關(guān)于加強西藏轄區(qū)銀行業(yè)網(wǎng)絡(luò)安全管理的思考*

劉蘭

（西藏大學(xué)經(jīng)濟與管理學(xué)院，西藏 拉薩 850000）

2017 年5 月，肆虐全球的“勒索”病毒將網(wǎng)絡(luò)安全推到了風(fēng)口浪尖；2018 年10 月，F(xiàn)acebook 被爆8700 萬用戶數(shù)據(jù)被不當(dāng)泄露給政治咨詢公司［1］；2019 年，某酒店5 億客戶數(shù)據(jù)泄露，龐大的數(shù)字不僅是造成了個人信息的泄露，對當(dāng)事人也造成了巨大的損失。銀行業(yè)更是存儲了海量的客戶數(shù)據(jù)，觸目驚心的案例對傳統(tǒng)銀行業(yè)保障網(wǎng)絡(luò)和數(shù)據(jù)安全、維護金融消費者權(quán)益敲響了警鐘。西藏轄區(qū)銀行業(yè)金融機構(gòu)抓住“互聯(lián)網(wǎng)+”機遇，利用大數(shù)據(jù)、云計算、移動互聯(lián)等新興信息技術(shù)[2]，不斷創(chuàng)新藏式特殊金融產(chǎn)品，金融服務(wù)讓利于民的成效凸顯，但由于過渡依賴通訊網(wǎng)絡(luò)，安全風(fēng)險也伴隨而至，銀行IT 主管部門更是如履薄冰、疲于應(yīng)付。為維護轄區(qū)金融安全和社會穩(wěn)定，轄區(qū)銀行業(yè)應(yīng)從金融行業(yè)安全事件案例中汲取教訓(xùn)，查找短板，彌補差距，精準(zhǔn)發(fā)力，切實加強網(wǎng)絡(luò)風(fēng)險治理，促進金融服務(wù)普惠民生。

1 西藏銀行業(yè)網(wǎng)絡(luò)安全管理存在的問題

1.1 網(wǎng)絡(luò)安全意識不高、基礎(chǔ)設(shè)施面臨挑戰(zhàn)

一是銀行機構(gòu)普遍認為自己使用專線內(nèi)部網(wǎng)絡(luò)，與外界物理隔離，不可能遭受惡意代碼程序、黑客攻擊等事件；另外認為安裝了防病毒、防攻擊等安全產(chǎn)品，就能夠及時防范網(wǎng)絡(luò)安全風(fēng)險。二是普通銀行用戶認為牢記密碼、網(wǎng)絡(luò)銀行終端安裝殺毒軟件便可確保資金安全，但通過在PC 終端或移動支付終端設(shè)置木馬后門等手段可輕易獲取銀行賬號、密碼等信息；另外鄉(xiāng)村一級的銀行用戶文化程度不高，接受金融安全教育機會少，安全防范措施知之甚少，面臨的資金加之支付交易雙安全風(fēng)險更大。三是銀行用戶對虛假金融信息的識別、判斷能力不高，掌握的信息不對稱，易遭受垃圾廣告、電信詐騙、誤入釣魚網(wǎng)站等資金安全威脅。四是盡管各銀行已實施國產(chǎn)化戰(zhàn)略，但關(guān)鍵性基礎(chǔ)設(shè)施的工藝控制系統(tǒng)仍受制于人，自主可控能力仍待加強，有的分支機構(gòu)還飽受電力供應(yīng)不足、有線網(wǎng)絡(luò)持續(xù)穩(wěn)定運行能力不高的困擾，網(wǎng)絡(luò)安全形勢依然嚴(yán)峻。中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截止2020 年3 月，遭遇過網(wǎng)絡(luò)安全事件用戶占比達到整體網(wǎng)民的43.6%，其中個人信息泄露是首要網(wǎng)絡(luò)安全問題，在網(wǎng)絡(luò)安全事件中占比為23.3%.可見，加強網(wǎng)絡(luò)安全管理，保障金融消費者權(quán)益，應(yīng)引起高度重視。

