中国建设银行股份有限公司信息技术管理部副总经理 王燕

中国建设银行股份有限公司（以下简称“建行”）一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行”的要求，加大信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提升，有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响，有力地保障了建行业务稳健发展和创新。

一、“十一五”期间建行信息安全建设成绩

2005年， 建行实现了全行数据大集中，有力地支持建行重组上市、促进业务快速增长和业务创新，与此同时，信息系统自身风险和内外部攻击的风险也不断积聚，信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”，系统化进行信息安全建设已迫在眉睫。为此，“十一五”期间，建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面，全面推进全行信息安全体系建设。

1 .高层推动，建立健全全行信息安全管理组织体系

遵循监管部门信息科技管理要求，结合行内组织职能划分，建行构建了全面的信息安全管理组织，形成了“ 三个层面， 三条防线”安全管理体系。三个层面是指，董事会负责制定全行信息安全管理战略、负责定期听取全行信息安全管理情况报告；高管层负责明确内部信息安全管理职责，负责重大信息安全管理决策；总行各业务部门和各级分行作为信息安全执行层，负责具体落实全行信息安全战略和决策。三条防线是指，执行层面中信息科技管理部门及相关业务部门是信息安全的第一道防线，信息科技管理部门负责制定信息安全管理制度、开发部署信息技术保障体系、提供信息安全管理咨询服务等，部内设安全管理处，承担日常信息安全管理工作；风险管理部门是信息安全管理的第二道防线，负责监管要求的传递和业务连续性管理工作，内设操作风险管理处和业务连续管理处，从事业务操作风险管理相关工作；审计部是安全管理的第三道防线，负责全行安全管理情况监督评价，内设IT审计处负责全行IT审计工作。

安全管理人员配置上， 全行9 2 人具有信息安全专业证书（CISP），94人具有国际IT审计证书（CISA）。

2 .明确信息安全管理目标和策略，完善信息安全制度体系

“方向明晰是成功的基础”，建行十分注重整体信息安全管理策略建设。遵循监管要求，结合自身实际，建行确立了全行信息安全管理目标:一是有效保护信息及信息处理环境， 支持业务持续运营； 二是提高应对新型信息安全威胁的能力， 支持业务创新；三是保护客户信息和资金安全，维护建行声誉； 四是提高合规管理能力， 满足监管要求。制定了“全面管理、预防为主、分级保理原则， 确定了信息资产的等级划分策略， 明确了对不同等级信息资产的信息安全管理偏好， 为信息安全管理指明了方向。

在信息安全管理策略的指引下，建行结合信息科技检查以及内外部审计意见，组织完善信息安全制度框架体系，按照“全面防范，重点突出”的原则，先后制定发布了一系列涉及物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。具体内容包括：按照银监会《商业银行信息科技风险管理指引》，组织制定了配套的信息安全和业务连续性管理的政策、管理办法、操作规范和指南，构建了全行信息安全管理整体框架，明确了信息安全管理对象、管理角色及各对象全生命周期的安全管理要求，规范运维中的安全管理行为； 统一全行安全评估的尺度和方法； 明确应急管理要求，实行信息系统责任事故的责任认定，在员工行为准则中明确了违反信息科技管理原则的处罚办法。

通过上述工作，初步建立了以政策、制度、标准为导向的信息安全管理体系，建立了涵盖开发、运维、合规、治理全方位的信息安全管理制度体系。

3 .以国家等级安全保护要求为指导，构建等级化信息科技安全技术保障体系

全面落实国家信息系统安全等级保护要求，根据国家信息安全等级划分标准，制定信息系统安全技术基线， 明确了不同安全等级信息系统安全保护要求，编写了信息系统安全技术选用指南，明确了实现信息系统安全要求的技术实现方法，编写了信息系统安全产品选用指南，明确了信息技术所需安全产品的选用原则， 从而建立了从需求、安全设计到安全实现的整体安全建设流程。

构建了信息系统安全技术架构，明确了信息系统共有安全技术基础平台的建设原则，明确了信息系统建设中使用基础平台的策略，为安全技术整合、优化提供了方向，为全行信息系统安全技术应用提供了指导原则。目前，已采用共性任务集中建设的策略构建全行性安全基础平台。统一开发了用户认证授权管理平台，面向全行网络、系统和应用提供统一身份认证和权限控制服务；统一开发了加密安全管理平台，为各应用系统提供加密服务；全行引进部署了数据安全传递和安全销毁工具，为全行重要生产数据提供覆盖全生命周期的统一安全策略、数据访问控制和数据防泄露等服务；在应用系统运维管理护、合规审慎” 的信息安全管方面，建设运维安全管理平台、日志管理与安全事件监控系统，提供统一的运维操作授权、监控和审计等服务。

