關于加強西藏轄區銀行業網絡安全管理的思考*

劉蘭

（西藏大學經濟與管理學院，西藏 拉薩 850000）

2017 年5 月，肆虐全球的“勒索”病毒將網絡安全推到了風口浪尖；2018 年10 月，Facebook 被爆8700 萬用戶數據被不當泄露給政治咨詢公司［1］；2019 年，某酒店5 億客戶數據泄露，龐大的數字不僅是造成了個人信息的泄露，對當事人也造成了巨大的損失。銀行業更是存儲了海量的客戶數據，觸目驚心的案例對傳統銀行業保障網絡和數據安全、維護金融消費者權益敲響了警鐘。西藏轄區銀行業金融機構抓住“互聯網+”機遇，利用大數據、云計算、移動互聯等新興信息技術[2]，不斷創新藏式特殊金融產品，金融服務讓利于民的成效凸顯，但由于過渡依賴通訊網絡，安全風險也伴隨而至，銀行IT 主管部門更是如履薄冰、疲于應付。為維護轄區金融安全和社會穩定，轄區銀行業應從金融行業安全事件案例中汲取教訓，查找短板，彌補差距，精準發力，切實加強網絡風險治理，促進金融服務普惠民生。

1 西藏銀行業網絡安全管理存在的問題

1.1 網絡安全意識不高、基礎設施面臨挑戰

一是銀行機構普遍認為自己使用專線內部網絡，與外界物理隔離，不可能遭受惡意代碼程序、黑客攻擊等事件；另外認為安裝了防病毒、防攻擊等安全產品，就能夠及時防范網絡安全風險。二是普通銀行用戶認為牢記密碼、網絡銀行終端安裝殺毒軟件便可確保資金安全，但通過在PC 終端或移動支付終端設置木馬后門等手段可輕易獲取銀行賬號、密碼等信息；另外鄉村一級的銀行用戶文化程度不高，接受金融安全教育機會少，安全防范措施知之甚少，面臨的資金加之支付交易雙安全風險更大。三是銀行用戶對虛假金融信息的識別、判斷能力不高，掌握的信息不對稱，易遭受垃圾廣告、電信詐騙、誤入釣魚網站等資金安全威脅。四是盡管各銀行已實施國產化戰略，但關鍵性基礎設施的工藝控制系統仍受制于人，自主可控能力仍待加強，有的分支機構還飽受電力供應不足、有線網絡持續穩定運行能力不高的困擾，網絡安全形勢依然嚴峻。中國互聯網絡信息中心（CNNIC）發布第45次《中國互聯網絡發展狀況統計報告》顯示，截止2020 年3 月，遭遇過網絡安全事件用戶占比達到整體網民的43.6%，其中個人信息泄露是首要網絡安全問題，在網絡安全事件中占比為23.3%.可見，加強網絡安全管理，保障金融消費者權益，應引起高度重視。

1.2 防護體系建設滯后

銀行機構普遍存在僥幸心理，沒有形成主動防范、積極應對的風險意識，更不能從根本上提高網絡安全監測、防護、響應等能力[3]。一是銀行使用的安全產品和網絡設備分別來自不同的供應商，安全防護水平參差不齊，如轄內某銀行安裝的趨勢產品，在病毒防護方面表現不盡人意，導致其轄內縣支行的計算機終端感染木馬病毒的事件時常發生，已經成為威脅農業銀行內部網絡安全的風險隱患[4]。二是各銀行在一級支行部署了防火墻、防病毒、漏洞掃描、入侵檢測、網絡審計等安全防護設備和系統，但不同安全專用系統的監測、預警措施相對孤立，不能對已發現的安全威脅進行全局預警和聯動防護。此外，一些訪問控制措施執行不到位，包括安全策略落實不夠嚴格、網絡口令管理不嚴、未開啟系統審計功能的不合規情況仍然存在。三是除一級支行、農行二級支行網絡節點外，其它銀行分支機構皆未安裝部署防火墻和入侵防御硬件產品，容易使網絡內部感染病毒、攻擊行為無法進行有效的監測和處置。

1.3 網絡安全協調機制不健全

由于電力、通信、交通等基礎設施不完善，西藏轄區銀行網絡安全威脅主要包括：網絡通信中斷、電力供應中斷、網絡攻擊、網絡犯罪等[5]。這些風險的處置將涉及到公安部門、通信管理部門、電力部門等多個不同領域的專業機構，由于各自的職責不同，在日常工作接觸少，缺乏必要的溝通與了解，致使多方掌握的信息不對稱，協調工作存在一定的難度。《西藏金融業信息安全協調工作機制指引》（簡稱“指引”）中明確了各成員單位的職責和任務，建立了定期聯系會議制度，由于涉及跨行業跨部門的溝通、協作，以及各行業應急協調管理的專業指導，指引的影響范圍有限、約束力有待加強[6]，其實現最終目的存在一定困難。

