曾晨

摘 要：当前，互联网金融前景诱人，但信息安全风险堪忧。据此，柳州银行针对自身存在的“软肋”，提出创新信息安全风险防范体制机制的设想，并且以教育培训管理、自主可控、合力防范等为抓手，构建以全员、全链、全程为特征的安全风险防范体制机制，切实提高员工防范能力，信息系统的自主可控得到有效提升，全鏈防范合力得到明显增强，信息安全防范整体效果明显。文章以此为案例，进行了总结和探讨。

关键词：互联网金融;信息安全风险防范;体制机制;防范机制创新

中图分类号：F832.5     文献标识码：A 文章编号：1005-6432（2022）01-0048-02

DOI：10.13939/j.cnki.zgsc.2022.01.048

1 起因——基于发展形势的深入分析

（1）互联网金融前景诱人。随着电子商务迅猛发展，网购已成为现代时尚。截至2013年6月，我国网上支付用户为2.4亿[1]。此外，截至2017年6月，我国网民规模已达7.6亿[2]，这些网民都是互联网金融的潜在客户。据专家预测，在未来5年内，银行的数字化营业收入在总营业收入中的比例将高达46%[3]。可见，拓展互联网金融业务前景诱人。

（2）互联网金融信息安全风险堪忧。首先，互联网金融漏洞种类繁多。据统计，截至2017年互联网金融中出现的主要漏洞包括XSS、代码执行、文件上传、信息泄露、逻辑漏洞、SQL注入、弱口令、权限绕过八种，其中容易被利用的占59.69%，高危漏洞占63.6%[3]。其次，网络黑客攻击猖獗。据信息安全知名服务商爆料，仅2015年其为社会各类网站拦截的漏洞攻击高达16.5亿次，其中金融网站占比高达65%[4]。据资料显示，截至2017年，网络黑客产业规模破千亿，黑客攻击规模持续上升，互联网金融成为重灾区[5]。最后，互联网金融信息安全风险危害巨大。据不完全统计，截至2014年，有近165家互联网金融机构由于黑客攻击而致系统瘫痪、数据被恶意篡改、资金被洗劫一空[6]。这表明发展互联网金融，做好信息安全风险防范工作是关键。

（3）信息安全风险防范“硬”“软”实力的对比分析。据资料显示，互联网金融机构的信息安全投入普遍不足，从事信息安全的人才普遍匮乏[3]。可见，信息安全风险防范的“硬”实力不硬，这是短期内不可改变的现实。柳州银行属于城市地域性的中小银行，在这方面更是存在固有缺陷，因此，银行信息安全风险防范工作在强化“硬”实力的同时，必须通过管理创新不断提升“软”实力。

2 决策——针对三项“软肋”，提出创新设想

（1）针对物质条件“软肋”，创新全员防范体制机制。柳州银行信息安全风险防范存在三方面的物质条件软肋。首先，信息安全资金投入有限，2017年该行信息安全资金投入仅占当年IT支出金额的0.66%，而全国企业信息安全平均支出占整个IT支出的2%，全球占比为3.96%[3]。其次，与大型银行相比，柳州银行信息安全人员偏少。最后，柳州银行信息安全队伍入行前大都没有从事信息安全工作，信息安全防范主要依赖信息安全设备与第三方的安全检测服务。

针对上述软肋，柳州银行提出构建全员风险防范体制机制的设想。所谓构建全员风险防范体制机制，指通过加强管理措施，形成从领导到员工，从信息系统开发、运维、安全防范岗位到金融业务岗位，全员参与的互联网金融信息安全风险防范态势。理论分析和实践都表明，信息安全风险并非仅仅源于信息系统（物质条件）本身，人员操作不当也是形成风险的一个重要原因。据IDE统计的数据，企业中信息系统相关服务中断，78%以上是业务岗位人为造成[7]。可见，建立全员风险防范体制机制，切实提升“软”实力，是弥补物质条件“软肋”的一条重要途径。

（2）针对技术条件“软肋”，创新全程防范体制机制。中小银行由于天生的技术条件不足，信息系统开发大部分业务需要外包，这使得中小银行信息系统的自主可控能力受到严重影响[8-9]。柳州银行也是如此。首先，信息系统的基础环境（包括硬件、操作系统、中间件、数据库等）均由技术供应商提供现成产品，其运维由外包服务商进行。其次，信息系统的应用系统开发也由软件外包商提供，银行无知识产权，无法独立改造。最后，由于不完全掌握代码实现，应用系统的需求也须由外包商开发。以上就是柳州银行互联网金融信息安全风险防范存在的技术条件“软肋”。

针对上述软肋，该行提出建立全程防范体制机制设想。其核心内容是：在技术外包条件下，提升银行对信息系统运维和风险防范自主能力，做到既借助外包商而又不依赖于外包商。只有构造这样的体制机制，才能真正做到全程防范，使风险防范工作落到实处。

（3）针对合作商条件“软肋”，创新全链防范体制机制。互联网金融信息系统安全风险也可能来自合作商[10]。一般情况下，银行互联网金融业务的合作商可区分为如下两种类型：一种是互联网金融的领军企业，如银联、网联、支付宝等，这些企业承接城市商业银行的互联网支付业务，其都有自己的信息安全技术规范，且这些安全技术规范具有较高水准，并要求城市商业银行遵循其规范与之合作;另一种是互联网金融散户，其规模小、资金有限，信息安全知识和技术防范能力较低。然而，柳州银行经营规模较小，其第一类合作商的业务量较小，第二类合作商的业务量较多。这是柳州银行必须面对的第三项“软肋”。针对上述软肋，柳州银行提出建立全链防范体制机制，从而将合作商与银行视为命运共同体，将风险防范工作从银行延伸至包括合作商在内的全“链”。这对银行做好互联网金融信息安全风险防范工作至关重要。

