刘兰

（西藏大学经济与管理学院，西藏 拉萨 850000）

2017 年5 月，肆虐全球的“勒索”病毒将网络安全推到了风口浪尖；2018 年10 月，Facebook 被爆8700 万用户数据被不当泄露给政治咨询公司［1］；2019 年，某酒店5 亿客户数据泄露，庞大的数字不仅是造成了个人信息的泄露，对当事人也造成了巨大的损失。银行业更是存储了海量的客户数据，触目惊心的案例对传统银行业保障网络和数据安全、维护金融消费者权益敲响了警钟。西藏辖区银行业金融机构抓住“互联网+”机遇，利用大数据、云计算、移动互联等新兴信息技术[2]，不断创新藏式特殊金融产品，金融服务让利于民的成效凸显，但由于过渡依赖通讯网络，安全风险也伴随而至，银行IT 主管部门更是如履薄冰、疲于应付。为维护辖区金融安全和社会稳定，辖区银行业应从金融行业安全事件案例中汲取教训，查找短板，弥补差距，精准发力，切实加强网络风险治理，促进金融服务普惠民生。

1 西藏银行业网络安全管理存在的问题

1.1 网络安全意识不高、基础设施面临挑战

一是银行机构普遍认为自己使用专线内部网络，与外界物理隔离，不可能遭受恶意代码程序、黑客攻击等事件；另外认为安装了防病毒、防攻击等安全产品，就能够及时防范网络安全风险。二是普通银行用户认为牢记密码、网络银行终端安装杀毒软件便可确保资金安全，但通过在PC 终端或移动支付终端设置木马后门等手段可轻易获取银行账号、密码等信息；另外乡村一级的银行用户文化程度不高，接受金融安全教育机会少，安全防范措施知之甚少，面临的资金加之支付交易双安全风险更大。三是银行用户对虚假金融信息的识别、判断能力不高，掌握的信息不对称，易遭受垃圾广告、电信诈骗、误入钓鱼网站等资金安全威胁。四是尽管各银行已实施国产化战略，但关键性基础设施的工艺控制系统仍受制于人，自主可控能力仍待加强，有的分支机构还饱受电力供应不足、有线网络持续稳定运行能力不高的困扰，网络安全形势依然严峻。中国互联网络信息中心（CNNIC）发布第45次《中国互联网络发展状况统计报告》显示，截止2020 年3 月，遭遇过网络安全事件用户占比达到整体网民的43.6%，其中个人信息泄露是首要网络安全问题，在网络安全事件中占比为23.3%.可见，加强网络安全管理，保障金融消费者权益，应引起高度重视。

1.2 防护体系建设滞后

银行机构普遍存在侥幸心理，没有形成主动防范、积极应对的风险意识，更不能从根本上提高网络安全监测、防护、响应等能力[3]。一是银行使用的安全产品和网络设备分别来自不同的供应商，安全防护水平参差不齐，如辖内某银行安装的趋势产品，在病毒防护方面表现不尽人意，导致其辖内县支行的计算机终端感染木马病毒的事件时常发生，已经成为威胁农业银行内部网络安全的风险隐患[4]。二是各银行在一级支行部署了防火墙、防病毒、漏洞扫描、入侵检测、网络审计等安全防护设备和系统，但不同安全专用系统的监测、预警措施相对孤立，不能对已发现的安全威胁进行全局预警和联动防护。此外，一些访问控制措施执行不到位，包括安全策略落实不够严格、网络口令管理不严、未开启系统审计功能的不合规情况仍然存在。三是除一级支行、农行二级支行网络节点外，其它银行分支机构皆未安装部署防火墙和入侵防御硬件产品，容易使网络内部感染病毒、攻击行为无法进行有效的监测和处置。

1.3 网络安全协调机制不健全

由于电力、通信、交通等基础设施不完善，西藏辖区银行网络安全威胁主要包括：网络通信中断、电力供应中断、网络攻击、网络犯罪等[5]。这些风险的处置将涉及到公安部门、通信管理部门、电力部门等多个不同领域的专业机构，由于各自的职责不同，在日常工作接触少，缺乏必要的沟通与了解，致使多方掌握的信息不对称，协调工作存在一定的难度。《西藏金融业信息安全协调工作机制指引》（简称“指引”）中明确了各成员单位的职责和任务，建立了定期联系会议制度，由于涉及跨行业跨部门的沟通、协作，以及各行业应急协调管理的专业指导，指引的影响范围有限、约束力有待加强[6]，其实现最终目的存在一定困难。