遵循等级化安全技术架构，建行采用纵深防御的策略构建信息运维安全保障体系，与电信、公安等部门建立协防机制， 借助国家力量防范恶性及大规模攻击行为；统一规划互联网、外联网安全防护标准，部署防护墙、入侵检查系统、信息过滤系统、行为检测系统，防范边界风险隐患；加强网上银行安全威胁发展趋势的跟踪、分析和研究，推动新技术新产品在网上银行等互联网系统中的应用，加强安全渗透测试和假冒建行网站的检测。合理划分内部网络区域，有效隔离生产网、办公网和测试网；统一部署构建桌面安全防护体系，为全行计算机终端提供统一的病毒防范和漏洞补丁管理等服务。推进作业调度系统，改变通过手工或系统命令调度的方式，建设自动化运维管理平台，实现日常IT运维中重复性工作“自动化、集约化、规范化”，避免人为操作带来的安全隐患，建立运维监控系统，实现系统设备全方面动态监控。

采用全生命周期管理策略构建软件安全开发体系，建立软件安全需求识别模型和需求审核机制，把好软件安全需求审核关；制定软件安全编码指南，引入软件代码安全扫描工具，把好软件研制关；引入Web应用系统等渗透测试工具，建立软件安全测试流程和渗透扫描机制，把好软件上线管理关。通过上述安全措施，建行初步建立了涵盖软件开发安全、运维安全的技术保障体系。

4 .借鉴国际标准，完善信息系统安全开发和运维管理流程

在信息系统开发管理方面，对项目开发管理的可行性研究、需求分析、立项评审、编码安全、测试、投产上线等全过程进行了规范管理。在项目立项环节，加强方案的架构审核和安全评审，严格执行信息安全技术架构原则；在软件开发环节，大力推广使用代码检测技术和漏洞测试工具，提高软件编码质量，防范软件开发过程中存在的风险和漏洞。在测试管理上，成立了测试团队，负责跨系统的连接测试、集成的功能和性能测试以及上线版本检验测试，并对网上银行等重点系统开展安全渗透性测试。在投产上线前，强化上线集中审核制度，加强上线前的审核和控制，防范上线过程中和上线后出现的系统运行风险。

全面深入开展运行精细化管理，加强系统运维计划管理。推广ITIL管理流程，对系统运维工作进行全面梳理，明确主要问题和薄弱环节， 部署系统运维计划管理系统，加强变更操作过程控制，完善变更审核流程等措施，控制变更操作风险；制定系统数据备份策略，建立备份数据验证环境，提高数据安全保障能力；细化系统运行事件分类，建立事件处理知识库，提高运行事件响应处理能力；优化岗位设置，细化岗位职责、报告路线、任职资格和绩效考核指标，不断提高运维人员的工作责任心。

5.持续开展信息安全管理文化建设，提高员工安全意识和安全技能

人是信息安全管理中最重要的因素，建行始终坚持员工合规管理和安全培训两手抓。加强合规管理，以流程管理引导员工做正确的事，以严格制度促使员工规避风险。加强信息安全知识培训，培训开发人员安全编码能力，提高软件安全质量；编印员工信息安全知识手册、信息安全实务手册及相关课件， 开展全行信息安全知识竞赛， 传递信息安全基础知识和基础技能， 提高员工安全应用信息系统的能力； 加强银监会风险提示宣传和内部风险警示教育， 以典型事件教育、提升全员信息安全意识， 以常规化的培训教育， 促进信息安全管理文化的建设， 营造“ 人人参与， 全员共进” 的良好信息安全管理氛围，保障建行信息系统的安全运营。

二、全面提升IT内控水平

系统复杂性、过度依赖外包及制度执行力不足是影响IT内控能力的关键因素，建行从加强架构管控和系统整合、加强自主运维和自主开发、加强信息科技检查等方面控制上述不利因素，全面提升IT内控能力。

1．加强架构管控和系统整合

建行从全行发展战略的高度，依据IT规划、架构标准以及现有的资源和能力，不断强化企业级架构的管控， 规划、设计了企业级应用架构、数据架构、技术架构和安全架构。积极协调相关部门共同推动需求整合， 在企业架构指导下进行具体系统的实施， 并通过架构管控落实信息安全政策、标准和技术实现。

