陈涛

摘要： 随着信息技术的快速发展，特别是以大数据、人工智能、云计算、物联网、区块链为代表的新一代信息技术，在金融行业得到深入广泛运用，金融业的网络信息安全风险形势严峻，风险防控任务艰巨。本文从基层央行的视角，分析金融业信息安全管理面临的形势及主要风险，探讨基层央行实施“三道防线”提高信息安全的保障措施，行业指导协调的工作实践与模式。

关键词： 信息安全  金融科技

一、基层央行信息安全管理面临的形势及主要风险分析

（一）金融业网络安全形势日趋复杂严峻

新技术的广泛运用，在为金融发展正面赋能的同时，也使得风险的传染性更强，隐蔽性更大，传播速度更快，风险形势更加错综复杂。一方面，伴随金融信息基础设施规模逐渐升级，通讯互联互通范围更加广泛，生产操作自动化程度越来越高，传统的网络安全风险也随之高度聚集，系统服务中断事件时有发生，重要数据泄漏严重危害用户利益;另一方面，金融科技风险不断加剧，互联网环境下，服务方式更加虚拟，业务边界逐渐模糊，经营环境不断开放，也加大了信用风险、流动性风险等传统金融风险产品、市场层面的外溢效应，业务风险防控任务更加艰巨。由于行业的特殊性，金融历来是网络攻击的重点之一。网络黑客的攻击手段也在不断翻新，网络攻击行为从最初的零散性、偶发性行为，转变为有组织、规模化攻击，网络空间的对抗和博弈不断升级。网络安全的形式非常严峻。

（二）金融业IT基础设施风险隐患不容忽视

随着金融机构业务和信息化程度的快速发展，数据中心规模不断扩大，支持金融业务的技术架构和应用日趋复杂，保障网络和信息系统稳定运行所需维护的设备数量不断增长，金融机构IT运维部门面临巨大压力。金融机构数据中心规模不断扩大，支持金融业务的技术架构和应用日趋复杂，保障网络和信息系统稳定运行所需维护的设备数量不断增长，金融机构IT运维部门面临巨大压力，监控系统告警数量繁多，多为无效信息，运维人员很难迅速精准定位问题。关键IT基础设施难以实现自主可控，存在巨大安全隐患。

（三）金融网络安全生产事件时有发生

近年来，人民银行和商业银行在网络信息系统的生产运维过程中，发生了多起安全生产事件：某行发生重要业务系统故障，造成系统无法正常运行50多小时;重要业务参数设置错误，造成堆栈溢出问题隐患，引发系统服务瘫痪;存储虚拟化设备故障、光纤通信线路异常、机房配电柜掉电导致服务器宕机、核心系统业务中断，遭受漏洞攻击伪冒開立II、III类账户等。这些事件，有的是系统的漏洞，有的是被植入恶意程序，有的是设备的缺陷，有的是外围监控系统的传染导致核心系统故障，可归结为系统故障、基础设施故障、网络攻击三类安全风险。

二、基层央行信息安全生产保障主要措施

人民银行网络系统作为金融业重要的连接枢纽，其网络安全防御体系的建设对整个金融行业网络安全防范能力提升具有重大意义。人民银行昆明中心支行通过建立“三道防线”，加强网络安全防御体系建设，夯实自身信息安全生产管理基础。

（一）建立信息安全管理技术防线

1.提高网络安全生产能力，开展IT基础设施改造建设。开展业务网重构工程和全省业务网电路提速建设，实施“五区三层”网络架构改造，实现业务网的规范化架构管控。组织全省开展IT基础设施风险排查，建立信息技术基础设施台账和更新计划。组织全省UPS标准化改造，实现全省县支行UPS电源系统双机热备和负载均衡。

2.提高网络安全防护能力，部署安全管理防护系统。建设和部署防病毒、补丁分发、漏洞扫描、审计堡垒机等系列安全防护系统，增添安全审计管理手段。建设云南省数据中心运维安全管理与审计系统，以技术手段实现对170余个应用系统和网络设备的操作跟踪记录、监控和审计，有效防范运维操作风险。与安全类系统有效组合，全面提升安全管理技术水平。

3.提高网络安全态势感知力，部署网络回溯分析系统。建设和部署网络回溯分析系统，通过多维度网络数据包分析，实现网络安全态势预警、网络历史数据回溯分析等功能，精准掌握网络应用健康状况，实时感知网络异常和潜在安全风险，加强网络安全预警监测，为支撑央行履职提供更好的网络通信服务。部署一体化终端管理系统，实现“统一安全管控策略，快速分析定位事件，集中展示安全全貌”的终端管理模式，提高终端安全防控性能。

（二）建立信息安全管理督查防线

1.开展IT基础设施风险排查。加强IT基础设施风险隐患排查管，制定IT基础设施风险排查指标方案，涵盖机房、网络、存储、服务器、应用系统、UPS、消防等243个排查项;开展网络信息安全等级保护测评，全面梳理全省信息系统建设、综合布线、防护措施调整等网络安全管理工作。