1.2 防護體系建設(shè)滯后

銀行機構(gòu)普遍存在僥幸心理，沒有形成主動防范、積極應(yīng)對的風(fēng)險意識，更不能從根本上提高網(wǎng)絡(luò)安全監(jiān)測、防護、響應(yīng)等能力[3]。一是銀行使用的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備分別來自不同的供應(yīng)商，安全防護水平參差不齊，如轄內(nèi)某銀行安裝的趨勢產(chǎn)品，在病毒防護方面表現(xiàn)不盡人意，導(dǎo)致其轄內(nèi)縣支行的計算機終端感染木馬病毒的事件時常發(fā)生，已經(jīng)成為威脅農(nóng)業(yè)銀行內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險隱患[4]。二是各銀行在一級支行部署了防火墻、防病毒、漏洞掃描、入侵檢測、網(wǎng)絡(luò)審計等安全防護設(shè)備和系統(tǒng)，但不同安全專用系統(tǒng)的監(jiān)測、預(yù)警措施相對孤立，不能對已發(fā)現(xiàn)的安全威脅進行全局預(yù)警和聯(lián)動防護。此外，一些訪問控制措施執(zhí)行不到位，包括安全策略落實不夠嚴(yán)格、網(wǎng)絡(luò)口令管理不嚴(yán)、未開啟系統(tǒng)審計功能的不合規(guī)情況仍然存在。三是除一級支行、農(nóng)行二級支行網(wǎng)絡(luò)節(jié)點外，其它銀行分支機構(gòu)皆未安裝部署防火墻和入侵防御硬件產(chǎn)品，容易使網(wǎng)絡(luò)內(nèi)部感染病毒、攻擊行為無法進行有效的監(jiān)測和處置。

1.3 網(wǎng)絡(luò)安全協(xié)調(diào)機制不健全

由于電力、通信、交通等基礎(chǔ)設(shè)施不完善，西藏轄區(qū)銀行網(wǎng)絡(luò)安全威脅主要包括：網(wǎng)絡(luò)通信中斷、電力供應(yīng)中斷、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪等[5]。這些風(fēng)險的處置將涉及到公安部門、通信管理部門、電力部門等多個不同領(lǐng)域的專業(yè)機構(gòu)，由于各自的職責(zé)不同，在日常工作接觸少，缺乏必要的溝通與了解，致使多方掌握的信息不對稱，協(xié)調(diào)工作存在一定的難度?！段鞑亟鹑跇I(yè)信息安全協(xié)調(diào)工作機制指引》（簡稱“指引”）中明確了各成員單位的職責(zé)和任務(wù)，建立了定期聯(lián)系會議制度，由于涉及跨行業(yè)跨部門的溝通、協(xié)作，以及各行業(yè)應(yīng)急協(xié)調(diào)管理的專業(yè)指導(dǎo)，指引的影響范圍有限、約束力有待加強[6]，其實現(xiàn)最終目的存在一定困難。

1.4 網(wǎng)絡(luò)安全管理經(jīng)驗不足、隊伍待壯大

轄內(nèi)商業(yè)銀行中，除自治區(qū)級機構(gòu)外，農(nóng)業(yè)銀行、郵政儲蓄銀行在地市一級設(shè)有信息技術(shù)部門和網(wǎng)絡(luò)管理人員，其他單位及縣級機構(gòu)無專業(yè)技術(shù)人員。從技術(shù)掌握層面看，我們對網(wǎng)絡(luò)攻擊、信息竊取等黑客技術(shù)了解不深、研究不透，網(wǎng)絡(luò)安全管理工作滯后。從人才專業(yè)性層面看，缺少掌握網(wǎng)絡(luò)安全技術(shù)的專業(yè)人才，隊伍還有待發(fā)展壯大。