1.4 網絡安全管理經驗不足、隊伍待壯大

轄內商業銀行中，除自治區級機構外，農業銀行、郵政儲蓄銀行在地市一級設有信息技術部門和網絡管理人員，其他單位及縣級機構無專業技術人員。從技術掌握層面看，我們對網絡攻擊、信息竊取等黑客技術了解不深、研究不透，網絡安全管理工作滯后。從人才專業性層面看，缺少掌握網絡安全技術的專業人才，隊伍還有待發展壯大。

2 制約銀行業網絡安全管理的因素

2.1 重視程度不高、思想不統一

銀行以追求利益最大化為原則，在如何加強網絡安全風險治理方面，思想認識不夠統一，潛在風險意識不強，重應用輕安全的觀念依然存在，仍認為現金、槍支、彈藥等傳統風險點自主安全可控，便無其他風險。另外，銀行業多元化經營，使網絡安全風險的關聯性和傳導性增強。部分銀行分支機構在安全生產方面存在敷衍了事、得過且過的現象，重視程度不夠，偏好于業務營銷；部分金融業務部門還存在網絡安全規章制度執行不到位、有章不循的現象，甚至存在無計算機安全組織機構的情況。

2.2 自主運維效能差，過分依靠外包

一方面由于人員緊張，銀行將設備管理、安全策略配置等任務委托第三方專業服務公司，另一方面由于未設立信息技術部門，部分銀行分支機構網絡運維管理基本依靠外包服務，上述兩種情況存在服務流程流于形式、過度依賴外包服務公司等情況，直接影響了自主運維和應急處置能力，還存在泄漏客戶信息的風險隱患。此外，部分銀行分支機構的網絡設備由上級行和供應商提供及現場安裝，本地工作人員的運維能力沒有及時跟進，這已成為影響網絡安全和持續運營的重要因素之一。

2.3 監管職能有限，缺乏有效指導

由于缺乏對商業銀行信息安全工作指導和協調的規范和措施，人民銀行科技部門依照國務院“三定”方案履行的職責始終處于表面，不能深層次發現、挖掘影響轄內金融安全與穩定的網絡安全風險。另外，人民銀行與商業銀行之間還存在安全信息共享力度不夠，信息交流途徑不暢的問題。同時，人民銀行統一發布的風險提示內容有限，只能對地方性商業銀行給予大體上指導，缺乏可操作性。

2.4 應急體系建設不健全，本地化不完善

表現為照抄照搬上級制定的應急預案、應急能力未進行有效評估、備用設備不足等，在突發事件發生時，容易導致金融服務的中斷。網絡安全協調機制浮在表面，銀行與運營商、電力供應等部門各自為政，未實現信息共建共享。受地理位置和自身業務發展限制等因素的限制，銀行網絡災備體系建設起步晚、底子薄，承災能力有待進一步提升。另外，銀行業務人員對業務連續性認識不足，普遍認為其是信息技術部門的責任，由于配合不夠、參與力度不大、覆蓋面不全，應急預案的作用將面臨挑戰。如發生網絡中斷事件時，在未采取有效處置措施的情況下，有的銀行分支機構直接對外發布公告，停止業務辦理，破壞了金融消費者對銀行的形象和信心，企業社會責任擔當意識不強。

3 加強頂層設計，優化工作機制，提升網絡安全效能

銀行機構要發揮主觀能動性，加強網絡安全頂層設計，建立健全工作機制，牢守風險防控底線，為區域金融改革創新發展提供有力支持和保障，維護轄區金融安全。

3.1 高度重視、強化安全教育

轄內各銀行機構要高度重視網絡安全工作，嚴禁出現“檢查時重視，平常時輕視”的現象，以風險管理為本，將行政管理要求、安全生產管理理念融合于網絡安全管理之中，促進網絡安全工作向常態化、制度化轉變。

結合《網絡安全法》的頒布實施，組織開展網絡安全宣傳，引導關注金融安全、防范支付風險和電信詐騙、個人敏感信息保護等，提高金融消費者安全素養。

以金融知識宣傳活動契機，引導金融消費者增強網絡安全風險識別能力和自我保護意識。推廣應用脫機數據終端電子認證產品和國密算法，加強與通訊運營商、公安、網信辦、反詐騙中心合作，嚴厲打擊不法分子盜取客戶信息和資金的犯罪行為，保護用戶合法環境，應用網絡安全自主可控產品，不斷提高安全本質和動態防御能力。

