夏建伟：新冠疫情对金融网络安全的影响及展望

来源/西部信息安全谷

2020年9月14日，在2020中国信息安全与数据灾备技术产业高峰论坛上，中国银行总行信息科技部信息安全处处长夏建伟，以《新冠疫情对金融网络安全的影响及展望》为题的精彩分享。

• 以下为整理后的演讲全文：

各位领导，各位专家，各位来宾，大家下午好！前面三位院士、教授都做了精彩的演讲，我给大家讲一下从一个经营企业的视角来看待网络信息安全的一些情况。

我来自中国银行。中国银行在1999年成立了信息安全处，我们成立的时间比人民银行还要早，我是这个处的创始成员之一，到今年已经整整21年了，没有干过别的，就干这一件事情，期间的酸甜苦辣一言难尽，今天借这个机会给綦江区的各位领导和全国各地灾备技术联盟的各个成员单位的领导和专家简要的汇报一下。

汇报三方面：一个是金融信息安全管理概述。第二金融行业网络安全面临的新挑战，第三新冠疫情对金融网络安全的影响。

从信息安全管理的维度，我们金融行业来说，信息安全需要完成的任务，从微观到宏观来说，从我的具体工作来看有几个目标：首先最底层是一个网络系统数据的安全，这是传统的信息安全的一些工作。在上面支撑的是业务的产品和服务，我们需要关注的是业务连续性。再往上支撑的是客户资产安全包括客户信息的安全。

再往上是金融行业整个行业安全，有句话说金融稳就是经济强，经济强金融强，金融和经济的关系就是血脉和机体的关系，相互依存的关系，在上面金融安全决定了社会的稳定和国家的安全，这是我个人对网络和信息安全的一点理解。

在21年中中国银行来看，我们的信息安全管理经历了从被动到主动，从外到内的一个变化，大致可以分为四个阶段，这四个阶段很难准确的划分出来，给大家举几个关键节点的案例，第一就是事件驱动阶段，1996年4月26号，中国银行大概360多台的PC机被病毒所感染启动不了，当时是台湾一个大学生所编写的程序，第一次使我们的硬件设备遭到破坏。

1999年下半年开始，我个人就担任一个项目经理，构建了中国银行的病毒防御体系，经过了大概一年半的时间，整个中国银行就建立了一套完整的每个星期做一次升级的一个防病毒的体系。

第二个阶段是合规驱动，典型的例子2008年中国银行做了全国的数据大集中，全国各地的数据搬到北京上海两地三中心的灾备建设，过程当中发现了很多数据不兼容，保存不规范，甚至很多客户密码信息明文存储在系统内或者数据库中，典型的数据安全的风险不言而喻，经过数据大集中的过程，把整个数据安全和网络安全的基础建设做了一个完整的提升。

第三个时间节点是2012年，现在我们在全球有63个国家和地区有机构，我们在2012年的时候做了一件事，全球数据大集中，全球各国的数据迁移到北京和上海，这个过程也是一个合规驱动的过程，因为很多的海外，当时欧美国家包括东南亚这些，甚至新加坡、日本这些国家把数据迁移到中国的时候就是不相信，不相信你们能把数据管好，不相信把客户的隐私保护好，所以我们也做了大量的工作去证明我们能够做好做到位，当然这个过程直到现在像美国是没有上收的，一些国家因为处于敌对的观念，就不愿意把数据迁移过来。

第三个阶段是意识驱动，从网络安全法颁布以后，各个机构的董事长和行长们对网络安全突然就关注了，网络安全法明确的表示了各机构的一把手和法人是网络安全的第一责任人，这个企业违反了网络安全法，董事长和行长是要坐牢的。

这一下子把领导的安全意识提升到了前所未有的高度，所以我们经常在行里会碰到，行领导突然问我们听到美国或者是国外发生了什么事情，我们怎么样，当时听到觉得是很大的压力，后来反过来看是很好的驱动力，因为领导关注是网络安全和数据安全信息安全最有力的保障，不管大家说我们现在在整个压缩开支费用的时候，我们网络安全的预算是不封顶的，这是近十年的惯例，网络安全信息安全需要做的项目上不封顶。

第四个阶段是内生驱动的阶段，这个阶段是我比较印象深刻的是去年开始的，去年公安部每年会对一些重点行业部门和企业做网络安全的执法检查，人民银行从去年开始做反洗钱的执法检查，而且查处的人都是罚款的，我们会看到很多的管理者罚到5万十几万的个人罚款，这是前所未有的，这个阶段开始大家普遍的都看到了，使全行各个条线各个部门，各个同事和领导感受到数据安全、网络安全真的是为自己做的。

安全工作从事了20年的感受有这么一个特点，网络信息安全是没有边界的。第二安全无小事，无数次的安全事件去调查，发现最终的根源就是很小的误操作，或者是参数的错配，或者是代码的不严谨导致的信息安全事件。

另外，安全是无止境的，安全是动态的，是螺旋上升的，是攻防两端不断对抗的结果，永远没有做完的时候，安全工作永远在路上。安全是无声无息的，我们可能面对几百次的网络攻击，有的是国外的，有的是来自国内的，这些都是没有硝烟的战争，实际上是很多的。

管理和技术安全永远是一个管理和技术的叫两条腿走路的事情，比如我们要求员工不能发送敏感信息，必须在我们的互联网出口邮件系统部署一些敏感信息防泄漏的一些产品。另外安全可能是朝阳产业，安全服务其实有很大的发展空间，没有一个企业安全的事情能自己做，或者是全部由自己做，安全的自主和外包也要追求一个可控或者是可靠的平衡。

