地方性商业银行网络安全管理调查范文

摘要：在当前新一轮科技革命和产业变革的形势下，金融与科技的融合发展已成为未来发展的大趋势，银行业的发展离不开科技力量的支持，云计算、大数据、移动互联网技术的高速发展正深刻改变着传统的银行运营模式，成为银行业务发展和创新的重要推动力。[1]在国内银行业金融科技如火如荼发展的大背景下，甘肃省地方性商业银行紧随发展趋势，积极开展移动互联网金融建设，积极促进了银行各项业务的发展。随着网络基础设施的不断完善，人民经济生活与网络的融合飞速发展，对地方性商业银行网络金融服务供给提出了更高要求，银行业网络安全管理也面临着巨大的考验。本论述以人民银行开展地方性商业银行网络安全调研为契机，对地方性商业银行网络安全管理开展深入研究，并提出相关建议。

关键词：网络安全管理；地方性商业银行；风险管理；金融科技

1地方性商业银行网络安全管理概述

甘肃省地方性商业银行发展起步较晚，但近些年其业务内容扩展迅速，营业范围和网点数量急剧增加，为实现普惠金融、绿色金融，支持扶贫脱贫提供了有效补充，成为甘肃省银行业不可缺少的力量。在国内银行业信息技术快速发展的背景下，甘肃省地方商业银行紧跟国家经济发展的大趋势，积极研究大数据、云计算、网络态势感知等新技术，并付诸于实际应用，积极转型为移动互联网金融银行和信息银行。经过多年的持续建设，甘肃省地方商业银行在硬件设施、业务电子化程度和处理效率等方面与国内总体水平相当，但是，金融科技创新也带来技术、网络、数据的多重风险叠加，间接影响区域金融稳定和金融网络安全。因此，地方性商业银行在提升金融科技水平的同时，更要加强网络安全管理水平。本论述以甘肃省地方性商业银行为例，对其网络安全管理情况开展了深入调查研究，并针对具体问题提出相关建议和意见。

2地方性商业银行网络安全管理现状

网络安全管理是商业银行健全运营和可持续发展的基础。甘肃省地方性商业银行虽然初步建立了比较完善的网络体系，但是，其网络安全管理水平仍落后于国有商业银行和国内外发达银行。

2.1网络安全管理体系不够完善

在甘肃省地方性商业银行网络安全组织机构设置方面，各机构都成立了网络安全管理委员会或类似组织，分管网络安全管理工作的机构领导是本机构第一责任人，在核心部门建立了一名全职或兼职的网络安全管理员。第一，本次调查中有大部分的机构认为部门协作困难是阻碍网络安全管理的主要困难。由于缺乏统一的网络安全管理协调部门和完善的协调机制，不仅增加了网络安全建设协调沟通成本，降低了网络安全建设效率，而且割裂了银行内部科技部门与业务部门间的融合，导致业务部门与科技部门彼此理解困难，业务部门不能根据自身发展情况提出合理网络安全需求，科技部门掌握技术却无法把握业务安全的发展方向，影响网络安全的建设水平。第二，网络安全投资结构存在“软硬”现象，部分机构投资不足。甘肃省地方性金融机构建设主要集中在硬件设备的更替上，管理机制上投入力度不大，各机构通过培训提升员工网络安全意识的重视程度不够，网络安全建设环境较为封闭，引入外部咨询的意愿不强。

2.2网络安全管理总体水平不高

首先，甘肃省地方商业银行的性质使高级管理层更加关注银行业务，忽视了为基层服务的网络安全管理体系，认为网络安全就是购买网络安全设备或安全系统。其次，甘肃省商业银行员工普遍认为网络安全管理工作主要依靠网络人员和技术。最后，业务系统操作和维护人员过分强调网络系统的可用性，并将网络安全管理视为技术问题。人们认为网络安全管理工作只是业务网络安全和核心主机服务器的安全性。实际上，网络安全管理工作更关注管理问题。［2］

2.3网络建设投入不足，系统软硬件环境落后

地方商业银行通常只关注新业务系统的上线运行，无法针对业务发展的需要来部署网络安全基础设施。目前银行业都是网络规划集中管理，高达86.7%的全国性银行的网络安全规划是由总行制定的，核心业务系统建设、网络安全体系建设和网络建设则全部由总行规划实施。一方面说明总行层面信息系统建设已形成较为完整的网络安全建设体系，分支机构在网络安全建设方面的自主性较弱。另一方面反映出分支机构结合自身实际情况，自主规划建设的意愿相对较低。目前，甘肃省地方性商业银行着力于开展云计算、大数据、移动互联网金融、人工智能等技术的应用，但对于相关的网络安全管理方面投入不足，造成了金融科技发展的“木桶效应”。

2.4缺乏风险管理标准，应急响应能力不足

移动互联网金融为银行业带来了新的发展方向，也带来了新的风险。网络系统本身的不正确设计和规划、人为错误、安全管理系统不足以及系统实施不足都可能导致系统故障和业务中断。对于网络系统威胁和风险事件，一些地方银行尚未建立网络系统风险识别、测量、监控、报告、控制管理标准，不能通过科学方法事先发现，只能在问题发生后被动处理。另外，灾难恢复系统和网络系统的容错难以满足业务安全的要求，紧急事件处理过程缺乏业务部门的积极参与。

2.5网络科技治理体系薄弱

甘肃省地方性商业银行科技人员队伍建设相对滞后。一些地方性商业银行总行的技术操作和维护人员较少，多岗位交叉现象突出。此外，科技培训投入有限，培训机会较少，科技人员知识更新周期长，导致科技人员跟不上金融业科技发展的节奏，降低了科技部门的系统运行维护能力和风险管理控制能力。特别是地方性商业银行基层行的网络安全防护能力非常薄弱，部分基层行网络或安全管理员由业务人员兼职，维护经验和安全意识不足。

