数字化转型中新技术的广泛应用。
2017 年 6 月,《网络安全法》在正式施行后,对金融行业的数据管理和国际合作产生深远影响。 该法律的实施不仅强化了信息安全的高标准管理需求,还重塑了网络空间的规则,有力地保护了客户 的信息安全。与此同时,它也给银行业带来了前所未有的技术和管理挑战。面对这些挑战,银行业积 极应对,认真落实细化《网络安全法》的各项要求,精心制定了一系列适应行业特性的安全政策法规 和管理措施,在政策监管层面确保了金融信息的安全性和完整性,为银行业的健康发展提供了坚实的 保障。这些网络安全政策法规的主要目的是加强银行业的信息安全管理,保障客户信息的安全,维护 金融市场的稳定运行。表 1 展示了《网络安全法》施行以来,银行业制定的网络安全政策、法规和规 范。
自 2023 年以来,金融监督管理总局和中国人民银行相继发布了一系列关于网络安全和数据安全 的新政策,其中包括《关于加强第三方合作中网络和数据安全管理的通知》《中国人民银行业务领域 数据安全管理办法(征求意见稿)》(如图 18 所示)《金融信息系统网络安全风险评估规范》《银行保 险机构操作风险管理办法》《银行保险机构数据安全管理办法(征求意见稿)》和《关于银行业保险业 做好金融“五篇大文章”的指导意见》等。它们不仅涵盖了网络安全和数据安全的基础要求,还新增 了对第三方合作、外包服务商管理以及跨境数据传输等方面的具体规定。通过这些新政策的实施,监 管部门展现了对网络安全和数据安全问题的全面关注和深入思考,同时也为银行保险机构提供了更 明确的指导和要求,以更好地执行网络安全和数据安全保护工作。
随着技术的不断进步和网络安全形势的日新月异,相关政策和法规还在不断更新和完善中,以适 应新的挑战和需求。这种持续更新和完善的过程,进一步强化了我国银行业对网络安全的重视,提升 了行业的整体安全水平,为银行业的健康发展提供了坚实的制度保障。
银行业网络安全建设的驱动力主要源自三个方面: l 合规性要求的持续更新与完善。法律法规的不断更新和完善,促使金融机构不断强化安 全建设,以满足最新的法律法规要求; l 实网攻防演习深入进行。通过模拟真实网络攻击,帮助银行提升真实环境下的安全体系 防御能力重视度,加强对安全威胁的持续检测、快速响应和有效处置能力; l 数字化转型中新技术的广泛应用。为了有效支持业务增长,银行需要提供更便捷、个性 化的金融产品和服务,构建全面而灵活的获客渠道,并深化数据驱动的决策机制,以增 强风险管理和运营效率。这就需要银行采用新技术,提升自身的敏捷性、开放性、智能 化水平和生态系统的完整性。这些新技术的应用为金融服务带来便利和高效的同时,也 带来了新的安全挑战。因此,银行业在不断推进网络安全建设,以应对这些挑战。 整体上,银行业安全建设的核心目标是保障金融服务的稳定性与安全性,防止安全事故的发生。
按照不同的网络安全建设情况,银行大体可以分为三个梯队:
这一梯队的银行主要包括国有商业银行、股份制银行和个别互联网属性较强的民营银行, 他们占有主要的市场份额,拥有充足的安全资源和投入。在网络安全领域,已经具备非 常成熟的基础安全防护能力;在纵深防御体系的构建方面,已经进入深化阶段,根据挑 战的变化和技术的发展,不断加强数据安全、开发安全、供应链安全等领域的安全能力。 主动防御体系的建设是第一梯队银行当前的关注重点,他们通常会自研或联合开发安全 平台,目标是深化对安全工具和平台的深度运用与内部整合,构建自主化、场景化和体 系化的可持续运营安全体系,提升主动检测、快速响应与及时恢复的能力。
第二梯队主要包括城商行、少数大规模的省级农信社和农商行,这些银行的安全资源和 投入相对有限,但已有较完善的基础安全能力。目前,他们正在积极推进纵深防御体系 的建设,优先补足重点领域的安全能力短板。这些银行已有基础的主动防御体系,现阶 段的关注重点是推进各领域的平台化和联动化建设,完善安全运营体系,实现对安全资源的更高效管理,同时加强内外部的攻击面管理能力,减少潜在的安全风险。
第三梯队包括小规模的农信社和农商行,他们在安全领域的投入较少、专家人才短缺、 安全力量薄弱,具备满足合规要求的基础安全防护能力,但安全体系建设往往处于初级 阶段,因此,未来的安全建设重点在于尽快加强安全防护措施,并搭建安全管理体系。 这一梯队的银行虽然资源和投入较少,但面临的安全风险和外部威胁却与大中型银行类 似,所以他们也很重视安全事故的防范,为加强实战攻防应对能力,通常会根据自身需 求,采取更加灵活的策略来弥补安全运营能力的不足。
