文│廣發銀行信息科技部劉遠歡

在當今科技與金融發展深度融合的趨勢下，黨的十九大報告中提出了對“現代金融”的要求，現代金融的核心要義即是科技驅動的新金融。金融科技已不僅僅是金融行業本身的轉型發展，更重要的是對社會經濟發展具有重要促進意義。各家銀行積極爭奪金融科技主導權，紛紛將金融科技提升到戰略高度。銀行業發展已進入從傳統科技“支撐”到金融科技“引領”的時代，金融科技也已是銀行搶占未來主戰場的重要利器。

隨著金融科技時代的到來，網絡安全“四化”趨勢日益明顯，即網絡犯罪組織化、攻擊方式定向化、攻擊目標數據化、信息系統云化，網絡安全運營已經走到變革的交叉路口。網絡安全和信息化建設是相輔相成的，網絡安全是信息化建設的前提，信息化建設是網絡安全的保障，兩者相互推進。金融科技所引領的網絡化、數據化、智能化生活，對銀行的網絡安全運營工作既是機遇，同時也是巨大的挑戰。銀行應該充分認識到做好金融科技時代下網絡安全運營工作的重要性和緊迫性，因勢而謀、乘勢而上、順勢而變，變被動防御為主動管理，積極探索新的網絡安全運營管理思路，才能與金融科技時代形成良好互動，贏得主動、贏得穩定、贏得未來。

一、 直面金融科技時代下銀行網絡安全運營面臨的新挑戰

金融科技蓬勃發展，給銀行的產品服務、商業模式、經營理念帶來了深刻變革，為銀行科技轉型升級提供源源不斷的動力。依托人工智能、區塊鏈、云計算、大數據、物聯網等技術在金融領域的應用，銀行網絡安全運營管理工作具有了全新的思路和手段，包括更全面的數據資源、更加智能的手段方法和更加高效的處理能力，進一步助推網絡安全防御向著縱深化、智能化、快速化的方向發展。我們在看到金融科技時代下網絡安全的巨大發展機遇的同時，必須承擔越來越嚴峻的網絡安全風險。

隨著金融科技新技術在銀行各業務領域的逐步滲透，網絡安全與銀行的各業務領域以及日常經營活動的關系愈加緊密，導致銀行所面臨的網絡安全威脅更加復雜和多元化；與此同時，銀行面臨的網絡攻擊方式也日趨復雜，數據泄露、濫用問題更加嚴峻，竊密性攻擊步入高發期，互聯網面臨的高級威脅不斷加劇，金融科技安全運營復合型人才稀缺，業務流程與網絡安全缺乏深度融合、協同聯動，這無疑進一步增加了銀行網絡安全運營管理的難度。

（一）金融科技安全運營復合型人才稀缺，已成為銀行網絡安全運營發力的掣肘

人工智能、區塊鏈、云計算、大數據等新技術面臨快速迭代，銀行業競爭日趨激烈，銀行服務自動化、智能化的呼聲越來越高，為客戶帶來極致體驗的同時，銀行必須充分預判和挖掘金融科技新技術應用存在的網絡安全風險，方可做好網絡安全運營工作。

金融科技時代下網絡安全運營究其根本是人才工程，人才無疑是第一生產力。及時響應客戶個性化、深層次的需求，打造銀行特色化產品與服務，全面的安全感知、有效的安全防護、有力的應急響應均需要大量的人力投入，需要熟練掌握金融業務、深刻數字化思維以及具備網絡安全整體布局、頂層設計能力的復合型人才。但傳統銀行在這方面的人才少有積累，掌握傳統技術架構的人才多但掌握金融科技新興技術的人才匱乏，傳統軟件研發人員多但網絡安全工程師緊缺，實施安全漏洞檢測、評估、修復的人才多但兼有網絡安全整體規劃和頂層設計能力的人才很少或沒有。

當前我們正處在銀行轉型的新時代，科技正在從底層基礎設施躍升為頂層的創新先導，驅動著銀行的流程再造和戰略轉型，催生出綜合化、智慧化、生態化的新金融。而網絡安全風險與金融科技應用創新相伴相生、如影相隨，相較于資金、技術、場景研發能力等方面的不足，金融科技安全運營復合型人才的不足已成為銀行轉型升級的掣肘，這也是金融科技時代下銀行網絡安全發展的歷史長河中必須直面的問題。

（二）網絡攻擊手段日趨多樣，數據安全管控面臨挑戰

金融科技新技術的快速發展在為銀行科技創新推波助瀾的同時，也為不法分子提供了更多的犯罪渠道和手段。當前，銀行已成為國內外敵對勢力、黑客組織、不法分子實施網絡攻擊、電信詐騙和滲透竊密的重點目標。

