創新互聯網金融信息安全風險防范體制機制

曾晨

摘 要：當前，互聯網金融前景誘人，但信息安全風險堪憂。據此，柳州銀行針對自身存在的“軟肋”，提出創新信息安全風險防范體制機制的設想，并且以教育培訓管理、自主可控、合力防范等為抓手，構建以全員、全鏈、全程為特征的安全風險防范體制機制，切實提高員工防范能力，信息系統的自主可控得到有效提升，全鏈防范合力得到明顯增強，信息安全防范整體效果明顯。文章以此為案例，進行了總結和探討。

關鍵詞：互聯網金融;信息安全風險防范;體制機制;防范機制創新

中圖分類號：F832.5 ????文獻標識碼：A 文章編號：1005-6432（2022）01-0048-02

DOI：10.13939/j.cnki.zgsc.2022.01.048

1 起因——基于發展形勢的深入分析

（1）互聯網金融前景誘人。隨著電子商務迅猛發展，網購已成為現代時尚。截至2013年6月，我國網上支付用戶為2.4億[1]。此外，截至2017年6月，我國網民規模已達7.6億[2]，這些網民都是互聯網金融的潛在客戶。據專家預測，在未來5年內，銀行的數字化營業收入在總營業收入中的比例將高達46%[3]。可見，拓展互聯網金融業務前景誘人。

（2）互聯網金融信息安全風險堪憂。首先，互聯網金融漏洞種類繁多。據統計，截至2017年互聯網金融中出現的主要漏洞包括XSS、代碼執行、文件上傳、信息泄露、邏輯漏洞、SQL注入、弱口令、權限繞過八種，其中容易被利用的占59.69%，高危漏洞占63.6%[3]。其次，網絡黑客攻擊猖獗。據信息安全知名服務商爆料，僅2015年其為社會各類網站攔截的漏洞攻擊高達16.5億次，其中金融網站占比高達65%[4]。據資料顯示，截至2017年，網絡黑客產業規模破千億，黑客攻擊規模持續上升，互聯網金融成為重災區[5]。最后，互聯網金融信息安全風險危害巨大。據不完全統計，截至2014年，有近165家互聯網金融機構由于黑客攻擊而致系統癱瘓、數據被惡意篡改、資金被洗劫一空[6]。這表明發展互聯網金融，做好信息安全風險防范工作是關鍵。

（3）信息安全風險防范“硬”“軟”實力的對比分析。據資料顯示，互聯網金融機構的信息安全投入普遍不足，從事信息安全的人才普遍匱乏[3]。可見，信息安全風險防范的“硬”實力不硬，這是短期內不可改變的現實。柳州銀行屬于城市地域性的中小銀行，在這方面更是存在固有缺陷，因此，銀行信息安全風險防范工作在強化“硬”實力的同時，必須通過管理創新不斷提升“軟”實力。

2 決策——針對三項“軟肋”，提出創新設想

（1）針對物質條件“軟肋”，創新全員防范體制機制。柳州銀行信息安全風險防范存在三方面的物質條件軟肋。首先，信息安全資金投入有限，2017年該行信息安全資金投入僅占當年IT支出金額的0.66%，而全國企業信息安全平均支出占整個IT支出的2%，全球占比為3.96%[3]。其次，與大型銀行相比，柳州銀行信息安全人員偏少。最后，柳州銀行信息安全隊伍入行前大都沒有從事信息安全工作，信息安全防范主要依賴信息安全設備與第三方的安全檢測服務。

針對上述軟肋，柳州銀行提出構建全員風險防范體制機制的設想。所謂構建全員風險防范體制機制，指通過加強管理措施，形成從領導到員工，從信息系統開發、運維、安全防范崗位到金融業務崗位，全員參與的互聯網金融信息安全風險防范態勢。理論分析和實踐都表明，信息安全風險并非僅僅源于信息系統（物質條件）本身，人員操作不當也是形成風險的一個重要原因。據IDE統計的數據，企業中信息系統相關服務中斷，78%以上是業務崗位人為造成[7]。可見，建立全員風險防范體制機制，切實提升“軟”實力，是彌補物質條件“軟肋”的一條重要途徑。

