劉蘭
(西藏大學(xué)經(jīng)濟(jì)與管理學(xué)院,西藏 拉薩 850000)
2017 年5 月,肆虐全球的“勒索”病毒將網(wǎng)絡(luò)安全推到了風(fēng)口浪尖;2018 年10 月,F(xiàn)acebook 被爆8700 萬(wàn)用戶數(shù)據(jù)被不當(dāng)泄露給政治咨詢公司[1];2019 年,某酒店5 億客戶數(shù)據(jù)泄露,龐大的數(shù)字不僅是造成了個(gè)人信息的泄露,對(duì)當(dāng)事人也造成了巨大的損失。銀行業(yè)更是存儲(chǔ)了海量的客戶數(shù)據(jù),觸目驚心的案例對(duì)傳統(tǒng)銀行業(yè)保障網(wǎng)絡(luò)和數(shù)據(jù)安全、維護(hù)金融消費(fèi)者權(quán)益敲響了警鐘。西藏轄區(qū)銀行業(yè)金融機(jī)構(gòu)抓住“互聯(lián)網(wǎng)+”機(jī)遇,利用大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)等新興信息技術(shù)[2],不斷創(chuàng)新藏式特殊金融產(chǎn)品,金融服務(wù)讓利于民的成效凸顯,但由于過(guò)渡依賴通訊網(wǎng)絡(luò),安全風(fēng)險(xiǎn)也伴隨而至,銀行IT 主管部門更是如履薄冰、疲于應(yīng)付。為維護(hù)轄區(qū)金融安全和社會(huì)穩(wěn)定,轄區(qū)銀行業(yè)應(yīng)從金融行業(yè)安全事件案例中汲取教訓(xùn),查找短板,彌補(bǔ)差距,精準(zhǔn)發(fā)力,切實(shí)加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)治理,促進(jìn)金融服務(wù)普惠民生。
一是銀行機(jī)構(gòu)普遍認(rèn)為自己使用專線內(nèi)部網(wǎng)絡(luò),與外界物理隔離,不可能遭受惡意代碼程序、黑客攻擊等事件;另外認(rèn)為安裝了防病毒、防攻擊等安全產(chǎn)品,就能夠及時(shí)防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。二是普通銀行用戶認(rèn)為牢記密碼、網(wǎng)絡(luò)銀行終端安裝殺毒軟件便可確保資金安全,但通過(guò)在PC 終端或移動(dòng)支付終端設(shè)置木馬后門等手段可輕易獲取銀行賬號(hào)、密碼等信息;另外鄉(xiāng)村一級(jí)的銀行用戶文化程度不高,接受金融安全教育機(jī)會(huì)少,安全防范措施知之甚少,面臨的資金加之支付交易雙安全風(fēng)險(xiǎn)更大。三是銀行用戶對(duì)虛假金融信息的識(shí)別、判斷能力不高,掌握的信息不對(duì)稱,易遭受垃圾廣告、電信詐騙、誤入釣魚網(wǎng)站等資金安全威脅。四是盡管各銀行已實(shí)施國(guó)產(chǎn)化戰(zhàn)略,但關(guān)鍵性基礎(chǔ)設(shè)施的工藝控制系統(tǒng)仍受制于人,自主可控能力仍待加強(qiáng),有的分支機(jī)構(gòu)還飽受電力供應(yīng)不足、有線網(wǎng)絡(luò)持續(xù)穩(wěn)定運(yùn)行能力不高的困擾,網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布第45次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,截止2020 年3 月,遭遇過(guò)網(wǎng)絡(luò)安全事件用戶占比達(dá)到整體網(wǎng)民的43.6%,其中個(gè)人信息泄露是首要網(wǎng)絡(luò)安全問(wèn)題,在網(wǎng)絡(luò)安全事件中占比為23.3%.可見(jiàn),加強(qiáng)網(wǎng)絡(luò)安全管理,保障金融消費(fèi)者權(quán)益,應(yīng)引起高度重視。
