数字银行如何应对网络风险？网商银行分享安全体系构建背后的故事

金融数字化转型已成行业共识，无论是传统银行的数字化转型及改造，以及原生的数字银行，都在全球多个国家和地区迅速发展。金融服务更加普惠的同时，其面临的数据泄露与网络安全的问题日益凸显，安全体系的建设成为数字银行发展的当务之急。

1月25日，国家金融监督管理总局在新闻发布会上表示，持续推动银行业保险业数字化转型，开展数字化转型评估工作并纳入到银行保险机构信息科技监管评级中。同时要提升行业风险防控能力，充分运用数字化能力提高风险管理和内控合规水平，加强网络安全和数据安全风险监管。

数字银行安全体系的目标是既要有银行级的高安全性要求，又要有互联网数字化服务的高效率诉求。安全419了解到，网商银行作为中国最早成立的数字银行之一，依据自身一线实战经验出版了《数字银行安全体系构建》一书，系统介绍网商银行安全系统是如何炼成的。近日，我们有幸邀请到网商银行首席信息安全官张欧，与大家分享关于数字银行安全体系建设的心得。

保护数据要素安全 是数字化转型可持续发展的基石

近几年，各行业的数字化转型的脚步和节奏非常迅猛，在数字化转型过程中，数据的密集度、在线化程度不断提升，带来效率提升的同时也引入更大的安全风险挑战。张欧认为，保护数据要素安全是数字化转型可持续发展的基石。网商银行是一家原生的数字化银行，成立第一天起就没有实体网点，所有服务在线提供，因此也更早地面临了数字化进程中的安全挑战。

银行是强监管行业，资产价值高，因此风险容忍度很低，而互联网业务追求高效率优先。数字银行作为银行和互联网两种业态的结合体，既要满足银行的高安全性要求，又要满足数字化业务的高效率要求，安全体系建设必须能解决安全与效率的冲突问题。张欧表示，考虑到安全风险的暴露往往存在滞后性，因此希望将其团队应对安全风险挑战的实践经验分享出来，给正在经历数字化转型的企业提供一个参考，为行业的数字化转型保驾护航。

而随着数字化转型的推进以及行业法律法规的约束的加强，未来其他的金融机构或者其他行业数字化程度比较高的企业也都会面临同样的挑战，因此《数字银行安全体系构建》一书中介绍的高效构建企业安全体系的方法也是适用的。

打造主动免疫可信纵深防护体系 满足不让风险发生&数字化效率

探索出如今这套行之有效的安全体系并不是一蹴而就的，张欧表示，一方面，网商银行安全体系在设计过程中做了充分的调研和理论分析。“在加入网商银行之前，我在蚂蚁集团安全工作了近9年的时间，经历过了安全体系发展的各个阶段，和国内同行做过很多的交流，包括银行业和其他行业的头部公司，也向国外头部企业（谷歌、亚马逊等）做过调研，参考了很多现有的最佳实践和经验，降低走弯路的概率。”

另一方面，安全体系的建立也需经历实践检验和实战磨炼，在这个过程中不断提升其有效性。“经过多年的实战检验，包括内部常态化的红蓝攻防演练，以及外部国家级、省市级的攻防演练，我们安全体系的有效性得到了充分的验证，近两年我们参加的外部攻防演练都获得了0失分的成绩。在实践过程中，我们也探索和解决了很多行业最佳实践中尚未解决好的难题，比如如何高效管理好已知风险、如何防御未知风险和攻击、如何有效衡量安全水位等问题。”

发展至今，围绕不让风险发生和数字化效率两个重点，网上银行安全团队设计实施了多层次的主动免疫可信纵深防护体系，规避预期外的已知和未知安全风险，保障数据要素被有效保护与合法使用。总体思路包括以下几个部分：

