銀行網(wǎng)絡安全體系發(fā)展及趨勢思考

隨著數(shù)字經(jīng)濟的快速發(fā)展，我國銀行業(yè)務服務模式與技術(shù)架構(gòu)發(fā)生了深刻變革。尤其在數(shù)字化轉(zhuǎn)型背景下，網(wǎng)絡安全作為保障銀行業(yè)務穩(wěn)定連續(xù)運行的基礎(chǔ)，正面臨更大的挑戰(zhàn)。銀行網(wǎng)絡安全體系與銀行技術(shù)、業(yè)務架構(gòu)密切相關(guān)，先后經(jīng)歷了分散外掛防護、集中邊界防護、縱深防護等階段。隨著銀行數(shù)字化轉(zhuǎn)型工作的深入推進，銀行網(wǎng)絡安全體系持續(xù)升級，并逐步向全面防護、攻防能力相長的新體系演進。一、銀行網(wǎng)絡安全工作面臨的主要挑戰(zhàn)1.國際局勢愈發(fā)復雜，銀行面臨嚴峻的外部網(wǎng)絡安全威脅近年來，隨著國際局勢的復雜化，全球網(wǎng)絡安全威脅持續(xù)升級，銀行業(yè)金融機構(gòu)作為金融領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施運營單位，面臨更加嚴峻的形勢：全球供應鏈攻擊規(guī)模和影響不斷升級;網(wǎng)絡入侵事件與日俱增，高級可持續(xù)性攻擊(APT攻擊)呈多發(fā)態(tài)勢;安全漏洞層出不窮，高危漏洞比例大幅增加，0day漏洞風險防不勝防;信息安全整體形勢嚴峻，客戶信息安全與隱私保護面臨新挑戰(zhàn)。2.關(guān)鍵信息基礎(chǔ)設(shè)施強監(jiān)管時代，銀行面臨更高網(wǎng)絡安全監(jiān)管要求當前，國家持續(xù)提高對網(wǎng)絡安全工作的重視程度，陸續(xù)出臺相關(guān)法律法規(guī)，以《中華人民共和國網(wǎng)絡安全法》為基礎(chǔ)的網(wǎng)絡安全法律體系逐步形成，網(wǎng)絡安全治理體系逐步完備，網(wǎng)絡安全成為總體國家安全觀的有機組成部分。2022年9月，《中華人民共和國網(wǎng)絡安全法》擬修改并向社會公開征求意見，以加強對關(guān)基運營者違法行為的處罰力度?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施保護流程，并要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者加強攻防實戰(zhàn)能力建設(shè)。

同時，監(jiān)管部門加強對網(wǎng)絡安全的監(jiān)管。公安部、人民銀行、銀保監(jiān)會等監(jiān)管部門相繼出臺一系列網(wǎng)絡安全監(jiān)管制度，并加大監(jiān)管問責力度，多家銀行因違反相關(guān)條例被監(jiān)管部門給予警告、罰款、責令整改等處罰。監(jiān)管部門、各級政府部門紛紛組織開展攻防比賽、專項演練等專項工作，敦促各關(guān)鍵信息基礎(chǔ)設(shè)施運營單位快速提升攻防實戰(zhàn)能力，監(jiān)管重心逐漸由合規(guī)要求向能力提升轉(zhuǎn)變。3.銀行數(shù)字化轉(zhuǎn)型時期，新技術(shù)、新應用帶來新機遇和新風險一是新技術(shù)與銀行業(yè)務的結(jié)合可能帶來新風險。人工智能、物聯(lián)網(wǎng)等新技術(shù)不斷發(fā)展，與交易結(jié)算、資金融通、風險管控等銀行業(yè)務深度融合，跨境交易高頻發(fā)生，任一環(huán)節(jié)出現(xiàn)問題都可能對業(yè)務連續(xù)性造成影響。

二是新技術(shù)應用帶來新的安全問題。云計算、大數(shù)據(jù)等技術(shù)的發(fā)展在為數(shù)字化轉(zhuǎn)型賦能的同時，也帶來了云安全、大數(shù)據(jù)安全等一系列新型安全問題，產(chǎn)生數(shù)據(jù)泄露風險。

