中国银行股份有限公司信息科技部

　　随着信息技术的快速发展、移动互联网和智能手机的普及，越来越多的人使用网上银行、手机银行、微信银行等渠道办理支付、理财等金融业务。在此情况下，如何保障用户的数据信息安全乃至资金安全，对于商业银行来说至关重要。为此，商业银行需要从大众的安全意识和银行的安全管控手段两方面同时入手，形成端到端的安全保障链。

一、借助宣传周加强信息安全意识，提高风险防范能力

　　2014年11月24~30日，中央网信办会同教育部、安全部等共同开展主题为“共建网络安全、共享网络文明”的首届国家网络安全宣传周，中国银行参加了在北京中华世纪坛举办的“感知身边的网络安全·网络安全公众体验展”。

　　中国银行展台紧扣“共建网络安全，共享网络文明”的活动主题，结合“担当社会责任，做最好的银行”的发展战略，彰显国际化、多元化、智能化的发展特色，以百年基业凝结中国智慧，行自主创新力保安全可控。力求做到主题突出、内容丰富、形式新颖、增强互动，以融合“中国智慧、自主可控、安全可靠”理念的“鲁班锁”为核心标志，综合运用结构投影、滑轨屏幕、互动感应等新颖形式，全方位展示在全球一体化服务、惠民金融、客户体验改善、坚持自主可控等方面的金融服务和安全保障能力，并通过互动游戏、知识问答、案例观摩等方式，面向社会公众生动地宣传金融安全知识，加强信息安全意识，提高风险防范能力，吸引了众多观众前来参观体验。

　　与此同时，中国银行还组织国内所有网点配合开展国家网络安全宣传周活动，包括但不限于在各营业网点大堂循环播放金融网络安全公益短片，发放《金融网络安全知识手册》，在网点显著位置投放电子宣传标语等。中国银行北京市分行、广东省分行、江西省分行还走出网点，进入社区开展网络安全宣传活动。

　　2014年正值中国银行在全辖范围内开展“信息科技安全年”活动之机，我行将宣传周活动与安全年有机结合，在行内还重点开展了：征集网络安全风险防范主题稿件并向媒体渠道荐稿;组织一次信息安全公开课培训;制作网络安全电子课件对全辖员工进行宣传教育;面向科技人员开展密码破解、网上银行渗透和网络安全攻防演示，提高网络安全实战与应急能力;在内网制作编发网络安全宣传周电子宣传专刊等活动。

二、严控移动金融风险

　　对商业银行而言，电子渠道是主要的信息安全风险来源，特别是与网上银行相比，移动金融在操作系统、认证手段、客户使用习惯等方面均存在较大差异，其风险特征偏向以技术手段盗取客户敏感信息，进而造成客户资金损失为主。同时与移动金融风险防范相配套的法律法规也需要进一步细化和完善。

　　目前，一方面由于操作系统差异、认证手段差异、客户使用习惯差异，移动金融面临的安全风险种类日趋增多;另一方面移动金融客户对操作体验的便利性要求更高，银行不能再照搬过去网上银行的经验，需要努力简化客户操作步骤，这对风险防范工作带来了新的挑战。如何严控移动金融风险，让移动金融客户能够安全地使用移动金融服务，成为近年来中国银行安全工作的一项重点内容。

　　1.挖掘科技潜力，优化业务流程，打造全流程风险控制体系

　　(1)加强身份认证、立足客户准入及安全教育创新，实现主动的事前防范

　　建设多渠道融合的安全防护体系。建立以ETOKEN、手机短信、音频USBKey为主的多认证整体解决方案，统一客户体验。针对客户小额支付以手机交易码作为认证工具，依托客户行为的数据积累与挖掘技术，实现安全认证方式自动匹配和简化，提升交易便利性和客户体验。加强对IC卡、手机内置安全芯片、SD卡等为载体的新型认证工具以及声音、指纹等认证方式的探索性实践，实现新技术与移动金融安全防护的有效结合。

