第十七屆中國(guó)金融發(fā)展論壇9月8日-9日在京召開。中國(guó)民生銀行信息科技部總經(jīng)理牛新莊在會(huì)上表示，中國(guó)有8億臺(tái)移動(dòng)設(shè)備，這些設(shè)備正遭受黑客組織有目的的威脅，現(xiàn)在已經(jīng)形成一個(gè)地下的黑色產(chǎn)業(yè)鏈，這些攻擊目標(biāo)明確，攻擊頻繁，而且有組織、配合縝密，行蹤隱藏，危害巨大。

以下附發(fā)言全文：

牛新莊：各位領(lǐng)導(dǎo)、各位同仁，很榮幸代表民生銀行就信息安全主題給各位做一個(gè)交流和共享。我的主題分為幾個(gè)部分，包括整個(gè)互聯(lián)網(wǎng)信息的安全形式、當(dāng)前面臨的威脅以及民生銀行在信息安全方面所做的一些工作。

前不久G20剛剛結(jié)束，在整個(gè)G20會(huì)議召開期間，其實(shí)我們國(guó)內(nèi)的金融IT系統(tǒng)遭受到來自于境外有目的、有組織的一些威脅和攻擊，所以應(yīng)該來說，沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全。當(dāng)前網(wǎng)絡(luò)安全面臨很多復(fù)雜的形勢(shì)，這些形勢(shì)包括經(jīng)濟(jì)犯罪的威脅，這里面有利益驅(qū)使高、受害主體廣、攻擊方式多、社會(huì)危害大幾個(gè)特點(diǎn)。

我們還受制于來自互聯(lián)網(wǎng)的威脅，大家都知道隨著技術(shù)的發(fā)展，據(jù)數(shù)據(jù)統(tǒng)計(jì)，中國(guó)可能有8億臺(tái)移動(dòng)設(shè)備，隨著這些設(shè)備的使用，我們?cè)馐艿暮诳徒M織有目的的威脅，現(xiàn)在已經(jīng)形成了一個(gè)地下的黑色產(chǎn)業(yè)鏈。而且這些攻擊目標(biāo)明確，攻擊頻繁，而且有組織、配合縝密，行蹤隱藏，危害巨大。

第三個(gè)威脅是技術(shù)創(chuàng)新所帶來的威脅，我們可以看到近五年來整個(gè)技術(shù)的變革，導(dǎo)致整個(gè)商業(yè)模式的變化，在這個(gè)過程中，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、機(jī)器人、人工智能，整個(gè)技術(shù)的發(fā)展導(dǎo)致安全與應(yīng)用推廣的速度不匹配。

針對(duì)這些外界威脅，我下面講一下民生銀行面臨的信息安全威脅與風(fēng)險(xiǎn)。我們可以看到，今年以來，整個(gè)銀行外部的安全形勢(shì)日趨復(fù)雜和嚴(yán)峻，從今年2月份以來，整個(gè)國(guó)際形勢(shì)上來看，從孟加拉央行、阿聯(lián)酋投資銀行，再到泰國(guó)，銀行都遭受了不同程度的攻擊。從國(guó)內(nèi)來看，我們民生銀行內(nèi)部遭受到了近千萬次攻擊，新增木馬病毒1.2億個(gè)，垃圾信息約100億條。

同時(shí)，攻擊方式發(fā)生了重大轉(zhuǎn)變，從傳統(tǒng)的攻擊向社會(huì)網(wǎng)絡(luò)、APT攻擊、多態(tài)變形的惡意軟件，這一年多來，從民生銀行內(nèi)部的安全系統(tǒng)監(jiān)測(cè)來說，這個(gè)趨勢(shì)呈逐漸攀升的狀態(tài)。所以可以這樣說，隨著技術(shù)的發(fā)展，銀行和金融系統(tǒng)面臨的安全威脅和攻擊非常嚴(yán)重和復(fù)雜。

