《网络安全法》实施一周年，金融机构如何贯彻实践？

文‖本刊记者王伟 李明富

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施。

作为信息安全重点行业的金融业，在《网络安全法》实施前，便按照相关要求紧锣密鼓展开了相关工作部署，并扎实推进。近日，本刊记者就《网络安全法》实施一年来，国内金融机构加强网络安全防护措施及阶段性进展，采访了银行、证券、保险行业的多家金融机构相关部门负责人和专家。

光大银行七管齐下，筑牢安全藩篱

记者在中国光大银行信息科技部了解到，结合自身的情况，光大银行提出了“夯实防护基础、构建新型银行信息安全管理体系”的思路，并结合相关工作逐步部署和实施。

具体说来，该体系由如下方面组成：“加强顶层设计，推进全行信息安全组织及专业队伍建设”、“构建全行信息安全体系，分层次推动各领域建设和管理”、“深入研究网络安全等级保护标准，着重开展关键基础设施的安全保护”、“完善数据安全管理，切实推进客户个人信息安全体系建设”等七大方面组成。为抓好安全治理的顶层设计，光大银行各级机构相继成立网络安全与信息化领导小组，负责网络安全相关事项的统筹管理和协调，各部门协同落实信息安全各项工作。同时，积极推进专业队伍的建设，形成多层次、分工明确的组织结构。

结合国家网络安全等级保护及ISO27001信息安全管理体系，光大银行集中力量对全行的信息安全管理体系重新进行系统化梳理，将信息安全体系分为安全管理、安全运营与安全技术三个层面，共同推动信息安全体系前进。在信息安全基础管理方面，光大银行持续加强传统的网络安全访问控制、系统安全基线和病毒防护等管控体系建设的同时，开展新型的安全数据分析工作，并结合科技评价等辅助措施，持续完善和强化管控效果。在数据安全管理方面，从数据应用场景最多的终端和业务系统两个维度入手，管理和技术协作，建立各业务条线及分行的数据安全风险识别和分析机制，在全行部署终端DLP、业务系统数据安全管控、文件外发可视化分析产品等技术管控和分析手段，对敏感数据进行识别、使用分析和拦截，保障客户信息安全。

以安全评估和检查作为信息安全管理的重要抓手，光大银行将其分为两个层次加以运用。第一个层次是信息系统建设生命周期的应用。在业务系统的研发和投产管控中，建立必须通过安全测试方可投产的原则，通过嵌入其中的系统和应用安全测试及上线后的定期渗透测试，持续地识别和消除信息系统存在的安全隐患。第二个层次是在日常运营期间。通过开展多种形式的安全检查，持续地督促和推动隐患的主动解决。

根据监管要求及自身国产化应用需求，光大银行将安全可控的方针确定为“在确保安全运营的前提下，从‘以注重技术应用、设计、开发和运维为主’的传统科技模式向‘加强基础技术研究、提升核心技术’的模式进行转变”，通过基础技术研究和基础应用研发的逐步深入，建立起自有的核心技术及团队，关键业务系统实现自主研发，国产数据库应用开始落地，全行办公软件实现国产化。

国寿集团从四大领域落实到位

中国人寿保险集团信息技术部总经理孙秀彬表示，随着全球进入网络化和数字化时代，安全的网络环境对企业的发展至关重要。企业作为网络服务的使用者和网络服务的提供者，从宏观角度看，安全、开放和便利的网络环境是企业进行“+互联网”和“互联网+”转型的良好基础；从微观角度看，作为互联网业务运营方，企业履行网络安全责任，提供安全、便捷的网络服务是发展的必然要求。

据了解，集团层面成立了由集团公司董事长担任主任的信息化建设委员会，统筹信息化建设和网络安全的重要工作，着重从网络安全等级保护制度及关键信息基础设施保护、信息安全风险评估能力、通报预警及应急处置和数据资产及个人信息保护等四个领域予以贯彻落实。

