中国银行信息科技部副总工程师冯恺

作为一家全球经营的大型金融企业，中国银行认为满足FinTech发展要求的网络安全保障体系应具备统一指挥、随时应对全球7×24小时安全威胁的监测和应急响应能力，全面、智能、可视化的信息安全威胁态势分析能力，贯穿信息系统生命周期各环节的安全漏洞的自动化发现能力，以及策略统一、梯次部署、纵深防御的安全技术架构四项能力。

近年来，随着大数据、云计算、物联网、区块链、移动支付、人工智能等新技术的兴起，“金融科技(FinTech)创新”快速发展，为银行业的产品服务、商业模式、经营理念带来了深刻变革，拓宽了金融可获得性，提高了金融体系深度和效率，成为影响未来金融业务模式的最重要因素之一。与此同时，FinTech引发的网络安全问题日益凸显，网络安全威胁日趋复杂。在当今万物互联的FinTech时代背景下，商业银行面临愈发严峻的网络安全形势。

一、FinTech时代网络安全挑战与机遇并存

站在商业银行的角度来看，根植于新技术的FinTech使得信息科技与银行业务实现了前所未有的紧密结合。一方面，银行对信息系统高度依赖，主要业务都离不开网络与系统，中国银行绝大多数交易通过电子渠道进行。另一方面，银行业务与信息科技的深度融合也使得科技风险高度集中。银行内部系统和数据高度集中，业务应用之间的关联关系错综复杂，交易路径长、安全控制难度大。银行系统与大量第三方机构系统存在对接，安全边界日益模糊，安全策略难以贯彻到位。

FinTech不断推动银行业实现产品服务和商业模式的创新，从根本上改变金融业态的同时，也使得银行同业竞争日趋激烈。“重业务发展，轻安全控制;重业务需求，轻安全需求;重项目建设，轻安全运营”的现象时有发生。方便快捷的客户体验与审慎稳键的网络安全策略难以兼顾，安全服务于业务并规范业务的目标实现难度较大。

2017年6月我国《网络安全法》的正式实施，标志着网络安全业已上升至国家主权范畴。作为关键基础设施的运营者，银行网络安全一直是监管部门重点关注的目标。伴随着我国“一带一路”战略的发展，中国银行已在42个国家和地区设立海外机构，需要满足来自世界各国对于隐私保护、跨境数据传输等多方面的监管要求，网络安全保障压力日趋增大。

FinTech在对银行业网络安全保障带来压力的同时，也为商业银行网络安全保障体系建设注入了新的思路。机器学习、人工智能等新技术运用将促进安全保障工作由传统的人工操作向自动化、智能化的方向发展;先进的数据采集和数据分析技术可以实现安全威胁和漏洞的实时发现和精准定位;态势感知、安全情报等新兴技术有助于银行整体把控网络安全态势，提升信息系统的网络安全防御水平。

二、积极转型，全面建设中国银行一体化网络安全保障体系

中国银行网络安全保障体系自蓝图建设至今，虽经不断持续完善，但仍是以边界防御和主机防御的思想为主，面对现今技术极其复杂的网络攻击，其防御能力具有很大的局限性。FinTech在推进业务转型升级的同时，其各项先进技术也给全行范围的安全保障工作带来了新的发展思路。

与互联网金融企业不同，中国银行不是在白纸上绘图，其面对的信息系统环境跨越了我国信息技术发展的各个阶段。信息系统的复杂程度决定了网络安全保障工作的难度远远超出了人们的想象。在不改变历史遗存信息系统架构，保护既有安全技术投入的基础上，中国银行从提升系统的防护时间、降低检测时间和响应时间两个角度出发，以安全运营中心(SOC)建设为核心，立足本行网络安全实际，结合国内外安全技术标准和最佳实践，从安全威胁管理、安全漏洞管理、安全防御技术三个领域出发，整合传统安全防御技术，提出了“以主动防御为目标，纵深防御为基础的中国银行一体化网络安全保障技术体系”的建设目标。

1.强化安全威胁监测和处置

在安全威胁管理领域，中国银行加大安全威胁监测技术投入，通过建设信息安全事件集中管理(SIEM)系统，使用分布式存储和分布式计算技术，从网络安全设备、系统、应用、中间件、数据库等信息资产中，集中收集各类安全日志信息，并结合网络流量数据进行关联分析。从而改变了传统离散的安全监测模式，实现了安全威胁监测的一体化集中管理。通过引入安全威胁情报、大数据分析、机器学习等新兴技术，强化了对于高级持续性威胁(APT)和精准式网络攻击的实时发现及智能化预警能力。

