中国民生银行信息科技部副总经理吕晓强

《中华人民共和国网络安全法》（以下简称《网络安全法》）于2017年6月1日正式实施。该法案的实施对于保障我国网络安全、维护国家总体安全具有深远而重大的意义，同时也对各行业的应用系统安全性提出了更高要求。《网络安全法》中明确指出银行自身不仅是网络服务的提供者，也是关键信息基础设施的运营者，即明确了银行业的战略地位和作用，也明确了银行业及金融机构做好自身网络安全工作的义务和责任。本文将着重对《网络安全法》的实施对银行应用系统带来的改变进行研究和探讨。

《网络安全法》对银行思想上的转变

《网络安全法》的出现给银行从业者带来了五个思想上的转变。

1.信息安全责任主体的转变。相较于其他行业来说，银行业在信息安全上的投入一直处于行业领先位置，安全水平高、防护能力强。随着《网络安全法》的到来，原有追责主体发生了变化，由对主要技术负责人的追责转变为机构主要负责人，将会迫使其更加重视信息安全工作并增加投入。

2.遵从并快速调整合规性要求的转变。在《网络安全法》对于客户信息保护方面的要求下，各机构将在原信息收集方面进行快速调整，由求全转为有限、由主动转为授权、由敏感转为公开。同时，更加注重自有数据的分析和运营工作，审慎处理外部征信数据的合作与应用。

3.开发思路和技术架构的转变。为应对互联网科技公司的冲击，银行业改变了新技术应用的保守思想，采用了更加开放、敏捷的开发思路，在保证安全底线的情况下更加侧重用户体验和快速迭代，在《网络安全法》的要求下会适当降低开发进度来解决安全问题。同时，技术架构更加注重应用安全、开发安全、数据安全等各方面的保护要求，从而在技术框架、代码底层上实现更好的防护效果。

4.信息系统安全防御从事后关注到全生命周期保护理念的转变。《网络安全法》明确要做好关键信息基础设施重点保护，必须重视并保证安全技术措施的同步规划、同步建设、同步使用。将安全风险控制由上线运行阶段转变为对信息系统安全进行全生命周期安全管理，在系统需求阶段、设计阶段、开发/测试阶段、上线阶段、运行阶段，持续对系统开展全方面的分析、评估和检查工作。

5.新技术新应用安全风险防范理念的转变。银行业进入互联网+时代，大数据、云计算、生物识别、机器学习等新技术的应用推广，对业务安全、系统安全带来了极大挑战。新技术新应用在实际业务中的应用应遵循安全渐进原则，由限制性应用到充分应用，如汇款限额逐渐增加，确保风险整体可控。同时，主动对业界出现的新技术进行安全性研究，总结新技术的风险、适用范围、安全验证方法等，实现对新技术的安全性有整体了解，增强对风险和异常的预警能力，规避或减少业务风险。

《网络安全法》对银行应用系统改造产生的影响

以《网络安全法》实施为契机，银行业应不断加强系统改造、新技术应用等法律合规框架下的金融融合发展与实施方面的探索，将思想转变落实为具体行动，实现网络安全风险的精细化管理。具体体现在如下方面。

1.应用系统应采用实名认证机制。《网络安全法》中明确规定网络运营者不得为非实名用户提供服务，以法律的形式对“网络实名制”做出了规定。银行机构所使用的网站论坛、在线客服、即时通讯等服务，应当要求并验证用户所提供的真实身份信息，原有系统不支持实名认证的应尽快进行改造。例如通过实名制短信验证、数字证书认证等多维度方式联网检查身份的真实性，并使上述系统具有违法信息审查及禁止发送的功能。用户不提供真实身份信息的，银行机构不得为其提供相关服务。

2.应用系统应加强个人信息保护的力度。《网络安全法》第四十条到第四十五条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则”“明示收集、使用信息的目的、方式和范围，并经被收集者同意”。银行机构应建立以数据分类分级为核心，覆盖数据产生、存储、使用、传输销毁等全生命周期的数据安全管理框架，完善各阶段的安全边界、责任主休、防护级别和管控措施。同时，应依法收集、存储、使用个人敏感信息，不得非法或超授权采集个人客户端的各类信息。以手机银行、直销银行等APP类程序为例，银行机构为提高客户体验、打击层出不穷的新型网络诈骗犯罪，往往采集了客户终端的指纹信息、位置信息等，应明确告知客户并获得授权，并采取加密技术和其他必要措施确保个人信息的安全性和防范超授权使用。

3.应用系统应加强业务连续性保护的力度。《网络安全法》第三十四条规定“关键信息基础设施的运营者应当对重要系统和数据进行容灾备份”。银行机构一直致力于健全和完善信息科技灾备体系，基本都形成了“大同城、小异地”的两地三中心模式，形成了应用系统灾难恢复的灾备体系。为加强应用系统业务连续性提供保障，银行业应定期对应用系统进行数据备份与恢复验证，依据应用系统的不同级别，对数据库、重要生产数据文件等进行联机全备份和归档日志备份，并对备份数据进行数据恢复、介质读取、备份结果检查等验证，测试数据恢复后的可用性，确保重要业务系统的持续运行。

4.应用系统应加强监控预警与应急处置的力度。《网络安全法》第五章，监测预警与应用处置对国家网信部门、政府部门对关键信息设施的安全应进行监测。银行机构对关键业务系统部署监控节点探针，将应用系统镜像流量供给监控平台进行报文解析，整体展现交易渠道、中间层系统、服务层系统、外联渠道的实时交易情况，通过大数据技术对业务交易日志、安全日志进行分析，实现对应用系统网络安全威胁的智能分析和准确识别。另外，依据服务路径图中业务系统中应用服务的业务逻辑和依赖关系，建立应用系统安全健康指标，通过智能化资产管理系统快速定位故障根源、故障时间以及受影响应用系统范围。以手机银行系统、征信系统、邮件系统为例，通过对其系统的交易日志、流量信息进行大数据分析，建立业务交易和网络威胁的事前预警、事中监测和事后分析，实现应用系统业务安全和网络安全可视化的态势感知。

结束语

《网络安全法》近一年的实施是落实中央全面依法治国战略的重要部署，是完善我国网络安全法律法规体系建设的重要里程碑。通过对应用系统的不断优化和完善，加强和改进网络安全管理能力，维护行业健康稳定发展，实现网络空间的安全环境。

(本文作者系中国民生银行信息科技部副总经理）