而且銀行面臨的挑戰(zhàn)是互聯(lián)網(wǎng)金融應(yīng)用不斷拓展，外部銀行關(guān)聯(lián)系統(tǒng)防護(hù)參差不齊，安全防護(hù)短板仍然存在，隨著互聯(lián)網(wǎng)放大效應(yīng)銀行安全事件的影響，聲譽(yù)風(fēng)險(xiǎn)無限放大。這些新技術(shù)帶來的風(fēng)險(xiǎn)，就是對(duì)銀行來說可能有幾個(gè)方面，第一個(gè)，銀行的主要矛盾是開發(fā)，遭受來自于各個(gè)業(yè)務(wù)部門的壓力，整個(gè)的運(yùn)維更多的是內(nèi)部的壓力，安全運(yùn)維、生產(chǎn)運(yùn)維，更多的是操作、變更導(dǎo)致的風(fēng)險(xiǎn)，各種軟硬件的故障、缺陷導(dǎo)致的，但大家會(huì)發(fā)現(xiàn)這些更多是內(nèi)部的。

但是安全不一樣，安全有的時(shí)候不是一個(gè)點(diǎn)，是整個(gè)面，這個(gè)面不是說我做好銀行內(nèi)部的風(fēng)控，做好整個(gè)的IT治理就可以了。安全是受到一種新技術(shù)，受到來自于整個(gè)外界的安全威脅，如果我們把銀行IT系統(tǒng)比做一個(gè)城市，安全威脅更多來自于城墻之外，而我們的開發(fā)和運(yùn)維更多來自于城墻之內(nèi)。

而且在互聯(lián)網(wǎng)環(huán)境下，信息泄露和濫用問題日益嚴(yán)重，大數(shù)據(jù)依托海量數(shù)據(jù)集中，一旦泄露，其危害不堪設(shè)想。近年來，金融業(yè)的數(shù)據(jù)泄露事件觸目驚心，影響甚廣，一旦被不法分子利用，產(chǎn)生的身份冒充、釣魚詐騙等違法事件極其難防。而且同時(shí)信用濫用的現(xiàn)象非常普遍，包括現(xiàn)在的電信欺詐等等。

剛才跟大家交流了一下對(duì)于金融行業(yè)來說，我們面臨的一些從大的安全形式，以及到具體的國(guó)內(nèi)技術(shù)上的趨勢(shì)，民生銀行非常重視信息安全工作，下面給大家匯報(bào)一下我們?cè)谛畔踩矫嫠龅囊恍┨剿鳌Ｎ覀兓旧鲜潜O(jiān)測(cè)全覆蓋網(wǎng)絡(luò)攻擊，我們的數(shù)據(jù)保護(hù)，我們非常重視安全合規(guī)，在2016年8月底，我們實(shí)現(xiàn)了全國(guó)1000多個(gè)網(wǎng)點(diǎn)全實(shí)時(shí)的監(jiān)控；第二個(gè)是網(wǎng)絡(luò)攻擊，2016年截止到現(xiàn)在，民生銀行共接收到240萬余次攻擊；第三個(gè)是數(shù)據(jù)保護(hù)，我們搭建了全行的、全體系的，對(duì)全國(guó)所有的分支行進(jìn)行全面的數(shù)據(jù)管控；第四個(gè)是漏洞檢測(cè)，截止到2016年6月底，共發(fā)現(xiàn)5836個(gè)安全漏洞，其中高、中危漏洞數(shù)量占69.14%。

民生銀行信息安全的總體框架是，我們的愿景是希望達(dá)成共識(shí)的數(shù)據(jù)目標(biāo)和業(yè)務(wù)價(jià)值愿景，我們?cè)谥贫群弦?guī)、安全運(yùn)營(yíng)、網(wǎng)絡(luò)開發(fā)、滲透測(cè)試方面做了大量的工作，下面我分別給大家做一下匯報(bào)。我們是希望能夠做到一個(gè)行業(yè)領(lǐng)先、國(guó)內(nèi)一流、立足民生、面向集團(tuán)的目標(biāo)，具體來說，我們做了一下幾個(gè)方面。

第一，我們引入了一些前沿的先進(jìn)的技術(shù)，建立了專業(yè)化的信息安全平臺(tái)，完善了安全制度和規(guī)范，提升了信息安全技術(shù)的支撐能力，完善了信息安全的響應(yīng)機(jī)制。所有這些都離不開一個(gè)技術(shù)，所以目前民生銀行高薪聘請(qǐng)了一支安全隊(duì)伍，打造一支能打硬仗的安全隊(duì)伍。

