• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    自主可控信息安全技术在地方性银行业金融机构的应用研究——以辽宁省为例

    陈永富 马腾 来源:中国电子银行网 2019-08-23 10:51:03 信息安全 2019《报告行长大人》征文第三季
    陈永富 马腾     来源:中国电子银行网     2019-08-23 10:51:03

    核心提示网络安全和信息化建设工作已上升到国家战略高度。

    2019年7月-10月,由中国电子银行网(微信公众号:cfca-cebnet)主办,《银行家》杂志、今日头条联合主办的“报告行长大人”银行与金融科技行业创新实践文字竞演第三季——“元年与接续 梦想与现实”活动正在火热进行中,以下为热心网友投递过来的稿件。

    作者单位:中国人民银行朝阳市中心支行

    一、 研究背景

    近年来,中国人民银行和银行业监督管理委员会日益重视银行业信息科技风险管理工作,要求商业银行加强信息科技风险管理,实现对信息系统的“安全、可控”,并提出银行业要围绕“自主可控、持续发展、科技创新”三大战略加强信息科技建设,合理构建信息系统,切实提高金融信息安全自主可控水平。

    (一)信息安全已上升为国家战略

    党中央对网络信息安全高度重视,2014年2月中央网络安全和信息化领导小组正式成立,习近平总书记任组长。习近平总书记在领导小组第一次会议上强调,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,没有网络安全就没有国家安全,没有信息化就没有现代化。” 由此可见,网络安全和信息化建设工作已上升到国家战略高度。

    (二)银行业网络信息安全的重要性

    信息系统建设已经成为实现我国现代化建设的重要组成部分之一,信息系统已进入我国各行各业,尤其在银行业当中发挥着重要的作用。随着银行规模逐步扩大、业务逐渐多元化,银行业对网络信息系统的依赖程度日益提高,银行业信息技术系统的安全将更加直接地关系到整个银行业的安全和金融体系的稳定。同时,商业银行信息安全在与其他行业具有无法比拟的特殊性,作为国家经济脉络的核心枢纽,其主要特性是“关系到广大人民群众的切身利益”。银行业网络信息系统存在漏洞,信息安全技术存在缺陷,将直接影响人们的日常工作和生活,甚至会威胁到我国社会的稳定。

    二、 银行业网络信息安全现状

    近年来,随着计算机技术和网络技术的快速发展,银行业务逐步开展到人民的衣食住行之中,一方面为人们日常生活提供快捷便利服务,另一方面也浮现出种种安全隐患。

    (一)信息安全技术在银行业的应用

    计算机网络安全技术是指用于解决介质控制、保证数据传输安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。

    现阶段国内银行业采用的主要网络安全技术有虚拟网技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、技术身份鉴别等。这些技术分别从网络交换、访问控制、外来威胁防护和系统内部审计等方面进行安全防护,在一定程度上保证银行的系统安全。

    (二)银行业面临的网络信息系统安全风险

    随着科学技术越来越多的应用于银行业机构,银行业面临的信息技术安全风险也在日益增加。银行业面临的网络信息系统安全风险是指通过软、硬件缺陷或漏洞,采用不合法的手段进行窃取、篡改、破坏银行机构系统中信息,造成银行机构和人民群众的利益受到损害的威胁。

    目前在我国银行业信息系统和网络中,虽然防病毒、网络设备、安全设施国产化比重有所增加,但核心软硬件设施还是以国外为主,大多来自于Cisco、IBM、微软等国际IT巨头。这种依赖导致我们的自主控制能力不足,核心关键领域还是依赖于国外厂家的产品和服务,用户缺乏判断设备是否存在“后门”、“软件陷阱”、“软件炸弹”等安全隐患的能力。

    按照我国的银行业信息安全标准,商业银行核心业务系统、网上业务产品要达到三级以上的安全标准,但是大多数国有商业银行尤其是地方性中小银行的安全状况均未达标。主要表现在:自主开发、应用的业务系统存在安全措施不到位、抵御攻击能力弱、事件应急响应滞后、数据保护不力等。直接给银行业网络信息系统的带来信息安全隐患。

    三、 自主可控信息安全技术在地方性银行业机构的应用现状

    以辽宁省为例,辖内12个地方性商业银行(沈阳、大连除外)软硬件设备情况,可以分析得出省内地方性商业银行存在的网络信息系统安全问题。

    (一)网络设备情况

    辽宁省各地市地方性商业银行核心网络设备国产化统计结果如图3-1、3-2所示:

