中国工商银行金融科技部副总经理 张艳

　　面对挑战，工商银行通过不断摸索和实践，从管理、运营、技术三个层面构筑严密的安全防护网，并通过内部实战演练，以攻促防，构建攻防兼顾、能力相长的安全体系框架，有效保护工商银行信息和信息系统安全，保护客户资金和信息安全。

　　随着互联网的快速发展，全球网络威胁持续升级。以SWIFT系统系列攻击事件为代表的全球网络入侵事件频发，信息泄露风险持续高发，地下黑色产业链规模日益庞大，通用基础软件漏洞数量屡破历史记录，商业银行面临严峻的外部安全挑战;国家、监管、行业等各层面纷纷加强顶层设计和高层治理，强化监督处罚力度，加大安全投入和风险管控力度;区块链、云计算、大数据、生物识别等新技术的应用在促进金融创新的同时，也带来了新的风险和挑战。

　　工商银行作为规模最大的商业银行，面临多方面安全挑战：一是业务种类多、接入渠道广，直接对外暴露面大，面临的外部攻击风险高;二是交易参与方多、环节多，安全防护链条长;三是线上线下融合、网络边界模糊，风险容易被传导;四是新业务新产品频繁迭代更新，安全防护难度加大。面对挑战，工商银行通过不断摸索和实践，从管理、运营、技术三个层面构筑严密的安全防护网，并通过内部实战演练，以攻促防，构建攻防兼顾、能力相长的安全体系框架，有效保护工商银行信息和信息系统安全，保护客户资金和信息安全。

　　一、提高站位，牢守金融网络安全底线

　　工商银行历来高度重视网络安全建设，坚持以习近平总书记网络安全系列讲话为指导思想，在国家安全战略指引下，始终坚持走安全可控的信息化银行建设道路，多年来以保障银行信息及信息系统安全稳定运行为目标，以为客户提供安全可靠的金融产品和服务为己任，高度重视顶层设计，制定了“安全第一、人人有责、主动防御、全面可控、依法合规、综合治理”的安全方针，指引和贯穿各项安全管理工作。工商银行深刻认识当前国内外复杂严峻的安全形势，将各项网络安全工作上升到保障国家关键信息基础设施安全的高度，多措并举、扎实推进、稳步落实，牢守金融网络安全底线。

　　二、坚持顶层设计，“一盘棋”统筹安全工作

　　工商银行从信息系统建设以来始终高度重视顶层设计工作，依据国家有关法律法规和国家技术标准，参考ISO27001等国际标准，并借鉴业界先进的安全技术和运营能力框架以及最佳管理实践，形成了适应工商银行发展需要的网络安全管理框架和安全技术架构蓝图，站在全集团统一视角，“一盘棋”统筹网络安全管理与技术工作。

　　经过多年的摸索和实践，工商银行从管理、运营、技术三个层面构筑了全面、智能、立体的安全防御体系，从被动防护转向主动防御，从事后防护转向全过程防范，从边界防护转向全面防御，从利用传统工具转向利用大数据和安全技术结合，从保护企业安全转向保护企业和客户安全，从防御体系建设转向攻防兼备、能力相长的攻防体系建设。

　　管理方面，工商银行聚焦方针策略与组织职责，突出高层在网络安全管理中的指导作用，制定了与企业战略相匹配的网络安全方针策略，建立自上而下的安全组织架构，并从制度规范体系、人员安全、建设管理、评估审计方面推动网络安全具体管理措施执行落地。

　　运营方面，按照主动防御思路，建立集中化、例行化的网络安全运营管理，实现从识别、保护、监测、响应网络安全风险全生命周期的运营管理，并通过自主研发全面、智能、可视化的安全态势感知平台，引入大数据技术、机器学习等技术，探索人工智能与安全技术的深度融合，提升工商银行主动立体的安全防御能力。

　　技术方面，从技术各领域加强安全功能建设并持续改进和完善，建立立体防御体系，实现被动防御到主动控制转变，并通过研究跟进物联网、大数据、云计算、生物识别、量子密码等新兴技术，积极应对新技术变革带来的安全风险。