尽管银行在安全建设方面可以大致划分为三个梯队,但深入到各个具体的安全领域进行考察,我 们会发现不同梯队银行在不同领域的安全建设方面也有明显差异: a) 基础的终端及网络安全 银行业的终端及网络的防护能力建设比较完善,通常都采购了网络终端准入 NAC、数据泄露防 护 DLP、防病毒、移动终端加固、防火墙 FW、Web 应用防火墙和网络检测与响应 NDR 产品。 第一梯队机构拥有更为复杂的 IT 架构,面对的威胁风险也更加多样,因此对终端设备的统筹管 理、检测与响应能力提出了更高的要求,通常还会部署终端响应与检测 EDR、网络流量分析 NTA、终 端安全防护平台 EPP 以及移动终端管理平台。
b) 云安全 由于严格的安全和监管要求,银行业对云架构的使用较为保守,私有云是主要建设方向,仅有少 量新闻、资讯类应用系统会放在公有云上。 在云技术使用方面,虚拟化仍是主要技术手段。头部银行的容器数量近年来虽然增长迅速,但现 有的 IT 运维、业务流程与容器的快速迭代和自动化部署未能完全匹配,容器的使用并不理想, Serverless 和 ServiceMesh 的应用情况也比较基础。 对云技术的保守应用的确规避很多安全问题,但也减缓了云安全/云原生安全在金融行业的技术 进步,多数银行只部署了主机入侵检测系统 HIDS,云工作负载保护平 CWPP 和容器安全的使用渗透 率和覆盖度还有较大提升空间。
c) 身份与访问管理 银行普遍建立了基础的身份与访问管理系统,主要包括身份认证与访问管理 IAM、运维审计堡垒 机、MFA 多因素认证,但这套系统已不能满足对日益复杂的访问行进行控制和管理。 零信任安全架构作为一种新兴的安全理念,正在逐步被银行机构采纳并实施,但仍面临技术成熟 度不足、系统应用改造困难、业务流程协调复杂等诸多问题,距离在银行机构中全面铺开仍有一定距 ~ 34 ~ 离。目前,中小规模的银行机构主要以 VPN 替代为切入,解决访问接入问题,应用在远程办公和三 方接入场景上。 头部银行在加快扩展零信任的应用场景及试点业务系统,同时加强终端安全评估与防护能力、安 全分析能力的联动,并探索更细粒度的访问控制策略,逐步搭建自己的零信任架构。通过调研,我们 了解到某互联网属性较强的民营银行基本全面实现了应用级别的访问控制,并实现了基于任务的访 问控制 TBAC 这样更细粒度的访问控制策略。
d) 开发安全 随着安全左移理念在银行业的广泛采纳,银行在开发安全领域也不断增加投入。处于第一梯队银 行的开发需求较高,普遍已经建立了 DevSecOps 体系,整合了敏捷和持续集成/部署工具 CI/CD、安 全组件库 SDK、应用程序安全测试 AST、软件成分分析 SCA 等技术产品,并定制化或自研了开发安 全平台,同时,也在引入运行时应用保护 RASP 保护应用程序运行时安全。 对第二梯队的银行而言,虽然也使用了 SDK、AST 等开发安全工具,但开发安全体系仍较为基 础,当前的主要挑战在于完善开发和安全协作的流程制度、降低 AST 类工具的检测耗时和误报率, 从而提升整体开发安全水平。
e) 供应链安全 银行业务的复杂性和对多样化供应链的依赖,加之供应链透明度的不足和日益严格的监管要求, 使得供应链安全管理成为银行当前面临的一项复杂且充满挑战的任务。为了应对这一挑战,银行通常 会采用软件成分分析 SCA 工具,然而,应用程序的复杂性和供应链中第三方组件的层层嵌套使得 SCA 工具的检测效果并不理想。此外,由于软件物料清单 SBOM 缺乏统一标准,以及通常不够详尽,也增 加了银行的供应链风险管理难度。 为了提高供应链安全管理的效果,一些头部银行正在自研或联合安全厂商建设供应链管理平台, 并将经验沉淀到平台中,以提高供应链安全管理效率。 通过调研,我们了解到某互联网属性较强的民营银行在供应链安全管理方面取得了显著成效,能 够对所有上线前的代码和组件进行彻底的扫描评估,确保没有漏洞和后门的存在,并在应用上线后, 严格限制可运行的程序、函数、插件类型等,从而实现了更加全面的安全防护。
