北京银行：创新信息系统风险管理思路

当前，银行业面临的网络和信息形势日趋复杂，威胁日益加大，新技术迅速应用带来的潜在风险隐患不容忽视。北京银行顺应时代潮流，积极迎接挑战，在“科技引领”的战略指导下，秉持“稳健经营、内控优先”的风险管理理念，将信息系统安全风险管理纳入到系统建设的全流程中。

　　当前，银行业面临的网络和信息形势日趋复杂，威胁日益加大，新技术迅速应用带来的潜在风险隐患不容忽视。特别是在FinTech时代浪潮中，新业态、新技术的出现一方面加大了信息系统安全风险管理的复杂性，另一方面也促使传统银行业重新审视信息系统安全的重要性，引入新技术和新工具，将金融科技领域中与信息系统安全相关的部分主动融入到当前的银行生态圈内，有效识别、分析和防范信息系统安全风险。

　　在此背景下，北京银行顺应时代潮流，积极迎接挑战，在“科技引领”的战略指导下，秉持“稳健经营、内控优先”的风险管理理念，将信息系统安全风险管理纳入到系统建设的全流程中。作为信息安全的重要部分，软件开发安全直接决定着信息服务的内容是否可被信赖，因此受到越来越多的重视。在“安全可控”大趋势中，软件开发部门通过全面的思想建设、针对性的组织创新、持续的技术改善以及面向长远的安全框架设计，构筑坚固稳定、灵活扩展、覆盖全面的软件开发安全防火墙。

一、意识优先，将软件开发安全提到重要高度

　　进入2017年，国内外信息安全事件层出不穷，大量信息系统受到安全威胁。自3月开始，包括美国政府部门、军方和大型安全公司在内的多个机构发生十余起超过100万条的严重数据泄露事件;5月突发的“WannaCry”勒索蠕虫软件一夜之间席卷全球，肆虐超过150个国家的30万余用户，直接经济损失达80亿美元;据统计，数据窃取数量从2015年的8.22亿飙升至2016年的42亿，而金融机构是其中最主要的受害者，占比24%。鉴于日益紧张的信息系统安全形势，中国政府部门接连出台多部法律法规，今年6月1日开始实施的《网络安全法》更是把信息系统安全提高到国家主权安全层面。在科技金融、创新驱动等特征的新常态下，北京银行力求夯实基础，扎紧风险笼子，以达到“稳中求进”的战略目标。首先是注重理论和政策学习，以学习《网络安全法》为契机，加强全员系统开发安全教育和政策宣贯，为后续的开发安全技术创新、人才培养和流程改善工作营造良好的思想环境。

　　《网络安全法》出台后，北京银行软件开发部组织了多次相关政策的解读和学习讨论，围绕日常的系统建设工作，重点针对软件系统开发中涉及的安全问题深入研讨，总结为“三必须一限制”。

　　1.涉敏数据必须严格管控

　　所有业务系统必须将安全的数据传输和存储方式纳入到整体设计中，敏感数据尤其是客户数据应当以“最小授权”原则暴露给使用者。

　　2.重点系统必须保证健壮

　　对面向公众的和交易、密度较高的系统需要加强规范冗余设计，确保各系统在内外部复杂环境下保持稳定，对面向互联网、移动平台和第三方机构的系统需要加强安全防护机制，确保系统最大程度上防范黑客恶意攻击。

　　3.安全事件必须及时响应

　　尤其针对框架漏洞、基础软件缺陷、算法漏洞等影响范围较广或潜在危害较大的威胁情报，所有系统应当在第一时间确定影响范围，分级分类地设计漏洞解决方案，尽快消除安全威胁。

　　4.建设专业系统限制网络金融犯罪

　　根据《网络安全法》第四十六条要求，在审计、案防、风险管理等环节加强系统建设，有效防范不法分子利用银行业务平台实施各类金融犯罪。

　　在科技金融大背景下，业务创新能力建设和风险防控能力建设紧密交织，自主可控、弹性架构等近年提出的监管概念更加深入人心。北京银行以坚持自主研发、持续系统改进、有序架构优化为工作路线，落实自主可控等监管要求，在大数据平台建设、前置平台升级、国密算法改造等工作中寻求突破，在开源框架、弹性可扩展架构等方面深入研究，以谨慎、可控为原则实施系统改造，利用科技创新丰富业务产品、提升经营效率，促进信息科技与业务发展的深度融合，促进银行业务在信息系统安全基础上稳步转型和持续完善，在安全环境下建设面向市场、服务客户的智慧银行。