1.4 网络安全管理经验不足、队伍待壮大

辖内商业银行中，除自治区级机构外，农业银行、邮政储蓄银行在地市一级设有信息技术部门和网络管理人员，其他单位及县级机构无专业技术人员。从技术掌握层面看，我们对网络攻击、信息窃取等黑客技术了解不深、研究不透，网络安全管理工作滞后。从人才专业性层面看，缺少掌握网络安全技术的专业人才，队伍还有待发展壮大。

2 制约银行业网络安全管理的因素

2.1 重视程度不高、思想不统一

银行以追求利益最大化为原则，在如何加强网络安全风险治理方面，思想认识不够统一，潜在风险意识不强，重应用轻安全的观念依然存在，仍认为现金、枪支、弹药等传统风险点自主安全可控，便无其他风险。另外，银行业多元化经营，使网络安全风险的关联性和传导性增强。部分银行分支机构在安全生产方面存在敷衍了事、得过且过的现象，重视程度不够，偏好于业务营销；部分金融业务部门还存在网络安全规章制度执行不到位、有章不循的现象，甚至存在无计算机安全组织机构的情况。

2.2 自主运维效能差，过分依靠外包

一方面由于人员紧张，银行将设备管理、安全策略配置等任务委托第三方专业服务公司，另一方面由于未设立信息技术部门，部分银行分支机构网络运维管理基本依靠外包服务，上述两种情况存在服务流程流于形式、过度依赖外包服务公司等情况，直接影响了自主运维和应急处置能力，还存在泄漏客户信息的风险隐患。此外，部分银行分支机构的网络设备由上级行和供应商提供及现场安装，本地工作人员的运维能力没有及时跟进，这已成为影响网络安全和持续运营的重要因素之一。

2.3 监管职能有限，缺乏有效指导

由于缺乏对商业银行信息安全工作指导和协调的规范和措施，人民银行科技部门依照国务院“三定”方案履行的职责始终处于表面，不能深层次发现、挖掘影响辖内金融安全与稳定的网络安全风险。另外，人民银行与商业银行之间还存在安全信息共享力度不够，信息交流途径不畅的问题。同时，人民银行统一发布的风险提示内容有限，只能对地方性商业银行给予大体上指导，缺乏可操作性。

2.4 应急体系建设不健全，本地化不完善

表现为照抄照搬上级制定的应急预案、应急能力未进行有效评估、备用设备不足等，在突发事件发生时，容易导致金融服务的中断。网络安全协调机制浮在表面，银行与运营商、电力供应等部门各自为政，未实现信息共建共享。受地理位置和自身业务发展限制等因素的限制，银行网络灾备体系建设起步晚、底子薄，承灾能力有待进一步提升。另外，银行业务人员对业务连续性认识不足，普遍认为其是信息技术部门的责任，由于配合不够、参与力度不大、覆盖面不全，应急预案的作用将面临挑战。如发生网络中断事件时，在未采取有效处置措施的情况下，有的银行分支机构直接对外发布公告，停止业务办理，破坏了金融消费者对银行的形象和信心，企业社会责任担当意识不强。

3 加强顶层设计，优化工作机制，提升网络安全效能

银行机构要发挥主观能动性，加强网络安全顶层设计，建立健全工作机制，牢守风险防控底线，为区域金融改革创新发展提供有力支持和保障，维护辖区金融安全。

3.1 高度重视、强化安全教育

辖内各银行机构要高度重视网络安全工作，严禁出现“检查时重视，平常时轻视”的现象，以风险管理为本，将行政管理要求、安全生产管理理念融合于网络安全管理之中，促进网络安全工作向常态化、制度化转变。

结合《网络安全法》的颁布实施，组织开展网络安全宣传，引导关注金融安全、防范支付风险和电信诈骗、个人敏感信息保护等，提高金融消费者安全素养。

以金融知识宣传活动契机，引导金融消费者增强网络安全风险识别能力和自我保护意识。推广应用脱机数据终端电子认证产品和国密算法，加强与通讯运营商、公安、网信办、反诈骗中心合作，严厉打击不法分子盗取客户信息和资金的犯罪行为，保护用户合法环境，应用网络安全自主可控产品，不断提高安全本质和动态防御能力。

