银行业网络安全工作的发展历程和主要挑战

国际局势愈发复杂，外部网络安全威胁更加严峻

近年来，随着国际局势的复杂化，全球网络安全威胁持续升级，银行业金融机构作为金融领域的关键基础设施运营单位，面临更加严峻的形势：全球供应链攻击规模和影响不断升级;网络入侵事件与日俱增，高级可持续性攻击(APT攻击)呈多发态势;安全漏洞层出不穷，高危漏洞比例大幅增加，0day漏洞风险防不胜防;信息安全整体形势严峻，客户信息安全与隐私保护面临新挑战。

关键信息基础设施强监管时代，网络安全监管要求更高

当前，国家持续提高对网络安全工作的重视程度，陆续出台相关法律法规，以《中华人民共和国网络安全法》为基础的网络安全法律体系逐步形成，网络安全治理体系逐步完备，网络安全成为总体国家安全观的有机组成部分。2022年9月，《中华人民共和国网络安全法》拟修改并向社会公开征求意见，以加强对关基运营者违法行为的处罚力度。《关键信息基础设施安全保护条例》明确了关键信息基础设施保护流程，并要求关键信息基础设施运营者加强攻防实战能力建设。
同时，监管部门加强对网络安全的监管。公安部、人民银行、银保监会等监管部门相继出台一系列网络安全监管制度，并加大监管问责力度，多家银行因违反相关条例被监管部门给予警告、罚款、责令整改等处罚。监管部门、各级政府部门纷纷组织开展攻防比赛、专项演练等专项工作，敦促各关键信息基础设施运营单位快速提升攻防实战能力，监管重心逐渐由合规要求向能力提升转变。

数字化转型时期，新技术和应用带来新风险

一是新技术与银行业务的结合可能带来新风险。人工智能、物联网等新技术不断发展，与交易结算、资金融通、风险管控等银行业务深度融合，跨境交易高频发生，任一环节出现问题都可能对业务连续性造成影响。

二是新技术应用带来新的安全问题。云计算、大数据等技术的发展在为数字化转型赋能的同时，也带来了云安全、大数据安全等一系列新型安全问题，产生数据泄露风险。

三是新技术成为驱动网络安全防护数字化转型的重要组成部分。当前，人工智能、区块链、量子计算等新技术不断发展，银行不断加强对新技术的应用，研究建设数字安全平台，夯实银行业数字化安全基座。

银行网络安全体系发展历程

1.分散外挂防护架构

1980年以后，银行信息系统进入电子化时代。银行资金流动日益频繁，我国各大银行相继引入了大型主机系统替代人力工作，在网点建立柜面业务处理系统，在后台建立联网系统，基本实现了银行内、网点间的业务联网处理。此时我国的互联网普及率较低，大多数银行的信息系统封闭于局域网中。

在此阶段，银行网络安全体系采用分散外挂防护架构。银行信息系统主要面临技术缺陷、人为破坏、人工误操作等安全威胁，因此安全防护工作多采用分散外挂防护。银行网络安全工作的开展主要依据国家及主管部门发布的安全监管制度如《中华人民共和国计算机信息系统安全保护条例》，安全工作主要围绕物理安全、终端安全、主机系统安全等领域开展，保护专用系统和软件的安全。此时银行网络安全工作处于起步阶段，代表技术有防病毒、加密技术等。

2. 集中边界防护架构

2000年以后，银行信息系统进入网络化时代。随着商业银行业务的不断扩展和对信息系统依赖性的不断加大，我国商业银行纷纷将分散的计算中心集中到大型数据中心，实现了信息系统和数据的高度集中。工商银行率先完成数据大集中，之后，全国大小银行陆续完成信息系统从“各分行分散”向“全国性集中”的革新。

在此阶段，银行网络安全体系采用集中边界防护架构。银行信息系统的高度集中也导致了风险的高度集中，银行信息系统规模日益增大，运行环境愈发复杂，仅靠过去针对性解决的方法已无法系统性地解决复杂的网络安全问题，所以银行网络安全体系演进为集中边界防护，即围绕数据中心进行的网络边界防护。此时各大银行开始运用体系化思维解决网络安全问题，参考了国内外一系列安全标准及模型，如信息安全等级保护相关政策法规、ISO27000信息安全管理体系标准等，不断提升信息安全管理的规范化水平。在此阶段，银行网络安全体系已相对成熟，代表性的安全技术有访问控制、防火墙、入侵检测技术等。