我們可以看到在整個(gè)過程中間，我們分為幾套體系，最下面是基礎(chǔ)安全防護(hù)體系，包括網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、系統(tǒng)安全以及應(yīng)用安全服務(wù)；往上是安全處置中心，包括漏洞預(yù)警、情報(bào)中心、威脅態(tài)勢(shì)感知系統(tǒng)、應(yīng)急響應(yīng)、合規(guī)檢查；再往上是安全檢測(cè)，包括實(shí)時(shí)流量監(jiān)控、日志采集、流量檢測(cè)、惡意地址、安全預(yù)警、滲透測(cè)試、漏洞驗(yàn)證、攻防演練。最上面統(tǒng)一的服務(wù)接入層，包括認(rèn)證接口、密碼服務(wù)接口、數(shù)據(jù)安全接口、統(tǒng)一采集口以及安全可視化接口。同時(shí)我們有一個(gè)團(tuán)隊(duì)，不停地對(duì)我們的新技術(shù)做一些探索和研究。

在安全運(yùn)營(yíng)方面，我們是希望搭建以數(shù)據(jù)為基礎(chǔ)，充分整合安全和行為相關(guān)的數(shù)據(jù)資源，以運(yùn)營(yíng)團(tuán)隊(duì)為核心提升我們的數(shù)據(jù)分析能力，以安全場(chǎng)景為驅(qū)動(dòng)深入挖掘數(shù)據(jù)潛在的安全風(fēng)險(xiǎn)，以平臺(tái)為支撐，構(gòu)建整個(gè)安全的大數(shù)據(jù)體系。

我們希望通過廣泛的數(shù)據(jù)源的采集，再加上深層次的大數(shù)據(jù)的金融分析能力，來形成一些對(duì)信息安全的洞察。我們?cè)诎踩矫娲罱舜髷?shù)據(jù)平臺(tái)，在這個(gè)大數(shù)據(jù)平臺(tái)里面，通過對(duì)日志、情報(bào)、流量的采集和分析，我們可以支持各種形式的數(shù)據(jù)源，具備一種日志、安全事件與網(wǎng)絡(luò)活動(dòng)收集、正規(guī)化安全等報(bào)警能力。同時(shí)我們還和國(guó)外的情報(bào)服務(wù)集成，下一步將與國(guó)內(nèi)的一些安全公司合作，加強(qiáng)情報(bào)的使用。

這是我們內(nèi)部搭建的一套系統(tǒng)，是我們以安全場(chǎng)景為驅(qū)動(dòng)，深入挖掘存在的一些安全風(fēng)險(xiǎn)，攻擊是什么？攻擊成功了嗎？我們?cè)谀膬喊l(fā)現(xiàn)他們？涉及多少目標(biāo)系統(tǒng)，事件的關(guān)聯(lián)性，以及證據(jù)在哪里。

安全其實(shí)是貫穿整個(gè)軟件開發(fā)的生命周期，通常安全出了問題以后，我們是在事后發(fā)現(xiàn)，但是安全其實(shí)應(yīng)該從源頭到終端全過程，所以說過去我們的安全團(tuán)隊(duì)在開發(fā)的時(shí)候，通常上線以后再測(cè)試發(fā)現(xiàn)有漏洞，其實(shí)這些都已經(jīng)是事后了，然后再去修改，就會(huì)非常低效。現(xiàn)在我們把安全團(tuán)隊(duì)嵌入到整個(gè)的開發(fā)中，也就是說在上游希望這個(gè)安全團(tuán)隊(duì)的嵌入，能夠解決80%的問題，對(duì)于非常高級(jí)的、有難度的問題，再通過安全專家來發(fā)現(xiàn)剩余20%的安全問題。

我們?cè)谛枨笈c設(shè)計(jì)階段、開發(fā)與測(cè)試節(jié)、部署與響應(yīng)階段，以及流程優(yōu)化及其他階段，2015年我們整個(gè)銀行業(yè)的漏洞分析發(fā)現(xiàn)問題發(fā)展嚴(yán)重，與安全開發(fā)的一些信息泄露類、未授權(quán)訪問類、跨站腳本類、重方攻擊類，從開發(fā)角度來看，主要體現(xiàn)為越權(quán)防范、跨站防范等方面的工作。我們?nèi)ツ臧l(fā)現(xiàn)以后，把整個(gè)安全團(tuán)隊(duì)嵌入到開發(fā)過程中，實(shí)現(xiàn)全流程的端到端。

