曾晨

摘 要：當前，互聯(lián)網(wǎng)金融前景誘人，但信息安全風險堪憂。據(jù)此，柳州銀行針對自身存在的“軟肋”，提出創(chuàng)新信息安全風險防范體制機制的設想，并且以教育培訓管理、自主可控、合力防范等為抓手，構建以全員、全鏈、全程為特征的安全風險防范體制機制，切實提高員工防范能力，信息系統(tǒng)的自主可控得到有效提升，全鏈防范合力得到明顯增強，信息安全防范整體效果明顯。文章以此為案例，進行了總結和探討。

關鍵詞：互聯(lián)網(wǎng)金融;信息安全風險防范;體制機制;防范機制創(chuàng)新

中圖分類號：F832.5 ????文獻標識碼：A 文章編號：1005-6432（2022）01-0048-02

DOI：10.13939/j.cnki.zgsc.2022.01.048

1 起因——基于發(fā)展形勢的深入分析

（1）互聯(lián)網(wǎng)金融前景誘人。隨著電子商務迅猛發(fā)展，網(wǎng)購已成為現(xiàn)代時尚。截至2013年6月，我國網(wǎng)上支付用戶為2.4億[1]。此外，截至2017年6月，我國網(wǎng)民規(guī)模已達7.6億[2]，這些網(wǎng)民都是互聯(lián)網(wǎng)金融的潛在客戶。據(jù)專家預測，在未來5年內(nèi)，銀行的數(shù)字化營業(yè)收入在總營業(yè)收入中的比例將高達46%[3]?？梢?，拓展互聯(lián)網(wǎng)金融業(yè)務前景誘人。

（2）互聯(lián)網(wǎng)金融信息安全風險堪憂。首先，互聯(lián)網(wǎng)金融漏洞種類繁多。據(jù)統(tǒng)計，截至2017年互聯(lián)網(wǎng)金融中出現(xiàn)的主要漏洞包括XSS、代碼執(zhí)行、文件上傳、信息泄露、邏輯漏洞、SQL注入、弱口令、權限繞過八種，其中容易被利用的占59.69%，高危漏洞占63.6%[3]。其次，網(wǎng)絡黑客攻擊猖獗。據(jù)信息安全知名服務商爆料，僅2015年其為社會各類網(wǎng)站攔截的漏洞攻擊高達16.5億次，其中金融網(wǎng)站占比高達65%[4]。據(jù)資料顯示，截至2017年，網(wǎng)絡黑客產(chǎn)業(yè)規(guī)模破千億，黑客攻擊規(guī)模持續(xù)上升，互聯(lián)網(wǎng)金融成為重災區(qū)[5]。最后，互聯(lián)網(wǎng)金融信息安全風險危害巨大。據(jù)不完全統(tǒng)計，截至2014年，有近165家互聯(lián)網(wǎng)金融機構由于黑客攻擊而致系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改、資金被洗劫一空[6]。這表明發(fā)展互聯(lián)網(wǎng)金融，做好信息安全風險防范工作是關鍵。

（3）信息安全風險防范“硬”“軟”實力的對比分析。據(jù)資料顯示，互聯(lián)網(wǎng)金融機構的信息安全投入普遍不足，從事信息安全的人才普遍匱乏[3]?？梢?，信息安全風險防范的“硬”實力不硬，這是短期內(nèi)不可改變的現(xiàn)實。柳州銀行屬于城市地域性的中小銀行，在這方面更是存在固有缺陷，因此，銀行信息安全風險防范工作在強化“硬”實力的同時，必須通過管理創(chuàng)新不斷提升“軟”實力。

2 決策——針對三項“軟肋”，提出創(chuàng)新設想

（1）針對物質(zhì)條件“軟肋”，創(chuàng)新全員防范體制機制。柳州銀行信息安全風險防范存在三方面的物質(zhì)條件軟肋。首先，信息安全資金投入有限，2017年該行信息安全資金投入僅占當年IT支出金額的0.66%，而全國企業(yè)信息安全平均支出占整個IT支出的2%，全球占比為3.96%[3]。其次，與大型銀行相比，柳州銀行信息安全人員偏少。最后，柳州銀行信息安全隊伍入行前大都沒有從事信息安全工作，信息安全防范主要依賴信息安全設備與第三方的安全檢測服務。

針對上述軟肋，柳州銀行提出構建全員風險防范體制機制的設想。所謂構建全員風險防范體制機制，指通過加強管理措施，形成從領導到員工，從信息系統(tǒng)開發(fā)、運維、安全防范崗位到金融業(yè)務崗位，全員參與的互聯(lián)網(wǎng)金融信息安全風險防范態(tài)勢。理論分析和實踐都表明，信息安全風險并非僅僅源于信息系統(tǒng)（物質(zhì)條件）本身，人員操作不當也是形成風險的一個重要原因。據(jù)IDE統(tǒng)計的數(shù)據(jù)，企業(yè)中信息系統(tǒng)相關服務中斷，78%以上是業(yè)務崗位人為造成[7]?？梢姡⑷珕T風險防范體制機制，切實提升“軟”實力，是彌補物質(zhì)條件“軟肋”的一條重要途徑。

