【光大银行】金融科技背景下的银行信息安全建设思考与实践
张庆华
随着金融科技时代的到来,信息安全已经走到变革的交叉路口。金融科技所引领的数字化生活,对银行的信息安全管理者既是巨大的挑战,同时也是机遇。银行只有顺势而为、主动整理已有经验、积极探索新的管理思路,才能在数字化时代,赢得主动、赢得未来!
文 | 中国光大银行信息科技部
张庆华 王海滨
近年来,金融科技的浪潮风起云涌。随着云技术、大数据、区块链、人工智能等新兴技术在银行业务以及其日常经营中的全面应用,金融科技对银行的推动和引领作用前所未有的清晰。信息安全作为银行业务及金融科技的基石,应及时进行变革并为其前行提供充足的保障。
一、从信息安全角度理解金融科技
站在信息安全角度统观金融及金融科技发展的历史,我们认为,可以从三个方面理解金融科技的内涵和外延。
第一,金融科技较传统的金融电子化相比具有更强的穿透性,并进一步模糊网络边界。虽然金融科技是金融电子化的延续和发展,但是其典型性技术,如大数据应用、移动支付、人工智能等,在推动业务更快速和更便捷的同时,进一步拉长了数据应用的链条,同时也将外部客户与内部系统的联系变得更加紧密,从而实质性地打破了内部网络与外部网络的隔离态势。
第二,金融科技趋向更强的金融属性,这将信息安全问题变得更为复杂。无论金融科技如何演变,其本质上仍然是金融。因此,金融科技发展的越深入,信息安全与银行的各业务领域以及日常经营活动的关系就会变得越发紧密并产生更多的交集,导致银行所面临的信息安全威胁也变得更加复杂和多元化,结果就是安全保障的挑战和压力呈现出指数级增长的态势。
第三,金融科技多学科和多领域的交叉性特点,进一步加剧金融业务的复杂性,导致信息安全决策变得更加困难。例如,现代的客户体验改进,往往需要通过应用大数据、市场营销策略、客户心理分析、运营决策、风险管理等多方面知识的综合运用,并实现业务与安全的平衡,其中的安全决策变得极有挑战性。
二、金融科技背景下信息安全
管理方法的思考
我们认为,面对新的发展趋势,信息安全管理方法需要作出新的变革,以积极和主动地响应外部形势和内部保障的需求,主要有以下几点。
第一,信息安全管理要作出主动和更快的转型,即要从“重建设、轻管理、无运营”模式向“管理、运营与建设并重”的模式作出实质性转变。尤其是要主动开展信息安全运营的建设工作,并通过运营将管理和建设串起来,使得信息安全工作由点变面,形成整体协调的信息安全治理和运作体系。
第二,要主动理清信息安全与IT、数据、业务、风险等银行日常经营各项领域的关系,形成相对稳定的分头协作管理板块,并通过系统化的策略管理推动相关领域的信息安全建设。特别是在应对黑色产业链条、内部舞弊方面,需要对相关领域的工作交集和职能模糊地带进一步整合,理清职能,建立专职队伍和协调机制,主动推进相应领域的建设。
第三,要继续稳固信息安全基础工作,建立完善的基础安全工作框架,并持续地将信息安全与开发、运维、质量、规划等领域进行融合,缩小灰色地带,形成基本无缝隙的基础安全管理体系。其中的重点在于两个方面:
一个是通过管好规划、管好需求,提前发现存在于业务需求、技术架构、产品选型等方面的安全隐患并消弭于无形;
另一个是在ISO20000和CMMI管理体系的基础上,将安全规范、技术标准、日常检查融入开发和运维的日常管理,通过在开发和运维的关键节点建立安全管控机制,形成主动安全运维和主动安全开发的氛围。
第四,强化对新技术应用的管理和建设疏导,通过业务到技术环节的风险识别机制建设以及技术实现支撑平台的研发和推广,引导和合理控制新技术的应用,并排除必要的安全隐患,实现既支持业务开展又安全运营的目标。
三、光大银行在金融科技信息安全
方面的实践
在上述思路的指导下,光大银行近几年来逐渐加大了对信息安全的投入力度,并着力实现信息安全管理的转型,主要包括以下几方面的工作。
1.主动推进信息安全运营体系工作的建设
信息安全运营体系建设的意义在于,一方面,通过信息安全运营,能够将信息安全管理的目标、方针及策略进一步细化成为具体的工作目标、任务和监督指标推动安全工作的执行,同时推动信息安全的工作协同;另一方面,信息安全运营又能将信息安全管控和建设中的重点工作,如安全监控、安全分析、安全事件管理、安全响应及应急、协同等,从零碎的状态中剥离出来,组成系统化工作运作板块,改变信息安全“竖井式”建设带来的应对威胁零碎化、面对新的威胁又无法整合力量进行积极应对等诸多弊端。两方面结合,从根本上改变以往信息安全管理和建设在银行金融科技发展过程中处于尴尬地位的局面,并成体系化地推动信息安全体系的建设和运作。