（2）針對技術條件“軟肋”，創新全程防范體制機制。中小銀行由于天生的技術條件不足，信息系統開發大部分業務需要外包，這使得中小銀行信息系統的自主可控能力受到嚴重影響[8-9]。柳州銀行也是如此。首先，信息系統的基礎環境（包括硬件、操作系統、中間件、數據庫等）均由技術供應商提供現成產品，其運維由外包服務商進行。其次，信息系統的應用系統開發也由軟件外包商提供，銀行無知識產權，無法獨立改造。最后，由于不完全掌握代碼實現，應用系統的需求也須由外包商開發。以上就是柳州銀行互聯網金融信息安全風險防范存在的技術條件“軟肋”。

針對上述軟肋，該行提出建立全程防范體制機制設想。其核心內容是：在技術外包條件下，提升銀行對信息系統運維和風險防范自主能力，做到既借助外包商而又不依賴于外包商。只有構造這樣的體制機制，才能真正做到全程防范，使風險防范工作落到實處。

（3）針對合作商條件“軟肋”，創新全鏈防范體制機制。互聯網金融信息系統安全風險也可能來自合作商[10]。一般情況下，銀行互聯網金融業務的合作商可區分為如下兩種類型：一種是互聯網金融的領軍企業，如銀聯、網聯、支付寶等，這些企業承接城市商業銀行的互聯網支付業務，其都有自己的信息安全技術規范，且這些安全技術規范具有較高水準，并要求城市商業銀行遵循其規范與之合作;另一種是互聯網金融散戶，其規模小、資金有限，信息安全知識和技術防范能力較低。然而，柳州銀行經營規模較小，其第一類合作商的業務量較小，第二類合作商的業務量較多。這是柳州銀行必須面對的第三項“軟肋”。針對上述軟肋，柳州銀行提出建立全鏈防范體制機制，從而將合作商與銀行視為命運共同體，將風險防范工作從銀行延伸至包括合作商在內的全“鏈”。這對銀行做好互聯網金融信息安全風險防范工作至關重要。

3 做法——運用三個抓手，落實創新設想

（1）以教育培訓管理為抓手，構建全員防范體制機制。首先，對行內全員進行信息安全教育，并且建立風險信息通報制度，每周通過行內微信公眾號發送互聯網金融安全風險信息，做到警鐘長鳴。通過這些措施，使全員信息安全防范意識得以普遍提升。其次，聘請專家對信息安全中心人員進行專業技能培訓，并且由信息安全中心人員組織全員進行信息安全知識學習，每季定期開展信息安全演練，不斷提高全體員工信息安全風險防范的實戰能力。最后，建立由信息安全管理人員和代碼開發、信息系統運維、互聯網金融業務等部門組成的互聯網金融信息系統風險防范聯席會議制度。通過這一制度，形成互聯網金融信息安全齊抓共管的局面和風險防范快速反應機制。

（2）以自主可控為抓手，構建全程防范體制機制。首先，立足自主設計，做到信息系統總體可控。柳州銀行堅持總體設計由行方自行完成。對互聯網金融系統項目，先由業務部門編寫業務需求，再由科技項目管理部門依據需求編寫項目概要設計，最后由信息安全部門進行安全審核，審核通過后方能將設計交由各技術外包商完成。其次，明晰外包責任，做到信息系統部件外包可控。柳州銀行在系統建設初期，就將各外包商的信息安全職責寫進外包服務合同中，規定不履行信息安全職責的罰則。在系統開發過程中，設立由信息安全管理、規劃開發設計、互聯網金融業務等人員組成的安全監督組，負責督促外包商落實信息安全責任。在系統驗收階段，再由信息安全專職人員對該系統的信息安全性進行復核，并將該復核結果作為考核該外包商是否具有繼續合作潛質的依據。最后，強化自身技術力量，做到信息系統運維和風險防范自主可控。柳州銀行要求技術外包商在系統投產后派駐技術人員駐場運維一段時間，一方面負責系統的日常信息安全防范工作，另一方面向行方運維人員進行運維技術知識轉移，從而確保行方人員在外包商駐場運維結束后能保障系統的信息安全防護工作。