二、组织创新，践行安全战略全员参与

　　新常态下，企业级信息系统安全能力建设的核心在于人员能力培养，以及基于个人能力的团队体系建设。大力培养专家型团队，定期组织全体人员参加培训，通过组织创新带动流程创新，实现“以点带面，快速响应，分级处理，全员参与”的目标，进一步优化安全风险管理效率，大幅降低外部风险引入的影响程度。

　　1.制定全员安全战略，建立软件开发安全组织结构

　　为应对日渐严峻的信息系统安全形势，北京银行软件开发部组建安全小组，以加强银行信息系统和网络安全问题的处理能力，提升应对安全事件的处理效率，增强信息科技风险管理能力。安全小组由各关键系统开发团队指派的安全专员组成，职能横跨整个开发单元，主要组织、指导部门全员参与安全培训、技术改进、安全事件响应等工作。

　　2.加强意识和技能培训，落实安全教育

　　除培养专家团队外，加强全体员工的安全意识和思想教育工作，提高专业人员的通用安全技能水平，也能够为企业安全框架顺利实施提供基础动力。部门通过外聘专家培训、企业内训、轮训等各种方式，提升各级领导干部和员工的安全意识，夯实一线员工的安全实操能力。

　　3.建立安全情报响应机制，全员贯彻实施

　　通过组织创新促进流程优化，是推动企业安全框架顺利落实的关键路径。为了快速响应安全事件，提升信息科技风险防范能力，减少安全事件的负面影响，北京银行软件开发部通过安全小组，发布了《安全事件应急处理办法》，通过工作汇报和应急处置两个工作维度，历经初始响应、团队组建、影响评估、应急处置四个阶段，阐述安全事件应急处置的工作流程和人员职责，指导全员如何应对突发安全事件，保障信息系统稳定运行。

三、技术导向，建立开发安全框架模型

　　对软件开发安全风险进行有效管理，关键在于应用新技术、制定新标准，对现有系统进行评估和改造，使之达到愈加全面、严苛的安全要求。在技术环境上，金融科技的发展为技术创新和应用带来了新的活力，也给银行系统安全技术改进工作创造了良好的机会。以技术为导向，北京银行在思想建设、组织创新的基础上，针对性地提出了“三横三纵，整体把控”的开发安全基本框架(如图1所示)，“三横”指安全技术实践路线，将“引技术、定标准、促系统”视为动态的工作循环;“三纵”指安全框架制定原则，将数据安全、平台安全、通道安全纳入到全技术框架体系中，指导以“三横”为代表的技术实施工作顺利完成，最终推动业务在安全的基础平台上不断创新发展。以“智慧渠道、智慧服务、智慧网点”为目标的业务创新工作在全系统开发安全框架中稳步推进，促进数据应用能力、系统开放能力、架构扩展能力的全方位提升，是建立长效、安全、规范框架的价值所在。

　　1.安全实践之一：引进技术

　　近年来，软件开发安全技术发展迅速，新理念和新方案层出不穷，以Gartner公司每年发布的“年度十大安全技术”为例，近三年来发布技术趋势20余项，涵盖从云端安全到终端安全，从大数据、物联网到微服务、DevOps等诸多方面。作为新技术的受众平台和实践对象，银行信息系统和系统开发人员理应以开放的心态，研究、尝试和评估新理念、新技术，使其有效地为银行信息系统安全体系服务。在系统建设过程中，北京银行积极鼓励技术创新、自主研发基于多基稀疏表示的椭圆密码算法用于网银系统国产密码改造，为终端防御和多因素认证提供了多种选择。

　　2.安全实践之二：完善标准

　　作为安全技术有效实施的顶层设计，制定安全标准和技术规范既需要从全系统、全流程提出要求，也应从不同系统的技术特征出发，做到有的放矢、精准实施。北京银行借鉴微软的SDL、OWASP的CLASP等业内权威安全模型，提出了三个层次的安全技术标准。

　　(1)规范和细化技术标准，区分系统、区分渠道、区分开发框架、区分运行位置，多维度设置不同的安全考量指标。如直接面向公众客户提供WEB服务的系统，在页面设计、接入方式、客户端等提出严格的安全控制要求，对于偏中后台的业务数据处理系统，在存储安全、冗余设计、数据防泄漏等方面着重笔墨，严防死守。

　　(2)将安全设计流程标准化，完善系统建设中的安全环节，严格遵守“设计中有安全评审，编码中有安全规范，测试中有安全案例，构建时有安全加固，集成前有安全扫描，发布前有漏洞报告”的全流程规范。

