作者：中國農業銀行科技與產品管理局副總經理 王怡

面對滾滾而來的全球數字化浪潮，商業銀行再一次站在自我變革的十字路口。為了應對宏觀經濟形勢、市場競爭環境和客戶需求的快速變化，商業銀行必須通過數字化轉型打造開放化、場景化、智能化的金融生態系統，以不斷豐富金融產品、提高服務質量和降低邊際成本，在面對激烈的同業競爭尤其是來自于互聯網行業的挑戰時，建立企業的核心競爭力，拓展生存空間。

與現代金融業歷次變革一樣，近年來金融科技的迅猛發展是此次數字化轉型的發動機。云計算、大數據、人工智能、移動通信等一系列技術先后取得重大突破，并逐步應用到各種金融業務場景中。新技術在深刻改變金融服務和產品形態的同時，也給商業銀行帶來了新的網絡安全問題。

黨的十八大以來，中央從總體國家安全觀出發，對加強國家網絡安全工作做出了一系列重要部署。全面保障客戶信息和資金安全，既是國家賦予各商業銀行的責任和義務，也是商業銀行賴以持續穩健經營的基石。因此，如何在日益嚴峻復雜的網絡安全環境下守住安全底線和紅線，為數字化轉型戰略的順利實施提供可靠的安全保障，是各商業銀行需要研究解決的課題。

一、 數字化轉型下商業銀行網絡安全形勢分析

一直以來新技術的引入和應用都是一把雙刃劍，在帶給人們工作高效和生活便利的同時，網絡安全風險也始終如影隨形，并隨著信息化發展階段的不同而衍化。數字化轉型也不例外，其帶來的數據化、開放化、智能化、融合化等特點，可能引發新的網絡安全風險。

1. 數據化加劇了高價值資產保護壓力

在數字化和萬物互聯的理念推動下，越來越多的高價值信息資產從線下轉移到線上，為數據的積累創造了技術條件。近年來，各商業銀行在充分認識到數據的重要價值后，逐步累積了海量的數據，成為了重要的信息資產之一。例如，農業銀行存儲的有效數據總量已經接近10PB，目前仍在加速累積。與此同時，這些數據經過加工處理和分析的結果存在一定的不確定性，但提升數據價值是重要目標之一。數據價值的提升可能衍生出新的商業價值，也可能會影響國家和社會穩定。例如某國一家健身應用軟件服務商在互聯網上公布了用戶健身數據分析結果，意想不到的是此舉涉嫌泄露國家軍事機密。因此，無論是從“量”還是“質”上看，數字化轉型會帶來信息資產價值增值，客觀上這些高價值資產也成為了攻擊者覬覦的目標。

2. 開放化導致了安全邊界模糊問題

清晰定位邊界是開展網絡安全工作的前提條件，眾多的安全保護措施都基于安全邊界部署和實施。開放化要求商業銀行與商業生態系統共享數據、算法、交易、流程和其他業務功能，而共享意味著商業銀行的信息系統需要從過去的封閉狀態逐步走向開放。因此，商業銀行需要根據不同的開放模式重新審視和梳理安全職責邊界和技術邊界，并有針對性地調整防御部署。更重要的是，在某些場景下重新界定安全邊界可能變得比較困難。例如，基于SDK的開放模式使得商業銀行和第三方的應用深度綁定，難分彼此。如果連邊界都無法清晰界定，傳統的邊界防御措施將面臨失效的風險。

3. 智能化引入了不可信任難題

傳統的網絡安全管理體系基于信任模型構建，從而達到響應合法用戶、拒絕非法訪問的目的。為了實現可信目標，往往要求信息系統的行為可觀察、可驗證、可確認、可恢復和可審計。但包括深度學習在內的多種人工智能算法，通過自我學習與迭代構建模型和規則，對于用戶來說是并不透明的，我們無法準確解釋產生結果的原因。根據美國、英國政府發布的《美國國家人工智能研究和發展戰略計劃》《人工智能對未來決策的機會和影響》等多份研究報告，目前還沒有找到科學有效的方法對人工智能的決策過程進行追蹤和解釋，也無法在系統出現異常情況時診斷和修復故障。對于業務連續性要求極高的商業銀行來說，這可能會成為應用人工智能技術的重要障礙。

4. 融合化帶來了引發系統性風險的可能

數字化經濟社會的基本特征就是互聯互通，銀行數字化轉型本質上也是為了構建相互融合的共贏生態。所謂的融合發生在監管與銀行之間、銀行同業之間，乃至銀行與非銀行金融機構之間、銀行與技術企業之間。在融合的過程中，如果不能做到風險有效隔離，則可能出現單點網絡安全問題迅速傳導到整個鏈條的各個環節，從而全面引發全行業甚至是跨越多個行業的系統性風險。例如，蘋果公司發布的集成開發工具Xcode非官方版本被注入惡意代碼，最終導致社交、出行、娛樂等各類共計692款App受到污染，影響上億用戶。

因此，從總體上看來，在數字化轉型的背景下，商業銀行面臨眾多新的問題亟待解決，網絡安全保障形勢不容樂觀。

二、 正確認識數字化轉型帶來的網絡安全風險

習近平總書記在網絡安全和信息化工作座談會上強調，安全是發展的前提，發展是安全的保障，安全和發展要同步推進。深刻認識到網絡安全與發展的辯證關系，對于如何做好數字化轉型下的網絡安全工作至關重要。