一是默认安全风险治理，规避已知安全风险。新增业务默认经过安全评估和安全措施覆盖。类似针对已知疾病的疫苗与抗体，对于已知类型风险，达到投产即安全的状态。

二是可信纵深防御，构建多层次的数字免疫系统。类似人体免疫系统，有效识别“自己”和“非己”成分，只允许预期内已授权的行为被执行，阻断预期外行为，实现未知风险的主动免疫。

三是全局威胁感知与对抗，掌握全局的安全态势，及时响应处置安全风险。

四是红蓝攻防实战检验安全水位，科学衡量安全水位，验证并驱动安全有效性提升。

五是安全数智化提效，实现自动化风险评估与决策，兼顾数字化效率与质量。

数字银行安全整体架构

以上五点也正是《数字银行安全体系构建》一书中的五大主要板块，每个环节的具体实施流程，书中也作了详细的阐释。

为首席信息安全官加码 推动安全工作高效落地

当然，作为主导企业安全工作的负责人，首席信息安全官角色的重要性不言而喻，除了方法论的构建、创新技术的运用，适宜的安全思维、良好的治理体系等也是影响安全体系发挥效用的重要因素。在张欧看来，首席信息安全官在安全工作推动中容易存在一些误区：

一是认为没有绝对的安全且资源有限，所以有些比较难解决的安全风险就不解决了，安全团队自行决定了接受某些可能转成安全事件的风险。实际上，企业负责人是安全风险的第一责任人，安全团队有责任把安全风险、解决安全风险的成本、优先级说明清楚，由第一责任人或者授权的直接责任人决策是否投入成本解决风险或者是接受风险。

二是认为安全工作主要是技术问题，设计了各类安全技术方案，却在企业内部很难推动落地，安全团队疲于奔命，内部合作团队怨声载道。又或者认为安全工作是七分管理三分技术，制定了很多制度、规范、流程、机制却难以落地实施，合作团队和角色因为责任问题选择少做少错，实际上还是难以控制实际安全风险。

三是认为安全问题都是低级错误导致的，要求员工不能犯低级错误，比如禁止点击钓鱼邮件、设置弱口令、老漏洞遗漏修复、开放高危服务到公网、不规范的运维操作等。实际上员工疏忽出错是不可避免的，人性的漏洞难以避免。

因此，基于个人对企业安全体系的认知，以及多年的安全工作实践经验，张欧建议：

一是在企业安全体系设计中安全治理体系与安全技术并重，以制度、规范、组织、流程、责任制、安全文化建设等安全治理方法为纲，设计配套的安全技术体系来落实安全管理和治理的目标；

二是安全技术方案的设计需要考虑员工疏忽和出错的可能性，通过默认安全机制、纵深防御、威胁感知与响应体系降低风险发生概率，并避免安全风险点转化为安全时间，总体提升安全体系的韧性；

三是建立安全水位和有效性检验体系，科学衡量安全水位和安全措施的有效性，根据企业业务面临的威胁等级识别安全防御的差距，针对性开展安全建设工作。

最后，谈及本书的写作过程，张欧坦言，由于平时工作繁忙，而且写作也不是安全团队的关键工作目标，所以参与的作者实际上都投入了很多的业余时间，曾经一度也有想过是不是要放弃本书的写作。“这是团队骨干同学们基于一线的真实实践经历共同总结编写而成，最终还是坚持了下来，想到自己写的文字能变为书上印出来的字，每个参与写作的同学也都会出现在作者名单上，也是一件挺了不起的事情。”并且，在写作后期的修订阶段，大家不仅发现了写作内容的不足，还通过总结发现了自身工作方法的可改进之处，大家也进一步优化了工作方案和方法。

数字化转型是当下金融行业的主要趋势和发展方向，安全一定会成为银行业数字化转型可持续发展的基石，《数字银行安全体系构建》一书既是网商银行的实践案例，也不失为一份“操作指南”，帮助更多机构在数字化的前行道路上无后顾之忧。