《2023年基层银行业金融机构网络安全现状、问题及对策研究.docx》由会员分享,可在线阅读,更多相关《2023年基层银行业金融机构网络安全现状、问题及对策研究.docx(5页珍藏版)》请在第一文库网上搜索。
1、基层银行业金融机构网络安全现状、问题及对策研究近年来,人民银行和银保监会陆续出台金融科技发展规划(20232025年)关于银行业保险业数字化转型的指导意见等指导性文件,强化金融科技赋能,推动金融业数字化转型。金融机构自身也通过系统升级改造、业务流程重构、业务场景创新等多种方式加快数字化转型步伐。随着科技与金融融合的不断深入,金融科技在满足金融需求和促进金融行业更好服务实体经济的同时,也使得金融系统成为网络攻击的重灾区。根据威胁情报公司F1aShPOint的数据,在全球范围内,金融服务行业组织在2023年遭受的已知漏洞攻击数量位居第二,仅次于政府组织。基层银行业金融机构作为普惠金融的直接参与者,
2、网点数量众多、人员庞杂、技术力量相对薄弱,其网络安全管理应得到重点关注。本文以XX省XX市为例,通过量化分析手段,对地市分行及以下的非法人银行业金融机构网络安全现状进行调研,指出基层银行业金融机构在网络安全工作中存在的差距和不足,并提出对策建议。一、XX市基层银行业金融机构网络安全现状XX市辖区有非法人银行业金融机构14家,其中政策性银行1家,国有商业银行6家,股份制商业银行1家,城市商业银行6家。近年来,全市基层银行业金融机构全面落实网络安全责任制,持续推进网络安全保障体系和治理能力建设,“技防+人防”双向发力,网络安全防护能力和防护水平得到显著提升。(一)网络安全体系建设情况全市14家机构
3、均成立了“一把手”负责的网络安全领导委员会或网络安全领导小组,全面负责本单位的网络安全工作。制定了机房管理、人员管理、终端管理等网络安全管理制度,明确网络安全工作内容,强化责任分工,并认真执行。每年开展网络安全应急演练,定期组织网络安全技能培训及开展网络安全知识宣传,投入一定的人力、物力和财力,为网络安全防护和重大网络事件处置提供充分保障。(二)技术手段和防护措施情况辖内基层银行业金融机构采取了一系列的技术手段,具备一定的网络安全防护能力。从机房建设来看,大多数机构机房能够满足日常业务需求。所有机构部署了机房门禁系统并实现通信网络双路运营商接入。9家机构采用双路市电输入,13家机构配备了UPS
4、不间断电源,11家机构备有发电机,12家机构部署了机房环境动力监测系统。从网络设备和安全设备配置情况来看,基层银行业金融机构主要以核心网络设备为主,全市仅2家机构机房部署服务器。其中,3家机构核心网络设备购置年限在3年以下,7家购置年限为35年,绝大多数机构核心网络设备实现双机热备,7家机构部署了入侵检测系统,11家机构部署了防火墙。从终端管理来看,所有机构部署了终端管理系统,并安装了杀毒软件,部分机构对终端IP地址和MAC地址进行了绑定。各项技术措施部署详细情况如图1所不O(三)科技队伍建设情况目前,辖内基层银行业金融机构科技工作人员189人,其中专职科技人员44人,兼职科技人员145人(担
5、任部门网络安全员等),网络安全岗专职人员18人。基层科技人员主要负责检查机房设备运行状态、更新杀毒软件病毒库、组织开展网络安全应急演练、处置网络设备和计算机等电子设备故障、排查网络安全事件,少数机构科技人员需负责防火墙及入侵检测系统的策略管理、优化网络配置等工作。二、基层银行业金融机构网络安全工作中存在的差距和不足(一)机构设置与制度建设不完善辖内仅有4家机构成立了单独的科技部门,其余10家机构由办公室、运营管理部等部门履行科技工作职责,科技人员混岗、兼岗现象严重,不利于网络安全工作的全面开展。辖内11家机构沿用上级行或总行的网络安全管理制度,仅有3家机构制定了本级管理制度,5家机构没有制定本
6、级应急预案。由于上级行或总行与基层机构在机房部署、网络部署和科技工作职能上均有较大的不同,照搬照套上级行管理制度和应急预案会与实际情况脱节,一旦发生突发事件将无法应对。(二)网络安全技术措施存在漏洞辖内3家机构没有配备发电机,其中1家机构没有配置UPS,停电时该机构将无法办理柜面业务,存在较大风险。2家机构未部署机房动力环境监测系统且无法实现24小时在岗值班,一旦机房发生火灾、空调故障等突发状况,科技人员无法第一时间发现并采取措施。少数机构部署的网络安全防护硬件设备过少,5家机构本级仅部署了防火墙和入侵检测系统中的一种,1家机构本级未部署任何网络安全硬件设备,在发生网络安全事件时,不利于追踪溯