銀行機(jī)構(gòu)普遍存在僥幸心理,沒(méi)有形成主動(dòng)防范、積極應(yīng)對(duì)的風(fēng)險(xiǎn)意識(shí),更不能從根本上提高網(wǎng)絡(luò)安全監(jiān)測(cè)、防護(hù)、響應(yīng)等能力[3]。一是銀行使用的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備分別來(lái)自不同的供應(yīng)商,安全防護(hù)水平參差不齊,如轄內(nèi)某銀行安裝的趨勢(shì)產(chǎn)品,在病毒防護(hù)方面表現(xiàn)不盡人意,導(dǎo)致其轄內(nèi)縣支行的計(jì)算機(jī)終端感染木馬病毒的事件時(shí)常發(fā)生,已經(jīng)成為威脅農(nóng)業(yè)銀行內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)隱患[4]。二是各銀行在一級(jí)支行部署了防火墻、防病毒、漏洞掃描、入侵檢測(cè)、網(wǎng)絡(luò)審計(jì)等安全防護(hù)設(shè)備和系統(tǒng),但不同安全專用系統(tǒng)的監(jiān)測(cè)、預(yù)警措施相對(duì)孤立,不能對(duì)已發(fā)現(xiàn)的安全威脅進(jìn)行全局預(yù)警和聯(lián)動(dòng)防護(hù)。此外,一些訪問(wèn)控制措施執(zhí)行不到位,包括安全策略落實(shí)不夠嚴(yán)格、網(wǎng)絡(luò)口令管理不嚴(yán)、未開(kāi)啟系統(tǒng)審計(jì)功能的不合規(guī)情況仍然存在。三是除一級(jí)支行、農(nóng)行二級(jí)支行網(wǎng)絡(luò)節(jié)點(diǎn)外,其它銀行分支機(jī)構(gòu)皆未安裝部署防火墻和入侵防御硬件產(chǎn)品,容易使網(wǎng)絡(luò)內(nèi)部感染病毒、攻擊行為無(wú)法進(jìn)行有效的監(jiān)測(cè)和處置。
由于電力、通信、交通等基礎(chǔ)設(shè)施不完善,西藏轄區(qū)銀行網(wǎng)絡(luò)安全威脅主要包括:網(wǎng)絡(luò)通信中斷、電力供應(yīng)中斷、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪等[5]。這些風(fēng)險(xiǎn)的處置將涉及到公安部門、通信管理部門、電力部門等多個(gè)不同領(lǐng)域的專業(yè)機(jī)構(gòu),由于各自的職責(zé)不同,在日常工作接觸少,缺乏必要的溝通與了解,致使多方掌握的信息不對(duì)稱,協(xié)調(diào)工作存在一定的難度?!段鞑亟鹑跇I(yè)信息安全協(xié)調(diào)工作機(jī)制指引》(簡(jiǎn)稱“指引”)中明確了各成員單位的職責(zé)和任務(wù),建立了定期聯(lián)系會(huì)議制度,由于涉及跨行業(yè)跨部門的溝通、協(xié)作,以及各行業(yè)應(yīng)急協(xié)調(diào)管理的專業(yè)指導(dǎo),指引的影響范圍有限、約束力有待加強(qiáng)[6],其實(shí)現(xiàn)最終目的存在一定困難。
轄內(nèi)商業(yè)銀行中,除自治區(qū)級(jí)機(jī)構(gòu)外,農(nóng)業(yè)銀行、郵政儲(chǔ)蓄銀行在地市一級(jí)設(shè)有信息技術(shù)部門和網(wǎng)絡(luò)管理人員,其他單位及縣級(jí)機(jī)構(gòu)無(wú)專業(yè)技術(shù)人員。從技術(shù)掌握層面看,我們對(duì)網(wǎng)絡(luò)攻擊、信息竊取等黑客技術(shù)了解不深、研究不透,網(wǎng)絡(luò)安全管理工作滯后。從人才專業(yè)性層面看,缺少掌握網(wǎng)絡(luò)安全技術(shù)的專業(yè)人才,隊(duì)伍還有待發(fā)展壯大。
銀行以追求利益最大化為原則,在如何加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理方面,思想認(rèn)識(shí)不夠統(tǒng)一,潛在風(fēng)險(xiǎn)意識(shí)不強(qiáng),重應(yīng)用輕安全的觀念依然存在,仍認(rèn)為現(xiàn)金、槍支、彈藥等傳統(tǒng)風(fēng)險(xiǎn)點(diǎn)自主安全可控,便無(wú)其他風(fēng)險(xiǎn)。另外,銀行業(yè)多元化經(jīng)營(yíng),使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)聯(lián)性和傳導(dǎo)性增強(qiáng)。部分銀行分支機(jī)構(gòu)在安全生產(chǎn)方面存在敷衍了事、得過(guò)且過(guò)的現(xiàn)象,重視程度不夠,偏好于業(yè)務(wù)營(yíng)銷;部分金融業(yè)務(wù)部門還存在網(wǎng)絡(luò)安全規(guī)章制度執(zhí)行不到位、有章不循的現(xiàn)象,甚至存在無(wú)計(jì)算機(jī)安全組織機(jī)構(gòu)的情況。