同時(shí)我們加強(qiáng)對(duì)操作風(fēng)險(xiǎn)的管理，希望這些終端管理的目標(biāo)是可管理、可審計(jì)、安全可控；我們完善各類終端的安全標(biāo)準(zhǔn)和制度，健全管理工具，重點(diǎn)是做好終端層的數(shù)據(jù)防泄密工作。過去在我們民生銀行經(jīng)常會(huì)發(fā)現(xiàn)，因?yàn)槊裆y行在中國(guó)金融業(yè)一直是創(chuàng)新的黑馬，業(yè)務(wù)上有很多創(chuàng)新，我們往往會(huì)發(fā)現(xiàn)，今天我們做了一個(gè)業(yè)務(wù)創(chuàng)新，明天在別的銀行就可以看到這份文件。我們從2015年2月份以來，對(duì)終端的操作管控非常嚴(yán)格，封閉了所有入口，包括郵件、USB口等等。

還有一個(gè)是滲透測(cè)試，我們的目標(biāo)是面向全行業(yè)務(wù)系統(tǒng)，從攻擊者的角度，及接近實(shí)戰(zhàn)的技術(shù)手段進(jìn)行滲透測(cè)試，這就需要我們內(nèi)部有目的地做這些工作，做模擬演練。我們希望建立銀行業(yè)第一支專業(yè)滲透測(cè)試隊(duì)伍，實(shí)現(xiàn)對(duì)全行應(yīng)用系統(tǒng)安全漏洞的統(tǒng)一發(fā)現(xiàn)、統(tǒng)一管理、統(tǒng)一修復(fù)，實(shí)現(xiàn)安全漏洞挖掘、方向的智能可控。

我們搭建了一個(gè)漏洞管理系統(tǒng)、漏洞預(yù)警系統(tǒng)以及可視化漏洞分析系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)安全威脅處置系統(tǒng)，目前來說我們整個(gè)安全團(tuán)隊(duì)有40多人，這兩年來我們對(duì)人才的引進(jìn)，我們希望通過對(duì)一些高級(jí)人才的引進(jìn)，搭建兩支隊(duì)伍相互攻防，能更好地發(fā)現(xiàn)一些問題，未雨綢繆，防患于未然。在業(yè)務(wù)不斷發(fā)展的過程中，如何做到業(yè)務(wù)安全，有的時(shí)候在業(yè)務(wù)發(fā)展過程中出現(xiàn)一些大的事件，所出現(xiàn)的監(jiān)管的不信任，對(duì)我們的業(yè)務(wù)影響非常大，所以我們必須要有這樣一套滲透測(cè)試的隊(duì)伍，這樣一個(gè)系統(tǒng)，來解決這些問題。

制度和合規(guī)方面，我行已逐步完成信息安全體系規(guī)劃建設(shè)工作，內(nèi)容涵蓋信息安全的總體策略、信息安全的組織管理、應(yīng)用系統(tǒng)開發(fā)和測(cè)試運(yùn)行、信息系統(tǒng)安全管理培訓(xùn)等等。從銀監(jiān)會(huì)、信息監(jiān)管部門的IT治理的角度來說，我們整個(gè)安全、風(fēng)控，在2014年通過了ISO27001和CMM認(rèn)證，我們希望參考業(yè)界的信息安全的管理體系，以及我們自身的安全管理體系，依據(jù)信息安全監(jiān)管的要求和實(shí)踐，來建立健全整個(gè)信息安全保障體系。

同時(shí)基于我們的創(chuàng)新，基于大數(shù)據(jù)，我們搭建了一套安全情報(bào)處理系統(tǒng)，我們的目標(biāo)是建立以情報(bào)平臺(tái)為核心威脅情報(bào)處置中心，目標(biāo)是構(gòu)建協(xié)同防御的大腦，在傳統(tǒng)防護(hù)體系的基礎(chǔ)上，建立基于情報(bào)的大數(shù)據(jù)分析平臺(tái)。由此為基礎(chǔ)來實(shí)現(xiàn)大數(shù)據(jù)的智能化情報(bào)體系，圍繞業(yè)務(wù)面臨的安全威脅，提供安全處置和保障業(yè)務(wù)服務(wù)。

