地方性商業(yè)銀行網(wǎng)絡(luò)安全管理調(diào)查與探討

摘? 要：在當(dāng)前新一輪科技革命和產(chǎn)業(yè)變革的形勢(shì)下，金融與科技的融合發(fā)展已成為未來發(fā)展的大趨勢(shì)，銀行業(yè)的發(fā)展離不開科技力量的支持，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)技術(shù)的高速發(fā)展正深刻改變著傳統(tǒng)的銀行運(yùn)營(yíng)模式，成為銀行業(yè)務(wù)發(fā)展和創(chuàng)新的重要推動(dòng)力。[[1]]在國(guó)內(nèi)銀行業(yè)金融科技如火如荼發(fā)展的大背景下，甘肅省地方性商業(yè)銀行緊隨發(fā)展趨勢(shì)，積極開展移動(dòng)互聯(lián)網(wǎng)金融建設(shè)，積極促進(jìn)了銀行各項(xiàng)業(yè)務(wù)的發(fā)展。隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，人民經(jīng)濟(jì)生活與網(wǎng)絡(luò)的融合飛速發(fā)展，對(duì)地方性商業(yè)銀行網(wǎng)絡(luò)金融服務(wù)供給提出了更高要求，銀行業(yè)網(wǎng)絡(luò)安全管理也面臨著巨大的考驗(yàn)。本文以人民銀行開展地方性商業(yè)銀行網(wǎng)絡(luò)安全調(diào)研為契機(jī)，對(duì)地方性商業(yè)銀行網(wǎng)絡(luò)安全管理開展深入研究，并提出相關(guān)建議。

關(guān)鍵詞：網(wǎng)絡(luò)安全管理;地方性商業(yè)銀行;風(fēng)險(xiǎn)管理;金融科技

中圖分類號(hào)： TP393????? 文獻(xiàn)標(biāo)志碼：A

1、甘肅省地方性商業(yè)銀行網(wǎng)絡(luò)安全管理概述

甘肅省地方性商業(yè)銀行發(fā)展起步較晚，但近些年其業(yè)務(wù)內(nèi)容擴(kuò)展迅速，營(yíng)業(yè)范圍和網(wǎng)點(diǎn)數(shù)量急劇增加，為實(shí)現(xiàn)普惠金融、綠色金融，支持扶貧脫貧提供了有效補(bǔ)充，成為甘肅省銀行業(yè)不可缺少的力量。在國(guó)內(nèi)銀行業(yè)信息技術(shù)快速發(fā)展的背景下，甘肅省地方商業(yè)銀行緊跟國(guó)家經(jīng)濟(jì)發(fā)展的大趨勢(shì)。積極研究大數(shù)據(jù)，云計(jì)算和網(wǎng)絡(luò)態(tài)勢(shì)感知等新技術(shù)，并付諸于實(shí)際應(yīng)用，積極轉(zhuǎn)型為移動(dòng)互聯(lián)網(wǎng)金融銀行和信息銀行。在金融業(yè)信息技術(shù)快速發(fā)展的過程中，經(jīng)過多年的持續(xù)建設(shè)，甘肅省地方商業(yè)銀行在硬件設(shè)施、業(yè)務(wù)電子化程度和處理效率等方面與國(guó)內(nèi)總體水平相當(dāng)，但是，金融科技創(chuàng)新也帶來技術(shù)、網(wǎng)絡(luò)、數(shù)據(jù)的多重風(fēng)險(xiǎn)疊加，間接影響區(qū)域金融穩(wěn)定和金融網(wǎng)絡(luò)安全。因此，地方性商業(yè)銀行在提升金融科技水平的同時(shí)，更要加強(qiáng)網(wǎng)絡(luò)安全管理水平。本文以甘肅省地方性商業(yè)銀行為例，對(duì)其網(wǎng)絡(luò)安全管理情況開展了深入調(diào)查研究，并針對(duì)具體問題提出相關(guān)建議和意見。

2、甘肅省地方性商業(yè)銀行網(wǎng)絡(luò)安全管理現(xiàn)狀

經(jīng)過多年的不斷建設(shè)，甘肅省地方性商業(yè)銀行初步建立了比較完善的網(wǎng)絡(luò)體系。但是，網(wǎng)絡(luò)安全管理是商業(yè)銀行健全運(yùn)營(yíng)和可持續(xù)發(fā)展的基礎(chǔ)，甘肅省地方性商業(yè)銀行網(wǎng)絡(luò)安全管理水平仍落后于國(guó)有商業(yè)銀行和國(guó)內(nèi)外發(fā)達(dá)銀行。

