兴业银行信息科技部副总经理 吴上荣
兴业银行将数字化转型作为新一轮五年规划的核心要点之一,制定了“构建连接一切的能力,打造最佳生态赋能银行”的目标,全面分析所面临的全新网络信息安全风险和挑战,坚持科技赋能,坚持安全服务业务,有效防范各类金融安全风险,保障业务稳健发展。
近年来,党和国家高度重视网络安全工作及新时代网络安全治理体系建设,将信息安全上升至国家战略层面。兴业银行作为一家大型金融控股集团,兼具国家关键信息基础设施运营单位和系统重要性银行双重重要身份,是国家网络安全综合治理体系中的一个重要主体。
当前,网络安全威胁日益突出,黑产团伙的专业化、组织化、规模化使金融机构面临前所未有的严峻挑战。兴业银行一向高度重视信息安全建设工作,早在2017年发布的信息科技“1248”发展战略中就将“安全银行”列为“四个银行”建设之首,切实履行国家系统重要性银行网络安全主体责任,从信息安全治理、管理、技术、运营四个层面同时推进各项工作,为业务可持续发展保驾护航。
一、做好顶层架构设计,不断完善安全治理体系
信息安全治理是信息安全建设工作中至关重要的一环,设计好信息安全的顶层架构,使其能够良好地规划引领信息安全建设的工作方向,确保信息安全工作与业务发展目标保持一致,显得尤为关键。
兴业银行始终贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求,秉持“全局、全面、全员”的信息安全工作理念,在管理视角上从全局统筹安全和发展,在管理范围上坚持“横向到边、纵向到底”的全面性,在责任上坚持所有单位、所有人员“人人有责”的全员视角;全面贯彻落实“合规、专业、合作”的信息安全工作方针,坚持合规是信息安全工作的底线,倾力打造体系化安全技术防护能力与专业化人才队伍,注重资源共享和协同合作,高效整合外部力量,提升自身安全实力。同时,兴业银行还建成了由总行网络与信息安全领导小组统筹决策、总行信息科技部具体协调推进、总行审计部事后审计监督,全行各级机构各尽其职的总体管理架构。
二、夯实“人防”基础,强化信息安全管理体系
“三分技术,七分管理”,信息安全管理是贯彻信息安全整个过程的生命线。兴业银行通过构建和完善信息安全制度体系,组织安全检查及考核评价,开展安全意识宣贯与安全文化培育,提升人员专业技能,推广安全标准和要求,全方位保障安全工作的有效落实。
兴业银行建立了覆盖全领域的三级信息安全制度体系,累计制定规章、制度和规范40多项,全方位实现安全工作有规可循;采取多领域组合的方式,同时配备强大的检查队伍,对各级机构开展现场和非现场检查,以提供信息安全服务的方式辅助各级机构完善信息安全建设工作;创设考核指标评价体系,每年对分支机构开展信息安全考核评价,督促信息安全工作的有效落实;多渠道、多方式、常态化开展“兴安全”主题活动,年度参训人数达到5万多人,有效提升了全体员工的信息安全和保密意识;面向全集团成立信息安全技术部落,提供信息安全技术交流平台,不定期组织开展线上线下交流培训课程,营造浓厚的信息安全技术学习氛围。
三、筑牢“技防”壁垒,加快完善信息安全技术体系
信息安全技术体系旨在用合适的技术手段在业务和管理的各环节建立合适的安全防护和监控措施:一是强化源头安全管理,加强信息系统生命周期体系建设;二是强化数据安全管理,塑造数据全生命周期保护能力;三是在不同安全区域建设覆盖用户、终端、网络、服务器、应用、数据等逻辑层面,具备事前防护、事中监测和响应、事后审计分析能力的多方位安全技术设施;四是加强网络技术保障和预警应急能力建设,有效支撑信息系统安全稳定运行。
信息系统安全是保持业务连续性的基本前提。兴业银行严格落实“同步规划、同步建设、同步运行”的安全要求,建立了覆盖信息系统需求、设计、开发、测试、上线、维护全生命周期的安全管理体系。在业界首创与应用架构师、数据架构师、技术架构师并重的安全架构师岗,专门承担信息系统全生命周期中的安全架构设计和关键里程碑审核。针对信息系统的上线与重要变更,均进行包括代码扫描、渗透测试在内的全面安全测试,有效落实安全验收;信息系统上线后,定期开展各项安全评估检测工作,对发现的问题实施全流程闭环管理,严防信息系统“带病”运行。
保障数据全生命周期安全,切实落实个人信息保护要求。兴业银行高度重视数据安全和个人信息保护,制定数据安全和个人信息保护有关管理制度,发布信息系统用户需求安全规范。在客户信息采集时,不断强化隐私合规能力,严格落实个人信息明示同意要求;强化数据备份能力建设,每天对信息系统的业务数据进行本地、同城或异地存放,同时为分行提供异地备份资源池;落实数据脱离系统脱敏,个人敏感信息脱离系统时要求必须进行加密保护;成立个人金融信息应急处置工作常设响应小组,并定期开展应急演练;组织开展专项行动,消除办公环境个人金融信息安全隐患,推动存量信息系统相关功能的合规整改,强化新系统的安全合规要求。
