数治x金融服务:银行业网络安全建设情况一文全面分析

为了有效支持业务增长,银行需要提供更便捷、个性化的金融产品和服务,构建全面而灵活的获客渠道,并深化数据驱动的决策机制,以增强风险管理和运营效率。

银行业网络安全建设情况一文全面分析
出处:数说安全、《中国信息安全》杂志

2017 年 6 月,《网络安全法》在正式施行后,对金融行业的数据管理和国际合作产生深远影响。该法律的实施不仅强化了信息安全的高标准管理需求,还重塑了网络空间的规则,有力地保护了客户的信息安全。与此同时,它也给银行业带来了前所未有的技术和管理挑战。面对这些挑战,银行业积极应对,认真落实细化《网络安全法》的各项要求,精心制定了一系列适应行业特性的安全政策法规和管理措施,在政策监管层面确保了金融信息的安全性和完整性,为银行业的健康发展提供了坚实的保障。这些网络安全政策法规的主要目的是加强银行业的信息安全管理,保障客户信息的安全,维护金融市场的稳定运行。

一、银行业政策法规解读

自 2023 年以来,金融监督管理总局和中国人民银行相继发布了一系列关于网络安全和数据安全的新政策,其中包括《关于加强第三方合作中网络和数据安全管理的通知》《中国人民银行业务领域数据安全管理办法(征求意见稿)》(如图 1 所示)《金融信息系统网络安全风险评估规范》《银行保险机构操作风险管理办法》《银行保险机构数据安全管理办法(征求意见稿)》和《关于银行业保险业做好金融“五篇大文章”的指导意见》等。它们不仅涵盖了网络安全和数据安全的基础要求,还新增了对第三方合作、外包服务商管理以及跨境数据传输等方面的具体规定。通过这些新政策的实施,监管部门展现了对网络安全和数据安全问题的全面关注和深入思考,同时也为银行保险机构提供了更明确的指导和要求,以更好地执行网络安全和数据安全保护工作。

资料来源:数说安全根据公开资料整理

图 1:《中国人民银行业务领域数据安全管理办法(征求意见稿)》框架内容

随着技术的不断进步和网络安全形势的日新月异,相关政策和法规还在不断更新和完善中,以适应新的挑战和需求。这种持续更新和完善的过程,进一步强化了我国银行业对网络安全的重视,提升了行业的整体安全水平,为银行业的健康发展提供了坚实的制度保障。

数治网DTZed 小编将在数说安全根据公开资料整理基础上,从《网络安全法》施行以来,对我国金融业制定颁发的网络安全政策、法规和规范进行汇编,还请期待。

二、银行业网络安全建设主要关注

作为金融行业的重要参与者,银行是资金流转的重要枢纽,几乎所有的金融交易都离不开银行系统的参与,银行系统的安全性直接关系到整个金融系统的稳定性和人民的财产安全。

我国银行业金融机构主要分为政策性银行、国有商业银行、股份制银行、城市商业银行、农村金融机构和其他类金融机构。金融监督管理总局最新发布的数据显示,截止 2023 年末,我国共有银行业金融机构 4490 家,其中传统意义上的银行(国有商业银行、政策性银行、股份制银行、城市商业银行、农村商业银行、村镇银行、农村信用社)共 4002 家。

各类金融机构在组成和职责上有所不同,形成了互补的金融服务体系,共同促进社会资金的高效流动和社会经济的发展。本文主要针对国有商业银行、股份制银行、城市商业银行和农村金融机构展开分析。

资料来源:数说安全根据公开资料整理

图 2:银行业机构分类情况及主要功能

1. 安全建设驱动力

银行业网络安全建设的驱动力主要源自三个方面:

  • 合规性要求的持续更新与完善。法律法规的不断更新和完善,促使金融机构不断强化安全建设,以满足最新的法律法规要求;
  • 实网攻防演习深入进行。通过模拟真实网络攻击,帮助银行提升真实环境下的安全体系防御能力重视度,加强对安全威胁的持续检测、快速响应和有效处置能力;
  • 数字化转型中新技术的广泛应用。为了有效支持业务增长,银行需要提供更便捷、个性化的金融产品和服务,构建全面而灵活的获客渠道,并深化数据驱动的决策机制,以增强风险管理和运营效率。这就需要银行采用新技术,提升自身的敏捷性、开放性、智能化水平和生态系统的完整性。这些新技术的应用为金融服务带来便利和高效的同时,也带来了新的安全挑战。因此,银行业在不断推进网络安全建设,以应对这些挑战。