2.1、網(wǎng)絡(luò)安全管理體系不夠完善

甘肅省地方性商業(yè)銀行網(wǎng)絡(luò)安全組織機(jī)構(gòu)設(shè)置方面，各機(jī)構(gòu)都成立了網(wǎng)絡(luò)安全管理委員會(huì)或類似組織，全部明確管理分布和分工職責(zé)，分管網(wǎng)絡(luò)安全管理工作的機(jī)構(gòu)領(lǐng)導(dǎo)是本機(jī)構(gòu)第一責(zé)任人，在核心部門建立了一名全職或兼職的網(wǎng)絡(luò)安全管理員。首先，本次調(diào)查中有大部分的機(jī)構(gòu)認(rèn)為部門協(xié)作困難是阻礙網(wǎng)絡(luò)安全管理的主要困難。由于缺乏統(tǒng)一的網(wǎng)絡(luò)安全管理協(xié)調(diào)部門和完善的協(xié)調(diào)機(jī)制，不僅增加了網(wǎng)絡(luò)安全建設(shè)協(xié)調(diào)溝通成本，降低了網(wǎng)絡(luò)安全建設(shè)效率，而且割裂了銀行內(nèi)部科技部門與業(yè)務(wù)部門間的融合，導(dǎo)致業(yè)務(wù)部門與科技部門彼此理解困難，業(yè)務(wù)部門不能根據(jù)自身發(fā)展情況提出合理網(wǎng)絡(luò)安全需求，科技部門掌握技術(shù)卻無法把握業(yè)務(wù)安全的發(fā)展方向，影響網(wǎng)絡(luò)安全的建設(shè)水平。其次，網(wǎng)絡(luò)安全投資結(jié)構(gòu)存在“軟硬”現(xiàn)象，部分機(jī)構(gòu)投資不足。甘肅省地方性金融機(jī)構(gòu)建設(shè)主要集中在硬件設(shè)備的更替上，管理機(jī)制上投入力度不大，各機(jī)構(gòu)通過培訓(xùn)提升員工網(wǎng)絡(luò)安全意識(shí)的重視程度不夠，網(wǎng)絡(luò)安全建設(shè)環(huán)境較為封閉，引入外部咨詢的意愿不強(qiáng)。

2.2、網(wǎng)絡(luò)安全管理總體水平不高

首先，甘肅省地方商業(yè)銀行的性質(zhì)使高級(jí)管理層更加關(guān)注銀行業(yè)務(wù)，忽視了為基層服務(wù)的網(wǎng)絡(luò)安全管理體系，認(rèn)為網(wǎng)絡(luò)安全就是購買網(wǎng)絡(luò)安全設(shè)備或安全系統(tǒng)。其次，甘肅省商業(yè)銀行員工普遍認(rèn)為網(wǎng)絡(luò)安全管理工作主要依靠網(wǎng)絡(luò)人員和技術(shù)。最后，業(yè)務(wù)系統(tǒng)操作和維護(hù)人員過分強(qiáng)調(diào)網(wǎng)絡(luò)系統(tǒng)的可用性，并將網(wǎng)絡(luò)安全管理視為技術(shù)問題。人們認(rèn)為網(wǎng)絡(luò)安全管理工作只是業(yè)務(wù)網(wǎng)絡(luò)安全和核心主機(jī)服務(wù)器的安全性。實(shí)際上，網(wǎng)絡(luò)安全管理工作更關(guān)注管理問題。[[2]]

2.3.網(wǎng)絡(luò)建設(shè)投入不足，系統(tǒng)軟硬件環(huán)境落后

地方商業(yè)銀行通常只關(guān)注新業(yè)務(wù)系統(tǒng)的上線運(yùn)行，無法針對(duì)業(yè)務(wù)發(fā)展的需要來部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。目前銀行業(yè)都是網(wǎng)絡(luò)規(guī)劃集中管理，高達(dá)86.7%的全國(guó)性銀行的網(wǎng)絡(luò)安全規(guī)劃是由總行制定的，核心業(yè)務(wù)系統(tǒng)建設(shè)、網(wǎng)絡(luò)安全體系建設(shè)和網(wǎng)絡(luò)建設(shè)則全部由總行規(guī)劃實(shí)施。一方面說明總行層面信息系統(tǒng)建設(shè)已形成較為完整的網(wǎng)絡(luò)安全建設(shè)體系，分支機(jī)構(gòu)在網(wǎng)絡(luò)安全建設(shè)方面的自主性較弱，另一方面也反映出分支機(jī)構(gòu)結(jié)合自身實(shí)際情況，自主規(guī)劃建設(shè)的意愿相對(duì)較低。目前，甘肅省地方性商業(yè)銀行著力于開展云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)金融、人工智能等技術(shù)的應(yīng)用，但對(duì)于相關(guān)的網(wǎng)絡(luò)安全管理方面投入不足，造成了金融科技發(fā)展的“木桶效應(yīng)”。