3. 纵深防护架构

2014年以来，银行信息系统进入信息化、数字化时代。银行的产品、营销、运营等逐渐发生深刻改变，信息系统应用规模不断扩大，银行产品迭代不断加速。各大银行纷纷引入云计算、虚拟化、人工智能等新技术来处理越来越多、越来越繁杂的数据，信息系统逐渐由单一集中模式向分布式、集中式并存的双核架构转型。

在此阶段，银行网络安全体系采用纵深防护架构。随着信息系统走向开放，新技术深刻改变了银行的服务形式及产品形态，同时也带来了新的安全风险，因此银行网络安全架构逐渐向纵深防护演变，强调内外兼顾的综合防护。各银行依据国家及相关部门发布的《网络安全等级保护条例》与《国家关键信息基础设施安全保护条例》(以下简称“关基保护条例”)等相关法规标准，推动构建网络安全纵深防护体系。网络安全的目标由单一保护网络向保护数据转变，通过纵深防护，达到内外兼防的目的。在此阶段，银行网络安全需要同时兼顾攻防，代表技术有ATT&CK威胁建模、网络攻击溯源技术等。

目前，银行业正处于数字化转型关键阶段，银行业务模式向数字化运营转型升级，对银行网络安全体系提出了更高的要求，银行网络安全体系逐渐由合规管理向主动防御、智能防御等能力建设阶段转变。

银行业数字化体系建设背景

监管要求：

• 国家要求银行抓住产业数字化、数字化产业赋予的机遇，抓紧布局数字经济
• 人民银行发布《金融科技(FinTech)发展规划》

内部压力：

• 银行的综合金融、场景金融等金融解决方案需要对数据进行深入挖掘和利用；
• 业务部门通过数据分析进行客户洞察的诉求日益强烈

外部挑战

• 商业银行纷纷推出数字化转型战略，打造数据生态；
• 客户对金融服务要求越来越高，银行亟需通过数字化转型提升客户体验，增加客户粘性。

银行2022年科技投入的前三名：软件、硬件、安全。

在技术平台采购上，数据服务及智能服务占比最高。其中，数据服务包含数据库、数据管理、数据资产运营、数据中台、大数据开发、数据开放、风控数据、数据报送等方面，采购银行多为区域性银行；智能服务包含生物识别、机器学习、RPA等方面，采购银行包含国有银行、股份制银行、区域性银行。

业务方面，支付收单、贷款信用卡是最主要的业务领域。

在贷款及信用卡领域，银行的采购内容包含信贷管理系统、贷后管理、互联网贷款、信用卡业务监测等领域。

在安全领域，银行的布局包括技术支持、安全监测评估、业务安全、数据安全、移动App安全、安全专家等方面。软件系统等底层技术方面，主要涉及反洗钱、反欺诈、密码学算法、隐私计算、信息科技风险外包等方面，采购银行涉及国有银行、区域性银行、城商行、农商行、民营银行。其中，反洗钱、反欺诈领域的采购最多。

在基础的安全数字化“基建”之外，评估测评银行信息科技方面的安全情况，是发现问题的过程，这也是银行在安全方面居于第二的采购领域。

银行的安全监测评估涉及信息科技系统、网络安全、移动App、以及信息科技风险全面评估等方面。

业务安全方面，主要集中在信用卡、电信诈骗及网络黑灰产、支付领域，主要针对相应业务领域的数字风控、线上场景监控、安全验证等服务，这些业务领域都是银行业务板块中数字化程度较高的部分，多为个人金融相关产品。

值得注意的是，在业务安全相关采购中，一半的采购计划针对不同业务的数字风控，涉及信用卡、电信诈骗、支付领域的风险防控。事实上，随着信用卡、支付等业务数字化加深，防控相关业务线上风险刻不容缓，利用大数据等技术，实时监控线上业务，做到风险可防可控，获得银行越来越多的关注。