過去兩年，以盜取資金為目的的常規攻擊手段不斷衍變，除了傳統的SQL注入、DDOS攻擊、病毒木馬等常見攻擊外，針對銀行的APT攻擊、精準式網絡攻擊等攻擊手段也愈演愈烈，對銀行網絡安全，尤其是數據安全的保護提出了更高要求。一旦由于安全防控不足造成數據泄露或資金損失，銀行聲譽將遭受嚴重打擊。但同時，由于銀行技術實現方式的不斷革新、網絡互聯互通、數據高度集中、系統日益復雜等現實情況，又使得銀行難以將所有的風險敞口都提前覆蓋并布局防御。因此數據安全管控將成為銀行面臨的嚴峻挑戰。

（三）業務流程與網絡安全缺乏深度融合、協同聯動，業務創新與安全的矛盾凸顯

隨著大數據、人工智能等技術的持續滲透，銀行的客戶需求和行為發生了明顯變化，對移動智能化、個性化、場景化提出了更高的要求。如何迎合客戶需求的變化，將金融科技能力封裝成標準化服務，有機融入銀行各業務場景全流程，為客戶帶來智能高效的數字體驗和智慧服務，已成為考驗銀行服務能力的關鍵，也是銀行未來的核心競爭力之一。

在這個背景下，銀行如果想保持核心競爭力，在激烈的市場競爭中占有一席之地，銀行具備需要快速的反應能力和業務創新能力。為了快速響應市場需求變化，銀行需要改變傳統的系統研發模式，全力縮短系統研發流程和研發周期。在業務緊急上線的強壓下，系統可能未經過充分的安全評估和測試便“帶病”上線，難免在上線后出現各類安全漏洞，嚴重影響信息系統穩定運行。同時，業務創新必然有風險，業務環境的變化也會導致新的網絡安全問題。隨著大數據、人工智能在批量獲客、銷售支持、客戶服務、運營管理、風險控制等領域的深入應用，銀行數據高度集中、系統日益復雜、網絡互聯互通，網絡安全邊界逐漸淡化，互聯網資產暴露面持續變化，科技風險呈現集中化、復雜化趨勢，風險傳導更加迅速、蔓延范圍更大、影響程度更深，單個系統或設備故障可能引發連鎖反應。同時，銀行可能遭遇大量勒索性質的網絡攻擊和各種針對應用程序新型未知漏洞攻擊，防范和處置的時間窗口將會越來越短，對銀行的網絡防護和處置提出了更高要求。在此背景下，如何將業務流程與網絡安全進行深度融合，做到事前預判防住風險，事中應急控制風險、事后追溯改進風險，也成為銀行業面臨的共同挑戰。

二、 用戰爭的思維和視角，打贏金融科技時代下的網絡安全運營保衛戰

在科技發展速度指數型攀上、新技術涌現速度不斷加快、迭代成熟速度不斷提升的今天，抓住新技術應用的發展機遇，主動防御，迎接金融科技時代的挑戰，引領和推動銀行進入全新的發展階段，是銀行必須做出的選擇。面對緊迫的形勢，面對復雜的環境，我們要打贏網絡安全這場沒有硝煙的戰爭，就要以戰略思維及戰爭思維去部署準備。

（一）一套權責清晰、合力聯動的指揮體系，是網絡安全戰爭取勝的關鍵

這里說的指揮體系，就是指銀行高級管理層的重視以及完善的網絡安全治理架構。銀行應當根據自身情況建立權責清晰、合理有效的網絡安全治理架構，確定網絡安全運營管理責任，合理劃分職責是做好網絡安全運營工作的基礎。高級管理層的參與至關重要，銀行應充分發揮領導的作用，銀行高級管理層應參與到網絡安全治理工作中來，實施“自上而下”的管理，是網絡安全目標實現的催化器和倍增器。

同時，銀行的網絡安全治理架構要有彈性、要敏捷靈活，能夠快速決策、快速響應、快速實踐，打破傳統銀行業務、架構、研發、運營、測試、安全團隊之間的壁壘，實現多部門、多職能的協調聯動?？萍紤鲃愚D變與業務部門的合作模式，從傳統的研發支持、安全檢測，轉變為聯合業務共同規劃、設計、打造產品，加速孵化新業態和新模式，發揮科技引領作用。