三是新技術(shù)成為驅(qū)動網(wǎng)絡安全防護數(shù)字化轉(zhuǎn)型的重要組成部分。當前，人工智能、區(qū)塊鏈、量子計算等新技術(shù)不斷發(fā)展，銀行不斷加強對新技術(shù)的應用，研究建設(shè)數(shù)字安全平臺，夯實銀行業(yè)數(shù)字化安全基座。二、銀行網(wǎng)絡安全體系發(fā)展歷程銀行網(wǎng)絡安全工作面臨嚴峻的內(nèi)外部挑戰(zhàn)，網(wǎng)絡安全技術(shù)、產(chǎn)品快速發(fā)展，銀行需要以體系化、全局化的視角統(tǒng)籌審視網(wǎng)絡安全各項工作的內(nèi)容和布局。20世紀80年代以來，在信息技術(shù)的帶動下，商業(yè)銀行業(yè)務接連實現(xiàn)電子化、網(wǎng)絡化、數(shù)字化的多次飛躍，信息技術(shù)已經(jīng)成為商業(yè)銀行創(chuàng)新的核心驅(qū)動力。網(wǎng)絡安全與信息化同步發(fā)展，銀行網(wǎng)絡安全體系與信息技術(shù)體系相關(guān)聯(lián)，網(wǎng)絡安全工作隨信息技術(shù)的演進經(jīng)歷了多個階段，銀行網(wǎng)絡安全的防護目標、防護模型、關(guān)鍵技術(shù)在每個階段都存在顯著區(qū)別，各階段銀行網(wǎng)絡安全體系的特征如下。1.分散外掛防護架構(gòu)1980年以后，銀行信息系統(tǒng)進入電子化時代。銀行資金流動日益頻繁，我國各大銀行相繼引入了大型主機系統(tǒng)替代人力工作，在網(wǎng)點建立柜面業(yè)務處理系統(tǒng)，在后臺建立聯(lián)網(wǎng)系統(tǒng)，基本實現(xiàn)了銀行內(nèi)、網(wǎng)點間的業(yè)務聯(lián)網(wǎng)處理。此時我國的互聯(lián)網(wǎng)普及率較低，大多數(shù)銀行的信息系統(tǒng)封閉于局域網(wǎng)中。

在此階段，銀行網(wǎng)絡安全體系采用分散外掛防護架構(gòu)。銀行信息系統(tǒng)主要面臨技術(shù)缺陷、人為破壞、人工誤操作等安全威脅，因此安全防護工作多采用分散外掛防護。銀行網(wǎng)絡安全工作的開展主要依據(jù)國家及主管部門發(fā)布的安全監(jiān)管制度如《中華人民共和國計算機信息系統(tǒng)安全保護條例》，安全工作主要圍繞物理安全、終端安全、主機系統(tǒng)安全等領(lǐng)域開展，保護專用系統(tǒng)和軟件的安全。此時銀行網(wǎng)絡安全工作處于起步階段，代表技術(shù)有防病毒、加密技術(shù)等。2.集中邊界防護架構(gòu)2000年以后，銀行信息系統(tǒng)進入網(wǎng)絡化時代。隨著商業(yè)銀行業(yè)務的不斷擴展和對信息系統(tǒng)依賴性的不斷加大，我國商業(yè)銀行紛紛將分散的計算中心集中到大型數(shù)據(jù)中心，實現(xiàn)了信息系統(tǒng)和數(shù)據(jù)的高度集中。工商銀行率先完成數(shù)據(jù)大集中，之后，全國大小銀行陸續(xù)完成信息系統(tǒng)從“各分行分散”向“全國性集中”的革新。

