华夏银行首席信息官吴永飞
没有网络安全就没有国家安全。国家“十四五”规划将网络安全确定为未来中国发展建设工作的重点之一,通篇共有14处提及“网络安全”、5处提及“数据安全”。《“十四五”数字经济发展规划》提出“着力强化数字经济安全体系”,再次从国家顶层设计层面强化网络安全的重要地位。2021年11月审议通过的《国家安全战略(2021—2025年)》也提出要加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力。网络安全、数据安全已经上升到国家战略层面。华夏银行作为国有控股的全国性股份制商业银行,责无旁贷,积极落实国家发展战略,切实践行网络安全和数据安全要求。
一、筑牢数字金融安全坚实防线
安全是发展的前提,金融安全是国家安全的重要组成部分,维护金融安全是关系我国经济社会发展全局的一件带有战略性、根本性的大事。特别是在数字经济飞速发展的今天,数字金融背后是复杂的、关联性强的信息系统和庞大的金融数据,华夏银行深刻认识到信息系统风险已经成为唯一让银行业务瞬间全部瘫痪的风险,筑牢网络安全“防火墙”刻不容缓。
1.推动网络安全责任制落实
华夏银行党委高度重视网络安全工作,建立网络安全工作责任制,明确各级党委统一组织领导本单位网络安全保护和重大事件处置工作。各级党委指定本单位信息科技管理委员会作为网络安全工作主管机构,充分履行网络安全和信息化管理职能,统筹安排各项网络安全工作任务,推动实施各项网络安全工作措施。
2.贯彻落实网络安全等级保护要求
华夏银行积极开展金融行业网络安全等级保护相关标准对标评估工作,按照等级保护制度要求,细化重点部位网络安全防护、推进重要数据和金融信息保护等方面的工作要求,推动全行落实金融行业网络安全等级保护工作系列标准;定期开展信息系统网络安全等级保护测评,对照国家及金融行业网络安全等级保护要求开展逐项核查,及时发现并消除潜在风险隐患,建立闭环管理工作机制,持续提升基础网络和重要信息系统的安全防护能力。
3.强化网络安全监测预警及应急处置
华夏银行积极构建网络安全运营体系,组建7×24小时扁平化安全运营团队,依托一体化风险感知平台,建立统一的安全预警、态势分析、风险定位和响应处置机制;持续强化应用系统安全建设过程管控体系,完善覆盖需求、设计、开发、测试、运维等环节的全流程应用安全管控体系,统一应用安全技术规范、基线,通过安全评审、技术检测等措施强化应用系统质量管控,推动应用安全“左移”。
4.加强网络安全队伍建设
网络空间的竞争,归根结底是人才的竞争。华夏银行重视安全人才队伍建设,以攻促防,开展安全攻防技术培训和实战化操练,选拔全行信息科技条线信息安全人才作为基础攻击力量,参加行业演练,取得丰硕战果;以赛代练,选拔组建专业队伍参加北京市委网信办举办的首届“长城杯”网络安全大赛,并取得佳绩;同时,设置专职、兼职信息安全员,完善评价流程标准,建立正向激励和淘汰机制,实现各部门各层级全覆盖;每年开展网络安全、信息安全等专业培训,有效提升参训人员的安全意识和实操能力。
二、探索金融安全领域新技术及应用
随着大数据、云计算、人工智能等数字技术应用向纵深推进,网络安全作为非传统安全不断呈现出新特点、新形态,网络安全威胁也是全天候、不间断的,更需要创新手段不断织密金融安全防护网。
1.基于一体化风险感知平台构筑新型网络安全防护体系
华夏银行基于动态综合、主动防御、数据驱动、共享协同的思路,搭建了企业级一体化风险感知平台,提高信息安全风险精确管控、动态决策和持续改进能力。
一是基于风险量化计算的信息安全健康度全景视图,实现从宏观到微观的全面风险态势展示,为信息安全决策提供依据;基于资产自动发现和资产信息智能化采集技术,从时间、空间及全景辐射三个维度建立了IT资产健康档案,构建了基于时间与空间维度的健康档案与风险辐射分析的能力,实现了风险分析由点到面的延展;基于数据统计分析和行为画像技术刻画业务操作行为视图,主动发现、识别疑似异常行为,防范攻击,对疑似异常行为及时产生告警,以便业务人员及时处理。
二是构建敏感数据安全防护体系,实现对桌面终端和服务端敏感数据分布情况、使用情况、合规情况的全面管控;构建综合的安全技术整合与云化发布能力,实现多种安全设备协同工作,搭建安全服务与信息共享体系;搭建“云”化的安全服务中心,改变用户传统的、单点的安全检测工具使用方式;使安全检测业务支持闭环管理,实现从安全检测任务驱动、任务执行、检测结果报告确认等一系列环节中提取业务管理因素,对安全检测发现的问题进行多环节协同联动;依托一体化风险感知平台将威胁情报信息、攻击信息等同步至相关信息共享平台,实现信息协同。