3 做法——运用三个抓手，落实创新设想

（1）以教育培训管理为抓手，构建全员防范体制机制。首先，对行内全员进行信息安全教育，并且建立风险信息通报制度，每周通过行内微信公众号发送互联网金融安全风险信息，做到警钟长鸣。通过这些措施，使全员信息安全防范意识得以普遍提升。其次，聘请专家对信息安全中心人员进行专业技能培训，并且由信息安全中心人员组织全员进行信息安全知识学习，每季定期开展信息安全演练，不断提高全体员工信息安全风险防范的实战能力。最后，建立由信息安全管理人员和代码开发、信息系统运维、互联网金融业务等部门组成的互联网金融信息系统风险防范联席会议制度。通过这一制度，形成互联网金融信息安全齐抓共管的局面和风险防范快速反应机制。

（2）以自主可控为抓手，构建全程防范体制机制。首先，立足自主设计，做到信息系统总体可控。柳州银行坚持总体设计由行方自行完成。对互联网金融系统项目，先由业务部门编写业务需求，再由科技项目管理部门依据需求编写项目概要设计，最后由信息安全部门进行安全审核，审核通过后方能将设计交由各技术外包商完成。其次，明晰外包责任，做到信息系统部件外包可控。柳州银行在系统建设初期，就将各外包商的信息安全职责写进外包服务合同中，规定不履行信息安全职责的罚则。在系统开发过程中，设立由信息安全管理、规划开发设计、互联网金融业务等人员组成的安全监督组，负责督促外包商落实信息安全责任。在系统验收阶段，再由信息安全专职人员对该系统的信息安全性进行复核，并将该复核结果作为考核该外包商是否具有继续合作潜质的依据。最后，强化自身技术力量，做到信息系统运维和风险防范自主可控。柳州银行要求技术外包商在系统投产后派驻技术人员驻场运维一段时间，一方面负责系统的日常信息安全防范工作，另一方面向行方运维人员进行运维技术知识转移，从而确保行方人员在外包商驻场运维结束后能保障系统的信息安全防护工作。

（3）以合力防范为抓手，构建全链防范体制机制。首先，建立长期合作机制，夯实合力防范的组织基础。柳州银行与合作商签订长期合作协议，将信息安全防范定为通力合作的技术基础，共同面对互联网金融的信息安全工作。其次，统一技术标准，夯实合力防范的技术基础。柳州银行将自行制定的信息安全技术标准在合作链上共享，要求互联网金融合作散户在自身系统开发及与柳州银行数据交换技术实现上遵循该标准。最后，上学下帮，切实提升合力防范的能力。柳州银行在遵循信息安全规范的同时，花大力气学习信息安全规范，并结合自身业务特点加以改造，将改造成果不断融入自身的信息安全标准中，使柳州银行信息安全标准不断充实完善。在共享信息安全标准的同时，下派信息安全技术骨干为互联网金融散户进行信息安全能力培训，讲解并帮助组建柳州银行信息安全标准，确保该标准在该商户的互联网金融业务上落地。

4 检验——柳州银行创新取得的成效

成效之一：员工防范能力得到切实提高。首先，全行员工的信息安全防范意识得到普遍强化，信息安全的经营理念深入人心。其次，员工的信息安全防范知识得以普遍提升。最后，员工的信息安全工作习惯得以养成，低等级信息安全隐患已不再出现。

成效之二：信息系统的自主可控得到有效提升。首先，信息安全设计已成为柳州银行互联网金融系统总体设计不可或缺的一部分，互联网金融系统信息安全功能开发有据可依。其次，在系统建设过程中信息安全事故处理不再推诿，信息安全事项处理及时。最后，自实行全程防范机制以来，技术外包商进行知识转移工作达100多次，为柳州银行培养了互联网金融系统维护人员近30余人，使得行方人员能独立开展日常的系统信息安全防范工作。

成效之三：全链防范合力得到明显增强。首先，信息安全防范阵线得以建立，银商合作形成了技术联防。其次，信息安全合力防范能力得以加强。实行全链防范机制后，全链均可共享互联网信息安全防范技术成果，从而有效地提升了全链风险防范能力。

成效之四：信息安全防范整体效果明显。2017年，柳州银行全年互联网金融信息系统检测率100%，中、高危漏洞修补率100%，全年无互联网金融客户就信息安全问题投诉，无重大信息安全事件發生，在自治区政府联合专业信息安全机构开展信息基础设施网络专项检查中，信息安全防范位列所有被检单位之首。

参考文献：

[1]周茂清.互联网金融的特点、兴起原因及其风险应对[J].当代经济管理，2014（10）.

[2]中国互联网络信息中心.第40次中国互联网络发展状况统计报告[R].北京：中国互联网络信息中心，2017.

[3]国家信息技术安全研究中心.2017金融行业应用安全态势年度报告[R].上海：FreeBuf安全研究院，2017.

[4]360互联网安全中心.2015年中国网站安全报告[R].北京：奇虎360科技有限公司，2015.

[5]郝东林.互联网+网络安全法下的转型新思考[R].柳州：柳州银行互联网金融讲堂，2018.

[6]漏洞盒子.2015上半年金融业互联网安全报告[R].上海：FreeBuf安全研究院，2015.

[7]钱继胜.中小城市商业银行信息安全管理探讨[J].金融科技时代，2014（5）.

[8]陈超.银行IT服务外包渐成趋势[N].国际金融报，2002-11-25.

[9]蔡颖.监管层防范银行业服务外包风险[N].经济参考报，2012-10-23.

[10]温婷.互联网企业共话信息安全与合作[N].上海证劵报，2015-11-04.

1941501186289