    图3-1

    图3-2

    辽宁省地方性商业银行网络设备国产率约70%,主要集中在H3C、华为、锐捷等品牌,均采用我国自主研发技术,在自主可控方面拥有较高可信度。与之相比,国外品牌的路由器占全部统计的33%,核心交换机国外品牌占比31%,网络核心设备使用率未达100%。国外品牌路由器设备如果存在后门或者漏洞,将对银行业造成致命的打击。入侵者利用路由器的后门或漏洞,将路由器作为整个银行内部网络和系统的扫描侦查平台,通过截取路由器传送的数据给入侵者,造成银行内部数据的泄漏;通过交换机漏洞和后门将未授权的计算机接入局域网内部,使银行内部网络处于安全隐患之中,有可能对整个网络造成巨大威胁,甚至影响银行业务的正常运行。

    (二)服务器设备使用情况

    服务器作为现代银行业务开展的核心与基础,其安全性越发受到人们的重视,辽宁省地方性商业银行业务服务器国产化情况统计如图3-3、3-4所示:

    图3-3

    图3-4

    国产服务器与国外品牌服务器使用率相差不多,但是考虑到其银行规模因素,国产服务器主要集中在规模较小的地方性商业银行,其业务规模、分支行数量、用户数量均较少,国产低性能服务器可以满足其业务需求;与之相对,业务规模相对较大、用户数量较多的地方性商业银行采用以国外品牌服务器为主。造成上述现象的主要原因为早期国产服务器技术不成熟,软硬件不能很好地兼容银行业务,因此以国外品牌服务器为主。

    (三)数据库使用情况

    数据库作为银行业务根本,管理着银行用户的基本信息和财产安全,辽宁省地方性商业银行业务数据库统计信息如图3-5所示:

    图3-5

    国外品牌数据库在我国银行业中占据主导地位,造成上述问题的主要有三个原因:一是品牌效应,国外数据库产品已经到了产品美誉度的程度,而国产产品用户了解、应用较少;二是产品的技术水平和成熟度与国外产品有差距,尤其是在高端技术层面,国产数据库不能应用于银行等需要高可靠性等产业。三是产业环境方面,目前国内的产业环境还没有很好的构建起来,而国外厂商大部分走的是ALL IN ONE 或整体解决方案的发展道路,一次性满足银行业对于数据库的需求。

    (四)安全防护方面情况

    在银行内部网路、服务器安全防护方面主要采用防火墙、入侵检测、病毒防护三位一体的防护方式。辽宁省地方性商业银行安全防护调查统计情况如下:

    如上表所示,辽宁省地方性商业银行入侵检测系统全部采用包含了自主知识产权技术的国产设备,在入侵检测层面实现自主可控;国产病毒防护系统使用率达到58%,其中趋势科技采用自主研发的云技术方式进行病毒扫描,增加了病毒查杀的准确性,卡巴斯基作为国外杀毒软件的标志品牌,依旧占据我国金融行业较高的市场份额;防火墙作为区分内部网络与互联网的核心设备,其国产产品占有率约70%,且品牌种类具有多样性特点,通过自主制定网络规则,实现国产设备的自主可控。

    (五)业务服务器操作系统使用情况

    在业务服务器上部署的操作系统均为国外开发,主要集中在LINUX系列、UNIX系列、Windows Server系列,不同类型系统具有不同的特点。Windows Server系列具有操作直观,易于使用,功能实用,安全性能比较好,可用于小型业务服务器上;UNIX系列支持大型文件系统与数据库,传承了UNIX一贯的高能级系统安全性、稳定性,对于系统应用软件的支持比较完善,充分地满足银行业机构的业务需求;LINUX系列源代码的开放,使得该类服务器操作系统的技术完善,国产操作系统绝大多数都由LINUX二次开发而来,因而其所具有的兼容、安全、稳定的Linux特性。

    在操作系统方面,我国还不能与国外想比较,国产操作系统稳定性相对于国外系统要差,不适用于银行业机构的使用,容易造成系统宕机,影响正常业务的开展。

    四、 自主可控信息技术在地方性银行业机构应用中存在的问题

    通过对辽宁省地方性商业银行的调查,详细介绍了省内地方性商业银行信息安全软硬件使用情况。其中,国外产品依旧占据着主导地位,缺少自主知识产权,缺乏对软硬件核心系统的控制权,在面对大规模境外网络入侵时,以地方性商业银行为代表的中小型银行信息系统安全依然存在较高的信息安全隐患。