2．加强IT队伍建设，提高自主开发和运维能力

加强全行信息技术条线人员流动，从各中心选拔经验丰富的优秀人才充实管理队伍，新进员工补充到开发一线，形成合理的开发和管理梯队； 适度调度分行开发人员参与总行项目的开发工作，优化全行信息技术资源配备。参照国际一开展IT自主开发、自主运维能力评价和考核， 引导鼓励员工自主开发、自主运维，确保信息系统核心能力、安全生产运行等关键环节掌握在本行技术人员手中。

3．定期开展信息科技检查

为促进IT制度落实，规范IT合规的检查管理， 组织制定印发了《中国建设银行信息科技工作检查管理办法》和《中国建设银行一级分行信息科技工作检查标准》，明确了全行信息科技检查范围、检查对象、检查频率及检查标准，并由总行信息技术管理部领导亲自带队开展现场检查，指导整改，将检查发现问题和经验交流结果通报全行，促进了信息科技各项制度的落实，有效防范了操作风险。

三、打造安全的基础环境，持续引入IT风险管控新技术

造成系统风险和业务风险的主要因素是信息系统基础环境隐患和信息系统自身稳定性不足。控制系统风险和业务风险需要打造安全的IT基础环境、需要提高信息系统自身的安全能力、需要持续引入IT风险管控工具和信息安全管控技术。

1．大力改善基础设施

近年来，建行持续推进灾备中心建设，组织制定了IT服务连续性建设近、中、远期目标，明确了生产与灾备中心布局策略及总、分行流和国内最佳做法，建立IT自主开发、自主运维能力模型，量化IT自主开发、自主运维评价指标，组织信息系统灾备建设策略，确定信息系统灾备分级及恢复策略，完成了IT系统灾备总体方案，明确了灾备体系实施路径。

目前，总行符合国家最新A类机房标准的机房已投入运行，改善了数据中心运行环境；投入大量资金用于分行机房改造、设备更新，消除了机房容量不足、设备老化、电力保障薄弱、缺乏双回路等隐患，改善了全行IT运行环境。

2．开展重要信息系统风险排查和整改优化

落实银监会发布的风险警示，吸取业界信息安全事件经验教训，对信息服务的关键系统进行了全面梳理，组织系统失效点排查、系统高可用性设计分析、服务接口安全风险分析， 评析系统故障发生后的业务影响， 制定系统优化改进方案， 组织系统优化， 增强系统可用性。

2011年，建行将进一步加大信息安全技术应用。一是继续推广统一认证授权系统，加强全行用户身份管理、认证管理和权限管理，在确保提高身份认证强度的同时，方便用户使用；二是推广网络接入准入系统，统一桌面安全配置、统一桌面安全软件，实施桌面标准化管控；三是推广实施数据安全管理系统和数据安全管理工具，加强对客户信息等敏感信息的安全防护，防范信息泄露；四是建立安全漏洞管理体系和恶意攻击行为识别模型，及时修补漏洞，识别和应对攻击，增强电子渠道交易环节的事前和事中防范能力，全面推进系统风险和业务风险防范。

四、新形势下银行业面临的信息安全问题和应对策略

1．银行业面临的信息安全挑战

银行与经济发展密切相关，银行信息系统建设也始终围绕更好地为客户经济活动提供金融服务展开。在企业走出去，客户全球化，交易电子化，服务随时随地化的大背景下，银行业将面对如何在更开放的环境中提供安全金融服务的挑战；信息技术的迅猛发展，打破了原有的业界信息安全基准，公认的验证完整性的MD5算法已被我国科学家王小云证明存在隐患，云计算的兴起，提供了充足的计算资源，使得暴力破解密码更为轻松，网上唾手可得的攻击工具以及有组织的金融犯罪等均对银行信息安全防护提出严峻挑战；同时，面对错综复杂的金融环境，合理平衡安全与易用的关系，在保障客户资金交易安全的同时兼顾客户便利也是银行业面对的长期挑战。

单纯的防御已显得力不从心，面对挑战，建行积极跟踪信息技术发展趋势，及时淘汰落后的信息安全技术和产品，更新信息安全技术和安全产品选用策略，完善信息安全技术和安全产品使用指南，提升信息安全防护能力。

一是将安全防线前移，在客户端引入安全扫描等机制， 主动评价客户平台安全状况， 加强客户平台准入管理，增强客户异常行为检查，通过识别客户交易时段、地点、交易频率及额度等信息，提前预警防范风险； 加强纵深防御， 在防线前移的同时， 增加后台安全管理手段， 建立业务安全监控机制， 及时识别危险账户和客户异常行为， 实现技术防范与业务交易安全监控联动， 更有针对性地防范风险。

