經濟社會發展對信息化的要求和依賴程度越來越高，面臨激烈的競爭，包括物聯網、云計算在內的信息技術迅猛發展，不僅極大加速全球化進程，而且正在飛速改變金融行業的發展方向和形態，在這場深刻的技術變革中誰能在信息化上先人一步，高人一籌，誰就能夠在激烈的競爭中處于有利的地位，搶占到行業制高點。

北京農村商業銀行信息技術部副總經理 陳揚寧

2010中國金融科技大會在京召開，記者在大會上聯系了北京農村商業銀行公司（以下簡稱農商行）信息技術部副總經理陳揚寧，陳揚寧就農商行的信息安全等話題進行了探討，分享了有關農商行近年來在信息安全方面發展的經驗和教訓，給我們帶來一定的借鑒作用。

農商行信息安全的問題和挑戰

隨著近年來金融監管機構對銀行業加大監管的力度，同時從2006年到10年逐步出臺了有關加強銀行業的金融機構信息安全保障工作的一些指導意見，包括2007年信息安全等級保護管理辦法，以及2009年商業銀行信息科技風險管理指引，從制度方面，包括實際行動方面，逐漸加深對銀行業信息安全的監管，同時對銀行業的信息安全進行了更高的要求。

在區域銀行信息安全建設方面整體的水平相對落后于股份制商業銀行，主要表現在，因為股份制商業銀行經過2004年、2005年左右核心系統、后臺管理系統的一些改造開發，信息化發展水平相對比較高，同時信息安全體系相對比較健全。而我們區域銀行在這方面主要體現在，我們整個信息化建設的發展是落后于業務的發展，因為涉及到一些投入，涉及到一些信息方面的議程，所以整個投入上、發展上依然落后于股份制銀行，而且還落后于自身業務的發展，因為在這方面我想很多區域銀行逐漸逐年在信息化方面加大投入。

其次，隨著區域銀行業務的發展，安全的隱患出現。如原有的機房的選址，安保措施、供電等等，無自身的異地備份中心。因為前期沒有災備中心，數據中心發生斷電的情況，數據就面臨寫危險。其次對信息安全的缺乏意識缺失，比如對諸如審計、保密、數據傳輸中的完整性、數據正確性、對外來攻擊的預防等安全措施弱化或缺失。再就是在整個相對來說區域銀行未來發展網銀，我們自己認為安全要求比較高，從我們分析來說，我們安全做得跟股份制銀行來說做得比較好，其實是我們自己的網銀這一塊知名度不高，所以很少人關注這方面發生的案件。但是隨著業務的發展，銀行知名度的發展越來越提高，越來越關注你的網銀，關心你的業務的時候，你的電子渠道的一些隱患，安全隱患逐漸就會提到更加高的高度上。

第三、運行維護方面，因為區域性銀行相對技術管理能力不足，目前較多依靠系統承包商，人力風險明顯。這幾個方面，我們認為區域銀行這一塊還是跟股份制相比差距還是比較明顯。

在整個信息安全的風險發展趨勢來看，隨著業務的開放化，在網銀、電子銀行等業務渠道對互聯網的開放，對整個信息安全的管理、技術控制提出了更高的要求。還有一些關于互聯網訪問終端的無意識的信息泄露，造成攻擊等等，都可能對整個區域行業的發展帶來一些安全的隱患。攻擊的成熟化，因為現在有很多大量的自動化的攻擊工具可以在互聯網上下載，造成整個攻擊的成本逐漸下降。從分析來看，發現遭受的攻擊越來越多，手段和方法也更多了，對我們的要求更高了。

軟件的多樣化使漏洞數量超過了操作系統，對于整個應用系統來說補丁怎么打？利益的驅動，這方面無論是區域銀行還有所有銀行都面臨這個問題，包括股份制商業銀行都是這樣，還有內部員工、第三方人員，掌握一些信息權限等等，謀取一些非法的收入。

信息安全建設的關注點趨勢也發生變化傳統的基于網絡的防護依然是基礎，但是關注點逐漸轉向對于數據內容、應用本身、用戶身份和行為安全的管理。高效的信息管理，安全的信息管理已經成為區域銀行需要密切關注的問題。

其次區域銀行也開始重視評價信息安全的風險，關注信息安全的監控和綜合分析。隨著危險不斷的變化，使區域銀行在安全方面的投入更加注重長期性，而不是短期的一次性投入，因此以技術平臺支撐的合規管理工作正在越來越受到重視。最后業務的發展對系統和數據的高可靠性要求不斷提高，安全威脅的破壞性越來越大，區域銀行需要在系統和數據的可控性方面不斷優化和改進。這一點從奧運會開始，這方面相關的問題越來越提上比較高的高度上。