3.2 找準載體，構筑網絡安全屏障

以信息系統等級保護為抓手，關聯分析入侵檢測設備、漏洞掃描設備等事件信息，利用大數據分析方式，重新對傳統安全設備攻擊規則進行調整，利用智能化、動態的態勢分析平臺及時發現攻擊行為。嚴格規范網絡安全配置策略，固化網絡邊界防護，優化網絡結構，堅守新建網絡上線前安全配置核查、漏洞掃描等安全關口、深化已建網絡安全測評結果應用，加強以身份認證、授權管理、安全審計等為內容的網絡信任體系建設，研究利用云計算、大數據等新技術提高監測、預警水平，進一步提升網絡安全管理能力[7]。

結合實際情況，銀行應堅持優先恢復對外服務的原則，不斷修訂完善網絡應急預案，不定期開展跨部門、跨機構的綜合類應急演練，著力驗證應急資源的完整性和可靠性，鍛煉應急隊伍，進一步提升網絡持續運營水平，增強應對突發事件的信心。人民銀行應收集整理轄內銀行業信息化基礎設施備件清單（如路由器、交換機、防火墻）和專業人才名單，在發生應急事件時，銀行機構在短期內無法自行解決的情況下，可在信息安全協調框架內請求協助，人民銀行將根據備件清單和人才名單組織其它銀行機構的人力、物力展開救援，降低網絡安全運營人力風險系數。

西藏地處反分裂、維護社會穩定的前沿，保障銀行業網絡安全，阻擊國內外反動勢力的政治攻擊意義重大。進一步強化西藏轄區重要節點和敏感時期的網絡安全意識形態工作，堅持從內部網絡、微信、論壇等渠道，加強網絡安全事件采集和分析，注重與地方政府、新聞媒體的協調配合，狠抓社會輿論引導，加強危機公關鍛煉，防止有害信息傳播，落實零報告和計算機安全報告制度，增強突發事件的應對處置能力。

建立健全網絡安全組織架構，及時全面掌握轄區銀行業的網絡安全工作現狀，發揮好人民銀行對銀行業信息安全工作的指導協調作用。促進銀行、公安、電力、通訊、網信辦等部門的合作交流，建立網絡安全情報合作分享機制，優化轄內信息安全生態環境，共享信息安全成果，確保快速響應，及時處置安全事件。

3.3 堅持安全生產理念，主動接受監督和管理

安全生產是一切工作的生命線。從金融安全角度出發，實施安全生產“一票否決”責任制，貫徹落實《中國金融業信息技術“十三五”發展規劃》，注重信息化基礎設施保護，強化頂層設計，實施網絡安全生命周期管理[8]。

嚴格執行安全生產制度，落實安全生產責任制，提高關鍵崗位人員運維能力，完善系統運行環境建設，加強外包服務風險控制，嚴格終端安全控制措施，提升現場和非現場的網絡安全管理數字化水平。經常確認當前采取的技術措施在抵御風險方面的作用，及時調整安全策略，提升脆弱性主動發現能力，降低安全風險。

主動接受監管部門和審計部門監督，積極處置存量風險、控制增量風險，防止風險管理制度流于形式，并對違反安全規定的行為采取零容忍政策，提升執行計算機安全管理制度的自覺性和主動性，進一步完善網絡安全管理制度和基礎措施。

加強自主運維能力建設，使其能在復雜環境下獨自勝任工作，力爭做到生產全面自救。定期檢測安全技術措施的有效性，切實提高網絡安全效能；注重建設網絡安全持續動態監測機制，準確掌握安全風險態勢[9]；既加大網絡技術隊伍“人力+能力”的培養力度，又加強內部人員在權限分配、職能定位方面的管控，促使網絡安全管理制度落實。

加大網絡安全專項資金投入力度，始終把建立“兩地三中心”作為災備體系建設的遠期目標，并結合實際情況，進一步提高建設標準，提升容災能力和網絡健壯性，探索5G 無線網絡替代有線網絡的應急處置措施，積極應對如地震、洪水、泥石流等區域性災難，保障核心數據安全和災難時的核心業務恢復。適時、審慎開展網絡風險評估，發現存在的問題，建立問題分級跟蹤整改機制，實施安全加固，并著力解決存在的問題。