一方面由于人員緊張,銀行將設(shè)備管理、安全策略配置等任務(wù)委托第三方專業(yè)服務(wù)公司,另一方面由于未設(shè)立信息技術(shù)部門,部分銀行分支機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)維管理基本依靠外包服務(wù),上述兩種情況存在服務(wù)流程流于形式、過(guò)度依賴外包服務(wù)公司等情況,直接影響了自主運(yùn)維和應(yīng)急處置能力,還存在泄漏客戶信息的風(fēng)險(xiǎn)隱患。此外,部分銀行分支機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備由上級(jí)行和供應(yīng)商提供及現(xiàn)場(chǎng)安裝,本地工作人員的運(yùn)維能力沒(méi)有及時(shí)跟進(jìn),這已成為影響網(wǎng)絡(luò)安全和持續(xù)運(yùn)營(yíng)的重要因素之一。
由于缺乏對(duì)商業(yè)銀行信息安全工作指導(dǎo)和協(xié)調(diào)的規(guī)范和措施,人民銀行科技部門依照國(guó)務(wù)院“三定”方案履行的職責(zé)始終處于表面,不能深層次發(fā)現(xiàn)、挖掘影響轄內(nèi)金融安全與穩(wěn)定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。另外,人民銀行與商業(yè)銀行之間還存在安全信息共享力度不夠,信息交流途徑不暢的問(wèn)題。同時(shí),人民銀行統(tǒng)一發(fā)布的風(fēng)險(xiǎn)提示內(nèi)容有限,只能對(duì)地方性商業(yè)銀行給予大體上指導(dǎo),缺乏可操作性。
表現(xiàn)為照抄照搬上級(jí)制定的應(yīng)急預(yù)案、應(yīng)急能力未進(jìn)行有效評(píng)估、備用設(shè)備不足等,在突發(fā)事件發(fā)生時(shí),容易導(dǎo)致金融服務(wù)的中斷。網(wǎng)絡(luò)安全協(xié)調(diào)機(jī)制浮在表面,銀行與運(yùn)營(yíng)商、電力供應(yīng)等部門各自為政,未實(shí)現(xiàn)信息共建共享。受地理位置和自身業(yè)務(wù)發(fā)展限制等因素的限制,銀行網(wǎng)絡(luò)災(zāi)備體系建設(shè)起步晚、底子薄,承災(zāi)能力有待進(jìn)一步提升。另外,銀行業(yè)務(wù)人員對(duì)業(yè)務(wù)連續(xù)性認(rèn)識(shí)不足,普遍認(rèn)為其是信息技術(shù)部門的責(zé)任,由于配合不夠、參與力度不大、覆蓋面不全,應(yīng)急預(yù)案的作用將面臨挑戰(zhàn)。如發(fā)生網(wǎng)絡(luò)中斷事件時(shí),在未采取有效處置措施的情況下,有的銀行分支機(jī)構(gòu)直接對(duì)外發(fā)布公告,停止業(yè)務(wù)辦理,破壞了金融消費(fèi)者對(duì)銀行的形象和信心,企業(yè)社會(huì)責(zé)任擔(dān)當(dāng)意識(shí)不強(qiáng)。
銀行機(jī)構(gòu)要發(fā)揮主觀能動(dòng)性,加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計(jì),建立健全工作機(jī)制,牢守風(fēng)險(xiǎn)防控底線,為區(qū)域金融改革創(chuàng)新發(fā)展提供有力支持和保障,維護(hù)轄區(qū)金融安全。
轄內(nèi)各銀行機(jī)構(gòu)要高度重視網(wǎng)絡(luò)安全工作,嚴(yán)禁出現(xiàn)“檢查時(shí)重視,平常時(shí)輕視”的現(xiàn)象,以風(fēng)險(xiǎn)管理為本,將行政管理要求、安全生產(chǎn)管理理念融合于網(wǎng)絡(luò)安全管理之中,促進(jìn)網(wǎng)絡(luò)安全工作向常態(tài)化、制度化轉(zhuǎn)變。