为严格落实等保制度及关键信息基础设施相关工作，集团公司牵头各单位严格落实等级保护制度要求，按照统分结合的方式开展备案和测评工作。集团公司与行业监管部门保持密切沟通，按照行业统一要求组织完成了全集团关键信息基础设施系统的选定和报送，切实做到将重要的系统纳入关键信息基础设施范围进行重点保护。集团以信息安全风险评估作为指导、监督、促进全集团信息安全能力提升的抓手，在2017年建设完成了信息安全风险评估体系，制定了集团信息安全风险评估管理办法，形成了面向覆盖各成员单位的安全风险评估指标体系、统一的安全基线规范以及实施指南。评估体系的建成，强化了全集团信息安全工作全过程的动态管理，实现了从安全规划、安全建设到效果评价的闭环管理，使集团信息安全管控体系更加完善和有效。

在加强内部通报预警机制完善、提升应急处置能力的相关工作推进层面，集团公司通过管理要求，形成了集团公司与各单位、各单位之间“上下左右”顺畅的通报预警联络机制，对于高危漏洞预警以及安全事件等能够做到迅速发现、迅速定位、迅速处置、迅速反馈。同时，集团公司启动通报预警平台搭建工作，平台搭建好后将进一步提高全集团通报预警工作的协同效率。

与此同时，集团公司进一步加大了数据资产及个人信息保护力度。集团各成员单位互联网业务渠道对用户隐私声明均进行了合规性遵从。在数据资产保护方面，集团公司正在大力推进数据治理管理办法和数据安全体系规范制定工作，力争尽快推出，指导各单位进一步做好数据利用和保护。

区域银行安全有章，推进有序

重庆农村商业银行科技信息部副总经理冉龙兵介绍，为有效应对当前国内外各种网络安全威胁，成立了网络安全和信息化领导小组，由总行行长任组长。领导小组办公室设在总行科技信息部，由科技信息部统筹负责全行网络安全事件的应急处置工作，由总行办公室统筹负责网络安全舆情事件的防控、应对及引导等。通过制定《电子银行产品客户敏感信息保护规则》等文件，对业务系统中客户敏感信息的关键部分进行了屏蔽，防止客户信息泄露。

“此外，我行还严控客户敏感信息访问。管理业务系统、内管系统、风险交易监控系统均按照‘业务必须、最小权限’原则，采取‘岗责对应、账号实名、交叉授权’方式控制客户敏感信息访问，同时系统自动记录用户操作日志。客户信息下载需要授权，数据拷贝需按照《数据安全管理办法》的要求经多级有权人审批后才可进行，严禁违规查询、下载、复制和保存客户信息。”冉龙兵介绍到，“目前我行业务所涉内管系统、风控系统、制卡数据准备和银行卡销毁等重要操作均在监控之下。”

在业务风险和客户资金安全方面，重庆农村商业银行在柜面签约或重要信息变更业务中，要求通过身份证件识别、柜面双人复核、远程授权等措施进行身份识别。非柜面自助签约或非重要信息变更通过现场手持身份证照片、远程视频对话等措施进行身份识别，确保客户身份的真实性。重要交易通过登录密码、支付密码、USBkey、Pin码、短信动态验证码等多重密码措施加强交易认证，电子银行风险交易监控系统将电子银行风险交易纳入监控体系，加强对异常交易行为的监测、预警和处理。

《网络安全法》颁布后，长春农商银行即对其相关要求，对行内的软硬件产品进行了全面排查，对安全防护策略进行了加强。通过版本升级、漏洞修补、增加堡垒机等方式，加强网络安全工作。此外还增加了进行等级保护测评的信息系统数量，并提升了门户网站等信息系统的等级保护级别。长春农商银行科技部运维中心总经理张鸿宇：“网络安全法颁布后，我们更深地意识到了信息安全对银行产品发展和影响的重要性。在多个方面做了进一步的加强，特别是针对移动端的网络安全方面，引入了专业的第三方公司，对移动端的APP产品进行了代码加固和渠道监测等工作。”

