基層央行信息安全管理與行業協調工作模式實踐與探討

陳濤

摘要： 隨著信息技術的快速發展，特別是以大數據、人工智能、云計算、物聯網、區塊鏈為代表的新一代信息技術，在金融行業得到深入廣泛運用，金融業的網絡信息安全風險形勢嚴峻，風險防控任務艱巨。本文從基層央行的視角，分析金融業信息安全管理面臨的形勢及主要風險，探討基層央行實施“三道防線”提高信息安全的保障措施，行業指導協調的工作實踐與模式。

關鍵詞： 信息安全? 金融科技

一、基層央行信息安全管理面臨的形勢及主要風險分析

（一）金融業網絡安全形勢日趨復雜嚴峻

新技術的廣泛運用，在為金融發展正面賦能的同時，也使得風險的傳染性更強，隱蔽性更大，傳播速度更快，風險形勢更加錯綜復雜。一方面，伴隨金融信息基礎設施規模逐漸升級，通訊互聯互通范圍更加廣泛，生產操作自動化程度越來越高，傳統的網絡安全風險也隨之高度聚集，系統服務中斷事件時有發生，重要數據泄漏嚴重危害用戶利益;另一方面，金融科技風險不斷加劇，互聯網環境下，服務方式更加虛擬，業務邊界逐漸模糊，經營環境不斷開放，也加大了信用風險、流動性風險等傳統金融風險產品、市場層面的外溢效應，業務風險防控任務更加艱巨。由于行業的特殊性，金融歷來是網絡攻擊的重點之一。網絡黑客的攻擊手段也在不斷翻新，網絡攻擊行為從最初的零散性、偶發性行為，轉變為有組織、規模化攻擊，網絡空間的對抗和博弈不斷升級。網絡安全的形式非常嚴峻。

（二）金融業IT基礎設施風險隱患不容忽視

隨著金融機構業務和信息化程度的快速發展，數據中心規模不斷擴大，支持金融業務的技術架構和應用日趨復雜，保障網絡和信息系統穩定運行所需維護的設備數量不斷增長，金融機構IT運維部門面臨巨大壓力。金融機構數據中心規模不斷擴大，支持金融業務的技術架構和應用日趨復雜，保障網絡和信息系統穩定運行所需維護的設備數量不斷增長，金融機構IT運維部門面臨巨大壓力，監控系統告警數量繁多，多為無效信息，運維人員很難迅速精準定位問題。關鍵IT基礎設施難以實現自主可控，存在巨大安全隱患。

（三）金融網絡安全生產事件時有發生

近年來，人民銀行和商業銀行在網絡信息系統的生產運維過程中，發生了多起安全生產事件：某行發生重要業務系統故障，造成系統無法正常運行50多小時;重要業務參數設置錯誤，造成堆棧溢出問題隱患，引發系統服務癱瘓;存儲虛擬化設備故障、光纖通信線路異常、機房配電柜掉電導致服務器宕機、核心系統業務中斷，遭受漏洞攻擊偽冒開立II、III類賬戶等。這些事件，有的是系統的漏洞，有的是被植入惡意程序，有的是設備的缺陷，有的是外圍監控系統的傳染導致核心系統故障，可歸結為系統故障、基礎設施故障、網絡攻擊三類安全風險。

二、基層央行信息安全生產保障主要措施

人民銀行網絡系統作為金融業重要的連接樞紐，其網絡安全防御體系的建設對整個金融行業網絡安全防范能力提升具有重大意義。人民銀行昆明中心支行通過建立“三道防線”，加強網絡安全防御體系建設，夯實自身信息安全生產管理基礎。

（一）建立信息安全管理技術防線

1.提高網絡安全生產能力，開展IT基礎設施改造建設。開展業務網重構工程和全省業務網電路提速建設，實施“五區三層”網絡架構改造，實現業務網的規范化架構管控。組織全省開展IT基礎設施風險排查，建立信息技術基礎設施臺賬和更新計劃。組織全省UPS標準化改造，實現全省縣支行UPS電源系統雙機熱備和負載均衡。

2.提高網絡安全防護能力，部署安全管理防護系統。建設和部署防病毒、補丁分發、漏洞掃描、審計堡壘機等系列安全防護系統，增添安全審計管理手段。建設云南省數據中心運維安全管理與審計系統，以技術手段實現對170余個應用系統和網絡設備的操作跟蹤記錄、監控和審計，有效防范運維操作風險。與安全類系統有效組合，全面提升安全管理技術水平。

3.提高網絡安全態勢感知力，部署網絡回溯分析系統。建設和部署網絡回溯分析系統，通過多維度網絡數據包分析，實現網絡安全態勢預警、網絡歷史數據回溯分析等功能，精準掌握網絡應用健康狀況，實時感知網絡異常和潛在安全風險，加強網絡安全預警監測，為支撐央行履職提供更好的網絡通信服務。部署一體化終端管理系統，實現“統一安全管控策略，快速分析定位事件，集中展示安全全貌”的終端管理模式，提高終端安全防控性能。

（二）建立信息安全管理督查防線

1.開展IT基礎設施風險排查。加強IT基礎設施風險隱患排查管，制定IT基礎設施風險排查指標方案，涵蓋機房、網絡、存儲、服務器、應用系統、UPS、消防等243個排查項;開展網絡信息安全等級保護測評，全面梳理全省信息系統建設、綜合布線、防護措施調整等網絡安全管理工作。