結(jié)合《網(wǎng)絡(luò)安全法》的頒布實(shí)施,組織開(kāi)展網(wǎng)絡(luò)安全宣傳,引導(dǎo)關(guān)注金融安全、防范支付風(fēng)險(xiǎn)和電信詐騙、個(gè)人敏感信息保護(hù)等,提高金融消費(fèi)者安全素養(yǎng)。
以金融知識(shí)宣傳活動(dòng)契機(jī),引導(dǎo)金融消費(fèi)者增強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別能力和自我保護(hù)意識(shí)。推廣應(yīng)用脫機(jī)數(shù)據(jù)終端電子認(rèn)證產(chǎn)品和國(guó)密算法,加強(qiáng)與通訊運(yùn)營(yíng)商、公安、網(wǎng)信辦、反詐騙中心合作,嚴(yán)厲打擊不法分子盜取客戶信息和資金的犯罪行為,保護(hù)用戶合法環(huán)境,應(yīng)用網(wǎng)絡(luò)安全自主可控產(chǎn)品,不斷提高安全本質(zhì)和動(dòng)態(tài)防御能力。
以信息系統(tǒng)等級(jí)保護(hù)為抓手,關(guān)聯(lián)分析入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備等事件信息,利用大數(shù)據(jù)分析方式,重新對(duì)傳統(tǒng)安全設(shè)備攻擊規(guī)則進(jìn)行調(diào)整,利用智能化、動(dòng)態(tài)的態(tài)勢(shì)分析平臺(tái)及時(shí)發(fā)現(xiàn)攻擊行為。嚴(yán)格規(guī)范網(wǎng)絡(luò)安全配置策略,固化網(wǎng)絡(luò)邊界防護(hù),優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),堅(jiān)守新建網(wǎng)絡(luò)上線前安全配置核查、漏洞掃描等安全關(guān)口、深化已建網(wǎng)絡(luò)安全測(cè)評(píng)結(jié)果應(yīng)用,加強(qiáng)以身份認(rèn)證、授權(quán)管理、安全審計(jì)等為內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè),研究利用云計(jì)算、大數(shù)據(jù)等新技術(shù)提高監(jiān)測(cè)、預(yù)警水平,進(jìn)一步提升網(wǎng)絡(luò)安全管理能力[7]。
結(jié)合實(shí)際情況,銀行應(yīng)堅(jiān)持優(yōu)先恢復(fù)對(duì)外服務(wù)的原則,不斷修訂完善網(wǎng)絡(luò)應(yīng)急預(yù)案,不定期開(kāi)展跨部門、跨機(jī)構(gòu)的綜合類應(yīng)急演練,著力驗(yàn)證應(yīng)急資源的完整性和可靠性,鍛煉應(yīng)急隊(duì)伍,進(jìn)一步提升網(wǎng)絡(luò)持續(xù)運(yùn)營(yíng)水平,增強(qiáng)應(yīng)對(duì)突發(fā)事件的信心。人民銀行應(yīng)收集整理轄內(nèi)銀行業(yè)信息化基礎(chǔ)設(shè)施備件清單(如路由器、交換機(jī)、防火墻)和專業(yè)人才名單,在發(fā)生應(yīng)急事件時(shí),銀行機(jī)構(gòu)在短期內(nèi)無(wú)法自行解決的情況下,可在信息安全協(xié)調(diào)框架內(nèi)請(qǐng)求協(xié)助,人民銀行將根據(jù)備件清單和人才名單組織其它銀行機(jī)構(gòu)的人力、物力展開(kāi)救援,降低網(wǎng)絡(luò)安全運(yùn)營(yíng)人力風(fēng)險(xiǎn)系數(shù)。
西藏地處反分裂、維護(hù)社會(huì)穩(wěn)定的前沿,保障銀行業(yè)網(wǎng)絡(luò)安全,阻擊國(guó)內(nèi)外反動(dòng)勢(shì)力的政治攻擊意義重大。進(jìn)一步強(qiáng)化西藏轄區(qū)重要節(jié)點(diǎn)和敏感時(shí)期的網(wǎng)絡(luò)安全意識(shí)形態(tài)工作,堅(jiān)持從內(nèi)部網(wǎng)絡(luò)、微信、論壇等渠道,加強(qiáng)網(wǎng)絡(luò)安全事件采集和分析,注重與地方政府、新聞媒體的協(xié)調(diào)配合,狠抓社會(huì)輿論引導(dǎo),加強(qiáng)危機(jī)公關(guān)鍛煉,防止有害信息傳播,落實(shí)零報(bào)告和計(jì)算機(jī)安全報(bào)告制度,增強(qiáng)突發(fā)事件的應(yīng)對(duì)處置能力。