在此階段，銀行網(wǎng)絡安全體系采用集中邊界防護架構(gòu)。銀行信息系統(tǒng)的高度集中也導致了風險的高度集中，銀行信息系統(tǒng)規(guī)模日益增大，運行環(huán)境愈發(fā)復雜，僅靠過去針對性解決的方法已無法系統(tǒng)性地解決復雜的網(wǎng)絡安全問題，所以銀行網(wǎng)絡安全體系演進為集中邊界防護，即圍繞數(shù)據(jù)中心進行的網(wǎng)絡邊界防護。此時各大銀行開始運用體系化思維解決網(wǎng)絡安全問題，參考了國內(nèi)外一系列安全標準及模型，如信息安全等級保護相關(guān)政策法規(guī)、ISO27000信息安全管理體系標準等，不斷提升信息安全管理的規(guī)范化水平。在此階段，銀行網(wǎng)絡安全體系已相對成熟，代表性的安全技術(shù)有訪問控制、防火墻、入侵檢測技術(shù)等。3.縱深防護架構(gòu)2014年以來，銀行信息系統(tǒng)進入信息化、數(shù)字化時代。銀行的產(chǎn)品、營銷、運營等逐漸發(fā)生深刻改變，信息系統(tǒng)應用規(guī)模不斷擴大，銀行產(chǎn)品迭代不斷加速。各大銀行紛紛引入云計算、虛擬化、人工智能等新技術(shù)來處理越來越多、越來越繁雜的數(shù)據(jù)，信息系統(tǒng)逐漸由單一集中模式向分布式、集中式并存的雙核架構(gòu)轉(zhuǎn)型。

在此階段，銀行網(wǎng)絡安全體系采用縱深防護架構(gòu)。隨著信息系統(tǒng)走向開放，新技術(shù)深刻改變了銀行的服務形式及產(chǎn)品形態(tài)，同時也帶來了新的安全風險，因此銀行網(wǎng)絡安全架構(gòu)逐漸向縱深防護演變，強調(diào)內(nèi)外兼顧的綜合防護。各銀行依據(jù)國家及相關(guān)部門發(fā)布的《網(wǎng)絡安全等級保護條例》與《國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱“關(guān)基保護條例”)等相關(guān)法規(guī)標準，推動構(gòu)建網(wǎng)絡安全縱深防護體系。網(wǎng)絡安全的目標由單一保護網(wǎng)絡向保護數(shù)據(jù)轉(zhuǎn)變，通過縱深防護，達到內(nèi)外兼防的目的。在此階段，銀行網(wǎng)絡安全需要同時兼顧攻防，代表技術(shù)有ATT&CK威脅建模、網(wǎng)絡攻擊溯源技術(shù)等。

目前，銀行業(yè)正處于數(shù)字化轉(zhuǎn)型關(guān)鍵階段，銀行業(yè)務模式向數(shù)字化運營轉(zhuǎn)型升級，對銀行網(wǎng)絡安全體系提出了更高的要求，銀行網(wǎng)絡安全體系逐漸由合規(guī)管理向主動防御、智能防御等能力建設(shè)階段轉(zhuǎn)變。三、銀行網(wǎng)絡安全體系發(fā)展趨勢在新的形勢下，銀行網(wǎng)絡安全體系升級轉(zhuǎn)型的需求愈發(fā)迫切，從當前發(fā)展情況來看，銀行網(wǎng)絡安全體系升級主要有三個方向。1.新技術(shù)：提供數(shù)字化轉(zhuǎn)型安全支撐升級安全防護技術(shù)是銀行網(wǎng)絡安全體系升級中“技術(shù)”層面的嘗試。通過提升各項防護技術(shù)效能，應用以數(shù)據(jù)為驅(qū)動的安全新技術(shù)，構(gòu)建數(shù)字化轉(zhuǎn)型安全底座。