　　优化客户准入管理机制。随着电子银行业务由“扩规模”向“规模与质量并重”的转变，中国银行严格落实监管要求，不断加强个人及企业客户准入管理。根据电子商户属性与风险特性，丰富并完善商户准入及评分机制，并运用先进的互联网技术手段和内控管理措施加强对存量商户经营情况和资质的动态跟踪与管理，促进移动金融业务又好又快发展。

　　创新客户安全教育模式。将安全教育内容嵌入客户在线操作关键环节和业务间隙的碎片时间，将柜员与客户安全宣传信息交互纳入业务流程必备环节，以友好的交互形式进行安全宣传。采用网点、门户网站、社交媒体等传统及新兴渠道，以新颖活泼的形式发布安全资讯，积极开展客户沟通互动，树立安全形象。

　　(2)借助反欺诈系统的数据积累和挖掘分析，构建高效的事中监控机制

　　依托反欺诈系统提升银行风险管理水平。全面采集客户交易数据、积累客户行为信息，通过分析客户行为习惯主动识别风险交易。及时分析欺诈行为特征并动态完善更新监控规则，形成应对新型欺诈事件的快速反应能力。以数据挖掘为手段，从产品、地域、客户等多维度进行精准的风险分析，提高欺诈风险管理的时效性、针对性。

　　借助技术平台提升客户安全体验。根据客户交易状况评估客户风险级别，支持低风险级别客户自主选择简化的安全认证方式、低风险交易系统自动简化客户认证方式，并将客户风险评级与客户交易限额、客户激励手段挂钩，提升客户安全体验。与客服密切协作，对高风险交易通过外呼方式进行事中核实并阻断疑似欺诈交易，并进行事后核实。

　　(3)以RACA工具、案件协查及争议赔付为重点，构建全面的事后处置机制

　　加强操作风险管理工具应用与风险量化管理。将RACA评估分析结果转化为业务自查及业务检查中的可用标准，在条线业务检查、自查中加以落实。推动对电子银行的新增业务及新增渠道的RACA评估，并将评估中发现的重点业务流程的关键问题作为专题深入研究，持续推动业务流程优化。做好电子银行KRI监控，收集损失数据，逐步加强电子银行操作风险量化管理。

　　健全风险拨备和争议赔付机制。以业务收益为基础，不断完善风险拨备机制。内部相关职能部门密切配合，共同建立合规高效的客户争议赔付机制，采取给付客户和解资金方式，解决风险事件中产生的争议。与外部保险公司合作，通过电子银行开通联结保险或争议赔付保险等方式，实现风险可控运营。

　　2.健全风险控制基础架构，夯实风险管理专业基础

　　(1)加强制度体系建设和内控检查，提高风控水平

　　加强规章制度建设和传导。以及时性、全面性、可操作性为不同侧重点，持续推进移动金融产品配套的规章制度以及操作指南的编写和更新工作，为业务条线提供具有较强针对性的业务合规发展支持。通过组织合规内控业务知识竞赛、制度执行反馈意见、有奖征集等活动，深化全辖员工对规章制度的理解、运用与思考。

　　业务检查与自查并重。加强全辖业务检查、自查工作督导，确保规范性和有效性。结合业务发展和外部事件影响，动态调整并发布业务检查的关键环节。借助数据管理平台等技术平台，通过运营操作信息的系统自动采集和风险点筛选，提高非现场检查工作效率。根据检查和自查工作暴露的问题和风险点，及时推进工作整改、制度流程优化。

　　(2)优化业务流程合规框架，支持境内外业务合规发展。按照从研发、推广、申请受理至服务开通的监控环节和合规链条要求，优化适应中国银行业务流程的合规框架，结合监管要求，完善适应海外当地业务流程的合规机制。

　　强化案件统计分析和快速应用。建立业务案件库，并根据案件类型、涉及业务种类、案发原因、风险敞口、应对措施等维度分类管理，为后续同类案件防查提供快速有效依据。针对外部欺诈或内部操作风险事件，从客户信息泄漏、产品与服务理解、操作环境安全等客户层面以及产品设计、业务流程、系统控制等业务层面分析原因，并确定风险管理疏漏，总结更新反欺诈规则，实现案件的正面转化应用。