防御与反制，总书记说网络安全的本质是对抗，对抗的本质是攻防两端的较量，实际上我们光有防守没有反制肯定是做不好的，我们中国银行尝试从三年前也是国家有关部门的指导下，去反制去溯源，去挖，甚至把一些线索报给公安部门，产生了极大的威慑。

另外安全归根到底是人的因素，人是最大的安全因素，实际上安全管理一定要以人为本，脚踏实地。另外我们要明确基线，界定红线。我们明确在证券公司的平台上输入中国银行的账户资金的取款密码，如果中国银行客户在证券公司开了户，通过证券公司的平台输入了他的取款密码，一旦证券公司平台被黑客攻击，被人利用的话，那造成的损失就是一场打不清的官司了。

界定红线，就是客户信息不能泄漏，一定要加密存储加密传输，如果没有做到这一点我们是一票否决的。另外是统一规划，分布实施，刚才司长说的三同步，这也是我们网络安全法的要求，我们一定要严格的遵守，当然安全不是一蹴而就的，我们需要通过长期一点一滴的去积累提升。

最后是取长补短，亡羊补牢，我们安全行业是天然的同盟军，跟业务部门不一样，业务是竞争，你的客户抢走了我就没了，安全不是这样的，安全面临的是共同的敌对，我们的敌对势力，我们一个机构出了问题，我们可以吸取他的教训，我们可以去补救一些，避免产生更大的风险。

金融网络安全相关法规要求，网安法，等保2.0，关基，国产化、国密改造，客户信息、保护、隐私保护、数据安全还有HW，最近三年国家金融机构或者是监管部门所出台的各类安全法规是如雨后春笋一样不断的增加。金融网络安全监管新趋势，网络安全防护体系、安全运营中心建设、外包第三方风险、新技术准入管控。云安全、大数据安全、敏捷开发，数据分级分类，数据治理。开放合作、场景建设。

金融行业网络安全面临的挑战，业务、科技深度融合，系统开发运维一体化，大家都很清楚，就是为了敏捷反应。互联网金融生态蓬勃发展，跨界融合场景建设方兴未艾，中国银行正在进行四大场景的建设，体育场景、养老、教育、跨境等等场景，和互联网企业公司争夺我们的客户。

移动互联全面普及，客户追求极致体验，现在90%的交易都不是在网点，都是在移动端、电子渠道，80%多的交易是在手机移动端，客户也非常的挑剔，他发现有一丁点麻烦事情就不愿意用你的产品，逼得我们在安全性和方便性方面去做平衡。新技术赋能深入人心，数字化智能化势不可挡。

网络安全新挑战：敏捷算法、快速迭代对安全运营的挑战，以前银行系统开发一个至少半年，现在面对市场竞争的需要，要小步快跑，迭代与开发，这里面面临的挑战非常大，到了周末是最紧张的时候，一般版本都是在周末投产。

互联网金融生态对应传统安全防护体系，以前九几年的时候做银行都是把自己防护起来，内网外网是隔离的，所有的要对接的都是通过线下去交付的，当时就像一座城堡一样的，可以说是固若金汤，但是现在每天跟成百上千的机构互联，很多合作伙伴的服务器和系统在银行端，甚至路由器放到合作伙伴去，你中有我，我中有你，导致了现在安全防护要突破了以前传统的边界防护模式。

以前有句话让数据多跑路，让百姓少跑腿，这是发展趋势，现在整个数据共享的背后是网络安全数据安全的一些隐患。最后大数据人工智能和隐私保护，今年有一个例子，春节有一个同事隐瞒了自己的行程，结果被大数据发现了，就做了一个通报和批评。

最后简要的说一下疫情对我们银行业的影响，这张图是春节过后每周要给领导报交易量，可以看到核心系统基本上最低60%，充分说明虽然疫情有影响，但是金融活动经济活动并没有停止。

我们在今年疫情的时候，迪拜分行有一个同事感染了新冠肺炎，当夜被封锁了场所，通过伦敦欧洲中心远程去接管，以前远程操作也是我们的红线，这次因为疫情也是打破了。业务应急方面，湖北最严峻的时候分行业务总行代做，另外机构间业务跨境代做，居家业务应急操作，在疫情期间开通了3千多个员工在家里直接做业务操作的通道，这在以前绝对是不允许的。面向移动办公大家都深有体会。

总结一下疫情影响我们的，在线远程安全服务模式普及，云安全、托管安全需求增加，网络攻击和渗透窃密风险加大，大数据应用和隐私保护冲突。

疫情对网络安全行业的影响，催生网络安全服务新形态，线上服务和服务云化给安全行业带来新机遇，很多的基础设施是自己没有必要去做的，但是这中间的安全防护一定是要求大家去做，给安全服务行业带来新的机遇。数据安全和个人信息保护成为内在刚需，零信任安全技术成为基线要求，前面专家也讲到了零信任，疫情促使我们重新去认识零信任，零信任就是说我仍然不信任任何人，我随时随地都是拒绝的，而且是严格禁止特权账户，认证是无时无地不存在的，这些技术应该在金融行业以后是大有可为的。

在智能化数字化发展的新时代，信息安全与隐私保护是生存和发展的前提。面对系统漏洞和地下黑产的威胁挑战，信息安全行业要坚守道德和法律底线，弘扬惩恶扬善，匡复正义的侠客精神，建立彼此扶持，相互补台的统一战线。

甲方要尊重安全的专业性，加大安全投入，提升安全的价值，防患于未然，厂商要积极创新，产品与服务并重，通用和定制结合，共同培育安全行业的健康生态，为新时代发展保驾护航。

谢谢！