2.4.缺乏風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和應(yīng)急響應(yīng)能力不足

移動(dòng)互聯(lián)網(wǎng)金融為銀行業(yè)帶來了新的發(fā)展方向，也帶來了新的風(fēng)險(xiǎn)。網(wǎng)絡(luò)系統(tǒng)本身的不正確設(shè)計(jì)和規(guī)劃，人為錯(cuò)誤，安全管理系統(tǒng)不足以及系統(tǒng)實(shí)施不足都可能導(dǎo)致系統(tǒng)故障和業(yè)務(wù)中斷。對(duì)于網(wǎng)絡(luò)系統(tǒng)威脅和風(fēng)險(xiǎn)事件，一些地方銀行尚未建立網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)識(shí)別，測(cè)量，監(jiān)控，報(bào)告和控制管理標(biāo)準(zhǔn)，它不能通過科學(xué)方法事先發(fā)現(xiàn)，只能在問題發(fā)生后被動(dòng)處理。另外，災(zāi)難恢復(fù)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的容錯(cuò)難以滿足業(yè)務(wù)安全的要求，緊急事件處理過程缺乏業(yè)務(wù)部門的積極參與。

2.5、網(wǎng)絡(luò)科技治理體系薄弱

甘肅省地方性商業(yè)銀行科技人員隊(duì)伍建設(shè)相對(duì)滯后。一些地方性商業(yè)銀行總行的技術(shù)操作和維護(hù)人員較少，多崗位交叉現(xiàn)象突出。此外，科技培訓(xùn)投入有限，培訓(xùn)機(jī)會(huì)較少，科技人員知識(shí)更新周期長(zhǎng)，導(dǎo)致科技人員跟不上的金融業(yè)科技發(fā)展的節(jié)奏，降低了科技部門的系統(tǒng)運(yùn)行維護(hù)能力和風(fēng)險(xiǎn)管理控制能力。其次，特別是地方性商業(yè)銀行基層行的網(wǎng)絡(luò)安全防護(hù)能力非常薄弱，部分基層行網(wǎng)絡(luò)或安全管理員由業(yè)務(wù)人員兼職，維護(hù)經(jīng)驗(yàn)和安全意識(shí)不足。

2.6、安全防護(hù)需加重視，防護(hù)體系有待提高

各地方性商業(yè)銀行核心網(wǎng)絡(luò)承載了核心業(yè)務(wù)、運(yùn)營(yíng)管理、風(fēng)險(xiǎn)內(nèi)控等業(yè)務(wù)，因此各該組織在內(nèi)部網(wǎng)絡(luò)邊界構(gòu)建了一個(gè)由防火墻， IDS， IPS和其他保護(hù)工具組成的保護(hù)系統(tǒng)。與核心網(wǎng)的保護(hù)相比，一些機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)區(qū)域和外聯(lián)區(qū)域的網(wǎng)絡(luò)安全關(guān)注不夠。在當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)高度緊張的情況下，具有極大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和輿論風(fēng)險(xiǎn)。

3、地方性商業(yè)銀行網(wǎng)絡(luò)安全管理的建議

在網(wǎng)絡(luò)安全領(lǐng)域，仍存在重技術(shù)和光管理現(xiàn)象。從實(shí)際的角度來看，過度依賴技術(shù)預(yù)防不能從根本上消除復(fù)雜多變的安全威脅和各種技術(shù)風(fēng)險(xiǎn)。銀行業(yè)應(yīng)將網(wǎng)絡(luò)安全體系建設(shè)作為保障網(wǎng)絡(luò)安全，防范技術(shù)風(fēng)險(xiǎn)的重要手段，重視制度約束和規(guī)范管理?？茖W(xué)管理是提高網(wǎng)絡(luò)安全的重要手段。