    (一)软硬件设备国产化程度不高

    作为信息化程度较高的银行业,其软硬件国产化要加快步伐。2014年9月,银监会印发《关于应用自主可控信息安全技术加强银行业网络安全和信息化建设的指导意见》,提出到2019年,自主可控信息安全技术在银行业总体达到75%左右使用率的总体目标,这对中小型城市银行是一个挑战。要求银行业金融机构应将提升网络安全保障能力和信息化建设能力纳入战略目标,将自主可控信息安全技术应用纳入战略规划,提高国产化水平。

    (二)相关安全可控技术指标缺失

    地方性商业银行没有制定自己的安全可控技术指标,缺乏构建未来银行业信息安全发展体系架构的目标。安全可控指标的缺失使银行业从组织领导、工作规划、财务预算、制度流程、架构规划等方面拖延了自主可控战略的推进,在一定程度上影响了自主可控技术在地方性商业银行的实施。

    (三)缺少业务系统国产化的探索

    地方性商业银行在业务信息系统应用方面缺乏积极地探索。针对国产化推进,新技术的应用、新方法的提出都是打破现有信息系统体系国外科技壁垒的重要突途径。在规划、开发、实施、上线及下线各个环节增加新技术手段,积极探索,在推动信息系统国产化方面起到关键作用。

    五、 相关建议

    (一)提升信息科技治理水平,提高驾驭全局的战略思维能力

    首先,地方性银行业金融机构董事会、高管层应高度重视信息科技治理工作,优化董事会成员专业结构,以机构应用自主可控信息安全技术推进领导小组为抓手,督促、推动牵头部门和专题小组完成其既定工作职责,在推进自主信息安全可控技术工作中持续提升信息科技治理水平。其次,董事会、高管层应从战略、管理、技术等各方面提高驾驭全局的思维能力, 在遵循科技活动内在规律的前提下,将自主可控信息安全技术推进工作融入本机构信息科技战略规划当中,增强顶层设计的指导性、实用性,确保自主可控信息安全技术落地生根,保障银行业系统安全稳定运行。

    (二)建立推进技术长效机制,完善科学管理体系及制度规范

    银行业金融机构应以推进自主可控信息安全技术为契机,建立信息科技战略规划、总体规划、年度计划与日常工作的联动机制,完善推进应用自主可控信息安全技术的组织体系、制度规范、技术手段和管理措施,平衡银行信息化建设中的安全与发展的矛盾,加大复合型人才的培养力度,加强业务人员和科技人员的交流,强化业务条线与科技条线的互动与融合,形成顺畅的沟通和协作机制,建立多层次、立体化的信息科技管理体系,提升信息科技工作的内在发展质量。

    (三)强化自主知识产权意识,正确处理好安全与发展的关系

    首先,银行业金融机构应深刻理解自主知识产权对推进应用自主可控信息安全技术的关键作用,切实强化自主知识产权管理,积极注册登记软件著作权,持续提升专利拥有数量,真正做到依法拥有、独立支配并能不受他人制约地进行集成创新和引进消化吸收再创新。其次,银行业金融机构应以市场为导向,以开放、共赢为合作原则,以安全保障发展为最终目标,积极运用新技术支撑、引领银行业务发展,切实在发展中自主掌握核心知识和关键技术。

    (四)构建应用自主可控系统,创造安全技术的良好生态环境

    首先,银行业金融机构应在着力提升科学运维水平的同时,积极推进实施基础软硬件国产化和持续提升核心技术自主研发能力,大力推广使用能够满足银行业信息安全需求且技术风险、外包风险和供应链风险可控的信息技术。其次,在人民银行和银监会统筹规划的基础上,银行业金融机构应加强与国内厂商的协同合作,共同构建银行业信息技术自主可控的生态链,营造自主可控信息安全技术研发、发展和应用的良好生态环境。

    综上所述,伴随着银行业务的不断发展与完善,地方性商业银行在新时期已成为经济持续发展、实现国民经济信息化的重要组成部分。地方性商业银行业信息系统的安全性,是银行业发展过程中必须着眼的课题。面对种种挑战,我们应不断加强银行业自主可控信息安全技术和产品的研发力度,并通过加强防范与监管,切实解决地方性银行业信息系统的安全和可靠问题。


    责任编辑:王超

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    收藏成功

    确定