f) 数据安全 数据安全是近年来银行业的重点投入领域之一,由于合规要求,大部分银行的基础数据安全建设 都比较完善,如数据库安全(数据库审计、数据库防火墙、数据库加密)、数据防泄漏 DLP、静态数 据脱敏以及数据水印等,动态脱敏产品目前率先在头部银行逐渐推进应用。 在组织架构方面,一、二梯队银行基本都完成了数据管理部的设立,负责组织数据安全管理工作 规划和实施,完成了责任和职责的界定,目前正在加紧完善本行的数据安全管理办法、制度和流程制 定。没有成立数据管理部的银行,也都明确了数据安全负责人,及相关的职责和责任。 数据分类分级是数据安全防护的基础,大部分银行已经通过自动化程序,基本完成了对结构化数 据的分类分级和打标工作。但非结构化数据的分类分级仍面临较大挑战,第一梯队银行正在努力提高 分类分级的覆盖程度和准确度,并通过人工+机器学习的方式提效率,该环节的难点在于非结构化数 据特征的提取和识别的准确度不高,因此打标数据的准确率也参差不齐,这是未来需要不断提升的方 向。
相较于数据安全,数据安全治理强调建立一套完善的管理体系,包括组织架构、管理制度、流程 规范等。第一梯队的银行已经建立了数据安全治理的基础框架,并在持续优化流程建设。相比之下, 第二、三梯队银行的关注重点仍在构建足够的数据安全防护能力上。 银行的数据安全平台建设进程也在不断加快,一方面由于该类产品的成熟度不断提升,数据安全 整体管控能力不断增强;另一方面,银行也亟需实现对数据泄漏的发现、防护、溯源和定责。第一梯 队的银行更倾向于通过自主研发或与安全厂商合作的方式,定制化开发平台,第二梯队的银行业主要 是直接采购安全平台,来不断加强数据生命周期管控能力。 隐私计算一直是银行业的重点关注领域,虽然其理论方法尚不成熟,但部分头部银行已经针对联 邦学习、同态加密、多方安全计算等技术涉及了研究课题,并尝试通过三方合作的方式进一步探索。
g) 安全运营: 随着实战攻防演练的不断深入,金融机构的安全运营目标已从被动防御转变为主动防御、协同联 动和全局集中管理,相应的安全运营重心也逐步从关注合规和基础建设,转变为更加重视威胁预警、 响应、协同联动分析以及快速恢复,例如大部分的银行在 2023 年都重点加强了灾备体系的建设和切 换演练全流程管理。 银行是金融系统的核心机构,因此连续的监控和快速响应是至关重要的,大部分银行都实现了 7*24 的安全运营。 一、二梯队的银行通常会购买或与安全厂商共同开发安全编排自动化与响应 SOAR、威胁情报 TI、态势感知 SOC 平台,强化自身安全运营的能力。同时,他们也积极关注 AI 安全运营技术的进展,希 望通过 AI 的赋能提升安全运营效率。
相比之下,第三梯队的银行由于资源和能力有限,没有建立起安全运营体系,因此会采购渗透测 试、入侵与攻击模拟 BAS、外部攻击面管理 EASM、威胁情报 TI 及重保驻场服务等服务来增强自己的 安全防护能力。 攻击面管理近几年的热度较高,但这是一项长期的工作,银行也持续在资产发现与管理、漏洞发 现与管理和威胁情报领域投入资源。第一梯队的银行由于其系统庞大且结构复杂,通常会自主研发平 台,实现对资产及漏洞的统一发现管理,同时还会自主或联合建设运营众测平台,允许外部的安全研 究人员、白帽子黑客和普通用户参与到银行系统的安全测试中,帮助发现和修复潜在的安全漏洞。在 威胁情报方面,这些银行通常还会采购多家安全厂商的威胁情报作为补充,并自主开展暗网情报监测。 小规模的银行通常以采购产品或服务的方式加强自身的攻击面管理,并且不断提升对外部攻击面 管理 EASM 的关注度,主要为了在实战攻防中减少外部暴露面,从而有效降低被外部攻击的风险。
h) 密码应用: 银行的国密和商密改造工作已经取得了一定的进展,大部分银行的主要业务系统,尤其是与客户 直接交互的如网上银行和支付系统的改造已经完成,农村金融机构也在进行改造,但具体情况可能因 地区和机构而异。 头部银行也在探索新的密码技术,并尝试新技术与密码的结合应用,例如区块链技术在银行业的 应用逐渐增多,特别是在跨境支付、智能合约、身份验证等领域,区块链的分布式账本和加密技术为 金融交易提供了更高的透明度和安全性;同时,个别银行也在开展量子安全技术的专项课题和试点, 以提升金融服务的安全性、效率和创新能力。