目前,光大银行已经在积极推动相关的工作开展,并初步建立了安全监控的运行机制、队伍、检测体系和处理流程,并实现常态化运转。同时,在主管领导的积极参与下,光大银行正在尝试构建以“统一运营、协同防御、主动响应、智能分析”为核心理念,包括运营队伍、运营机制、运营平台、快速响应在内的信息安全主动运营体系,进而推进信息安全管理体系的量化机制建设和安全防御体系可控、可管机制的优化。
2.开展信息安全管理体系优化
信息安全管理体系优化的主要工作包括主动优化信息安全治理结构,完善信息安全组织架构和队伍建设,调整信息安全职责分工,并强化和完善基础安全的管理要求等,为后续的工作开展奠定组织和制度保障基础。
以等级保护管理制度和ISO27001信息安全管理标准体系为基础,光大银行对全行各级信息安全组织和职责分工进行梳理,进一步明确了全行信息安全的治理架构,并对管理层、信息科技与数据管理委员会、总行各部门及信息科技部各中心、处室的信息安全工作分工进行了优化和完善,设立安全管理专业处室,统筹全行安全管理工作。
在总行各部门设立科技风险协调岗,负责数据、外包和信息安全等问题的识别。在总行信息科技部各中心、处室设立安全架构师岗、开发安全岗、运维安全岗、数据安全岗等,推动IT领域的安全建设。在分行设立信息安全岗和安全协调岗,推动分行本部及支行网点的信息安全工作。同时,对全行各类制度进行梳理和识别,重新提炼信息安全管理要求,并完成信息安全管理制度文件体系的新增、修订和废止工作。
3.持续强化和完善基础安全建设和管理
基础安全的主要内容包括基础设施加固、访问管控、脆弱性管理等内容。基础设施加固,主要是从系统、网络、终端等方面进行安全性加固,并逐步实现加固标准执行的常态化、安全防护动态基线化的目标;访问管控,主要是积极建设各类堡垒机并进行网络访问关系的梳理,收紧基础设施的访问权限,从而达到基础设施安全可控、可管的目标;脆弱性管理,即从安全补丁和安全漏洞的角度,建立常态的评估和修复机制,减少确定性问题带来的不确定性风险。
围绕着基础安全建设和管理,光大银行开展了多项相关的工作,主要有安全基线标准化建设、终端安全加固、网络访问控制关系常态审计、系统服务器和网络设备的堡垒机管理、安全漏洞的风险评估和修复机制建设、安全补丁的管理建设等。在建设中不断梳理和优化安全与运维的分工,将可提炼的工作例行化,并融入日常开发和运维工作中。同时还针对整体安全状况水平追踪,与国家队合作开展长期的系统和网络安全风险评估工作,定期总结经验并改进基础安全管理。
4.积极运用新技术应用并加强建设管理
金融科技目前的主要应用场景包括业务应用移动化、数据的深入关联和挖掘、重复工种的智能化、IT运维的虚拟化、安全分析智能化、金融账务科目的区块化等,关联的新技术包括移动技术、大数据、机器学习、虚拟和云计算等。光大银行积极鼓励新技术的应用和创新,目前已先后研发阳光银行、苏州医保、滤镜、历史数据查询、智能客服、电子银行客户画像等新技术应用产品,同时先后建设私有云、虚拟云桌面等虚拟化设施。
围绕着新技术应用,光大银行同步开展了安全建设管理工作。如在移动应用建设方面,光大银行通过制定管理办法、开发/运维安全技术标准、推进移动应用统一开发平台建设、规范云安全管理等多项措施,将安全要求贯彻到需求、设计、开发、运维等环节,并将其管理形成闭环,构建起整体的移动应用安全管控体系。在云安全方面,光大银行借鉴同业思路,积极建设云安全监测系统,从防护、检测、阻断三个层面构建多维度、主动型智能网络安全防御体系。
随着金融科技时代的到来,信息安全已经走到变革的交叉路口。金融科技所引领的数字化生活,对银行的信息安全管理者既是巨大的挑战,同时也是机遇。银行只有顺势而为、主动整理已有经验、积极探索新的管理思路,才能在数字化时代,赢得主动、赢得未来!
《中国金融电脑》2017年第 8 期
淘宝官网:https://shop160045533.taobao.com
¥25
欢迎订阅
公众号ID
Fcc198905
长按识别左边二维码关注我们