　　三、强化安全运营，构建全集团一体化安全运营体系

　　工商银行在现有安全技术防护体系基础上，自主研发了全集团、全过程、智能化的安全态势感知平台，并围绕此平台建立覆盖全集团、统一的信息安全运营中心，进一步提升工商银行主动、立体的安全防御能力。一方面，信息安全运营中心范围覆盖工商银行全集团各个机构，实现事前预防、事中监测与处置、事后分析全生命周期安全管控。另一方面，通过引入大数据、机器学习等技术，探索人工智能与安全技术的深度融合，全方位全天候实时感知和处置各类攻击行为，与各安全系统联动实现智能防御。

　　1.实现多维度多视角的安全态势感知全景视图

　　工商银行基于智能数据挖掘和分析，实现实时感知各类内外部网络攻击事件、全集团安全管控等情况，并通过多维度多视角的安全态势视图进行展现;同时，为管理人员、一线监控人员、二线分析人员等不同岗位人员提供多维度多视角视图。

　　2.构建基于模型的多层次立体安全监控体系，实现智能分析挖掘

　　工商银行通过单点监测、关联检测和场景化监测等构建多层次立体安全模型监控体系，建设了基于规则、机器学习等多个安全模型，涵盖系统安全、网络安全、身份认证及权限控制、终端安全、应用安全等安全领域，实现多领域数据实时关联分析和智能分析挖掘，与现有安全防护体系配合共同提升风险感知能力，为智能防御提供坚实基础。

　　3.基于智能分析建模实现全生命周期安全监测与处置

　　工商银行实现各类安全事件的7×24小时全生命周期实时监测与处置，实现与上下游设备的联动处置，快速处置各类攻击行为，同时通过自主研发假冒网站识别程序，多个渠道主动发现并协调处置假冒网站，切实保障客户资金和信息安全。

　　4.围绕安全资产实现安全策略、安全漏洞、威胁情报等全生命周期集中管控

　　安全资产方面，通过采集全量资产数据，结合安全风险数据，开展安全资产画像，为精准定位内外部攻击提供基础信息;安全策略方面，通过与各类上下游系统联动，强化安全策略执行;安全漏洞方面，通过与专业安全系统对接，实现漏洞全过程管理，大大提高了漏洞处置时效和闭环管理;威胁情报方面，通过引入多渠道外部威胁情报，整合内部威胁情报，构建多源多维度的威胁情报库。同时通过在安全检测、事件响应、安全防护设备联动等各个方面开展威胁情报应用，提升未知威胁检测和响应能力，实现威胁情报驱动安全防护。

　　四、夯实技术防护，建设体系化纵深防御体系

　　安全技术防护是安全工作的基石，工商银行多年来始终坚持在技术领域务实创新，高度重视体系化纵深防御技术体系建设，通过积极部署多项安全防御措施，引入并应用相关安全前沿技术，实现从前端到后台应用、从边界到内部核心、从境内到境外全过程、全方位、全链条的安全防护，切实保护工商银行信息系统和客户信息安全。

　　1.构建纵深防御网络防护体系

　　工商银行通过在互联网边界部署各类安全防护设备，实时监测和拦截互联网攻击，实现网络边界第一道防护;内部网络上，通过网络分区、网络流量异常行为感知等实时监测并拦截用户异常行为，从边界到内部网络全面防范攻击者的横向扩展和纵向深入。

　　2.建立高级可持续性攻击防护体系

　　工商银行在完善现有安全体系的管理及技术措施的基础上，强化检测和响应能力，构建了全行统一、立体、层次化的高级可持续性攻击防御体系。在检测方面，引入基于威胁情报库的文件异常动态检测、流量异常检测、多维大数据关联检测等手段，实现全网检测和威胁感知;在响应方面，建立了多专业联动响应机制，增加网络会话阻断等事件处置措施，加强检测与响应自动化联动，大大提升了安全监测和处置效率。

　　3.构建严密的终端安全防护体系

　　工商银行自主研发了适用自身安全管控需求的终端安全防护软件，实现网络准入控制、终端完整性检查、互联网访问控制、外设端口控制等安全防护，并按照“分级管、集中控、硬控制”的思路统一全行终端分组策略和安全基线，全行终端根据不同场景设置不同分组和策略基线，实现策略集中管控和下发，强化终端安全管控。