3.1、提升網(wǎng)絡(luò)安全綜合管理能力

在發(fā)展的同時(shí)，樹立正確的網(wǎng)絡(luò)安全管理理念，增強(qiáng)網(wǎng)絡(luò)安全保護(hù)意識(shí)。網(wǎng)絡(luò)安全管理與當(dāng)?shù)厣虡I(yè)銀行的發(fā)展戰(zhàn)略和內(nèi)部管理密切相關(guān)，與每個(gè)業(yè)務(wù)系統(tǒng)的使用者密切相關(guān)。只有制度合理和操作合規(guī)才能保證網(wǎng)絡(luò)系統(tǒng)的安全。此外，加強(qiáng)對(duì)監(jiān)管層技術(shù)風(fēng)險(xiǎn)管理的研究，增加網(wǎng)絡(luò)安全管理實(shí)施者的專業(yè)培訓(xùn)。通過這種方式，改變了技術(shù)人員的網(wǎng)絡(luò)安全意識(shí)，提高了預(yù)防管理水平，建立了強(qiáng)大的網(wǎng)絡(luò)安全體系，有效提高了網(wǎng)絡(luò)安全保障能力。

3.2、科學(xué)分析建立量化網(wǎng)絡(luò)安全評(píng)級(jí)標(biāo)準(zhǔn)

隨著銀行業(yè)務(wù)的不斷創(chuàng)新和發(fā)展以及新網(wǎng)絡(luò)技術(shù)的應(yīng)用，網(wǎng)絡(luò)系統(tǒng)始終處于進(jìn)步之中。這也導(dǎo)致了新的安全漏洞和威脅的出現(xiàn)，這將隨時(shí)影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)和安全級(jí)別。因此，地方性商業(yè)銀行應(yīng)建立基于科學(xué)論證的動(dòng)態(tài)網(wǎng)絡(luò)安全狀態(tài)跟蹤和監(jiān)測(cè)機(jī)制。內(nèi)容應(yīng)涵蓋計(jì)算機(jī)房環(huán)境，網(wǎng)絡(luò)安全，安全操作和維護(hù)，主機(jī)應(yīng)用程序安全性以及應(yīng)用程序訪問網(wǎng)絡(luò)安全管理。可以參考《人民銀行網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全級(jí)別保護(hù)實(shí)施指南（試用）》和其他規(guī)定來設(shè)計(jì)滿足您需求的威脅和風(fēng)險(xiǎn)事件列表。通過定期評(píng)估，形成評(píng)估網(wǎng)絡(luò)安全性的基線，重點(diǎn)是監(jiān)測(cè)具有高威脅級(jí)別的預(yù)定義事件。便于建立全面的網(wǎng)絡(luò)安全應(yīng)急管理，客觀地掌握網(wǎng)絡(luò)安全工作。

3.3、完善網(wǎng)絡(luò)安全管理體系建設(shè)

各機(jī)構(gòu)需逐步建立網(wǎng)絡(luò)安全管理體系將其納入到機(jī)構(gòu)決策層，將網(wǎng)絡(luò)安全管理建設(shè)思想、方法和路徑充分傳遞給決策層，確保決策層始終了解網(wǎng)絡(luò)安全管理的最新趨勢(shì)，促進(jìn)網(wǎng)絡(luò)安全管理的建設(shè)更加全面和成熟。地方性商業(yè)銀行增加網(wǎng)絡(luò)安全管理咨詢投入，通過第三方機(jī)構(gòu)發(fā)現(xiàn)網(wǎng)絡(luò)安全管理建設(shè)問題，準(zhǔn)確研究網(wǎng)絡(luò)安全管理的發(fā)展趨勢(shì)，避免繞行網(wǎng)絡(luò)安全管理，提高網(wǎng)絡(luò)安全管理效率。[[3]]

3.4、加強(qiáng)網(wǎng)絡(luò)安全管理組織建設(shè)和人才隊(duì)伍建設(shè)

地方性商業(yè)銀行網(wǎng)絡(luò)安全人員和業(yè)務(wù)人員要加大交流力度，增進(jìn)彼此業(yè)務(wù)的相互學(xué)習(xí)。通過持續(xù)交流學(xué)習(xí)培養(yǎng)業(yè)務(wù)人員的網(wǎng)絡(luò)安全意識(shí)，網(wǎng)絡(luò)安全管理人員理解業(yè)務(wù)基本流程，提高業(yè)務(wù)安全要求的準(zhǔn)確性，不斷提高業(yè)務(wù)人員和網(wǎng)絡(luò)安全管理人員的網(wǎng)絡(luò)安全意識(shí)。鼓勵(lì)科技部門根據(jù)信息技術(shù)發(fā)展?fàn)顩r啟發(fā)業(yè)務(wù)部門提出網(wǎng)絡(luò)安全具體需求。加強(qiáng)網(wǎng)絡(luò)安全人員培訓(xùn)，加大高科技人才的引進(jìn)和交流。建立網(wǎng)絡(luò)安全管理和支持工作激勵(lì)，獎(jiǎng)懲機(jī)制，建立專業(yè)，高效，團(tuán)結(jié)的網(wǎng)絡(luò)安全管理團(tuán)隊(duì)和支持團(tuán)隊(duì)。