農商行的信息安全整體規劃

面對信息安全的問題，農商行提出了對于信息安全總體規劃思路。

首先，規劃的出發點是以信息為核心。以信息核心，但信息的管理包括哪些？包括信息的分類、分級、歸檔、審計、內容安全、保密等等，是以信息為核心的，下面IT的基礎架構以及上面的業務。

1）規劃的原則

首先、就是整體規劃應該能夠應對變化，整個信息安全建設規劃要有相對完整全面的框架，以應對當前安全威脅的變化趨勢。因為我們在變化，其次整個信息安全的安全威脅也在變化，動態的。

其次，立足于現有能力的提升，在現有的信息安全基礎上來完善IT基礎架構的安全建設，優化、調整和挖掘潛力，提升整體信息安全的保障能力。

第三、著重信息重點防范，以信息安全治理為工作目標，防范有意無意的數據泄露，作為今后的工作重點，已經加強了信息安全防范的意識。

2）信息安全總體規劃的目標

第一、以安全治理為方針，安全工作的目標是什么？就是對信息安全環境的不斷治理和完善，注重不斷治理發展的長期性。

第二、以信息安全為核心，因為我們銀行最終保障的是銀行的業務，業務的關鍵內容是什么？圍繞業務的各種數據和信息，因此我們認為信息安全是核心。

第三、可管理的IT架構為基礎，不可管理的本身就是一個不安全的隱患，因對IT架構首先基于可管理性。其次支撐IT系統的基礎架構和設施應該以可量化管理，可流程化的管理和目標，來提升我們安全支撐和保障的能力，因此我們規劃了基于一個方針、一個核心為基礎來做。

二、信息安全體系的建設

農商行的信息安全框架是建立在三大支柱上的，運維體系、管理體系和基礎安全。信息安全的風險的管控，法規遵從落實，相關的法律法規從2005年開始完善，更加細化。

因此整個信息安全工作的內容，以信息安全為核心，目的就是安全的治理，基礎是IT的基礎架構。包括哪些內容呢？最上層是安全治理，包含了安全的監控、合規管理、審計管理、IT資產服務管理等內容，這是一個長期持續性的工作目標，依賴于三大支柱技術體系的支撐作用。最當中一個是最核心的，就是信息安全，數據內容、數據安全、操作的安全，還涉及數據傳輸的保護、內容安全、泄露防護等技術手段，這是整個規劃有關工作目標的核心的重點。

基礎架構安全是整個設計核心的基礎，包括在整個IT系統中承載信息和軟硬件系統設備的管理，其次范圍要涵蓋各方面的專業性、結構性和管理性各方面的內容，是我們整個安全建設關鍵和基礎。

三、農商行信息安全的實施的路線圖

農商行階段性實施是以安全治理為方針，信息安全為核心，可管理的IT基礎架構為基礎，分為三個階段。

首先、打基礎，基礎設施的專業性安全建設在推廣，結構性安全的優化提升，包括前期現在數據中心從原有的數據中心建了自己新的數據中心，建立自己的災備中心。

第二、主要初步實現對安全風險集中的管控和分析。

第三、數據和內容安全建設為重點，完善和提升基礎設施的可管理性、安全建設。

第四、以合規管理為重點，加大對信息安全風險全面的把控，完善基礎設施全面的自動化、標準化的流程。

農商行體現安全建設的現狀，我們安全管理建設起步相對有點早，大概05年、06年啟動的，有一定的基礎。我們特地參加了安全等級保護的第一家試點的銀行，對人員安全的管理制度，包括流程化管理、安全技術產品等等一些日常的維護工作流程基本上能滿足等級保護的要求。

在技術上，也采用一些比較全面的，多種技術，提供穩定、安全的防護作用。已經建設了在IT架構基礎的安全上，對服務器安全和網絡安全做的基礎工作相對比較多，在信息安全這一塊，數字權限管理等做了一定的工作。在安全治理方面以前設立的比較少，因此下一階段要提升的主要是安全技術架構這一塊，有關終端的安全等有待于進一步的提升。在信息安全方面，有關內容審計、數據加密等在今后第二、第三階段將要完成這項工作。在安全治理方面，安全的監控，集中化監控，審計的管理，IT資產的服務等等，我們也將完善。

四、農商行信息安全不足以及目標

首先，缺乏信息安全的專門主管隊伍和相應的組織隊伍。區域銀行整個信息管理部門人數并不多，在這一塊不一定各家銀行都很重視，所以相關專業的主管部門并不一定存在，這個并不符合監管部門的要求，監管部門專門提到，一定要有專門的管理隊伍，這一塊對我們來說也是一個困難和挑戰。