網絡安全應服務于企業的業務和信息化發展戰略，雖然各家企業選擇的管控手段各有千秋，但最終目標殊途同歸。和其他風險一樣，企業承擔的網絡安全風險與收益成正比，也就是說，更多地采用新技術將承擔更多的網絡安全風險，同時也意味著更可能獲得超額回報。在數字化轉型趨勢已不可阻擋的歷史潮流面前，商業銀行不能因噎廢食，而應該用發展解決發展中存在的問題，在守住安全紅線、底線的基礎上，走好信息化建設和網絡安全之間的“平衡木”。只有這樣，商業銀行才能在未來激烈的市場競爭中乘風破浪、勇立潮頭。

三、 新形勢下商業銀行網絡安全保障對策建議

1. 嚴格落實等保關保工作要求，重點保護商業銀行關鍵資產

近年來，國家相關政府部門審時度勢，加速推進網絡安全相關立法和標準制修訂工作。尤其是即將出臺的網絡安全等級保護、關鍵信息技術設施保護及其配套的系列技術標準，都為商業銀行的信息化建設逐步勾勒出了清晰而明確的重點保護目標和安全底線。各商業銀行應結合數字化轉型下業務和技術發展變化，重新梳理和識別關鍵信息資產，尤其是大數據時代新產生的各類高價值資產。針對識別出的高級別信息資產，各商業銀行應嚴格按照國家等保、關保相關工作要求實施重點防護，確保主要資源投入到關鍵目標的保護中，防止高價值資產被破壞導致企業遭受嚴重損失。

2. 全方位升級網絡安全防線，應對新技術帶來的內外部威脅

在“事前、事中、事后”各個環節，針對數字化轉型帶來的開放化、智能化的特點，綜合利用各類先進技術，全面升級網絡安全防線。

一是建立高敏感度的網絡安全預警體系。數字化時代的開放性和融合性特點，決定了網絡攻擊帶來的危害影響將呈幾何級數增加?！秾O子兵法》有云：“不戰而屈人之兵，善之善者也?！币虼?，為了避免因安全隱患造成系統性影響的最好辦法就是防患于未然。而數據字轉型可以使得任何網絡行為都留下痕跡，給判別和捕捉攻擊行為留下了空間。企業可以通過積累日志、流量等數據，并借助云計算、大數據等技術開展威脅建模和快速分析，從而及時預判網絡攻擊行為，做到“御敵于國門之外”。

二是按照“多縱深、立體化”的思路全面升級網絡安全防御。首先，商業銀行應針對不同的開放模式，重新定位安全邊界，并基于新的安全邊界充分評估現有防御措施的完備性，根據需要升級或重鑄防線。在邊界防護無法迅速定位和布防的情況下，構建多縱深、立體化的防御體系就顯得尤為重要。一旦邊界被突破，內網邊界、服務器、終端等各層面形成的防御體系應層層監測和遲滯攻擊行為，防止攻擊者進入信息系統的核心區域。

三是用數字化轉型解決數字化轉型中存在的安全問題，不斷提升網絡安全監控和響應的自動化和智能化水平。針對人工智能以及其他新技術引入過程中暫時未知或無成熟管控手段的風險，可通過研究如何將大數據、人工智能等新技術運用到網絡安全態勢監控和響應中，不斷提升自動化和智能化水平，通過快速響應降低未知風險引發安全事件的概率。

3. 建立全鏈條多方聯合戰線，防范系統性風險事件

為有效應對融合化帶來的系統性風險問題，應在各個相關方之間建立聯合戰線，凝聚多方力量共同抵御安全威脅。

一是建立技術與業務融合聯動的安全防線。隨著數字化轉型逐漸深入，商業銀行的網絡安全已經超出了信息科技的范疇，與業務深度融合。業務部門作為與客戶直接接觸的前臺部門，可以及時掌握客戶的安全訴求，也能夠利用借助企業建立的安全品牌和口碑更好地開展營銷活動。此外，業務部門和科技部門在共同推動新技術應用時，可考慮對比分析新技術帶來的經濟利益和潛在資金損失的基礎上，建立備付金機制，及時賠付由于新技術缺陷造成的客戶損失。

二是實現行業內部的“攻守聯盟”。商業銀行之間的公司治理、業務模式、IT架構等多個方面均有相似之處，面臨的外部威脅也大同小異。因此，金融監管機構、銀行業協會等行業牽頭機構，可考慮建立商業銀行間的態勢感知、情報共享等安全平臺，幫助商業銀行及時響應數字化轉型帶來的網絡安全形勢變化。

三是組建“政、企、產、學、研”一體化的最廣泛聯盟。政府部門可考慮組織研究機構、安全企業以及金融行業，共同制定和推行數字化轉型所涉及關鍵技術的安全規范和標準，并強化對執行實施效果的監管；建立跨行業的風險監控、預警和隔離機制，防范風險迅速蔓延。參與生態建設的各行各業都應自覺提升自身的網絡安全保障能力，共建共享天朗氣清、生態良好的網絡空間環境。

對于商業銀行來說，數字化轉型帶來的既是機遇也是挑戰。商業銀行只要以積極的心態應對新問題，妥善平衡金融科技創新和網絡安全風險管控之間的關系，就能夠借助數字化浪潮再次揚帆起航，為全社會提供更加優質、高效和安全的金融服務。