2.研究量子直接通信技术,增强金融数据安全保障能力
数字经济时代,产业和银行两端的“数据采集”与“数据智能化”新兴数字技术发展已趋于完善,但连接两端的“数据安全传输”技术相对薄弱,一旦发生信息泄露将可能引发严重后果,因此,实现满足商业银行业务需求的、被证明受物理学定律保护的数据安全传输是极为重要的。目前,华夏银行、北京量子信息科学研究院、清华大学和龙盈智达(北京)科技有限公司联合开展了量子直接通信技术创新及其在银行业务领域中的应用,并在全球范围内首次将量子直接通信创新应用于金融领域,为国内外金融行业提供了受物理学定律保护的绝对信息安全传输业务应用方案,实现了技术应用的突破,填补了相关领域空白。
量子直接通信技术已在商业银行的多个业务场景中展现出较高应用价值及广阔应用前景。针对金融机构实际需求,华夏银行、北京量子信息科学研究院、清华大学和龙盈智达(北京)科技有限公司联合提出量子直接通信“5‘2’+5D”银行场景应用创新方法论,涵盖五类应用创新场景:
一是金融机构与客户间的量子直接通信(Financial institution to
Customer,F2C)模式,典型应用场景为数字信贷业务场景(Digital Credits & Loans);
二是金融机构与金融机构间的量子直接通信(Financial institution to Financial
institution,F2F)模式,典型应用场景为远程办公与运维场景(Distant Working and Operation &
Maintenance);
三是金融机构与监管机构间的量子直接通信(Financial institution to
Regulator,F2R)模式,典型应用场景为监管信息报送场景(Delivery of Regulatory Information);
四是客户与客户间的量子直接通信(Customer to Customer,C2C)模式,典型应用场景为客户数据服务场景(Data Secure
Transmission Service for Customers);
五是历史与未来间的量子直接通信(Past to Future,P2F)模式,典型应用场景为同城数据备份场景(Data Backup within
the Same City)。“5‘2’+5D”方法论为量子直接通信在金融领域的应用发展提供了指引和规范。
量子直接通信技术通过为金融机构和客户的数据资产及数字资产打造“量子镖局”,为金融关键信息的传输与流通保驾护航,天然融入金融领域,能够实现可观的经济价值,并对全社会广泛应用量子科技具有重要示范性意义。量子直接通信不仅适用于银行数字信贷业务、客户数据服务、同城数据备份、远程办公与运维、监管信息报送等应用场景,还具有向证券、保险等其他需要数据安全保密传输的行业进行推广的前景,拥有广阔的发展空间。
三、巩固安全屏障,为数字金融作出新贡献
2022年是我国实施“十四五”规划的关键之年,华夏银行将进一步加强网络安全体系建设,强化金融数据安全管理,筑牢安全生产底线,为数字金融作出新贡献。
1.增强网络安全防护能力
随着数字化程度的加深,“黑天鹅”“灰犀牛”等风险不容小觑,网络安全面临的挑战也更加严峻。华夏银行将进一步优化边界防护、终端主机、应用安全和溯源防护等工具,增强工具研发和工具应用能力,提高工具应用覆盖率,提升网络安全和生产运维智能化水平。
2.提升数据安全保障水平
华夏银行将在创造数据价值的同时,实现数据安全使用的闭环管理。做好《金融数据安全数据生命周期安全规范》采标落实,开展数据安全等级标签化和线上化管理;利用自然语言处理技术,实现敏感信息的自动识别与安全分级;针对大数据分布式计算环境,强化数据存储等环节的权限控制。
3.持续探索新技术在安全领域的应用
华夏银行将研发储备针对性攻防工具,完善攻防靶场,试验攻防技术和武器装备,开展高复杂度场景应急处置工具研发;跟踪研究人脸识别等新技术应用风险,制定进阶式防护处置措施;运用隐私计算、联邦学习等技术加强数据保护与价值流转;同时,进一步探索量子直接通信技术在金融安全领域的应用。
面向未来,华夏银行将继续贯彻新发展理念,统筹发展和安全,按照国家和金融监管部门的要求,认真履行国有控股银行的责任担当,全面落实网络安全主体责任。
|