2.開展信息安全檢查和審計。建立季度安全基線，采用動態抽查和交叉檢查相結合的方式，組織全省開展信息安全檢查，提高網絡安全保障能力和防護水平，提高網絡信息系統安全生產保障。

3.開展綜合性實戰應急演練。組織全省州市中支開展IT應急設備標準化工作，開展核心網絡設備、公文傳輸系統、省級數據中心機房供配電系統等多重應急演練，充分檢驗了應急機制和應急預案的有效性;組織外聯機構開展省級數據中心網絡“雙活”切換、MQ和Tonglink前置系統切換應急演練，提高崗位人員應對突發事件的綜合應急處置能力。

（三）建立信息安全管理制度防線

1.落實規范數據中心機房管理制度。調研全省IT基礎設施情況，制訂《云南省數據中心機房管理辦法》《云南省數據中心機房巡檢實施細則》和《云南省數據中心機房值班管理辦法》等機房管理制度，確保數據中心機房安全穩定運行有章可循。加強外包服務管理，梳理維保服務項目，制定信息化外包風險管理實施細則，開展技能培訓，強化“服務外包，責任不外包的”管理責任意識。

2.落實信息系統業務連續性分級保障制度。進一步完善自建信息系統管理，落實《中國人民銀行信息系統業務連續性分級保障標準》，梳理全轄在線運行的自建信息系統，針對不達標系統制定整改計劃，形成新建系統業務連續性分級保障新要求。

三、金融業信息安全協調實踐

人民銀行對金融機構具有提供金融服務和開展金融監管的職能。人民銀行昆明中心支行通過協調轄內金融機構信息安全風險防控、指導關鍵信息基礎設施保護等工作，履行行業指導協調的工作職責。

（一）把好“三個關口”提升服務質量

1.把好金融城域網入網接入安全關。人民銀行昆明中心支行開展入網審查、現場技術環境核查、問題整改落實及入網實施等系列工作，為全省107家外聯機構及其6000多個分支機構提供安全穩定的網絡通信服務。

2.把好銀行卡受理終端安全管理關。組織轄內商業銀行和支付機構，開展銀行卡受理終端安全管理檢查工作，加強信息保護和支付安全，通過微信平臺向公眾普及安全支付習慣，提升金融消費者個人信息保護的風險防范意識。

3.把好發卡技術安全符合性標準關。開展轄內銀行業金融機構金融IC卡發卡技術標準符合性和安全性審核，實施非銀行支付機構的業務牌照續展技術審查、分類評級系統安全性審核，發布風險提示，督促各支付機構采取有效措施及時整改，規避風險。

（二）加強金融業信息安全風險防控協調

1.建立銀行業信息安全協調機制。組織全省24家銀行業金融機構，建立銀行業網絡安全協調工作機制，以預警通報、應急聯動為主要內容，圍繞信息安全等級保護等重點工作，發布信息安全通報，多次組織銀行業金融機構順利完成重要期間的金融網絡安全保障工作，有效搭建起銀行業網絡安全工作經驗交流工作平臺。

2.建立銀行業信息安全報備機制。加強轄內銀行系統升級、應急演練等工作的報備管理和風險防控。加強與網信辦、公安等信息安全管理部門協作配合，作為云南省網絡安全應急聯動、信息安全等級保護、預警通報等機制成員單位，利用專題會議、微信、短信等多種方式共享信息，協調互動，提升行業信息安全指導統籌能力。

（三）加強金融業關鍵信息基礎設施保護

1.探索關鍵信息基礎設施安全保護。金融業關鍵信息基礎設施是國家網絡安全的重要組成部分，人民銀行昆明中心支行協同省委網信辦，組織富滇銀行成功申報2018年云南省關鍵信息基礎設施安全保護試點示范，研究金融業關鍵信息基礎設施安全規劃、平臺創新工作，從行業、技術標準化視角積極參與云南省網信辦關鍵信息基礎設施安全保護全國試點，增強關鍵信息基礎設施安全保護能力，提高應對網絡安全威脅多樣化、復雜化發展的挑戰能力。

2.落實數據安全保護任務部署。一方面，研究制定省級數據分析平臺數據信息應用管理辦法，實施數據采集、傳輸、存儲、處理、備份、使用、暫存、銷毀等環節全生命周期管理，規范數據利用規程;另一方面，會同有關部門，開展省級數據分析平臺、境內邊民人民幣賬戶服務平臺等級保護測評和性能測評工作，明確數據保護等級，落實數據安全保護責任。

3.推動行業國產密碼運用。深入推進國產芯片和密碼算法應用，加快信息系統升級改造，指導商業銀行建立發卡激勵機制，以本地法人商業銀行為對象，與國家密碼管理局聯合推動行業國產密碼運用推廣。據統計，2019上半年，試點地方性銀行的POS、ATM終端國密改造全部完成，改造率均達到100%，發行PBOC3.0雙算法IC卡、布放支持國密算法ATM 和POS機增量占比日益提高，行業密碼應用基礎得到夯實。

四、結束語

金融業是一個金融業務與信息技術深度融合的行業。金融業務的開展離不開新興信息技術的應用推廣，更離不開網絡信息系統的安全穩定運行。隨著金融科技的不斷深入融合應用，未來還會遇到更多層出不窮的新技術、新業態，具有服務和監管職能的基層央行，需要長期不懈的努力，及時了解掌握金融網絡安全的形勢和動態，提高網絡安全防護水平，有效應對新挑戰。

（作者單位：中國人民銀行昆明中心支行科技處）