券商更注重数据安全保护

光大证券公司信息技术总部首席安全专家刘嵩认为，《网络安全法》明确了网络安全的主体责任及处罚措施，对增强各行业、各单位网络安全意识，推进我国网络安全建设，强化网络安全基础，都具有重要作用。据他介绍，《网络安全法》出台后，光大证券积极响应相关要求，在全面梳理信息系统安全防务系统的基础上，依照《网络安全法》关于个人信息保护的相关要求，增加了对数据安全、个人信息安全保护的保护力度。“一是针对态势感知做了一些调研，目前测试方案已经成型，同时针对移动安全态势感知开始立项，也通过了一些测试；二是依照‘采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月’的要求，迅速做出调整，将互联网类应用系统的日志记录留存周期延至六个月；三是加大了《网络安全法》对信息安全宣传的力度，公司定期组织信息安全专项培训，提高公司全体员工的安全意识。这样的培训上下半年各一次。此外，信息技术专业人员安全培训每季度开展一次。”

为保障信息系统的安全运行，光大证券除了做好日常的运维，对信息系统的安全监控频次也大幅提升。安全监控都有详细的日志记录，负责落实到人。同时，光大证券还将企业邮件系统纳入到等级保护测评的工作范围内，以监管要求为准绳全面加强信息安全保护。

“我们首先把制度体系做了一些必要的修订和完善，同时结合这些修订完善的制度体系，优化了内部管理流程，使相关安全制度能够落地执行，并且可以通过电子化的手段去审计和追溯。”中信建投证券公司信息技术总监张建军介绍，“其次是运用沙箱技术构建了安全管理纵深防御体系。这个体系是基于安全运营构建的一个工作平台，并尝试利用大数据、人工智能技术提高系统发现安全问题的及时性和准确性，提高对未知威胁的感知和处理能力。”

除了制度修订和流程的完善以外，中信建投证券公司还增加了一个比较重要的环节，即通过人工的方式进行定期的安全状态的评估和安全事件的响应与跟踪，并通过“短中长”结合的方式加以落实、巩固。“短”指公司每个月都会对信息系统的整体运行状况进行评估；“中”指公司每年都进行内部的信息安全评审工作；“长”指力求通过全方位的安全治理措施，持续推进安全的常态化建设。

谈及一年来的变化，张建军总结到：“首先，对于商业用户来讲，数据防泄密是重中之重。在信息时代，敏感数据也是客户最具价值的东西。很多有组织、有预谋的犯罪都是以窃取客户敏感数据为基础，进而达到窃取客户账户资金的目的。因此，加强数据防泄密的保护能力，是金融机构义不容辞的义务。一年来，我们通过卓有成效的工作，如：大力推进商用密码改造，梳理各业务系统之间的业务逻辑，引入安全情报分析辅助防范新型攻击方式，及时发现安全威胁并作出快速反应。”

该公司信息技术副总裁姜明元表示，针对《网络安全法》关于网络攻击入侵检测的要求，公司今年将持续深化安全管理流程优化，加快提高风险事件监测能力和应急处置能力。这些工作完成后将使公司的数据保护水平迈上新台阶。

呼吁相关细则尽快出台

针对《网络安全法》实施后的一些具体细节，刘嵩坦言“比较关注数据保护的细则规范，这是落实《网络安全法》相关要求中难度比较大的部分”。他举例：“比如OA系统中的个人信息是否属于保护范围还需要进一步明确。而且个人信息保护应当达到什么强度，处罚措施和力度如何界定等，作为责任人都缺乏相应的执行标准。个人建议，对于《网络安全法》应尽快推出相关具体要求的细则。”

张鸿宇表示：“展望下一步出台的《网络安全法》的工作要求细则，我们希望能针对不同的行业领域给予行业性的要求和意见，指导、帮助为数众多的中小商业银行不断加强和完善网络安全工作。”

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。