在安全威胁监测技术建设的同时，中国银行配套建立了安全威胁运维机制，形成了安全威胁监控、预警、处置、调查、加固的生命周期运维管理流程。梳理分析200多种威胁手段，建立了包含9大威胁分类及41项威胁子类的网络安全威胁分类模型。并以此为基础，标准化安全威胁运维监测、应急等各项工作。

2.完善安全漏洞生命周期管理

在安全漏洞管理领域，中国银行经过数年的实践，基本建立了覆盖信息系统需求、设计、开发、测试、投产、运行各生命周期的安全漏洞管理机制，形成了安全漏洞发现、验证、确认、修复、复测、变更的闭环管理。

在技术平台建设方面，通过漏洞发现工具及漏洞流程管理平台这两类技术平台的建设，实现了内部安全漏洞的自动化发现和报告的技术支撑平台。在漏洞管理方面，着重于安全漏洞的修复加固工作，建立安全漏洞相关绩效考核指标，逐步降低存量漏洞数量，减少应用系统新增安全漏洞。中国银行从2016年开始设计和开发自主知识产权的安全漏洞风险计量及管控系统，通过自主研发的风险计量算法，自动评估收集漏洞信息的风险等级，并对漏洞的确认、修复、验收、变更等各个流程环节进行管控。

中国银行的安全漏洞管理还在从深度和广度两个方向进行探索。在深度上，研究利用大数据采集和分析技术，通过实时资产信息采集，形成基于版本的安全漏洞实时发现能力，以应对0Day漏洞带来的威胁。从广度上，进一步提高安全评测产能，通过技术和能力提升，尽早、尽快地发现漏洞。

3.提升自主可控安全防御能力

在防御技术领域，为应对FinTech时代新兴网络安全风险，中国银行于2016年联合国家安全机构和高等院校建立了“金融信息安全联合实验室”，研究开发我行急需的先进安全技术和装备。目前实施的研究项目包括了网络安全情报、网络安全态势、量子保密通讯、生物识别、区块链等新技术。中国银行还在积极探索人工智能实现网络安全智能运维的新思路，推进银行业安全技术的自主可控以及安全运维工作的自动化、智能化发展。

在开展研究的各项新技术中，网络安全态势与安全情报技术是安全保障体系建设中两项重要的辅助安全技术。网络安全态势模型研究首创以安全防御技术为主视角，从安全威胁监测，安全威胁响应、处置、调查全流程，安全漏洞发现、确认、修复、验证全生命周期，安全防御技术部署，威胁情报收集等多维度综合考量应对网络攻击的安全保障能力。安全情报建设工作旨在超越传统的物理安全边界，建立与国家安全部门、监管部门、研究机构和安全厂商合作共享的安全生态圈，提升对于金融业务的安全保障支持能力。

针对银行业外部威胁的特点，中国银行防御技术的建设重心在于应用层防护、数据库防护和终端防护三个方面。应用层防护主要是通过部署应用层防火墙、WEB动态防御等安全技术，从“攻不进来”和“没法攻”两个方向防御网络攻击者对于互联网应用的入侵。数据库防护通过记录对数据库的一切合法、非法访问和操作，根据预先制定的策略有效地防止数据库数据被非法访问、篡改及窃取，从而全面防止重要信息和数据的泄露;终端防护方面则是强化对于失陷设备的检测和取证，通过攻击链的木马安装和远程控制环节的监测，发现已经被入侵，并植入控制、破坏、或者信息窃取等功能恶意代码的系统和设备，以补全终端安全防御的短板。

三、放眼全球化运营，探索FinTech时代网络安全发展路径

作为一家全球经营的大型金融企业，中国银行认为满足FinTech发展要求的网络安全保障体系应具备统一指挥、随时应对全球7×24小时安全威胁的监测和应急响应能力，全面、智能、可视化的信息安全威胁态势分析能力，贯穿信息系统生命周期各环节的安全漏洞的自动化发现能力，以及策略统一、梯次部署、纵深防御的安全技术架构四项能力。中国银行以安全威胁管理、安全漏洞管理和防御技术为支撑的网络安全保障体系设计和建设也是向这四项能力迈进的探索。我们希望通过不断地努力，为中国银行在金融科技创新中的战略、业务和技术转型重塑保驾护航，也为银行同业的网络安全技术发展提供可以借鉴的经验。

2017第二届移动金融安全大会业内唯一一个聚焦移动金融安全的峰会。

议程详情见大会专栏：http://www.mpaypass.com.cn/MFSC2017/