整体上,银行业安全建设的核心目标是保障金融服务的稳定性与安全性,防止安全事故的发生。

2. 安全预算及采购情况

我国银行的数量众多,且在规模上呈现出显著的“头部集中,尾部分散”现象,少数大型银行拥有着庞大的资产规模和市场份额,而数量众多的农村金融机构则构成了市场的长尾部分,这种规模的巨大差异导致了银行业在资源和技术投入方面的不均衡分布。

国有商业银行的网络安全支出约在 1.5 亿元-3 亿元之间,占整体 IT 支出 7%-10%。

股份制银行因业务体量和 IT 基础水平不同,网络安全支出存在较大差异,技术发展相对靠前的招商银行、中信银行、平安银行每年网络安全支出约在 1 亿元-2 亿元之间,股份制银行的网络安全支出占整体 IT 支出比例在 5%-10%之间。

城商行的安全投入相较大型银行来说有限,每年网络安全支出在 1 千万-5 千万之间,网络安全支出占整体 IT 支出比例大概 3%-6%。

农村金融机构又分为很多类型,不同类型的机构也存在很大差距。农信社的信息系统和安全建设通常由省级农信社统一管理,网络安全支出在百万到千万不等,约占 IT 支出的 3%-5%。农村商行银行和村镇银行的数量庞大,安全建设情况的差距也更加明显,头部银行的网络安全投入在千万级别,尾部银行则可能不足百万。

通过调研我们发现 2023 年银行业的网络安全预算呈现高预算低执行的情况,整体建设投入明显下降,这与银行业的整体经营情况直接相关。具体表现为传统网络安全产品的采购价格降低、采购更新周期拉长,非急需补足的安全能力建设延后等,但在数据安全、安全运营、开发和供应链安全等领域,安全投入依然保持在较高水平。

3. 安全技术团队

银行业的安全团队在规模上有明显差距,同时,外包安全人员通常占总安全人数的 30-50%。国有商业银行的安全团队规模相对较大,人数通常在 100 人到 400 人之间。股份制银行的安全团队规模稍小,通常在 100 至 200 人之间。城市商业银行的安全团队人员数量则依据其规模而异, 从十几人到近百人不等。农村金融机构的安全人员配置更加有限,大型农商行和农信社能达到 40、50 人,小型村镇银行则仅配备一名安全专员,或者由开发或运维人员兼任安全职责。

三、银行业网络安全建设现状

按照不同的网络安全建设情况,银行大体可以分为三个梯队:

  • 这一梯队的银行主要包括国有商业银行、股份制银行和个别互联网属性较强的民营银行,他们占有主要的市场份额,拥有充足的安全资源和投入。在网络安全领域,已经具备非常成熟的基础安全防护能力;在纵深防御体系的构建方面,已经进入深化阶段,根据挑战的变化和技术的发展,不断加强数据安全、开发安全、供应链安全等领域的安全能力。主动防御体系的建设是第一梯队银行当前的关注重点,他们通常会自研或联合开发安全平台,目标是深化对安全工具和平台的深度运用与内部整合,构建自主化、场景化和体 系化的可持续运营安全体系,提升主动检测、快速响应与及时恢复的能力。
  • 第二梯队主要包括城商行、少数大规模的省级农信社和农商行,这些银行的安全资源和投入相对有限,但已有较完善的基础安全能力。目前,他们正在积极推进纵深防御体系的建设,优先补足重点领域的安全能力短板。这些银行已有基础的主动防御体系,现阶段的关注重点是推进各领域的平台化和联动化建设,完善安全运营体系,实现对安全资源的更高效管理,同时加强内外部的攻击面管理能力,减少潜在的安全风险。
  • 第三梯队包括小规模的农信社和农商行,他们在安全领域的投入较少、专家人才短缺、安全力量薄弱,具备满足合规要求的基础安全防护能力,但安全体系建设往往处于初级阶段,因此,未来的安全建设重点在于尽快加强安全防护措施,并搭建安全管理体系。这一梯队的银行虽然资源和投入较少,但面临的安全风险和外部威胁却与大中型银行类似,所以他们也很重视安全事故的防范,为加强实战攻防应对能力,通常会根据自身需求,采取更加灵活的策略来弥补安全运营能力的不足。

