【中国银行信息科技运营中心总经理刘鸿乾】转型发展、重在预防，全面提升关键信息基础设施的安全能力

中国银行信息科技运营中心总经理 刘鸿乾

新形势下，关键信息基础设施保护要求迫切。当今世界正经历百年未有之大变局，中国银行作为关键信息基础设施运营者，将与产业各方紧密合作，加强关键领域基础研究，加大创新研发力度。在全行数字化转型的关键时期，中国银行将一如既往严格履行关键信息基础设施保护社会责任，维护国家网络安全、保障经济社会健康发展、切实保护公共利益和客户合法权益。

金融行业是国家关键信息基础设施建设的重要领域，相关企业持续开展关键信息基础设施建设和稳定运行的防护工作，构建了相对完整且多层次的关键信息基础设施安全防御体系。近年来，中国银行在围绕“数字化”主轴提升科技创新引领能力和打造战略级场景的转型发展过程中，坚决落实国家关键信息基础设施保护要求，履行关键信息基础设施运营者责任，实现安全生产运营能力稳步提升。中国银行系统平均业务服务可用率连续多年稳定在较高水平，近一年识别和拦截来自全球百余个国家和地区的互联网攻击数亿次，成功防范拒绝服务、网络入侵、信息泄露等高风险网络安全威胁，在建设全球一流现代银行集团的过程中，同步提升关键信息基础设施安全保障能力。

一、落实关键信息基础设施保护要求

1.依托三道防线，强化信息科技和安全管理体系建设

中国银行在金融行业传统三道防线的基础上，做实第一道防线，做强和做专第二道防线，做精第三道防线，对信息科技风险主动进行识别、评估和控制，强化员工违规违纪处理、案件查处、管理问责等职能；同时通过实施软件能力成熟度集成模型(CMMI)、IT服务管理体系国际标准(ISO20000)、信息安全管理体系国际标准(ISO27001)、数据中心服务能力成熟度模型国家标准(BG/T33136)等国内外相关标准体系认证，健全了关键信息基础设施管理和安全保护机制。从制度层面夯实安全管理基础，确保安全保护措施与关键信息基础设施同步规划、同步建设、同步使用，为关键信息基础设施安全保护奠定基础。

2.对标等保2.0标准，增强重要信息系统安全防护

中国银行信息科技运营中心作为IT运营部门，承担着关键信息系统运行的重要任务，必须持续、全面、客观地评估关键信息基础设施安全防护现状与等保2.0标准的差距，从法律法规、标准要求、安全体系、等保2.0实施等方面寻找突破口，构建具备对应等级安全保护能力的网络安全综合防御体系。通过开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和技术支持等多项工作促进信息系统安全防护能力提升。目前，中国银行信息科技运营中心已明确了等级保护系统和具体映射的相关应用，每年持续开展覆盖全部系统的安全评测。

3.遵照国家法规，加强关键信息基础设施网络安全审查

为落实《中华人民共和国网络安全法》《网络安全审查办法》等有关要求，中国银行制定了《中国银行网络安全审查工作管理办法》，进行行内网络安全审查，严格履行国家有关部门网络安全审查要求。

4.参照国际标准，提升数据安全和个人隐私保护能力

中国银行围绕生产数据生命周期开展数据安全防护，根据生产数据分类及所处生产周期阶段，对数据的使(借)用、备份、恢复、清理、销毁等进行规范管理，保障生产数据的保密、完整、可追溯、可审计、一致性，保护生产数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。通过开展数据质量改进、奖惩机制、数据安全分级、数据变更、数据质量自查、现场检查辅导等多项工作，进一步提升数据管控能力。作为跨国企业，中国银行主动引入国际标准，强化隐私保护，参考欧盟《通用数据保护条例》(GDPR)的要求，实施了合规差距评估，制定了IT解决方案和相关流程，严格落实客户个人信息保护工作。

二、履行关键信息基础设施运营者责任

1.固化安全意识，全面提升全行网络安全意识

网络安全防护关系全行所有员工，为有效落实安全防御相关工作，中国银行制定了《全员网络安全教育手册》，并定期开展钓鱼邮件等社会工程攻击实战演练，覆盖国内外所有机构，让每一位员工熟知应对网络攻击的方法和流程；从防护和攻击两个维度详细剖析讲解典型技战法，指导各级网络安全人员从管理和技术两个维度提升关键信息基础设施、重要网络和核心数据的安全保护能力。

2.构建新型基础设施布局，提高应急响应能力，保障业务连续性

中国银行坚持科技引领，全面推进企业级架构建设，基本建成云计算、大数据、人工智能三大技术平台，基本形成“多地多中心”新型基础设施布局。在IT基础设施从传统“两地三中心”集中式布局向“多地多中心”集中与分布式布局的转型过程中，重点打造“同城双活、异地可实切”的灾备架构体系，实现集中式架构支持关键系统异地实切和交替运行、分布式架构支持应用多地部署和灵活扩展。通过每年组织总行业务部门、科技部门及分行部门充分参与的全球灾备演练和国内灾备演练，有力保障关键信息基础设施连续性运营能力。中国银行信息科技运营中心充分借鉴行业最佳实践、历史事件经验和专家经验，构建并完善应急场景库，针对复杂场景提前制定应急预案，包括网络安全领域DDoS攻击、数据泄露、主机入侵等数个应急场景。通过加强复杂场景判定，实施场景自动化管控，增强应急演练有效性，全面提升信息安全事件的响应和处置能力。