（2）針對技術條件“軟肋”，創(chuàng)新全程防范體制機制。中小銀行由于天生的技術條件不足，信息系統(tǒng)開發(fā)大部分業(yè)務需要外包，這使得中小銀行信息系統(tǒng)的自主可控能力受到嚴重影響[8-9]。柳州銀行也是如此。首先，信息系統(tǒng)的基礎環(huán)境（包括硬件、操作系統(tǒng)、中間件、數(shù)據(jù)庫等）均由技術供應商提供現(xiàn)成產(chǎn)品，其運維由外包服務商進行。其次，信息系統(tǒng)的應用系統(tǒng)開發(fā)也由軟件外包商提供，銀行無知識產(chǎn)權，無法獨立改造。最后，由于不完全掌握代碼實現(xiàn)，應用系統(tǒng)的需求也須由外包商開發(fā)。以上就是柳州銀行互聯(lián)網(wǎng)金融信息安全風險防范存在的技術條件“軟肋”。

針對上述軟肋，該行提出建立全程防范體制機制設想。其核心內(nèi)容是：在技術外包條件下，提升銀行對信息系統(tǒng)運維和風險防范自主能力，做到既借助外包商而又不依賴于外包商。只有構造這樣的體制機制，才能真正做到全程防范，使風險防范工作落到實處。

（3）針對合作商條件“軟肋”，創(chuàng)新全鏈防范體制機制?；ヂ?lián)網(wǎng)金融信息系統(tǒng)安全風險也可能來自合作商[10]。一般情況下，銀行互聯(lián)網(wǎng)金融業(yè)務的合作商可區(qū)分為如下兩種類型：一種是互聯(lián)網(wǎng)金融的領軍企業(yè)，如銀聯(lián)、網(wǎng)聯(lián)、支付寶等，這些企業(yè)承接城市商業(yè)銀行的互聯(lián)網(wǎng)支付業(yè)務，其都有自己的信息安全技術規(guī)范，且這些安全技術規(guī)范具有較高水準，并要求城市商業(yè)銀行遵循其規(guī)范與之合作;另一種是互聯(lián)網(wǎng)金融散戶，其規(guī)模小、資金有限，信息安全知識和技術防范能力較低。然而，柳州銀行經(jīng)營規(guī)模較小，其第一類合作商的業(yè)務量較小，第二類合作商的業(yè)務量較多。這是柳州銀行必須面對的第三項“軟肋”。針對上述軟肋，柳州銀行提出建立全鏈防范體制機制，從而將合作商與銀行視為命運共同體，將風險防范工作從銀行延伸至包括合作商在內(nèi)的全“鏈”。這對銀行做好互聯(lián)網(wǎng)金融信息安全風險防范工作至關重要。

3 做法——運用三個抓手，落實創(chuàng)新設想

（1）以教育培訓管理為抓手，構建全員防范體制機制。首先，對行內(nèi)全員進行信息安全教育，并且建立風險信息通報制度，每周通過行內(nèi)微信公眾號發(fā)送互聯(lián)網(wǎng)金融安全風險信息，做到警鐘長鳴。通過這些措施，使全員信息安全防范意識得以普遍提升。其次，聘請專家對信息安全中心人員進行專業(yè)技能培訓，并且由信息安全中心人員組織全員進行信息安全知識學習，每季定期開展信息安全演練，不斷提高全體員工信息安全風險防范的實戰(zhàn)能力。最后，建立由信息安全管理人員和代碼開發(fā)、信息系統(tǒng)運維、互聯(lián)網(wǎng)金融業(yè)務等部門組成的互聯(lián)網(wǎng)金融信息系統(tǒng)風險防范聯(lián)席會議制度。通過這一制度，形成互聯(lián)網(wǎng)金融信息安全齊抓共管的局面和風險防范快速反應機制。

（2）以自主可控為抓手，構建全程防范體制機制。首先，立足自主設計，做到信息系統(tǒng)總體可控。柳州銀行堅持總體設計由行方自行完成。對互聯(lián)網(wǎng)金融系統(tǒng)項目，先由業(yè)務部門編寫業(yè)務需求，再由科技項目管理部門依據(jù)需求編寫項目概要設計，最后由信息安全部門進行安全審核，審核通過后方能將設計交由各技術外包商完成。其次，明晰外包責任，做到信息系統(tǒng)部件外包可控。柳州銀行在系統(tǒng)建設初期，就將各外包商的信息安全職責寫進外包服務合同中，規(guī)定不履行信息安全職責的罰則。在系統(tǒng)開發(fā)過程中，設立由信息安全管理、規(guī)劃開發(fā)設計、互聯(lián)網(wǎng)金融業(yè)務等人員組成的安全監(jiān)督組，負責督促外包商落實信息安全責任。在系統(tǒng)驗收階段，再由信息安全專職人員對該系統(tǒng)的信息安全性進行復核，并將該復核結果作為考核該外包商是否具有繼續(xù)合作潛質(zhì)的依據(jù)。最后，強化自身技術力量，做到信息系統(tǒng)運維和風險防范自主可控。柳州銀行要求技術外包商在系統(tǒng)投產(chǎn)后派駐技術人員駐場運維一段時間，一方面負責系統(tǒng)的日常信息安全防范工作，另一方面向行方運維人員進行運維技術知識轉(zhuǎn)移，從而確保行方人員在外包商駐場運維結束后能保障系統(tǒng)的信息安全防護工作。