尽管银行在安全建设方面可以大致划分为三个梯队,但深入到各个具体的安全领域进行考察,我们会发现不同梯队银行在不同领域的安全建设方面也有明显差异:

1. 基础的终端及网络安全

银行业的终端及网络的防护能力建设比较完善,通常都采购了网络终端准入 NAC、数据泄露防护 DLP、防病毒、移动终端加固、防火墙 FW、Web 应用防火墙和网络检测与响应 NDR 产品。

第一梯队机构拥有更为复杂的 IT 架构,面对的威胁风险也更加多样,因此对终端设备的统筹管理、检测与响应能力提出了更高的要求,通常还会部署终端响应与检测 EDR、网络流量分析 NTA、终端安全防护平台 EPP 以及移动终端管理平台。

2. 云安全

由于严格的安全和监管要求,银行业对云架构的使用较为保守,私有云是主要建设方向,仅有少量新闻、资讯类应用系统会放在公有云上。

在云技术使用方面,虚拟化仍是主要技术手段。头部银行的容器数量近年来虽然增长迅速,但现有的 IT 运维、业务流程与容器的快速迭代和自动化部署未能完全匹配,容器的使用并不理想, Serverless 和 ServiceMesh 的应用情况也比较基础。

对云技术的保守应用的确规避很多安全问题,但也减缓了云安全/云原生安全在金融行业的技术进步,多数银行只部署了主机入侵检测系统 HIDS,云工作负载保护平 CWPP 和容器安全的使用渗透率和覆盖度还有较大提升空间。

3. 身份与访问管理

银行普遍建立了基础的身份与访问管理系统,主要包括身份认证与访问管理 IAM、运维审计堡垒机、MFA 多因素认证,但这套系统已不能满足对日益复杂的访问行进行控制和管理。

零信任安全架构作为一种新兴的安全理念,正在逐步被银行机构采纳并实施,但仍面临技术成熟度不足、系统应用改造困难、业务流程协调复杂等诸多问题,距离在银行机构中全面铺开仍有一定距离。目前,中小规模的银行机构主要以 VPN 替代为切入,解决访问接入问题,应用在远程办公和三方接入场景上。

头部银行在加快扩展零信任的应用场景及试点业务系统,同时加强终端安全评估与防护能力、安全分析能力的联动,并探索更细粒度的访问控制策略,逐步搭建自己的零信任架构。通过调研,我们了解到某互联网属性较强的民营银行基本全面实现了应用级别的访问控制,并实现了基于任务的访问控制 TBAC 这样更细粒度的访问控制策略。

4. 开发安全

随着安全左移理念在银行业的广泛采纳,银行在开发安全领域也不断增加投入。处于第一梯队银行的开发需求较高,普遍已经建立了 DevSecOps 体系,整合了敏捷和持续集成/部署工具 CI/CD、安全组件库 SDK、应用程序安全测试 AST、软件成分分析 SCA 等技术产品,并定制化或自研了开发安全平台,同时,也在引入运行时应用保护 RASP 保护应用程序运行时安全。

对第二梯队的银行而言,虽然也使用了 SDK、AST 等开发安全工具,但开发安全体系仍较为基础,当前的主要挑战在于完善开发和安全协作的流程制度、降低 AST 类工具的检测耗时和误报率, 从而提升整体开发安全水平。

5. 供应链安全

银行业务的复杂性和对多样化供应链的依赖,加之供应链透明度的不足和日益严格的监管要求,使得供应链安全管理成为银行当前面临的一项复杂且充满挑战的任务。为了应对这一挑战,银行通常会采用软件成分分析 SCA 工具,然而,应用程序的复杂性和供应链中第三方组件的层层嵌套使得 SCA 工具的检测效果并不理想。此外,由于软件物料清单 SBOM 缺乏统一标准,以及通常不够详尽,也增加了银行的供应链风险管理难度。