其次，這造成整個安全工作分散在若干部門，安全這一塊每個部門都管，造成一個現象，其實大家都管，其實大家都不管。就是大家都有責任，最后都沒有責任。信息安全依賴于各個部門的自覺性，沒有總體的規劃性。這是我們為什么做信息安全規劃的原因，我相信這個問題在其他的銀行應該也是存在的。

第三，安全規劃的整體性相對比較弱。因為大家多沒有相關的經驗，剛開始做，經驗還是比較薄弱，但是有一點我覺得，至少我們做得越晚，我們應該站在巨人的肩膀上，因此我們會做得更加完善，更加完備，做得更加好，有可能我們的安全治理會做得比別人發展得更快，我相信這一點應該能做得到。特別現在銀行業差異化發展的過程中，

信息化發展應該也是差異化，有可能部分方面我們會做得更好。這是我覺得區域性銀行后發有可能先進的可能性是存在的，所以我在想整個信息安全的規劃做好的情況下，在今后的發展過程中，區域銀行完全可以說我們的信息安全這一塊做得不亞于其他銀行，有可能我們的服務產品、服務內容、服務的東西會比他們少，但是我們安全可靠性這一塊會走在前面。

最后，整個信息安全技術建設需要以全面的安全治理和信息核心的建設目標為目的，不能偏離核心和目標。

基于上面的安全現狀和下一步的發展，分三個階段來工作的計劃。一個管理目標，還有技術的內容和制度流程，從三個層面談三個階段的重點。

第一，在管理目標上主要以防入侵為重點，實現終端四大安全防控目標，加強對互聯網訪問管理。這還是資金推動的問題，一個是各個行對安全管理的意識不足，第二還是資金推動的問題。目的是提升整個系統和數據的恢復能力，在技術內容方面要采用一些終端防護，還有一些數據恢復等等。在制度流程這一塊，制定完善一些終端方面的防護策略和規范，互聯網接入及安全的防護規范，以及系統運行維護操作規范。因為在這一塊，為什么說是第一階段工作的重點？互聯網的應用近十年如火如荼，現在已經到了移動時代，現在到了IPAD，一路發展下來已經到手機上，手機銀行發展下來，對于區域銀行還落后很多。這一塊怎樣加強對移動終端的安全管控，對我們相關業務的技術支持？在這一點是第一階段我們基礎的工作，這一塊要做好。

第二、從管理目標上主要以防不良訪問、外侵為重點，全面實現互聯網安全訪問工作，嚴防數據的外泄。同時在這個過程中加強對內部用戶的身份管理和資產標準化管理，最終優化系統數據的管理。我們有統一身份管理系統，系統和數據的加固等等。

第三、管理目標，深化數據安全建設，實現合規管理、全面監控為重點的安全治理工作，完善IT服務流程的管理。主要有幾個辦法：敏感數據加密、合規管理技術支持平臺建設以及資產生命周期標準化管理支持平臺建設。相關制度的完善，主要有關技術類安全的規范，管理類的合規檢查等等，這里面可以基于人民銀行發相關的制度規范，還有銀監會發的規范制度。

首先，從管理、技術、維護服務三方來來看方面。一個基礎架構，管理上要制定配套的制度流程不斷優化和完善，這也是一個長期的過程，

在技術方面在IT架構第一年實施了，所以著重于終端的安全、網絡準入、服務器安全、資產標準化、統一身份管理和架構數據等等，從這幾個方面來看，著重還是一種技術的投入，所以這一塊基礎是很重要的，但是基礎的投入更重要，有了這個投入以后才能在后面更強。

在維護服務這一塊，因為前面說了，對于區域性銀行來說技術不夠，那么面臨核心業務，人員安全的問題，肯定是不可避免，怎樣面對呢？因此對我們安全架構來說，從這點來說，基礎上是怎么樣開始實施的，在這里面有所涉及。

第二，信息安全架構，信息安全規劃實施要點，從管理上、技術上、維護與服務上。管理上主要是制度的制定和完善。技術上第二階段做主要涉及數據、郵件安全、網頁，主要互聯網這一塊，應該是第二階段的重點，以及一些數據版權、數據加密等等，在技術方面需要加大投入。第三方面維護服務這一塊，跟第一階段不一樣，主要提升在服務的內容有所區別，服務的方式有點改進。

第三、安全治理規劃實施要點。管理制度和規范相對較少，第三階段主要是制度和管理，制度規范越來越多，這說明管理到了一定的階段，需要更多更細化的管理制度和規范。在技術上主要體現在平臺化的建設，集中化的管理和平臺化建設，包括安全事件的監控，審計的平臺，合規管理的平臺，以及資產生命周期管理平臺等等，主要是集中化和控制。在維護這一塊主要基于整個平臺性的。所以通過三個階段不同時間的治理，使我們逐漸從對信息安全的基本上薄弱不足逐漸強化。(本文根據2010中國金融科技大會陳揚寧發言整理)