（3）以合力防范為抓手，構建全鏈防范體制機制。首先，建立長期合作機制，夯實合力防范的組織基礎。柳州銀行與合作商簽訂長期合作協(xié)議，將信息安全防范定為通力合作的技術基礎，共同面對互聯(lián)網(wǎng)金融的信息安全工作。其次，統(tǒng)一技術標準，夯實合力防范的技術基礎。柳州銀行將自行制定的信息安全技術標準在合作鏈上共享，要求互聯(lián)網(wǎng)金融合作散戶在自身系統(tǒng)開發(fā)及與柳州銀行數(shù)據(jù)交換技術實現(xiàn)上遵循該標準。最后，上學下幫，切實提升合力防范的能力。柳州銀行在遵循信息安全規(guī)范的同時，花大力氣學習信息安全規(guī)范，并結合自身業(yè)務特點加以改造，將改造成果不斷融入自身的信息安全標準中，使柳州銀行信息安全標準不斷充實完善。在共享信息安全標準的同時，下派信息安全技術骨干為互聯(lián)網(wǎng)金融散戶進行信息安全能力培訓，講解并幫助組建柳州銀行信息安全標準，確保該標準在該商戶的互聯(lián)網(wǎng)金融業(yè)務上落地。

4 檢驗——柳州銀行創(chuàng)新取得的成效

成效之一：員工防范能力得到切實提高。首先，全行員工的信息安全防范意識得到普遍強化，信息安全的經(jīng)營理念深入人心。其次，員工的信息安全防范知識得以普遍提升。最后，員工的信息安全工作習慣得以養(yǎng)成，低等級信息安全隱患已不再出現(xiàn)。

成效之二：信息系統(tǒng)的自主可控得到有效提升。首先，信息安全設計已成為柳州銀行互聯(lián)網(wǎng)金融系統(tǒng)總體設計不可或缺的一部分，互聯(lián)網(wǎng)金融系統(tǒng)信息安全功能開發(fā)有據(jù)可依。其次，在系統(tǒng)建設過程中信息安全事故處理不再推諉，信息安全事項處理及時。最后，自實行全程防范機制以來，技術外包商進行知識轉(zhuǎn)移工作達100多次，為柳州銀行培養(yǎng)了互聯(lián)網(wǎng)金融系統(tǒng)維護人員近30余人，使得行方人員能獨立開展日常的系統(tǒng)信息安全防范工作。

成效之三：全鏈防范合力得到明顯增強。首先，信息安全防范陣線得以建立，銀商合作形成了技術聯(lián)防。其次，信息安全合力防范能力得以加強。實行全鏈防范機制后，全鏈均可共享互聯(lián)網(wǎng)信息安全防范技術成果，從而有效地提升了全鏈風險防范能力。

成效之四：信息安全防范整體效果明顯。2017年，柳州銀行全年互聯(lián)網(wǎng)金融信息系統(tǒng)檢測率100%，中、高危漏洞修補率100%，全年無互聯(lián)網(wǎng)金融客戶就信息安全問題投訴，無重大信息安全事件發(fā)生，在自治區(qū)政府聯(lián)合專業(yè)信息安全機構開展信息基礎設施網(wǎng)絡專項檢查中，信息安全防范位列所有被檢單位之首。

參考文獻：

[1]周茂清.互聯(lián)網(wǎng)金融的特點、興起原因及其風險應對[J].當代經(jīng)濟管理，2014（10）.

[2]中國互聯(lián)網(wǎng)絡信息中心.第40次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告[R].北京：中國互聯(lián)網(wǎng)絡信息中心，2017.

[3]國家信息技術安全研究中心.2017金融行業(yè)應用安全態(tài)勢年度報告[R].上海：FreeBuf安全研究院，2017.

[4]360互聯(lián)網(wǎng)安全中心.2015年中國網(wǎng)站安全報告[R].北京：奇虎360科技有限公司，2015.

[5]郝東林.互聯(lián)網(wǎng)+網(wǎng)絡安全法下的轉(zhuǎn)型新思考[R].柳州：柳州銀行互聯(lián)網(wǎng)金融講堂，2018.

[6]漏洞盒子.2015上半年金融業(yè)互聯(lián)網(wǎng)安全報告[R].上海：FreeBuf安全研究院，2015.

[7]錢繼勝.中小城市商業(yè)銀行信息安全管理探討[J].金融科技時代，2014（5）.

[8]陳超.銀行IT服務外包漸成趨勢[N].國際金融報，2002-11-25.

[9]蔡穎.監(jiān)管層防范銀行業(yè)服務外包風險[N].經(jīng)濟參考報，2012-10-23.

[10]溫婷.互聯(lián)網(wǎng)企業(yè)共話信息安全與合作[N].上海證劵報，2015-11-04.

1941501186289