2 制約銀行業(yè)網(wǎng)絡(luò)安全管理的因素

2.1 重視程度不高、思想不統(tǒng)一

銀行以追求利益最大化為原則，在如何加強網(wǎng)絡(luò)安全風(fēng)險治理方面，思想認識不夠統(tǒng)一，潛在風(fēng)險意識不強，重應(yīng)用輕安全的觀念依然存在，仍認為現(xiàn)金、槍支、彈藥等傳統(tǒng)風(fēng)險點自主安全可控，便無其他風(fēng)險。另外，銀行業(yè)多元化經(jīng)營，使網(wǎng)絡(luò)安全風(fēng)險的關(guān)聯(lián)性和傳導(dǎo)性增強。部分銀行分支機構(gòu)在安全生產(chǎn)方面存在敷衍了事、得過且過的現(xiàn)象，重視程度不夠，偏好于業(yè)務(wù)營銷；部分金融業(yè)務(wù)部門還存在網(wǎng)絡(luò)安全規(guī)章制度執(zhí)行不到位、有章不循的現(xiàn)象，甚至存在無計算機安全組織機構(gòu)的情況。

2.2 自主運維效能差，過分依靠外包

一方面由于人員緊張，銀行將設(shè)備管理、安全策略配置等任務(wù)委托第三方專業(yè)服務(wù)公司，另一方面由于未設(shè)立信息技術(shù)部門，部分銀行分支機構(gòu)網(wǎng)絡(luò)運維管理基本依靠外包服務(wù)，上述兩種情況存在服務(wù)流程流于形式、過度依賴外包服務(wù)公司等情況，直接影響了自主運維和應(yīng)急處置能力，還存在泄漏客戶信息的風(fēng)險隱患。此外，部分銀行分支機構(gòu)的網(wǎng)絡(luò)設(shè)備由上級行和供應(yīng)商提供及現(xiàn)場安裝，本地工作人員的運維能力沒有及時跟進，這已成為影響網(wǎng)絡(luò)安全和持續(xù)運營的重要因素之一。

2.3 監(jiān)管職能有限，缺乏有效指導(dǎo)

由于缺乏對商業(yè)銀行信息安全工作指導(dǎo)和協(xié)調(diào)的規(guī)范和措施，人民銀行科技部門依照國務(wù)院“三定”方案履行的職責(zé)始終處于表面，不能深層次發(fā)現(xiàn)、挖掘影響轄內(nèi)金融安全與穩(wěn)定的網(wǎng)絡(luò)安全風(fēng)險。另外，人民銀行與商業(yè)銀行之間還存在安全信息共享力度不夠，信息交流途徑不暢的問題。同時，人民銀行統(tǒng)一發(fā)布的風(fēng)險提示內(nèi)容有限，只能對地方性商業(yè)銀行給予大體上指導(dǎo)，缺乏可操作性。

2.4 應(yīng)急體系建設(shè)不健全，本地化不完善

表現(xiàn)為照抄照搬上級制定的應(yīng)急預(yù)案、應(yīng)急能力未進行有效評估、備用設(shè)備不足等，在突發(fā)事件發(fā)生時，容易導(dǎo)致金融服務(wù)的中斷。網(wǎng)絡(luò)安全協(xié)調(diào)機制浮在表面，銀行與運營商、電力供應(yīng)等部門各自為政，未實現(xiàn)信息共建共享。受地理位置和自身業(yè)務(wù)發(fā)展限制等因素的限制，銀行網(wǎng)絡(luò)災(zāi)備體系建設(shè)起步晚、底子薄，承災(zāi)能力有待進一步提升。另外，銀行業(yè)務(wù)人員對業(yè)務(wù)連續(xù)性認識不足，普遍認為其是信息技術(shù)部門的責(zé)任，由于配合不夠、參與力度不大、覆蓋面不全，應(yīng)急預(yù)案的作用將面臨挑戰(zhàn)。如發(fā)生網(wǎng)絡(luò)中斷事件時，在未采取有效處置措施的情況下，有的銀行分支機構(gòu)直接對外發(fā)布公告，停止業(yè)務(wù)辦理，破壞了金融消費者對銀行的形象和信心，企業(yè)社會責(zé)任擔(dān)當(dāng)意識不強。

3 加強頂層設(shè)計，優(yōu)化工作機制，提升網(wǎng)絡(luò)安全效能

銀行機構(gòu)要發(fā)揮主觀能動性，加強網(wǎng)絡(luò)安全頂層設(shè)計，建立健全工作機制，牢守風(fēng)險防控底線，為區(qū)域金融改革創(chuàng)新發(fā)展提供有力支持和保障，維護轄區(qū)金融安全。