2.6安全防护需加重视，防护体系有待提高

各地方性商业银行核心网络承载了核心业务、运营管理、风险内控等业务，因此各组织在内部网络边界构建了一个由防火墙、IDS、IPS、其他保护工具组成的保护系统。与核心网的保护相比，一些机构对互联网区域和外联区域的网络安全关注不够。在当前网络安全态势高度紧张的情况下，具有极大的网络安全风险和舆论风险。

3地方性商业银行网络安全管理的建议

在网络安全领域，存在重技术、光管理的现象。从实际角度来看，过度依赖技术预防不能从根本上消除复杂多变的安全威胁和各种技术风险。银行业应将网络安全体系建设作为保障网络安全，防范技术风险的重要手段，重视制度约束和规范管理。科学管理是提高网络安全的重要手段。

3.1提升网络安全综合管理能力

在发展的同时，树立正确的网络安全管理理念，增强网络安全保护意识。网络安全管理与当地商业银行的发展战略和内部管理密切相关，与每个业务系统的使用者密切相关。只有制度合理和操作合规才能保证网络系统的安全。此外，加强对监管层技术风险管理的研究，增加网络安全管理实施者的专业培训。通过这种方式，改变技术人员的网络安全意识，提高预防管理水平，建立强大的网络安全体系，有效提高网络安全保障能力。

3.2科学分析建立量化网络安全评级标准

随着银行业务的不断创新和发展以及新网络技术的应用，网络系统始终处于进步之中。这导致了新的安全漏洞和威胁的出现，将随时影响整个网络系统的安全状态和安全级别。因此，地方性商业银行应建立基于科学论证的动态网络安全状态跟踪和监测机制。内容涵盖计算机房环境、网络安全、安全操作和维护、主机应用程序安全性、应用程序访问网络安全管理。可以参考《人民银行网络系统网络安全级别保护实施指南（试用）》和其他规定来设计满足需求的威胁和风险事件列表。通过定期评估，形成评估网络安全性的基线，重点是监测具有高威胁级别的预定义事件，便于建立全面的网络安全应急管理，客观地掌握网络安全工作。

3.3完善网络安全管理体系建设

各机构需逐步建立网络安全管理体系，将其纳入到机构决策层，将网络安全管理建设思想、方法和路径充分传递给决策层，确保决策层始终了解网络安全管理的最新趋势，促进网络安全管理的建设更加全面和成熟。地方性商业银行增加网络安全管理咨询投入，通过第三方机构发现网络安全管理建设问题，准确研究网络安全管理的发展趋势，避免绕行网络安全管理，提高网络安全管理效率［3］。

3.4加强网络安全管理组织建设和人才队伍建设

地方性商业银行网络安全人员和业务人员要加大交流力度，增进彼此业务的相互学习。通过持续交流学习，培养业务人员的网络安全意识，网络安全管理人员理解业务基本流程，提高业务安全要求的准确性，不断提高业务人员和网络安全管理人员的网络安全意识。鼓励科技部门根据信息技术发展状况启发业务部门提出网络安全具体需求。加强网络安全人员培训，加大高科技人才的引进和交流。建立网络安全管理，支持工作激励、奖惩机制，建立专业、高效、团结的网络安全管理团队和支持团队。

3.5建立健全风险管理机制，加强网络安全等级保护

地方性商业银行应完善风险管理机制，风险管理人员应掌握应急操作程序。分析自然灾害和人为灾害的时间，恢复时间和相关经济损失，并研究系统的脆弱性。建立针对不同威胁的风险评级列表，并制定技术和管理预防控制措施以应对风险。此外，在统一的应急预案框架下，地方商业银行应制定各种网络安全事故应急预案。定期组织相应的网络安全应急培训，定期进行应急演练，确保应急演练有足够的人力、设备、技术和资源。在演习结束时，有必要重新审查和评估应急计划并对其进行修改。

4总结

银行的网络安全管理涉及多层次的战略、组织、系统、技术等，必须抵御外部攻击。防范内部风险也是必要的，任何遗漏都可能影响网络安全的整体水平。为了实现网络安全目标，构成网络安全的所有木板必须具有一定的长度。只有技术、管理双管齐下，建立合理的网络安全管理体系，才能让坚固的安全堡垒助力用户在风起云涌的金融新形势下立于不败之地。现代银行业的发展离不开网络技术的应用。所有主要商业银行都将网络安全置于网络建设的关键位置。网络安全已演变成一个必须首先在建立银行网络的过程中加以考虑和解决的问题［4］。甘肃省商业银行起步较晚，但发展迅速。加强网络安全管理已成为当地商业银行的首要任务。而此次地方性商业银行网络安全管理现状调查，不仅全面了解甘肃省地方性商业银行网络安全管理现状，而且准确掌握银行业金融机构抵抗网络风险的能力。它将为未来人民银行指导全省银行业金融机构网络安全管理建设提供坚实的基础。

参考文献：

［1］李东荣.加快推进城市商业银行金融科技建设［J］.金融电子化，2018（4）：8-10.

［2］钱继胜.中小城市商业银行信息安全管理探讨［J］.金融科技时代，2014（5）：101-103.

［3］孔洁.地方性金融机构信息安全隐患及建议［J］.金融科技时代，2016（12）：45-47.

［4］周滢.互联网金融背景下地方性商业银行金融创新［J］.现代经济信息，2019（2）：351.

作者：段梦博 单位：中国人民银行兰州中心支行