3.5、建立健全風(fēng)險(xiǎn)管理機(jī)制，加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)

地方性商業(yè)銀行應(yīng)完善風(fēng)險(xiǎn)管理機(jī)制，風(fēng)險(xiǎn)管理人員應(yīng)掌握應(yīng)急操作程序。分析自然災(zāi)害和人為災(zāi)害的時(shí)間，恢復(fù)時(shí)間和相關(guān)經(jīng)濟(jì)損失，并分析系統(tǒng)的脆弱性。建立針對(duì)不同威脅的風(fēng)險(xiǎn)評(píng)級(jí)列表，并制定技術(shù)和管理預(yù)防和控制措施以應(yīng)對(duì)風(fēng)險(xiǎn)。此外，在統(tǒng)一的應(yīng)急預(yù)案框架下，地方商業(yè)銀行應(yīng)制定各種網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案。定期組織相應(yīng)的網(wǎng)絡(luò)安全應(yīng)急培訓(xùn)，定期進(jìn)行應(yīng)急演練，確保應(yīng)急演練有足夠的人力，設(shè)備，技術(shù)和資源。在演習(xí)結(jié)束時(shí)，有必要重新審查和評(píng)估應(yīng)急計(jì)劃并對(duì)其進(jìn)行修改。

4、總結(jié)

銀行的網(wǎng)絡(luò)安全管理涉及多層次的戰(zhàn)略，組織，系統(tǒng)，技術(shù)等，必須抵御外部攻擊。防范內(nèi)部風(fēng)險(xiǎn)也是必要的，任何遺漏都可能影響網(wǎng)絡(luò)安全的整體水平。為了實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，構(gòu)成網(wǎng)絡(luò)安全的所有木板必須具有一定的長(zhǎng)度。為實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，運(yùn)用一定的手段或措施。技術(shù)、管理雙管齊下，建立合理的網(wǎng)絡(luò)安全管理體系，讓堅(jiān)固的安全堡壘助力用戶在風(fēng)起云涌的金融新形勢(shì)下立于不敗之地?，F(xiàn)代銀行業(yè)的發(fā)展離不開網(wǎng)絡(luò)技術(shù)的應(yīng)用。所有主要商業(yè)銀行都將網(wǎng)絡(luò)安全置于網(wǎng)絡(luò)建設(shè)的關(guān)鍵位置。網(wǎng)絡(luò)安全已演變成一個(gè)必須首先在建立銀行網(wǎng)絡(luò)的過程中加以考慮和解決的問題。[[4]]目前，我省當(dāng)?shù)厣虡I(yè)銀行起步較晚，但發(fā)展迅速。因此，加強(qiáng)網(wǎng)絡(luò)安全管理已成為當(dāng)?shù)厣虡I(yè)銀行的首要任務(wù)。而此次地方性商業(yè)銀行網(wǎng)絡(luò)安全管理現(xiàn)狀調(diào)查，不僅全面了解甘肅省地方性商業(yè)銀行網(wǎng)絡(luò)安全管理現(xiàn)狀，而且準(zhǔn)確掌握銀行業(yè)金融機(jī)構(gòu)抵抗網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力。它將為未來人民銀行指導(dǎo)全省銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全管理建設(shè)提供堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

[[1]]李東榮.加快推進(jìn)城市商業(yè)銀行金融科技建設(shè)[J].金融電子化，2018（4）：08-10.

[[2]]錢繼勝.中小城市商業(yè)銀行信息安全管理探討[J].金融科技時(shí)代，2014（5）：101-103

[[3]]孔潔.地方性金融機(jī)構(gòu)信息安全隱患及建議[J].金融科技時(shí)代，2016（12）：45-47

[[4]]周瀅.互聯(lián)網(wǎng)金融背景下地方性商業(yè)銀行金融創(chuàng)新[J].現(xiàn)代經(jīng)濟(jì)信息，2019（2）：351

聯(lián)系方式：段夢(mèng)博? 中國(guó)人民銀行蘭州中心支行? 甘肅省蘭州市城關(guān)區(qū)東崗西路698號(hào)? 730000

作者簡(jiǎn)介：段夢(mèng)博（1983年），男，漢族，甘肅武威人，碩士研究生，工程師，主要從事網(wǎng)絡(luò)維護(hù)和網(wǎng)絡(luò)安全工作。