3.1 高度重視、強化安全教育

轄內(nèi)各銀行機構(gòu)要高度重視網(wǎng)絡(luò)安全工作，嚴(yán)禁出現(xiàn)“檢查時重視，平常時輕視”的現(xiàn)象，以風(fēng)險管理為本，將行政管理要求、安全生產(chǎn)管理理念融合于網(wǎng)絡(luò)安全管理之中，促進網(wǎng)絡(luò)安全工作向常態(tài)化、制度化轉(zhuǎn)變。

結(jié)合《網(wǎng)絡(luò)安全法》的頒布實施，組織開展網(wǎng)絡(luò)安全宣傳，引導(dǎo)關(guān)注金融安全、防范支付風(fēng)險和電信詐騙、個人敏感信息保護等，提高金融消費者安全素養(yǎng)。

以金融知識宣傳活動契機，引導(dǎo)金融消費者增強網(wǎng)絡(luò)安全風(fēng)險識別能力和自我保護意識。推廣應(yīng)用脫機數(shù)據(jù)終端電子認證產(chǎn)品和國密算法，加強與通訊運營商、公安、網(wǎng)信辦、反詐騙中心合作，嚴(yán)厲打擊不法分子盜取客戶信息和資金的犯罪行為，保護用戶合法環(huán)境，應(yīng)用網(wǎng)絡(luò)安全自主可控產(chǎn)品，不斷提高安全本質(zhì)和動態(tài)防御能力。

3.2 找準(zhǔn)載體，構(gòu)筑網(wǎng)絡(luò)安全屏障

以信息系統(tǒng)等級保護為抓手，關(guān)聯(lián)分析入侵檢測設(shè)備、漏洞掃描設(shè)備等事件信息，利用大數(shù)據(jù)分析方式，重新對傳統(tǒng)安全設(shè)備攻擊規(guī)則進行調(diào)整，利用智能化、動態(tài)的態(tài)勢分析平臺及時發(fā)現(xiàn)攻擊行為。嚴(yán)格規(guī)范網(wǎng)絡(luò)安全配置策略，固化網(wǎng)絡(luò)邊界防護，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，堅守新建網(wǎng)絡(luò)上線前安全配置核查、漏洞掃描等安全關(guān)口、深化已建網(wǎng)絡(luò)安全測評結(jié)果應(yīng)用，加強以身份認證、授權(quán)管理、安全審計等為內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)，研究利用云計算、大數(shù)據(jù)等新技術(shù)提高監(jiān)測、預(yù)警水平，進一步提升網(wǎng)絡(luò)安全管理能力[7]。

結(jié)合實際情況，銀行應(yīng)堅持優(yōu)先恢復(fù)對外服務(wù)的原則，不斷修訂完善網(wǎng)絡(luò)應(yīng)急預(yù)案，不定期開展跨部門、跨機構(gòu)的綜合類應(yīng)急演練，著力驗證應(yīng)急資源的完整性和可靠性，鍛煉應(yīng)急隊伍，進一步提升網(wǎng)絡(luò)持續(xù)運營水平，增強應(yīng)對突發(fā)事件的信心。人民銀行應(yīng)收集整理轄內(nèi)銀行業(yè)信息化基礎(chǔ)設(shè)施備件清單（如路由器、交換機、防火墻）和專業(yè)人才名單，在發(fā)生應(yīng)急事件時，銀行機構(gòu)在短期內(nèi)無法自行解決的情況下，可在信息安全協(xié)調(diào)框架內(nèi)請求協(xié)助，人民銀行將根據(jù)備件清單和人才名單組織其它銀行機構(gòu)的人力、物力展開救援，降低網(wǎng)絡(luò)安全運營人力風(fēng)險系數(shù)。

西藏地處反分裂、維護社會穩(wěn)定的前沿，保障銀行業(yè)網(wǎng)絡(luò)安全，阻擊國內(nèi)外反動勢力的政治攻擊意義重大。進一步強化西藏轄區(qū)重要節(jié)點和敏感時期的網(wǎng)絡(luò)安全意識形態(tài)工作，堅持從內(nèi)部網(wǎng)絡(luò)、微信、論壇等渠道，加強網(wǎng)絡(luò)安全事件采集和分析，注重與地方政府、新聞媒體的協(xié)調(diào)配合，狠抓社會輿論引導(dǎo)，加強危機公關(guān)鍛煉，防止有害信息傳播，落實零報告和計算機安全報告制度，增強突發(fā)事件的應(yīng)對處置能力。