2.开展信息安全检查和审计。建立季度安全基线，采用动态抽查和交叉检查相结合的方式，组织全省开展信息安全检查，提高网络安全保障能力和防护水平，提高网络信息系统安全生产保障。

3.开展综合性实战应急演练。组织全省州市中支开展IT应急设备标准化工作，开展核心网络设备、公文传输系统、省级数据中心机房供配电系统等多重应急演练，充分检验了应急机制和应急预案的有效性;组织外联机构开展省级数据中心网络“双活”切换、MQ和Tonglink前置系统切换应急演练，提高岗位人员应对突发事件的综合应急处置能力。

（三）建立信息安全管理制度防线

1.落实规范数据中心机房管理制度。调研全省IT基础设施情况，制订《云南省数据中心机房管理办法》《云南省数据中心机房巡检实施细则》和《云南省数据中心机房值班管理办法》等机房管理制度，确保数据中心机房安全稳定运行有章可循。加强外包服务管理，梳理维保服务项目，制定信息化外包风险管理实施细则，开展技能培训，强化“服务外包，责任不外包的”管理责任意识。

2.落实信息系统业务连续性分级保障制度。进一步完善自建信息系统管理，落实《中国人民银行信息系统业务连续性分级保障标准》，梳理全辖在线运行的自建信息系统，针对不达标系统制定整改计划，形成新建系统业务连续性分级保障新要求。

三、金融业信息安全协调实践

人民银行对金融机构具有提供金融服务和开展金融监管的职能。人民银行昆明中心支行通过协调辖内金融机构信息安全风险防控、指导关键信息基础设施保护等工作，履行行业指导协调的工作职责。

（一）把好“三个关口”提升服务质量

1.把好金融城域网入网接入安全关。人民银行昆明中心支行开展入网审查、现场技术环境核查、问题整改落实及入网实施等系列工作，为全省107家外联机构及其6000多个分支机构提供安全稳定的网络通信服务。

2.把好银行卡受理终端安全管理关。组织辖内商业银行和支付机构，开展银行卡受理终端安全管理检查工作，加强信息保护和支付安全，通过微信平台向公众普及安全支付习惯，提升金融消费者个人信息保护的风险防范意识。

3.把好发卡技术安全符合性标准关。开展辖内银行业金融机构金融IC卡发卡技术标准符合性和安全性审核，实施非银行支付机构的业务牌照续展技术审查、分类评级系统安全性审核，发布风险提示，督促各支付机构采取有效措施及时整改，规避风险。

（二）加强金融业信息安全风险防控协调

1.建立银行业信息安全协调机制。组织全省24家银行业金融机构，建立银行业网络安全协调工作机制，以预警通报、应急联动为主要内容，围绕信息安全等级保护等重点工作，发布信息安全通报，多次组织银行业金融机构顺利完成重要期间的金融网络安全保障工作，有效搭建起银行业网络安全工作经验交流工作平台。

2.建立银行业信息安全报备机制。加强辖内银行系统升级、应急演练等工作的报备管理和风险防控。加强与网信办、公安等信息安全管理部门协作配合，作为云南省网络安全应急联动、信息安全等级保护、预警通报等机制成员单位，利用专题会议、微信、短信等多种方式共享信息，协调互动，提升行业信息安全指导统筹能力。

（三）加强金融业关键信息基础设施保护

1.探索关键信息基础设施安全保护。金融业关键信息基础设施是国家网络安全的重要组成部分，人民银行昆明中心支行协同省委网信办，组织富滇银行成功申报2018年云南省关键信息基础设施安全保护试点示范，研究金融业关键信息基础设施安全规划、平台创新工作，从行业、技术标准化视角积极参与云南省网信办关键信息基础设施安全保护全国试点，增强关键信息基础设施安全保护能力，提高应对网络安全威胁多样化、复杂化发展的挑战能力。

2.落实数据安全保护任务部署。一方面，研究制定省级数据分析平台数据信息应用管理办法，实施数据采集、传输、存储、处理、备份、使用、暂存、销毁等环节全生命周期管理，规范数据利用规程;另一方面，会同有关部门，开展省级数据分析平台、境内边民人民币账户服务平台等级保护测评和性能测评工作，明确数据保护等级，落实数据安全保护责任。

3.推动行业国产密码运用。深入推进国产芯片和密码算法应用，加快信息系统升级改造，指导商业银行建立发卡激励机制，以本地法人商业银行为对象，与国家密码管理局联合推动行业国产密码运用推广。据统计，2019上半年，试点地方性银行的POS、ATM终端国密改造全部完成，改造率均达到100%，发行PBOC3.0双算法IC卡、布放支持国密算法ATM 和POS机增量占比日益提高，行业密码应用基础得到夯实。

四、结束语

金融業是一个金融业务与信息技术深度融合的行业。金融业务的开展离不开新兴信息技术的应用推广，更离不开网络信息系统的安全稳定运行。随着金融科技的不断深入融合应用，未来还会遇到更多层出不穷的新技术、新业态，具有服务和监管职能的基层央行，需要长期不懈的努力，及时了解掌握金融网络安全的形势和动态，提高网络安全防护水平，有效应对新挑战。

（作者单位：中国人民银行昆明中心支行科技处）