互動，提升行業(yè)信息安全指導統(tǒng)籌能力。

（三）加強金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護

1.探索關(guān)鍵信息基礎(chǔ)設(shè)施安全保護。金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施是國家網(wǎng)絡(luò)安全的重要組成部分，人民銀行昆明中心支行協(xié)同省委網(wǎng)信辦，組織富滇銀行成功申報2018年云南省關(guān)鍵信息基礎(chǔ)設(shè)施安全保護試點示范，研究金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃、平臺創(chuàng)新工作，從行業(yè)、技術(shù)標準化視角積極參與云南省網(wǎng)信辦關(guān)鍵信息基礎(chǔ)設(shè)施安全保護全國試點，增強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力，提高應(yīng)對網(wǎng)絡(luò)安全威脅多樣化、復雜化發(fā)展的挑戰(zhàn)能力。

2.落實數(shù)據(jù)安全保護任務(wù)部署。一方面，研究制定省級數(shù)據(jù)分析平臺數(shù)據(jù)信息應(yīng)用管理辦法，實施數(shù)據(jù)采集、傳輸、存儲、處理、備份、使用、暫存、銷毀等環(huán)節(jié)全生命周期管理，規(guī)范數(shù)據(jù)利用規(guī)程;另一方面，會同有關(guān)部門，開展省級數(shù)據(jù)分析平臺、境內(nèi)邊民人民幣賬戶服務(wù)平臺等級保護測評和性能測評工作，明確數(shù)據(jù)保護等級，落實數(shù)據(jù)安全保護責任。

3.推動行業(yè)國產(chǎn)密碼運用。深入推進國產(chǎn)芯片和密碼算法應(yīng)用，加快信息系統(tǒng)升級改造，指導商業(yè)銀行建立發(fā)卡激勵機制，以本地法人商業(yè)銀行為對象，與國家密碼管理局聯(lián)合推動行業(yè)國產(chǎn)密碼運用推廣。據(jù)統(tǒng)計，2019上半年，試點地方性銀行的POS、ATM終端國密改造全部完成，改造率均達到100%，發(fā)行PBOC3.0雙算法IC卡、布放支持國密算法ATM 和POS機增量占比日益提高，行業(yè)密碼應(yīng)用基礎(chǔ)得到夯實。

四、結(jié)束語

金融業(yè)是一個金融業(yè)務(wù)與信息技術(shù)深度融合的行業(yè)。金融業(yè)務(wù)的開展離不開新興信息技術(shù)的應(yīng)用推廣，更離不開網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運行。隨著金融科技的不斷深入融合應(yīng)用，未來還會遇到更多層出不窮的新技術(shù)、新業(yè)態(tài)，具有服務(wù)和監(jiān)管職能的基層央行，需要長期不懈的努力，及時了解掌握金融網(wǎng)絡(luò)安全的形勢和動態(tài)，提高網(wǎng)絡(luò)安全防護水平，有效應(yīng)對新挑戰(zhàn)。

（作者單位：中國人民銀行昆明中心支行科技處）