为了提高供应链安全管理的效果,一些头部银行正在自研或联合安全厂商建设供应链管理平台,并将经验沉淀到平台中,以提高供应链安全管理效率。

通过调研,我们了解到某互联网属性较强的民营银行在供应链安全管理方面取得了显著成效,能够对所有上线前的代码和组件进行彻底的扫描评估,确保没有漏洞和后门的存在,并在应用上线后,严格限制可运行的程序、函数、插件类型等,从而实现了更加全面的安全防护。

6. 数据安全

数据安全是近年来银行业的重点投入领域之一,由于合规要求,大部分银行的基础数据安全建设都比较完善,如数据库安全(数据库审计、数据库防火墙、数据库加密)、数据防泄漏 DLP、静态数据脱敏以及数据水印等,动态脱敏产品目前率先在头部银行逐渐推进应用。

在组织架构方面,一、二梯队银行基本都完成了数据管理部的设立,负责组织数据安全管理工作规划和实施,完成了责任和职责的界定,目前正在加紧完善本行的数据安全管理办法、制度和流程制定。没有成立数据管理部的银行,也都明确了数据安全负责人,及相关的职责和责任。

数据分类分级是数据安全防护的基础,大部分银行已经通过自动化程序,基本完成了对结构化数据的分类分级和打标工作。但非结构化数据的分类分级仍面临较大挑战,第一梯队银行正在努力提高分类分级的覆盖程度和准确度,并通过人工+机器学习的方式提效率,该环节的难点在于非结构化数据特征的提取和识别的准确度不高,因此打标数据的准确率也参差不齐,这是未来需要不断提升的方向。

相较于数据安全,数据安全治理强调建立一套完善的管理体系,包括组织架构、管理制度、流程规范等。第一梯队的银行已经建立了数据安全治理的基础框架,并在持续优化流程建设。相比之下,第二、三梯队银行的关注重点仍在构建足够的数据安全防护能力上。

银行的数据安全平台建设进程也在不断加快,一方面由于该类产品的成熟度不断提升,数据安全整体管控能力不断增强;另一方面,银行也亟需实现对数据泄漏的发现、防护、溯源和定责。第一梯队的银行更倾向于通过自主研发或与安全厂商合作的方式,定制化开发平台,第二梯队的银行业主要是直接采购安全平台,来不断加强数据生命周期管控能力。

隐私计算一直是银行业的重点关注领域,虽然其理论方法尚不成熟,但部分头部银行已经针对联邦学习、同态加密、多方安全计算等技术涉及了研究课题,并尝试通过三方合作的方式进一步探索。

7. 安全运营

随着实战攻防演练的不断深入,金融机构的安全运营目标已从被动防御转变为主动防御、协同联动和全局集中管理,相应的安全运营重心也逐步从关注合规和基础建设,转变为更加重视威胁预警、响应、协同联动分析以及快速恢复,例如大部分的银行在 2023 年都重点加强了灾备体系的建设和切换演练全流程管理。

银行是金融系统的核心机构,因此连续的监控和快速响应是至关重要的,大部分银行都实现了 7*24 的安全运营。

一、二梯队的银行通常会购买或与安全厂商共同开发安全编排自动化与响应SOAR、威胁情报TI、态势感知 SOC 平台,强化自身安全运营的能力。同时,他们也积极关注 AI 安全运营技术的进展,希望通过 AI 的赋能提升安全运营效率。

8. 密码应用

银行的国密和商密改造工作已经取得了一定的进展,大部分银行的主要业务系统,尤其是与客户直接交互的如网上银行和支付系统的改造已经完成,农村金融机构也在进行改造,但具体情况可能因地区和机构而异。

头部银行也在探索新的密码技术,并尝试新技术与密码的结合应用,例如区块链技术在银行业的应用逐渐增多,特别是在跨境支付、智能合约、身份验证等领域,区块链的分布式账本和加密技术为金融交易提供了更高的透明度和安全性;同时,个别银行也在开展量子安全技术的专项课题和试点,以提升金融服务的安全性、效率和创新能力。