　　(3)构建能够积极应对外部变化，又能够保证适当灵活性的系统安全管理框架，可随时增加新特性属性。例如建立对开源产品、开源框架的安全考核标准，引入威胁情报响应机制等。通过层次化、全局化的安全标准制定工作准则，促进先进技术理念能够平稳落地，为系统持续改进创造基础条件。

　　3.安全实践之三：持续改进

　　银行系统既是维护金融服务稳定运行和银行业务创新发展的媒介，同时也是结构复杂、目标明显、保护能力弱、开放程度高、数据流量大的网络节点，极易成为安全漏洞的高发地，甚至成为黑客组织有意打击的对象。因重要系统的关键性和易受攻击性，北京银行将一些重要系统列入系统安全热点区域，稳步、持续、有针对性的技术改造，并及时评估新技术在安全改造方案中的实用价值。

　　技术框架往往决定着信息系统安全框架的短板所在，而业务逻辑也与技术实现有着强关联性，因此统一考虑整体安全性，必须平衡3种关系。

　　(1)业务安全和技术安全的动态平衡。在设计业务逻辑时需要通过技术手段进行强逻辑校验，保证随机外部输入情况下的系统鲁棒性，另一方面，也需要控制业务逻辑在安全技术框架内实现，把可能引发技术安全威胁的流程在设计阶段就规避掉。

　　(2)功能和性能之间的动态平衡。一些安全技术的引进，如高强度的密码算法、安全控件等，有可能增加系统运行额外开销，因此合理应用安全技术，使得系统运行达到安全和稳定的统一。以国密算法应用为例，在内部网络进行高频数据交换，性能要求高于安全性要求，简单的SM4算法更加适用;在通过互联网与第三方系统进行高敏感数据交换时，使用长密钥的SM2配合SM3做数字摘要将更加安全。

　　(3)安全技术和用户体验的动态平衡。终端安全技术在前端系统中广泛应用，随之而来的也有对增加用户操作复杂度的担心，安装安全控件、启动安全沙箱等操作造成易用性下降，降低客户感受的情况普遍存在，因此在引入直接与客户操作相关的安全技术时，要通过自动部署、一键安装、单点登录、后台扫描等技术手段，使引入安全技术对客户带来的影响降到最低。

　　4.安全原则之一：挖掘数据价值的同时确保数据安全

　　数据既是银行发展的战略资源，也是容易外泄的风险目标。北京银行在挖掘数据价值的同时，也极其注重对数据的保护，甚至利用数据分析工具，发现和降低系统运行时的潜在安全风险。在开发环境上，严格执行数据管理流程，使用专门人员、专门流程和专门系统处理数据脱敏，切实降低数据泄露的可能性;在运行环境中，依托各类数据处理平台。实时收集、分析业务统计信息和系统运行数据，在操作风险防范、案件防控等专业领域展开数据应用建设，将银行系统被非法利用的可能性降低到最小。

　　5.安全原则之二：扩展系统开放性的同时确保通道安全

　　银行业务在以金融科技为特征的新常态下获取更大的发展空间，势必将扩大业务的开放性，甚至直接与科技金融企业对接，共享蓝海市场价值。在这种趋势下，确保服务开放性和通道安全性将同等重要，需要不断完善安全标准，保证数据传输和存储安全，确保服务的连续性、一致性。对于高危的互联网业务，构造必要的安全沙箱环境，同时对操作可追溯、数据可互信、业务可隔离等标准提出更高的要求。

　　6.安全原则之三：升级技术框架的同时确保技术安全

　　随着信息技术发展，银行对架构的可选择性也越来越多，包括弹性可控与微服务、持续集成与容器等。技术创新引发了银行架构升级的新一轮热潮，各个领域的技术变革为业务创新提供了多种工具。在“乱花渐欲迷人眼”的大格局中，更应该将软件开发安全作为架构改进的首要考量目标。在产品、工具、框架甚至语言的技术选型中，把内在安全型、社区成熟度、安全可扩展等指标列入评分占比较高的选项，做好完备的选型调研，从根本上杜绝把存在漏洞的基础框架引入到银行系统中。

        北京银行着眼于开发安全，在“三横三纵”的基础安全框架指导下，结合数据安全、服务安全和架构安全，形成了卓有成效的安全实施方法论。在科技金融大背景下，各银行应从实际系统建设情况和自身安全需求出发，持续改进，建立一套长效的安全规范框架体系。以人员、系统、流程、标准为内生变量，以安全事件为外部输入，以威胁最小化为最终目标，构造坚固稳定、灵活扩展、全面覆盖、纵深防御的安全开发防火墙。

（文章来源：《中国金融电脑》杂志）

扫码即可手机
阅读转发此文