大數(shù)據(jù)與人工智能技術(shù)賦能金融反欺詐，以數(shù)據(jù)為驅(qū)動建立智能化的風險預測防控模型，構(gòu)建以數(shù)據(jù)為核心的反欺詐體系，能夠提升銀行服務能力和風險管控水平。隱私保護技術(shù)在日常業(yè)務開展中保護客戶合法權(quán)益，保障業(yè)務安全，促進數(shù)據(jù)合規(guī)、高效流通。區(qū)塊鏈技術(shù)實現(xiàn)交易防篡改和可追溯，在重構(gòu)信用機制、保護個人隱私以及共享行業(yè)信息方面發(fā)揮重要作用，可有效提升銀行間合作效率。2.新模型：構(gòu)建零信任網(wǎng)絡安全架構(gòu)引入新的安全防護模型是銀行網(wǎng)絡安全體系升級中“模型”層面的嘗試。通過將安全防護基本理念、實施策略進行重構(gòu)升級，實現(xiàn)既有安全技術(shù)防護效能的提升，其中零信任模型是當前最熱門的模型。

零信任的核心思想是“從不信任，始終驗證”。零信任打破了傳統(tǒng)網(wǎng)絡安全中“網(wǎng)絡邊界”的概念，網(wǎng)絡安全體系從以網(wǎng)絡為中心向以身份為中心轉(zhuǎn)變，對用戶、設(shè)備進行全面動態(tài)的訪問控制。

近年來，零信任應用日漸廣泛，產(chǎn)業(yè)發(fā)展初具規(guī)模，已有銀行開展零信任架構(gòu)研究試點。2019年以來，微軟、谷歌、思科等全球科技巨頭率先進行零信任架構(gòu)落地實踐，國內(nèi)安全廠商紛紛推出各場景的零信任解決方案。目前，遠程辦公、遠程分支機構(gòu)接入、遠程運維等場景備受各行業(yè)關(guān)注，工商銀行等大型商業(yè)銀行均開展了遠程辦公場景下零信任試點。3.新理念：形成螺旋式攻防內(nèi)生動力摒棄靜態(tài)防護，引入攻防博弈理念，是銀行網(wǎng)絡安全體系升級中“理念”層面的嘗試。通過重新定義安全的狀態(tài)，實現(xiàn)網(wǎng)絡安全向以能力建設(shè)為導向的智能防御及進攻反制階段演進，“攻防相長”理念是該方向的積極嘗試。國家網(wǎng)絡安全監(jiān)管要求日益嚴格，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》對關(guān)鍵信息基礎(chǔ)設(shè)施運營單位提出了“溯源反制”等攻擊能力方面的要求。因此，我國銀行業(yè)逐漸將攻防能力建設(shè)納入整體安全規(guī)劃，網(wǎng)絡安全理念由基礎(chǔ)建設(shè)導向朝能力建設(shè)導向轉(zhuǎn)變。

工商銀行在行業(yè)率先推出“攻防兼?zhèn)?、能力相長”的新一代安全攻防體系，成立了安全攻防實驗室，研究網(wǎng)絡安全攻防技術(shù)，開展攻防實戰(zhàn);此外，提出金融攻防靶場的建設(shè)思路，整合開展了攻防能力培訓、攻防技術(shù)研究、攻防對抗實施等多項“以攻促防”工作。四、銀行網(wǎng)絡安全工作展望數(shù)字化轉(zhuǎn)型時代，銀行業(yè)金融機構(gòu)應緊跟網(wǎng)絡安全體系發(fā)展趨勢，持續(xù)提升網(wǎng)絡安全防護實效，以應對復雜的安全形勢。1.保障數(shù)字化技術(shù)安全落地針對數(shù)字化相關(guān)新技術(shù)應用可能帶來的一系列風險，各銀行業(yè)金融機構(gòu)應全面梳理業(yè)務系統(tǒng)和數(shù)據(jù)資產(chǎn)，規(guī)范新技術(shù)使用場景，加強新技術(shù)安全底座構(gòu)建工作;同時，落實網(wǎng)絡安全相關(guān)法律法規(guī)及監(jiān)管要求，保障數(shù)字化新技術(shù)的安全落地應用。2.零信任架構(gòu)重塑數(shù)字銀行安全邊界在數(shù)字化轉(zhuǎn)型的背景下，銀行業(yè)務與信息安全息息相關(guān)，零信任“始終驗證”的思想可以滿足銀行業(yè)務更安全、更高