9. 信息技术应用创新

在国家政策的积极引导和有力支持下,我国银行业在信创建设方面已经取得了一定的成绩。得益于日益坚实的数字化基础,目前银行在基础硬件和基础软件方面的信创完成度相对较高,近两年应用 软件的信创采购比例也在明显提升,银行的信创替代正在不断深入。

同时,监管机构对于不同的银行也都提出了相应的信创建设要求,总体上要求国央企在 2027 年达到 100% 的信创率,因此,政策性银行、国有商业银行和股份制银行的信创建设程度较为领先,新采购设备的信创率基本达到 100%,整体基础设施和信息系统的信创率约在 50%左右。城市商业银行的整体信创率在 30%左右,新采购的设备同样需要满足一定的信创比例。

信创产业的发展不仅依赖于国家政策的扶持,还需要技术供应商的持续创新和努力。目前,信创产品在技术、性能上和安全性仍然有很大进步空间。以国产数据库为例,一款成熟的数据库产品通常需要十多年的研发投入,但为了快速满足信创需求,很多数据库产品在底层技术上仍然会在底层封装开源数据库代码,其核心技术、知识产权、开源规则等并未实现自主可控,客户在使用这类数据库产品时将面临一系列风险,包括开源协议的合规性问题、安全漏洞的及时修复、知识产权的保护、代码的安全性以及开源项目的持续性等,也会导致数据安全的威胁。内核是否完全自研、具备完整的知识产权、能够支撑大型生产系统稳定运行等,是衡量国产数据库是否真正实现安全可控的重要指标,也是国产数据库厂商需要不断进步、提升的方向。

四、银行业安全负责人的思考与洞见

  • 0day 漏洞,软件供应链攻击,社工攻击,业务逻辑层面的风险滥用,数据的使用流转安全这五类威胁,仍然是我们需要去持续应对的网络安全问题。
  • 银行业在新技术的接受和应用上处于领先地位,然而,业内对待新技术的态度,不应该是“为了用新而用新”,在引入新技术前,应首先评估自身是否真正需要这些技术,并 确保在架构、技术、安全等方面做好充分准备,以支撑新技术的应用。
  • 安全人员应该将安全数据和业务更紧密的结合起来,帮助业务部门提高攻击防御和反欺诈的能力,通过这种方式,业务人员能够更直观地认识到安全的关键作用,从而促进安 全的持续发展。
  • 银行业的网络安全成熟度相对较高,过去大家过于关注建设,忽视了对安全产品功能充分使用。随着当下建设节奏的放缓,反而为行业提供了一个很好的机会,让大家可以沉 下心,深入挖掘并释放已有安全产品的功能和潜力,更好的发挥安全的价值。有时候,放缓步伐也是一种加速前进的方式。
  • 国产安全产品仍有很大的改进空间,甲方用户更了解自身的实际安全需求,因此乙方不应闭门造车,而应深入一线,了解用户的具体需求,使产品功能更贴合用户的实际需要。
  • 目前,终端设备上的安全产品数量过多,既对设备性能有较大消耗,还会导致不同产品之间的冲突,而冲突引发的问题又难定责,给员工的工作带来了诸多不便。因此,希望 未来有一到两款产品,能够全面覆盖终端安全的解决能力。
  • 金融行业的监管要求非常严格,一旦出现问题就会面临处罚,金融机构在采购安全产品时,经常要面对“买了不一定能解决问题,不买不一定就会出问题”的挑战,因此,金融行业需要大量的定制化产品和解决方案。希望安全供应商能针对金融行业的特点,提供具有定制化和开放性的功能和策略,并将这些需求标准化,以降低交付成本,并提高 安全效果。
  • 随着金融行业的数字化转型加速,暴露面扩大,攻防对抗性增强,提升安全重要性并加强风险管控的优先级变得尤为关键,这是确保数字化转型平稳进行的基础。同时,随着数字化转型的深入,金融行业在安全管理和业务效率之间的矛盾也将日益凸显,因此,金融安全领域也需要实现自身的数字化和自动化,以适应不断变化的安全挑战。

本文摘编自数说安全、《中国信息安全》杂志发布的《2024年中国金融行业网络安全研究报告》。

在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。

在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。

欢迎先注册登录后即可下载检索网络安全等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。