2017年中國國際金融展在北京展覽館拉開帷幕。本屆展會以“創新驅動 穩健轉型 共享金融”為主題，集中展示了各類金融機構、金融科技企業的創新發展成果。作為歷屆積極參展的金融機構之一，中國民生銀行在本次展會上，獨具匠心地構建“惠民生”、“防風險”和“融創新”三大功能板塊，生動展示了該行依托先進科技在公司、零售、網絡金融等業務領域的創新實踐與系列成果。

　　與此同時，在北京展覽館報告廳同期舉辦了第十八屆中國金融發展論壇?，F場邀請到金融管理部門領導、金融機構高管、商界領袖、IT企業領軍人物和國內外著名專家學者，共同就“創新驅動 穩健轉型 共享金融” 、“金融網絡安全趨勢研討”、“支付產業發展前瞻”、“我國現金機具管理之路”等專題進行研討。中國民生銀行信息科技部總經理助理呂曉強出席本次論壇并發表講話。

　　以下為呂總講話實錄：

　　各位領導、各位同仁、各位來賓，很榮幸代表民生銀行就銀行業網絡安全探討及趨勢分析這一主題與各位做一個交流與共享。

　　隨著互聯網經濟的迅猛發展，互聯網在推動銀行業務快速變革發展的同時，我們也更應清晰地認識到整個互聯網銀行業愈發嚴峻的安全形勢和外界經濟環境的整體變化趨勢。剛看到全球與中國IT信息安全發展成熟度的能力對比數據，我國的銀行業還有很多工作要做，這對我們來說既是一種機遇又是一種挑戰。所以我重點與大家交流一下銀行業信息安全面臨的威脅與挑戰、信息安全工作的探索及信息安全發展的對策和建議。

　　近幾年來，銀行業務越來越互聯網化，全球化的互聯網金融已融入我們的生活，像生活的必需品一樣無處不在，在帶來便捷的同時，卻也帶來了問題。

　　一是互聯網經濟犯罪活動居高不下。網絡經濟犯罪行為的趨利化特征日益明顯，網絡經濟犯罪向規?；?、綜合化、集成化和智能化方向發展，給全球銀行業帶來了極大的威脅。此類威脅的特點在于利益驅使高、受害主體廣、攻擊方式多、社會危害大；二是銀行互聯網面臨的網絡高級威脅不斷加劇。隨著黑客的攻擊手段不斷升級，新興APT攻擊威脅層出不窮，惡意木馬病毒持續泛濫，零日漏洞的精準突襲，網絡安全的主要威脅已經從黑客攻擊模式轉化成為犯罪分子規?；瘮控斈Ｊ?，呈現出明顯的組織化、規?；?、產業化趨勢；三是基礎設施安全不可控。我們的基礎設施并不完全可靠，也不是完全可控，近幾年頻發的通用軟件漏洞導致全球服務器、網絡設備、Web應用遭受影響就是典型的案例；四是移動設備和支付安全問題凸顯。銀行業在互聯網上的安全防御能力并沒跟上互聯網的發展。隨著移動支付方式的普及，我們24小時都暴露在互聯網攻擊之下，安全威脅在不斷升高；五是泄露竊密性攻擊步入“高發期”。除了要防范攻擊外，更需防范數據的丟失有組織的竊取，這關系到銀行的聲譽和品牌形象；六是新技術、新應用帶來的潛在風險。通過互聯互通、大數據、跨界融合，銀行業可在方方面面與各行業合作，但其所帶來的數字流轉交換，使銀行業面臨更多技術的挑戰。

　　面對上述信息安全的威脅與挑戰我們該如何應對？我個人認為應該提升全面的安全感知能力、有效的安全防護能力和有力的應急響應能力的所謂“三項能力”。著力建設銀行業信息安全防御體系使其具備高效成本的安全防護能力，這是信息安全工作的基石。同時采用技術手段感知安全防護的能力，實現精準的全場景保護措施，建立一個管理閉環環境。這個環境如何跟周邊的各個業務、開發、網絡、測試、運營發生安全交互，也正是我們持續在研究和關注的。