建立健全網(wǎng)絡(luò)安全組織架構(gòu)，及時全面掌握轄區(qū)銀行業(yè)的網(wǎng)絡(luò)安全工作現(xiàn)狀，發(fā)揮好人民銀行對銀行業(yè)信息安全工作的指導(dǎo)協(xié)調(diào)作用。促進銀行、公安、電力、通訊、網(wǎng)信辦等部門的合作交流，建立網(wǎng)絡(luò)安全情報合作分享機制，優(yōu)化轄內(nèi)信息安全生態(tài)環(huán)境，共享信息安全成果，確保快速響應(yīng)，及時處置安全事件。

3.3 堅持安全生產(chǎn)理念，主動接受監(jiān)督和管理

安全生產(chǎn)是一切工作的生命線。從金融安全角度出發(fā)，實施安全生產(chǎn)“一票否決”責(zé)任制，貫徹落實《中國金融業(yè)信息技術(shù)“十三五”發(fā)展規(guī)劃》，注重信息化基礎(chǔ)設(shè)施保護，強化頂層設(shè)計，實施網(wǎng)絡(luò)安全生命周期管理[8]。

嚴(yán)格執(zhí)行安全生產(chǎn)制度，落實安全生產(chǎn)責(zé)任制，提高關(guān)鍵崗位人員運維能力，完善系統(tǒng)運行環(huán)境建設(shè)，加強外包服務(wù)風(fēng)險控制，嚴(yán)格終端安全控制措施，提升現(xiàn)場和非現(xiàn)場的網(wǎng)絡(luò)安全管理數(shù)字化水平。經(jīng)常確認當(dāng)前采取的技術(shù)措施在抵御風(fēng)險方面的作用，及時調(diào)整安全策略，提升脆弱性主動發(fā)現(xiàn)能力，降低安全風(fēng)險。

主動接受監(jiān)管部門和審計部門監(jiān)督，積極處置存量風(fēng)險、控制增量風(fēng)險，防止風(fēng)險管理制度流于形式，并對違反安全規(guī)定的行為采取零容忍政策，提升執(zhí)行計算機安全管理制度的自覺性和主動性，進一步完善網(wǎng)絡(luò)安全管理制度和基礎(chǔ)措施。

加強自主運維能力建設(shè)，使其能在復(fù)雜環(huán)境下獨自勝任工作，力爭做到生產(chǎn)全面自救。定期檢測安全技術(shù)措施的有效性，切實提高網(wǎng)絡(luò)安全效能；注重建設(shè)網(wǎng)絡(luò)安全持續(xù)動態(tài)監(jiān)測機制，準(zhǔn)確掌握安全風(fēng)險態(tài)勢[9]；既加大網(wǎng)絡(luò)技術(shù)隊伍“人力+能力”的培養(yǎng)力度，又加強內(nèi)部人員在權(quán)限分配、職能定位方面的管控，促使網(wǎng)絡(luò)安全管理制度落實。

加大網(wǎng)絡(luò)安全專項資金投入力度，始終把建立“兩地三中心”作為災(zāi)備體系建設(shè)的遠期目標(biāo)，并結(jié)合實際情況，進一步提高建設(shè)標(biāo)準(zhǔn)，提升容災(zāi)能力和網(wǎng)絡(luò)健壯性，探索5G 無線網(wǎng)絡(luò)替代有線網(wǎng)絡(luò)的應(yīng)急處置措施，積極應(yīng)對如地震、洪水、泥石流等區(qū)域性災(zāi)難，保障核心數(shù)據(jù)安全和災(zāi)難時的核心業(yè)務(wù)恢復(fù)。適時、審慎開展網(wǎng)絡(luò)風(fēng)險評估，發(fā)現(xiàn)存在的問題，建立問題分級跟蹤整改機制，實施安全加固，并著力解決存在的問題。