這是我們整個(gè)的框架，在這個(gè)框架里面我們可以看到我們民生銀行在安全情報(bào)威脅衷心的一些愿景，在這個(gè)愿景里邊我們分為幾個(gè)階段來實(shí)現(xiàn)，因?yàn)闀r(shí)間有限我就不展開講了。這個(gè)平臺(tái)有防止木馬的、有防止惡意網(wǎng)站的，這個(gè)平臺(tái)目前已經(jīng)上線。

大家都知道，基于現(xiàn)在的安全體系下面，可能很多安全問題很難解決，就像我們的手機(jī)銀行、APP，大家會(huì)發(fā)現(xiàn)在安卓的系統(tǒng)上運(yùn)行的時(shí)候，有很多底層的問題，不是我們這個(gè)層面能夠解決的，所以必須要有更高的技術(shù)來做。在前兩個(gè)月，我們國(guó)家也發(fā)射了第一顆基于量子通信的衛(wèi)星，我們民生銀行也進(jìn)行了參與，增強(qiáng)系統(tǒng)安全性，建立縱深防護(hù)體系。

最后我想做一個(gè)總結(jié)，我們希望全面感知是基礎(chǔ)，異常行為是線索，分析能力是關(guān)鍵，響應(yīng)處置是根本。安全這條路還很長(zhǎng)，我相信各個(gè)銀行的科技部都面臨這樣一個(gè)問題，因?yàn)榘踩且粋€(gè)最底層，今天很多的安全問題不是光靠你一個(gè)單位所能解決的，更多的是城墻之外的事情。在這一塊我們也分享一些經(jīng)驗(yàn)，我們民生銀行除了我們自己，也積極地跟國(guó)內(nèi)外的同業(yè)做一些交流，我們跟國(guó)家信息安全測(cè)評(píng)中心、跟總參三部、公安部，以及國(guó)內(nèi)一些知名的安全公司展開長(zhǎng)期的合作。

安全是城墻之外的事情，它不是一個(gè)點(diǎn)，它是需要由一個(gè)點(diǎn)連成一條線、一個(gè)面，建立一個(gè)縱深的防護(hù)體系。很多安全問題不是在銀行這一端，大家都知道近年來有很多第三方支付的平臺(tái)，我們也經(jīng)常登錄各個(gè)網(wǎng)站，錄入一些信息，有的時(shí)候你都不知道你的安全，你的各種信息的泄露是發(fā)生在什么地方。所以它是整個(gè)國(guó)家層面的縱深的防御體系，在這個(gè)過程中，各個(gè)同業(yè)橫向和縱向的溝通非常重要，目前我們民生銀行正在做一個(gè)概念叫做安全賬戶，因?yàn)槲覀兘裉彀l(fā)現(xiàn)我們一個(gè)銀行有很多賬戶，你會(huì)發(fā)現(xiàn)你這個(gè)賬戶可能會(huì)安全很多，有的是跟微信關(guān)聯(lián)，有的是跟第三方支付平臺(tái)關(guān)聯(lián)。但是不管怎么說，最終你的數(shù)據(jù)要從銀行賬戶出來。

我們希望安全賬戶有一個(gè)最高的優(yōu)先級(jí)，可以把前面的認(rèn)證覆蓋掉，或者說我們?cè)O(shè)置一個(gè)縱深，比如在2000塊錢以下就走常規(guī)驗(yàn)證；當(dāng)超過這個(gè)限額以后，我們就會(huì)給你發(fā)一個(gè)短信通知，讓你去驗(yàn)證一下。這個(gè)工作也很復(fù)雜，需要方方面面的協(xié)同。所以安全的一些工作應(yīng)該說隨著技術(shù)的進(jìn)步任重道遠(yuǎn)，今天由于時(shí)間有限，很多方面就不展開，我們也希望同業(yè)之間多多交流，也歡迎同業(yè)到我們民生銀行來做交流，謝謝大家！