完善的纵深防御体系是网络与办公安全的坚强后盾。通过多年持续开展网络安全防护能力建设,兴业银行已形成了具备抗DDos攻击防护、Web应用防护、网页防篡改、恶意代码防护、主机安全防护、攻击溯源等能力的“立体化”安全技术防护体系,有效防范拦截互联网侧针对内部网络和信息系统的恶意攻击。全面实施办公终端准入控制机制,落实外联控制,移动终端离行后仅允许访问本行移动办公系统,禁用普通移动存储,保障内部办公环境安全。
做好基础设施运维保障,有效支撑信息系统安全稳定运行。一是加强网络技术保障,提升网络安全防护能力。兴业银行采取多种技术措施加强安全防控,对全行骨干网络采用虚拟专网技术承载广域网通信,通过路由隔离实现不同子公司之间的访问控制,消除因安全措施不同而造成的安全短板威胁,并充分利用SDN网络策略的细颗粒度优势,进一步细化网络节点间的访问控制;有针对性地为互联网接入区域网络层部署异构品牌包过滤防火墙,应用层部署规则判断加语义分析异构双层应用防火墙,有效实时阻断高危攻击。二是不断增强运维预警应急能力,积极探索和研究可能遭遇的各种安全风险,并有针对性地主动建立相应的预警机制,制定相应的处置措施。一方面建立场地、网络、系统、应用层面的多渠道实时监控预警体系,同时不断完善监控预警,及时满足各类新型监控需要;另一方面不断提升应急处置水平,借助运维大数据、自动化运维、业务连续性等平台,提高故障发现、定位的精度和速度,缩短故障排查、处置时间,强化“少影响、不影响”的应急处置能力。
四、打造安全长效机制,建立健全信息安全运营体系
兴业银行信息安全运营体系以全天候、全方位感知集团网络安全态势为目标,在安全资产精细化管理的基础上,持续对自身安全能力体系和安全资产的运行状况进行监测和检测,结合外部威胁情报展开综合分析,进行安全威胁预警并组织响应。
兴业银行围绕有监测、有响应、有预案、有演练、有团队“五有”安全运营原则,积极加强与国家专业安全机构的情报合作,快速获取最前沿的情报,积极对暗网假数据事件、仿冒App事件等进行响应与处置,切实维护客户合法权益,有力保障自身利益不受损;不断丰富安全威胁场景,制定相应的应急处置预案,通过定期开展演练、攻防实战演习,有效验证并不断完善应急预案;重视自身安全团队的建设与能力培养,积极鼓励自身安全团队参加各类大型信息安全攻防竞赛、攻防演习等,通过竞赛实践等方式不断提升自身队伍能力,并取得优异成绩。
在日常运维方面,兴业银行首先是强化日常安全防护落实,按照主流操作系统、数据库、中间件产品的配置规范执行安装,确保基础软件符合安全防护标准;针对高危安全漏洞,建立各类权威渠道发布信息跟踪机制;定期组织开展漏洞扫描、微码升级、补丁升级等工作,持续加强系统基础产品的安全性。其次是加强运维操作合规性,通过运维授权访问控制体系,实现集中的用户访问痕迹跟踪和审计,使身份认证、访问控制、用户授权和安全审计规范化、标准化;建立背靠背交叉事后监督机制,对运维操作进行事后监督,形成有效制衡,进一步降低了生产系统运维操作风险。
五、下一步工作方向
兴业银行已将数字化转型作为新一轮五年规划的核心要点之一,制定了“构建连接一切的能力,打造最佳生态赋能银行”的目标,并将全面分析所面临的全新网络信息安全风险和挑战,坚持科技赋能,坚持安全服务业务,有效防范各类金融安全风险,保障业务稳健发展。
一是积极增强数据安全保护能力,落实个人信息隐私保护:深入贯彻落实《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,在相关业务流程、日常管理等领域进一步优化数据安全工作机制,持续深入开展员工安全意识宣贯和培训,压实个人信息安全隐患的排查与清理工作,致力于提升个人信息保护工作长期成效;积极探索使用多方安全计算、联邦学习、同态加密等新兴技术,提升个人信息隐私保护能力,促进数据有效利用。
二是打造立体化的安全防御体系,全方位提升安全防护能力:采用整体安全视角构建安全防御体系,实现重点防护,提升动态、主动防御能力,加强各安全产品之间的有效联动,实现从“局部散松耦合”向“深度融合体系化”的转型;结合后疫情时代和开放银行时代的特点,多方位、多层次对现有安全防御能力进行查缺补漏,积极跟进研究API安全、网络安全网格、零信任、区块链等新兴技术发展趋势,切实做到补短板、锻长板。
三是推进安全银行建设,保障数字化转型有效开展:强化供应链管理,加强开放银行建设,防范供应链和生态圈安全风险;充分利用物联网、大数据、人工智能等新兴技术,打造自动化、智能化的生态圈安全运营能力,构建合作共赢的安全生态圈。
原标题:
全力打造一流安全银行 成就网络安全高水平履职企业—— 兴业银行信息安全建设与实践
本文刊于《中国金融电脑》2021年第12期
声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