3.2 找准载体，构筑网络安全屏障

以信息系统等级保护为抓手，关联分析入侵检测设备、漏洞扫描设备等事件信息，利用大数据分析方式，重新对传统安全设备攻击规则进行调整，利用智能化、动态的态势分析平台及时发现攻击行为。严格规范网络安全配置策略，固化网络边界防护，优化网络结构，坚守新建网络上线前安全配置核查、漏洞扫描等安全关口、深化已建网络安全测评结果应用，加强以身份认证、授权管理、安全审计等为内容的网络信任体系建设，研究利用云计算、大数据等新技术提高监测、预警水平，进一步提升网络安全管理能力[7]。

结合实际情况，银行应坚持优先恢复对外服务的原则，不断修订完善网络应急预案，不定期开展跨部门、跨机构的综合类应急演练，着力验证应急资源的完整性和可靠性，锻炼应急队伍，进一步提升网络持续运营水平，增强应对突发事件的信心。人民银行应收集整理辖内银行业信息化基础设施备件清单（如路由器、交换机、防火墙）和专业人才名单，在发生应急事件时，银行机构在短期内无法自行解决的情况下，可在信息安全协调框架内请求协助，人民银行将根据备件清单和人才名单组织其它银行机构的人力、物力展开救援，降低网络安全运营人力风险系数。

西藏地处反分裂、维护社会稳定的前沿，保障银行业网络安全，阻击国内外反动势力的政治攻击意义重大。进一步强化西藏辖区重要节点和敏感时期的网络安全意识形态工作，坚持从内部网络、微信、论坛等渠道，加强网络安全事件采集和分析，注重与地方政府、新闻媒体的协调配合，狠抓社会舆论引导，加强危机公关锻炼，防止有害信息传播，落实零报告和计算机安全报告制度，增强突发事件的应对处置能力。

建立健全网络安全组织架构，及时全面掌握辖区银行业的网络安全工作现状，发挥好人民银行对银行业信息安全工作的指导协调作用。促进银行、公安、电力、通讯、网信办等部门的合作交流，建立网络安全情报合作分享机制，优化辖内信息安全生态环境，共享信息安全成果，确保快速响应，及时处置安全事件。

3.3 坚持安全生产理念，主动接受监督和管理

安全生产是一切工作的生命线。从金融安全角度出发，实施安全生产“一票否决”责任制，贯彻落实《中国金融业信息技术“十三五”发展规划》，注重信息化基础设施保护，强化顶层设计，实施网络安全生命周期管理[8]。

严格执行安全生产制度，落实安全生产责任制，提高关键岗位人员运维能力，完善系统运行环境建设，加强外包服务风险控制，严格终端安全控制措施，提升现场和非现场的网络安全管理数字化水平。经常确认当前采取的技术措施在抵御风险方面的作用，及时调整安全策略，提升脆弱性主动发现能力，降低安全风险。

主动接受监管部门和审计部门监督，积极处置存量风险、控制增量风险，防止风险管理制度流于形式，并对违反安全规定的行为采取零容忍政策，提升执行计算机安全管理制度的自觉性和主动性，进一步完善网络安全管理制度和基础措施。

加强自主运维能力建设，使其能在复杂环境下独自胜任工作，力争做到生产全面自救。定期检测安全技术措施的有效性，切实提高网络安全效能；注重建设网络安全持续动态监测机制，准确掌握安全风险态势[9]；既加大网络技术队伍“人力+能力”的培养力度，又加强内部人员在权限分配、职能定位方面的管控，促使网络安全管理制度落实。

加大网络安全专项资金投入力度，始终把建立“两地三中心”作为灾备体系建设的远期目标，并结合实际情况，进一步提高建设标准，提升容灾能力和网络健壮性，探索5G 无线网络替代有线网络的应急处置措施，积极应对如地震、洪水、泥石流等区域性灾难，保障核心数据安全和灾难时的核心业务恢复。适时、审慎开展网络风险评估，发现存在的问题，建立问题分级跟踪整改机制，实施安全加固，并着力解决存在的问题。