（3）以合力防范為抓手，構建全鏈防范體制機制。首先，建立長期合作機制，夯實合力防范的組織基礎。柳州銀行與合作商簽訂長期合作協議，將信息安全防范定為通力合作的技術基礎，共同面對互聯網金融的信息安全工作。其次，統一技術標準，夯實合力防范的技術基礎。柳州銀行將自行制定的信息安全技術標準在合作鏈上共享，要求互聯網金融合作散戶在自身系統開發及與柳州銀行數據交換技術實現上遵循該標準。最后，上學下幫，切實提升合力防范的能力。柳州銀行在遵循信息安全規范的同時，花大力氣學習信息安全規范，并結合自身業務特點加以改造，將改造成果不斷融入自身的信息安全標準中，使柳州銀行信息安全標準不斷充實完善。在共享信息安全標準的同時，下派信息安全技術骨干為互聯網金融散戶進行信息安全能力培訓，講解并幫助組建柳州銀行信息安全標準，確保該標準在該商戶的互聯網金融業務上落地。

4 檢驗——柳州銀行創新取得的成效

成效之一：員工防范能力得到切實提高。首先，全行員工的信息安全防范意識得到普遍強化，信息安全的經營理念深入人心。其次，員工的信息安全防范知識得以普遍提升。最后，員工的信息安全工作習慣得以養成，低等級信息安全隱患已不再出現。

成效之二：信息系統的自主可控得到有效提升。首先，信息安全設計已成為柳州銀行互聯網金融系統總體設計不可或缺的一部分，互聯網金融系統信息安全功能開發有據可依。其次，在系統建設過程中信息安全事故處理不再推諉，信息安全事項處理及時。最后，自實行全程防范機制以來，技術外包商進行知識轉移工作達100多次，為柳州銀行培養了互聯網金融系統維護人員近30余人，使得行方人員能獨立開展日常的系統信息安全防范工作。

成效之三：全鏈防范合力得到明顯增強。首先，信息安全防范陣線得以建立，銀商合作形成了技術聯防。其次，信息安全合力防范能力得以加強。實行全鏈防范機制后，全鏈均可共享互聯網信息安全防范技術成果，從而有效地提升了全鏈風險防范能力。

成效之四：信息安全防范整體效果明顯。2017年，柳州銀行全年互聯網金融信息系統檢測率100%，中、高危漏洞修補率100%，全年無互聯網金融客戶就信息安全問題投訴，無重大信息安全事件發生，在自治區政府聯合專業信息安全機構開展信息基礎設施網絡專項檢查中，信息安全防范位列所有被檢單位之首。

參考文獻：

[1]周茂清.互聯網金融的特點、興起原因及其風險應對[J].當代經濟管理，2014（10）.

[2]中國互聯網絡信息中心.第40次中國互聯網絡發展狀況統計報告[R].北京：中國互聯網絡信息中心，2017.

[3]國家信息技術安全研究中心.2017金融行業應用安全態勢年度報告[R].上海：FreeBuf安全研究院，2017.

[4]360互聯網安全中心.2015年中國網站安全報告[R].北京：奇虎360科技有限公司，2015.

[5]郝東林.互聯網+網絡安全法下的轉型新思考[R].柳州：柳州銀行互聯網金融講堂，2018.

[6]漏洞盒子.2015上半年金融業互聯網安全報告[R].上海：FreeBuf安全研究院，2015.

[7]錢繼勝.中小城市商業銀行信息安全管理探討[J].金融科技時代，2014（5）.

[8]陳超.銀行IT服務外包漸成趨勢[N].國際金融報，2002-11-25.

[9]蔡穎.監管層防范銀行業服務外包風險[N].經濟參考報，2012-10-23.

[10]溫婷.互聯網企業共話信息安全與合作[N].上海證劵報，2015-11-04.

1941501186289