二是全面贯彻等级化保护思想，根据信息系统承载的价值、一旦失效对客户和社会的影响进行信息系统等级划分，针对不同等级的信息系统采取相应的安全等级保护。同时，应用等级化保护策略，对客户账户类型和客户风险承受能力进行安全等级划分，区别设置验证策略和监控防控手段， 更人性化、更安全地提供金融服务。

2.商业银行面临的安全问题

（1）银行信息安全多头管理

目前，银行业信息安全管理由行政管理层面和银行监管层面实行双重管理。行政管理层面包括国资委、公安部、安全部、工业与信息化部、国家保密局、商用密码管理办公室等，行业监管层面包括人民银行、银监会、证监会、保监会等。多部门参与管理和监管致使银行信息安全管理缺乏整体协调，涉及信息安全的法规繁多，但出台的角度和管理的尺度不一，不利于遵循和执行；涉及信息安全的标准内容庞杂，但缺乏系统性，指导性不强。此外，由于多头管理，还造成对银行信息系统的管理要求与其他行业雷同，缺乏针对性，对银行信息系统实施重点管控的要求不能得到有效体现。

（2）核心软硬件技术基本依赖国外

目前，我国银行信息系统核心主机、骨干网络设备、大型存储系统主要是美国等发达国家IT巨头公司的产品，中后台业务主机上运行的操作系统、数据库等系统软件也基本上是国外产品一统天下；金融核心综合业务系统多为合作开发，合作的外方多有技术保留倾向，我方人员尚不能完全掌握核心技术，硬件、软件后续升级维护严重依赖国外厂商， 既不利于系统安全运行，也影响业务自主创新。

（3）数据中心防护能力不足

目前我国银行业数据中心和灾备中心选址布局基本符合相关技术规范要求，但是从国家宏观战略角度来看，大型银行的数据中心和备份中心集中部署在北京、上海等少数大城市，致使风险也相对集中，一旦风险发生，可能危及国家经济和社会的整体安全。

另外，银行业数据中心和灾备中心的安全保卫基本还停留在雇用“经警保安”维持秩序的水平，不仅无力应对恐怖性质的攻击和破坏，即使群体性冲击事件都难以防范。2009年7月新疆乌鲁木齐骚乱期间， 受到冲击的金融机构仅靠员工手持棍棒防卫设备机房和营业设施。目前， 我国银行业的安保状况与被保卫目标的极端重要性极不相称。

3.银行业的应对策略

（1）统一监管银行业信息系统安全

建议银行业监管部门统筹规划，整合现有多部门、多头监管银行机构信息系统安全的职责，发布基础性信息系统安全管理方针政策，制定关键信息安全技术研究引导政策，明确银行信息系统灾备中心建设策略。组建具有权威性的信息安全技术研究队伍和信息系统安全测评队伍，承担重大信息安全技术攻关课题，定期对银行的信息系统开展信息安全风险评估。

（2）重视涉及信息安全关键技术的研发攻关

建议把研制涉及信息系统安全的关键硬件和软件列为提高自主创新能力的重点，由国家统一组织力量， 协力攻关， 争取早日突破。加快核心技术设备国产化进程，从根本上改变目前基本依赖国外的局面，构筑信息安全的必备基础。同时，对使用国产关键设备的金融企业给予政策上的支持和鼓励。建议组织专门力量对引进使用的关键硬件和软件中是否存在安全隐患进行检测诊断，研究提出有效的排除和处理措施。

（3）加强灾备管理体系和数据中心安全保卫管理体系建设

鉴于大型银行数据中心、灾备中心对国家金融和经济安全的特殊重要性， 应在统筹考虑风险和收益的前提下，明确银行业灾备管理体系建设标准。一是数据中心、灾备中心建设要符合一定的业务连续性和灾难恢复的要求； 二是整体筹划大型银行数据中心和灾备中心的布局； 三是明确灾备体系建设的时间表； 四是明确灾备中心启动的决策机制，组建一支适应灾备管理要求的高水平技术队伍， 常备不懈， 确保金融生产数据不丢失， 服务不中断。此外， 应提高全国性金融机构数据中心、灾备中心的安全保卫级别。特别是大型国有金融机构的主要数据中心、灾备中心应作为关系国家安全的重要设施统筹考虑 。