网络空间的兴起极大促进了经济社会的繁荣进步，大数据时代为我们带来便利的同时也带来了更多的安全风险和挑战，金融行业面对信息时代的网络威胁尤其敏感，2019年银行机构如何构筑安全长城？我们梳理出如下安全策略方案，供读者参考。

金融行业信息化程度加深在提供方便、高效服务的同时，金融领域安全威胁也呈现多样化、复杂化态势，移动设备和支付安全问题凸显，基础设施安全不可控，恶意代码和网络攻击多样化、泄露窃密性攻击频发……伴随着网络攻击高频多发、攻击手段愈加复杂、大型金融机构不断中招等趋势，近年来针对银行机构的网络威胁事件不断爆发——

2018年1月，荷兰最大的三家银行（荷兰商业银行、荷兰合作银行、荷兰银行）一周内多次遭到连续的网络攻击，导致银行网站无法登录，网银服务中断。

2018年2月，俄央行确认，2017年网络攻击者通过利用银行业的全球支付消息系统SWIFT的漏洞，从俄罗斯银行获得了相当于600万美元的资金。

2018年4月到5月，墨西哥官方电子支付系统SPEI遭遇过至少5起针对性袭击，据估计遗失金额在3.5亿至4亿比索（1875万至2039万美元）之间。

2018年5月，路透社报道，加拿大蒙特利尔银行和帝国商业银行被网络黑客攻击，导致近9万名的客户数据被窃取。

……

网络攻击对银行机构造成的损失是巨大的，资金数据被盗、系统运行中断等在造成直接经济损失的同时，还将造成经营暂停、评级下降、法律纠纷等多重间接影响，更会打击消费者信心，严重影响网络金融业的发展，并对实体经济的平稳运行造成关联冲击。

鉴于此，国际国内金融监管部门不断加强对网络安全的重视，例如去年8月，泰国国家银行（央行）就指示泰国所有银行将网络安全作为优先事项，开发系统以应对未经授权的访问，同时在数据泄露造成财务损失时提供赔偿。

国内方面，根据银监会《电子银行业务管理办法》、《电子银行安全评估指引》和人民银行《网上银行系统信息安全通用规范》等监管要求，金融机构开办电子银行业务，需要对电子银行业务风险管理情况和业务运营设施与系统等进行符合监管要求的安全评估，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每2年对电子银行进行一次全面的安全评估。

 网络威胁新态势的出现对银行机构安全能力建设提出了新挑战，针对网络攻击和暴露出的风险，如何建立高效快捷的风险预警和风险消除机制？如何做好安全管理各环节全覆盖，提升安全保障整体水平？安全测试与评估如何做到完备全面，提升主动防御能力？这些问题都成为行业创新发展途中的痛点。

随着信息安全领域威胁和挑战不断加剧，进行系统的安全评估、识别并预防风险、进一步强化自身防护能力已成为银行机构的必修课。

「安全评估方案方向」

对于电子银行安全评估，可以通过风险评估准备、资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险处置、二次评估8个方面，尽可能地将系统的潜在风险早发现早排除。

电子银行安全评估包括如下内容：

（一）安全策略

1、 安全策略制定的流程与合理性
2、 系统设计与开发的安全策略
3、 系统测试与验收的安全策略
4、 系统运行与维护的安全策略
5、 系统备份与应急的安全策略
6、 客户信息安全策略

对金融机构安全策略的评估，不仅要评估安全策略、规章制度和程序是否存在，还要评估这些制度是否得到贯彻执行，是否及时更新，是否全面覆盖电子银行业务系统。

（二）内控制度建设

1、 内部控制体系总体建设的科学性与适宜性
2、 金融机构内各层人员在电子银行安全和风险管理体系中的职责，以及相关部门职责和责任的合理性
3、 安全监控机制的建设与运行情况
4、 内部审计制度的建设与运行情况

（三）风险管理状况

1、 电子银行风险管理架构的适应性和合理性
2、 金融机构内各层人员对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况
3、 电子银行管理机构职责设置的合理性及对相关风险的管控能力
4、 管理人员配备与培训情况
5、 电子银行风险管理的规章制度与操作规定、程序等的执行情况
6、 电子银行业务的主要风险及管理状况
7、 业务外包管理制度建设与管理状况

（四）系统安全性

1、 物理安全
2、 数据通讯安全
3、 应用系统安全
4、 密钥管理
5、 客户信息认证与保密
6、 入侵监测机制和报告反应机制

对数据通讯安全和应用系统安全的评估，客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙，银行内部运作系统和数据库是否安全等，以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序，并能保证各种修改得到及时测试和审核。

（五）电子银行业务运行连续性计划

1、 保障业务连续运营的设备和系统能力
2、 保证业务连续运营的制度安排和执行情况

（六）电子银行业务运行应急计划

1、 电子银行应急制度建设与执行情况
2、 电子银行应急设施设备配备情况
3、  定期、持续性检测与演练情况
4、 应对意外事故或外部攻击的能力

「评估方案选择指南」

全面高效：电子银行安全评估应选择一站式服务供应商，获取全面高效的全程安全服务
经验丰富：选择具备丰富电子银行安全评估经验的安全专家团队，获取纵深服务
标准规范：应严格按照金融监管机构发布的标准执行
方案原则：方案须严格遵守整体性原则、最小影响性原则、保密性原则
项目质量：供应商应具备成熟的网络安全项目管理和质量保障体系

「安全评估预期效果」

通过对电子银行的安全策略、内部制度、风险管理、系统安全等方面的安全测试，对银行机构管控能力做考察和评估，使其满足金融机构的监管要求，帮助提升银行安全风险抵抗能力，实现业务健康发展；同时使金融机构的安全问题量化，为信息安全的管理和应对提供方法和保障；明确自有资产情况，辅助金融机构信息安全建设规划与决策。

▼

以洞察、降低风险为出发点，以策略防范为核心，结合系统测试与业务管理，契合行业规章制度，通过风险评估准备、资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险处置、二次评估8个方面的安全评估将有效防范战略风险、市场风险、声誉风险、法律风险等风险，建立起识别、监测、衡量、控制等风险管理制度，提升银行机构的安全防护能力和风险抗打击能力。