建立健全網(wǎng)絡(luò)安全組織架構(gòu),及時(shí)全面掌握轄區(qū)銀行業(yè)的網(wǎng)絡(luò)安全工作現(xiàn)狀,發(fā)揮好人民銀行對(duì)銀行業(yè)信息安全工作的指導(dǎo)協(xié)調(diào)作用。促進(jìn)銀行、公安、電力、通訊、網(wǎng)信辦等部門的合作交流,建立網(wǎng)絡(luò)安全情報(bào)合作分享機(jī)制,優(yōu)化轄內(nèi)信息安全生態(tài)環(huán)境,共享信息安全成果,確保快速響應(yīng),及時(shí)處置安全事件。
安全生產(chǎn)是一切工作的生命線。從金融安全角度出發(fā),實(shí)施安全生產(chǎn)“一票否決”責(zé)任制,貫徹落實(shí)《中國(guó)金融業(yè)信息技術(shù)“十三五”發(fā)展規(guī)劃》,注重信息化基礎(chǔ)設(shè)施保護(hù),強(qiáng)化頂層設(shè)計(jì),實(shí)施網(wǎng)絡(luò)安全生命周期管理[8]。
嚴(yán)格執(zhí)行安全生產(chǎn)制度,落實(shí)安全生產(chǎn)責(zé)任制,提高關(guān)鍵崗位人員運(yùn)維能力,完善系統(tǒng)運(yùn)行環(huán)境建設(shè),加強(qiáng)外包服務(wù)風(fēng)險(xiǎn)控制,嚴(yán)格終端安全控制措施,提升現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)的網(wǎng)絡(luò)安全管理數(shù)字化水平。經(jīng)常確認(rèn)當(dāng)前采取的技術(shù)措施在抵御風(fēng)險(xiǎn)方面的作用,及時(shí)調(diào)整安全策略,提升脆弱性主動(dòng)發(fā)現(xiàn)能力,降低安全風(fēng)險(xiǎn)。
主動(dòng)接受監(jiān)管部門和審計(jì)部門監(jiān)督,積極處置存量風(fēng)險(xiǎn)、控制增量風(fēng)險(xiǎn),防止風(fēng)險(xiǎn)管理制度流于形式,并對(duì)違反安全規(guī)定的行為采取零容忍政策,提升執(zhí)行計(jì)算機(jī)安全管理制度的自覺(jué)性和主動(dòng)性,進(jìn)一步完善網(wǎng)絡(luò)安全管理制度和基礎(chǔ)措施。
加強(qiáng)自主運(yùn)維能力建設(shè),使其能在復(fù)雜環(huán)境下獨(dú)自勝任工作,力爭(zhēng)做到生產(chǎn)全面自救。定期檢測(cè)安全技術(shù)措施的有效性,切實(shí)提高網(wǎng)絡(luò)安全效能;注重建設(shè)網(wǎng)絡(luò)安全持續(xù)動(dòng)態(tài)監(jiān)測(cè)機(jī)制,準(zhǔn)確掌握安全風(fēng)險(xiǎn)態(tài)勢(shì)[9];既加大網(wǎng)絡(luò)技術(shù)隊(duì)伍“人力+能力”的培養(yǎng)力度,又加強(qiáng)內(nèi)部人員在權(quán)限分配、職能定位方面的管控,促使網(wǎng)絡(luò)安全管理制度落實(shí)。
加大網(wǎng)絡(luò)安全專項(xiàng)資金投入力度,始終把建立“兩地三中心”作為災(zāi)備體系建設(shè)的遠(yuǎn)期目標(biāo),并結(jié)合實(shí)際情況,進(jìn)一步提高建設(shè)標(biāo)準(zhǔn),提升容災(zāi)能力和網(wǎng)絡(luò)健壯性,探索5G 無(wú)線網(wǎng)絡(luò)替代有線網(wǎng)絡(luò)的應(yīng)急處置措施,積極應(yīng)對(duì)如地震、洪水、泥石流等區(qū)域性災(zāi)難,保障核心數(shù)據(jù)安全和災(zāi)難時(shí)的核心業(yè)務(wù)恢復(fù)。適時(shí)、審慎開(kāi)展網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)存在的問(wèn)題,建立問(wèn)題分級(jí)跟蹤整改機(jī)制,實(shí)施安全加固,并著力解決存在的問(wèn)題。