　　在此基礎上，我們又明確了工作方向，即做到信息安全的“可見、可管、可控”?？梢娋褪切畔踩母兄皖A警，能夠實時了解信息安全的狀況；可管就是對發現的信息安全行為進行管控，把控整體信息安全防護保障措施；可控就是控制信息安全的影響范圍和行為，能夠及時進行響應與處置。

　　銀行業在“十三五”期間的重點任務之一就是嚴格貫徹落實國家信息安全政策，把信息安全工作提升到企業發展的戰略性高度，健全信息安全管理體系，加強信息安全技術防護，提升關鍵信息基礎設施的安全保障水平，確保風險可控。而民生銀行正在通過系統定級將整體目標分解，打造一個等級化的安全體系，融入到全行體系建設中去。

　　首先是嚴格貫徹執行《網絡安全法》的相關要求，做好系統的定級、備案、評估，健全完善銀行業網絡安全防護體系，將其納入銀行已有的信息安全體系建設和運行當中。

　　其次是基于大數據分析網絡安全態勢，通過數據采集和分析做到可視化、可測量、自動化、可檢測，提升民生銀行的風險感知及預警能力，實現安全風險的可視化管理。同時建立客戶反欺詐監測預警體系，通過大數據平臺對復雜多樣的業務場景威脅進行智能化學習與分析，建立海量威脅情報庫識別業務安全風險，從而感知客戶信息泄露及業務欺詐風險，能夠主動利用業務應急措施、風險管控手段，管控客戶欺詐等行為，保障客戶資金交易及業務安全。

　　再次是加強敏感數據安全保護。民生銀行正在積極推進數據分級和分類管理體系的建立，深入評估客戶敏感信息在創建、存儲、傳輸、使用和銷毀等過程中的安全風險，綜合運用多種手段，防范敏感數據泄露、篡改、丟失和非授權訪問?？傮w而言，我們正不斷完善數據風險防范體系，建立敏感數據的監測體系，強化敏感信息保護措施，加強數據外泄溯源追蹤能力。

　　最后是打造安全運營協同防護機制。建立系統開發、系統運維、安全測試等部門的運維與安全協同工作機制，建立共享情報與處置平臺，在事件預警、指標監測、應急處置等方面優化流程，形成聯動效應。同時加強網絡和信息安全領域的安全交流合作，建立威脅情報共享機制和技術平臺，實現威脅情報協同處置。

　　綜上所述，通過自適應的安全防護體系，根據威脅情報等預測結果做出相應信息安全預警，同時對潛在威脅風險進行持續檢測，并動態調整安全防護策略實現對安全事件的阻斷，最后對檢測結果快速響應（Respond），形成信息安全的預測、阻止、檢測、響應的閉環體系。

　　可見，面對日益嚴峻的安全風險，民生銀行在安全建設工作中已取得了階段性成果。但我們也并未松懈，適時制定了下一步的工作計劃和安全對策：

　　一是繼續深入貫徹落實《網絡安全法》，強化安全制度體系的建設，確保網絡安全各項工作的部署和落實，強化組織領導，把網絡安全工作做細、做實。

　　二是強化網絡安全頂層設計，提高網絡安全戰略能力，這是一個基礎工作，也是一項長期工作。持續優化和改進網絡安全管理機制，加大信息安全投入，推動信息安全人才隊伍建設，都是提升網絡安全管理水平的必要措施。

　　三是定期開展信息安全監督檢查，推動全行業的信息安全風險評估，逐步形成常態化的安全檢查和評估機制。

　　四是推進網絡安全綜合防御技術體系建設，全面梳理現有的安全防御技術，重點關注互聯網接入區域的防御，建立嚴密的外網安全防護系統，提升網絡安全威脅的檢測、分析和預警能力，將安全威脅拒之門外。

　　銀行業的安全管理和防控仍是一項艱巨但重要的工作，需要不斷改進和提升，可謂任重而道遠。民生銀行也希望與各行各業一道，為國家和行業的信息安全建設工作貢獻綿薄之力。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