7、源,还可能导致风险向同级机构和上级行蔓延。(三)科技人员队伍建设存在不足从人员数量来看,辖内基层银行业金融机构总职工数为5899人,专职科技人员为44人,科技人员占比仅为0.74%。可见,基层机构的科技人员不足,且自2023年以来科技人员数量连年递减,50%以上机构认为本单位科技人员不足或者严重不足。从年龄和学历来看,全市30岁以下的科技人员仅9人,研究生及以上学历科技人员2人,具有网络安全资质人员2人,3家机构的专职科技人员全部没有计算机专业背景。同时,科技人员年龄结构极不合理,高层次科技人才严重不足。从人员能力来看,9家机构具有独立配置交换机、防火墙等网络和安全设备的能力,4家机构电子设备
8、的维修以外包公司为主,1家机构全部由外包公司负责,科技人员专业能力不足。人员分布情况如图2、图3所示。三、对策建议(一)强化组织机构建设,完善网络安全应急体系机构和岗位设置各机构应结合自身情况成立专门的科技部门,如不具备此条件也要进一步明确专岗科技人员,并实行A/B角制度,网络安全管理员应尽可能选派具有计算机专业背景的人员担任。制度建设方面,各机构应制定切实可行的网络安全管理制度,不能照搬照套上级行规定,须结合本地实际情况进行完善。对于常规性科技工作,应建立统一的、标准的、执行性强的业务操作流程。应急管理方面,各机构要高度重视应急管理工作,建立健全网络安全应急管理协调联络机制,发生网络安全事件
9、时立即向上级行和行业主管部门报告,并根据事态严重情况研判是否需要向社会发布情况通告。要制定本级网络安全应急预案,定期对应急预案进行演练、评估,及时发现并修改应急预案中存在的问题和不足。要严格按照应急预案开展应急演练,不打折扣、不搞变通、不走形式,确保突发事件发生时能够迅速准确地进行处置,切实增强网络安全防护的实战能力。(二)丰富网络安全防御手段,筑牢网络安全屏障1 .部署边界防火墙,加强安全访问控制。分支行网点在网络边界处部署下一代防火墙,通过防火墙强大的访问控制技术进行行为管控,同时在防火墙内部部署入侵防御、UR1管控、防病毒等手段,有效应对从网络层到应用层的攻击行为。2 .部署终端准入设备
10、,增强终端管控手段。未经检查的终端接入内网,存在将木马程序、恶意代码等带入内部网络,从而造成敏感信息泄露、业务办公网络瘫痪等潜在风险。通过对接入终端进行病毒软件安装、最新补丁升级、登录密码复杂度等安全因子的检查,研判终端安全指数,能够及时阻断不安全终端的接入,进而降低内部网络安全风险。3 .部署终端杀毒软件,强化终端恶意代码防护能力。在广域网侧和互联网侧均部署杀毒软件,及时查杀病毒,防止中毒终端成为病毒攻击内部网络的“桥”,提高终端和内部网络抵御风险的能力。4 .部署上网行为管理系统,加强用户行为审计。通过部署上网行为管理系统对网络使用者进行行为管控,阻止非法的浏览和外发行为,并根据用户的身份
11、进行实名审计,做到事后有据可查。5,构建拟态网络,实现主动安全防护。目前各机构网络安全防护体系以传统的安全措施为主,如防火墙、IDS、IPS、防病毒等。该防护体系的特点是安全防护能力均基于规则和经验,一旦新的未知安全威胁出现,其可能存在被穿透的风险。各机构可以结合实际情况建立以拟态防御技术为基础的蜜网,通过蜜网诱捕功能,对关键区域或关键系统进行安全监测,一旦发生网络攻击,拟态防御蜜网会智能识别、自动预警和快速阻断,及时捕获已知和未知风险。(三)加强网络安全日常管理,消除网络安全隐患加强对机房、供电、重要网络设备的日常巡检工作,对发现的问题及时解决。保证短期的备用电力供应,应至少满足在断电情况下
12、的正常运行要求。核心网络设备要有备份,在条件允许的情况下应以热备为主。要加强外包管理,审核外包供应商资质,签订保密协议,当外包人员提供服务时要有科技人员全程陪同,保障数据安全。积极开展网络安全等级保护工作,根据信息系统重要程度和业务影响范围的变化情况,对系统级别进行动态评议。(四)加快科技队伍建设,提升运维保障能力人才是筑牢网络安全防线的重要保障,没有一支专业的科技队伍,任何防御措施都是空谈,各机构应加强人才队伍建设。一是建立和完善一系列人才引进措施。根据不同的学历、资历、工作经历和工作能力等,为引进的人才制定不同的福利待遇政策和职业生涯规划。二是拓宽引才视野,丰富引才渠道。持续建立校园招聘、社会招聘、外部推荐、内部选拔、银企交流等引才渠道,实现人才队伍结构的有效优化调整。三是重视科技人才培养。各机构应积极组织员工参加再教育和外部专业培训,鼓励科技人员考取相关资质,提升科技队伍专业能力,不断弱化对科技外包公司的依赖,做到网络安全自主可控。同时,机构内部可实施跨部门间的人才交流学习,推进科技与业务深度融合,大力培养高水平复合型金融科技人才。