　　(3)与外部合作建立风险协同防范机制，助力创新业务模式发展

　　通过外部合作防范关联风险。顺应互联网业务快速发展趋势，充分认识涉及合作商户及二级商户风险放大的潜在威胁，建立完善的第三方合作商户风险防范协作机制。一方面要相互配合、共同监控并通过技术手段有效防范外部针对非金融支付服务机构的攻击和欺诈事件;另一方面，持续关注合作商户对其下辖二级商户的风险管理机制，规避由于二级商户资质或违规经营等原因可能引发的连带业务风险。

　　通过移动通信行业合作加固移动银行安全。深化与移动运营商的合作，借助其手机实名制要求加强对客户身份认证的技术支持。加强与移动终端厂商合作，在预置中国银行客户端软件、手机现场支付应用终端软件，以及研发中高端客户定制手机的同时，通过技术手段加载先进的安全加固措施至移动终端，实现银行风险控制阵地的有效延伸，共同对抗移动金融风险。

三、大力推进自主可控、扭转核心技术受制于人的局面

　　大力推进自主可控，摆脱核心技术受制于人的局面，是确保商业银行金融服务安全乃至国家信息安全的必然要求。信息技术的高速发展带动了银行业务能力的大幅提升，科技与业务越来越高度融合的现状对信息技术成熟度、软硬件高性能、信息系统高可靠性的要求也越来越高，面对已然成型的高可用性、高性能的集中信息系统基础架构，以及应对网络安全风险的紧迫要求，中国银行始终高度重视信息科技建设，坚持走自主可控之路。目前，加快推进自主可控信息技术运用已形成广泛共识，中国银行将以保障国家及企业信息安全、提升自主可控能力为根本出发点，着力建立国产信息产品技术引入的长效机制，有效提升国产产品比例，逐步实现信息技术整体自主可控。

　　一是通过局部替换形成国产信息技术产品基础架构体系。优先针对国产产品成熟度高且涉及信息安全的关键环节开展局部国产化部署替代，对于有待成熟的国产信息技术产品，遵循先局部试点、再扩大深入的策略，采取从新建系统到现有系统、从新建功能区域到现有生产环境、从渠道类及非关键产品系统到重要核心系统、从开发测试及办公环境到生产环境的渐进式实施路径。目前，在纳入中国银行选型范围的40种软硬件产品一共110余家/次的入围供应商中，国内厂商已达77家次，占比为65%，比例逐年明显提升，其中网络设备、前端外设和信息安全产品等均实现了较高的国产化比例，自助终端、WLAN设备、移动柜员终端、身份认证产品、加密机等十三类产品已全部实现国产化。

　　二是开展国产信息技术产品全链条探索及实践。尝试实现自底层硬件至上层软件的全链条国产化产品组合替代。选择合适的应用系统，进行国产浪潮小型机、国产K-UNIX操作系统、东方通系列国产中间件产品、国产存储等全链条国产产品的组合试点运用，验证其运行能力，积累技术经验。

　　三是研究论证架构转型方案。应用云计算、大数据等当前先进技术，大力推进向x86服务器+开源软件的分布式处理模式的架构转型，将主机、小型机系统功能分流、下移，通过对各系统平台分阶段、分步骤的迁移调整工作，逐步实现重要应用系统的自主可控目标。

　　提高银行业信息系统自主可控能力是一项长期、复杂、艰巨的工作，商业银行在自身探索及实践自主可控战略的努力下，还需要国家、行业等多个层面持续完善、相互促进。中国银行将积极担当社会责任，主动迎接自主可控战略带来的机遇与挑战。强化顶层设计，加大资源投入，锻造人才队伍，健全配套机制，持续推进自主可控，真正扭转核心技术受制于人的不利局面。/FCC