　　4.自主研发信息防泄露安全产品，强化数据安全保护

　　一是工商银行对业务系统查询和下载敏感信息进行严格控制，切实保护客户信息安全;二是通过自主研发信息泄露防护产品，实现对终端敏感信息的安全防控，防止终端用户通过U盘拷贝、外发邮件、光盘刻录、打印等途径泄露敏感信息;三是通过部署外发邮件信息防泄露系统，实现对所有外发邮件敏感信息的实时监测和拦截，有效防范信息泄露风险。

　　5.构建全面的应用安全防护体系

　　交易前，工商银行通过为客户提供交易安全锁、安全介质、部署安全控件等为客户撑起安全防护伞;交易中，工商银行构建了“风险+智能”的智慧风控体系，建设企业级反欺诈平台，建设大数据服务云三大平台“魔方平台”“天梭平台”“图灵平台”，部署超过200个实时计算和准实时计算模型，通过每秒可达10万笔数据的实时处理能力，累计预警和阻断2000多万笔信用卡、借记卡和电子银行欺诈交易，侦测并拦截万余起团伙欺诈，避免客户损失60多亿元，有效保护客户交易安全;交易后,通过各类风控模型深入挖掘各类欺诈行为，从账户、位置、设备、行为等多个维度提取恶意账户关系特征属性，并建立账户之间的关联关系，发现了多个针对工商银行的欺诈团伙，并根据欺诈行为部署了对应的拦截规则。

　　6.加快安全新技术的引入和应用

　　近年来，针对银行的网络攻击呈现规模化、趋势化增长，黑产从业人员爆炸式增长，攻击方法、形式多变。针对越来越复杂的非传统风险，工商银行积极探索、深入研究，近几年在拟态防御、量子技术以及云平台、区块链、生物识别方面加大了研究力度，并且与国家高精尖技术人才以及相关前沿技术研究项目进行合作交流，采用全新的信息安全理念，提前建立安全壁垒，在攻防对抗过程中占据有利先机，并在实践过程中取得成效。

　　五、以攻促防，激发自我提升内生动力

　　近年来，全球一系列针对银行的网络攻击事件表明，银行在网络边界构筑马奇诺防线并非牢不可破，外部黑客早已经有能力渗入到银行的核心系统。面对现实的威胁，各种新型防御产品层出不穷，但是仅仅是“防”已经不能应对我们面临的挑战。目前，大部分商业银行都已经度过了基础建设导向的基础安全防御、被动防御阶段，向更加以能力为导向的积极防御、甚至智能防御阶段演进。工商银行在这方面也开展了大量工作，在现有成熟的防御体系框架基础上，着力推动攻击能力体系建设，通过内部攻防双方的自我搏击，形成一个螺旋式提升自身能力的内生动力，从而彻底摆脱传统的依赖外部能力、被动垒城墙的单纯防御模式,实现以攻促防、攻防相长。

　　1.建设红蓝军，开展内部红蓝对抗

　　多年来，工商银行自主培养了一批既熟悉商业银行业务及信息系统又精通攻防技术的复合型技术人才，并建设了覆盖全集团各分支机构的攻防队伍。这支队伍中，既有承担防守重任的“红军”，也有模拟实际黑客的“蓝军”。通过内部攻防红蓝对抗演练，工商银行形成了绵绵不绝的能力提升内生动力，建立了螺旋式提升信息安全防护水平的内在机制。

　　2.推进攻防靶场建设

　　为解决攻防实力不对称问题，提升安全团队能力，工商银行在金融行业率先提出了建立金融网络攻防靶场的理念。在研究参考了国内外一系列标准基础上，工商银行自主提出了一个DAAI模型(Detect侦查探测、Attack攻击实施、Assert评估和评价、Improve改进提升)。围绕这个模型，从靶标管理、武器管理、能力管理三个维度开展建设实践，为开展贴近业务、贴近实战、风险可控的例行化内部攻防实战演练工作奠定基础。