3.建设“预防为主”的安全生产管理体系，提升生产系统可用性

中国银行信息科技运营中心全面构建以“预防为主”的安全生产管理体系，其核心思想就是重点打造“11333”，即“以党建为引领、打造一个体系、树立三个意识、实现三层穿透、压实三个总开关”，向安全生产体系注入“预防为主”的安全文化(如图1所示)。在借鉴吸收ITIL服务管理体系、风险管理模型、技术管理框架经验的基础上，立足安全生产运维实践，以应用服务为核心，贯彻“责任意识、风险意识、协作意识”，以关键信息基础设施相关的管理流程、技术领域为发力点，深入推进“风险、事件、监督”穿透式管控，压实“变更、监控、应急”总开关，确保关键信息基础设施服务的可用性。

“预防为主”坚持防范为先为重、防范管控和化解处置有机结合。强化关键基础设施风险态势的全口径识别，主动从事件故障、性能指标、批次投产、技术架构、业务变化、日常维护中动态收集识别潜在风险隐患，明确资产可能的威胁及脆弱程度，形成风险防护清单，针对清单逐一制定主动防护策略和措施，防范“灰犀牛”、警惕“黑天鹅”。

图1 “预防为主”的生产管理体系

4.优化企业级安全运营中心，抵御网络攻击威胁

中国银行在“实战化、常态化、体系化”背景下，履行关键信息基础设施防护职责，自顶向下开展网络安全运营能力建设。建立7×24小时不间断运营的企业级安全运营中心SOC，通过一体化关联分析、威胁情报、大数据分析等技术，增强了对高级持续性威胁(APT)和精准式网络攻击的实时发现及智能化预警能力，并开展常态化的防御有效性验证工作，提升运营实效；建立了覆盖全集团、集中管理、联动处置的威胁处置流程，并结合威胁情报开展非政府背景APT以及精准式网络攻击的溯源反制，真正实现事前预防、事中监测处置、事后分析溯源的安全威胁全生命周期管控；建立了全生命周期的漏洞管理机制，努力提升安全评测能力，自主研发了安全漏洞风险计量标准及工具平台，部署了覆盖总分行的安全漏洞扫描系统。此外，中国银行还结合金融行业特征，建立行业适用的漏洞分类分级方法，针对高危可利用漏洞重点投入资源修复，提升漏洞修复费效比。

5.推进软硬件产品安全可控，信创技术路线初步形成

创新型软硬件产品适配性测试是关键信息基础设施安全可控工作推进的首要、基础性工作。自2020年以来，中国银行信息科技运营中心完成安全可控测试任务数十个，执行测试案例数千个，发现数百个缺陷。测试内容涵盖IaaS云平台、PaaS云平台、大数据平台、MPP数据库等多项不同层次技术体系，对相关产品的可用性、可维护性、安全性等各方面进行了全面测试。经过产品基础测试、技术平台适配测试、应用场景测试和试点应用投产试运行等阶段验证，中国银行已完成创新型产品全栈技术栈构建，基本形成信创技术路线，为创新型产业生态的完善与丰富贡献了力量。

三、直面关键信息基础设施防护新挑战

当前，金融科技快速发展，云计算、人工智能、大数据等相关新基础设施在金融行业陆续落地。生产可用性运维、网络安全防护等保障措施的发展受制于相关技术领域的创新和突破水平，尚未与新基础设施的建设完全保持同步。继《中华人民共和国网络安全法》和《中华人民共和国数据安全法》之后，《中华人民共和国个人信息保护法》正式施行，这标志着数据强监管时代的来临，个人信息保护和数据合规变得越来越有挑战性。

中国银行将通过企业架构建设，强化新旧线建设统筹管理，完善支撑企业级架构所需的运维管理体系和平台工具，建立全球一体化、智能化IT生产运维管理体系，提升智能预警、自动处置、全局展示能力，打造高可用、高安全、高弹性、高敏捷、高效能的IT基础运营平台。

为应对新型安全威胁，中国银行正在升级面向主动与自适应防御的智能安全运营中心，通过多维度、全要素的一体化网络空间安全态势感知平台，形成集团统一的“网络空间安全态势图谱”，实现数字化、可视化的安全协同指挥作战体系。

为提升数据安全和个人信息保护水平，中国银行将通过建立全集团的企业级数据模型、数据字典和数据仓库，实现对数据标准、质量和安全的有效治理，确保数据出同源、能追溯、可信赖，以满足不断加强的数据安全和个人信息保护监管要求。

当今世界正经历百年未有之大变局，关键信息基础设施保护要求迫切。中国银行作为关键信息基础设施运营者，将与产业各方紧密合作，加强关键领域基础研究，加大创新研发力度，在全行数字化转型的关键时期，一如既往严格履行关键信息基础设施保护社会责任，维护国家网络安全、保障经济社会健康发展、切实保护公共利益和客户合法权益。