（二）一支特別能戰斗的隊伍，是網絡安全戰爭制勝的根本

金融科技與網絡安全實現良性互動，復興型人才是基礎。銀行應堅持以人為本的原則，堅持“以安全保發展、以發展促安全”原則，持續加強金融科技安全運營復合型人才隊伍儲備及建設。銀行要重視復合型人才的培養，建立內部復合型人才培養體系，構建自身的“造血”系統。通過專業技術培訓增強金融科技創新服務輸出能力，通過技術平臺建設為網絡安全賦能，通過內部攻防對抗和聯合外部開展攻防演練等方式鍛煉隊伍實戰能力，逐步解決人才隊伍能力短板，提升隊伍的專業化能力和戰斗力。同時，銀行還要完善自身的薪酬和績效考核機制，從外部吸納更多復合型人才，形成自身的“活血”能力，從而保障金融科技的可持續發展，夯實網絡安全運營基礎。正所謂“養兵千日、用兵一時”，自身能戰斗的隊伍，在關鍵時刻能起到非常關鍵的作用。

（三）一套智能聯動的防御體系，是網絡安全戰爭制勝的基礎

銀行網絡安全防守重點通常集中在邊界防護層面，但面對特種木馬、0day漏洞、釣魚攻擊、APT攻擊等不斷更新的高級攻擊手段，始終會有疏漏。一旦攻擊者繞過了正面防御的邊界防護手段，到達內網服務器實施異常操作，如：主動外連互聯網傳輸數據，內網橫向滲透，執行命令等，這些攻擊行為與服務器正常操作行為混雜在一起，具有很高的隱蔽性和破壞性。

依托于大數據、人工智能等新技術的應用，通過綜合運用流量檢測、系統監控、大數據、機器學習等技術手段構建模型場景，關聯分析各類安全設備監控信息、威脅情報和應用系統日志的歷史數據，提取服務器日常主動行為中的典型特征，建立服務器行為基線，包括互聯網外連、內網互訪、內部運行三個基線組，設置異常行為匹配判別策略，甄別研判明顯偏離日?；€的異常行為，做到第一時間采取訪問限制或攔截等應急處置措施。

以安全大數據為基礎，結合機器學習和人工智能等新技術，銀行可構建威脅態勢可感知、攻擊態勢可感知、流量態勢可感知、行為態勢可感知的四大核心能力，達到事態可評估、趨勢可預測、風險可感應、知行可管控的感知效果。通過全方位的信息采集，深入挖掘各種攻擊行為，融合用戶、業務、關鍵鏈路和互聯網訪問等多個維護的流量信息，實現對風險的可視化呈現和趨勢預測。通過關聯用戶“上下文”動作，實現第一時間發現異常行為，更精準地追蹤溯源，快速提升銀行網絡安全風險感知能力和預警能力。

（四）一則精準、自動和智能的安全威脅情報，是網絡安全戰爭制勝的有力支撐

網絡安全威脅情報，是銀行知己知彼的一個重要途徑。關起門來做網絡安全，是與時代背離的。隨著外部攻擊形勢持續惡化，銀行現有安全產品無法有效應對未知威脅，未知威脅或未修復的已知威脅已成為銀行的風險防控短板，基于風險漏洞為中心的防御思路，已不能應對當前復雜和嚴峻的安全形勢。威脅情報對運營層面的安全決策以及事件處理均起到了重要的支撐作用。通過采用機器學習、聚類、分類算法，從攻擊規則、用戶行為、業務場景出發，對互聯網應用開展實時監控，增強系統的綜合安全防護能力，提升對潛在安全威脅的預判能力。通過鏈條性的事件追蹤和數據挖掘，深度挖掘安全威脅情報，根據異常行為直接實施自動化響應處置，大幅度提升應急響應決策效率。

（五）一條獨立自主的道路，是網絡安全戰爭長期制勝的核心戰斗力

新時代下銀行金融科技發展的迅猛，變化之迅速，要求銀行具備強大的網絡安全的反應速度和應變能力?！耙圆蛔儜f變”顯得尤為重要，而走獨立自主，自力更生的道理，就是“以不變應萬變”的根基。一是要有自己的隊伍，安全團隊的技術基礎要求高，會接觸到各種非常敏感的信息，自己的隊伍尤為重要，是傳承，也是對自身的保護。二是要有自己的技術，技術是我們自身與外部開展斗爭的必須具備的，不能依賴外部的技術。三是要有自己的“武器”，也就是安全的工具，目前銀行業務場景多，涉及的人員廣，現代的安全戰爭不能單純依靠“小米加步槍”，不能光靠人去判斷，也不能光靠個人的努力，而是需要一批現代化的武器來武裝安全團隊，在網絡安全、數據安全等挖掘、阻斷、溯源等方面提供強有力的保障。

銀行在抓住金融科技助力銀行科技轉型升級的同時，也應尋求其在銀行網絡安全風險管控的有效著陸點，這對提升銀行網絡安全運營管理水平有著重大意義。面對復雜多變的網絡安全形勢，銀行應當加強安全整體設計，從組織架構、管理、機制等多方面入手，多管齊下、多措并舉，真正做到“以安全保發展、以發展促安全”。

（本文刊登于《中國信息安全》雜志2019年第8期）

責任編輯：韓希宇