刘 剑， 葛 鋆

(1西南石油大学经济管理学院，四川成都610500；2四川无声信息技术有限公司，四川 成都610081；3达州市商业银行，四川达州635000)

0 引言

随着信息科技的快速发展，银行的日常运营全面实现了电子化，同时也使银行未来的业务方向、战略转型、风险管控等都与IT科技的支撑密不可分，因而包括业务连续性和信息安全在内的信息科技风险也愈益突出，这不仅对银行的信息科技风险管理提出了更高的要求，银行监管机构的监管工作难度也增加了。因此，建设统一的信息安全监控平台，对银行网络和系统实施有效的监控和预警，可以及时发现和处置网络攻击，防止高危漏洞的传播，防止重大信息安全事件的爆发。

从银行内部监管来看，随着IT技术的发展和应用，银行业机构呈现信息技术架构庞大、设施复杂、涉及信息资产内容繁多等特点，典型的银行科技架构包括了应用系统、数据库、操作系统、中间件和网络等技术方面的内容以及运维、制度等管理方面的内容，而任何技术和管理漏洞在面临外部不可抗力因素(威胁)时都可能会导致信息安全事件，影响到银行的正常运行。从银行的外部监管来看，信息科技的保密性、可用性和完整性直接关系银行的安全稳健运行，而中小银行非驻场集中式外包还可能引发系统性风险，小则导致单个银行无法正常运转，大则危及区域金融经济的稳定。

在这样的背景下，2006年中国银监会颁布了《银行业信息系统风险管理指引》，开始了对银行信息科技风险的监管工作，并要求银行组织针对科技风险的外审和内审ꎻ2007年，银监会下文要求主要银行业机构进行信息科技风险自查和自评估工作ꎻ2009年，银监会颁布了新的《商业银行信息科技风险管理指引》(简称“新指引”)，同时银监会全面开展对银行信息科技风险的现场检查，建立并形成了以“法人银行信息科技非现场监管报表”和“科技监管评级”为主的非现场监管架构[1]。

如同信息系统的安全并不是靠简单的网络安全产品堆砌就能解决一样，对银行信息科技风险的监管也不能简单依靠周期的现场检查或非现场的人工报表审查，需要利用科技手段去提升监管的及时性和有效性，从银行监管机构的视角对整个辖内银行的信息系统的安全状态进行动态实时的风险评估，及时找出信息系统的安全缺陷，施以一定的安全审计和操作，进而保障银行网络和系统的稳定运行，因此，银行监管机构建设统一的动态监测与监管平台，并基于该平台构建实时的银行信息科技风险监管框架，可以有效地提高银行监管机构非现场监管的质量。

1 银行业信息科技风险监管

商业银行信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险[2]。

1.1 银行业的信息科技发展与现状

首先，我国银行业金融机构信息化水平发展并不均衡，银行间的信息化水平差异很大，给监管带来一定的困难，如笔者所在省的银监局辖内有52家银行，包含15家法人机构和37家银行一级分支机构，除部分大中型银行在信息科技的发展上有规划、重(IT)治理以外，多数银行没有充分进行信息科技战略规划，存在IT治理架构不健全甚至没有开展IT治理、科技人员配备不足、科技人员的技能和培训不到位等问题。

第二，由于IT价值没有统一的衡量标准，而风险又与信息资产的价值相关(GB/T 20984)，当信息科技的价值无法充分体现时，信息科技的风险就自然无法清楚明了。例如在新巴塞尔协议(Basel II)中，信息科技风险被定义为操作风险的一部分，而实际上，与其他风险相比，信息科技风险的影响要大得多[3]。

第三，信息安全面临挑战。主要表现在:一是技术本身安全漏洞带来的科技风险，而新技术的快速采用在一定程度上加大了银行的风险，如基于移动智能终端的手机银行安全ꎻ二是银行业务系统的同质化严重，对整体IT系统的影响很大，如笔者所在省大部分的城市商业银行网上银行系统都是托管给同一家公司的同一套系统，这增加了大规模事故爆发的潜在风险ꎻ三是近几年高速的发展，信息系统大量建设，IT管理的短板给银行带来了安全隐患、增大了信息科技的风险，如笔者所在省某城市商业银行2012年资本总额较上年增长了42%，2013年资本总额较上年又增长了45%，与之相对应是，2013年前银行共建设信息系统约25个，而仅2013年银行就建设了信息系统17个，2014年计划信息系统建设项目又有7个，由于系统建设增长太快，造成银行科技部的人手紧缺，2013年银行科技部的安全事件也较往年增加了许多。

第四，银行在信息科技领域重建设轻管理，主要表现在:一是事件推动，出了事才知道问题在哪里，这样的情况在城市商业银行比较普遍ꎻ二是应付信息科技风险监管和检查，监管方与被监管呈现对立状态，银行采用“各种手段”去确保检查通过，而没有认识到合规要求和检查并非目的，银行是“自身需要”去管好风险的主体。

1.2 银行业的安全威胁与科技风险

(1)外部安全威胁

现在，银行在网络安全方面已进行了大量投入，如分区分域的VLAN，针对单点故障的设备、链路冗余，防火墙(FW)、VPN、入侵检测(IDS)、病毒防护等信息安全设备的部署等等。但很多系统(如电子银行)都连接互联网并向公众客户提供服务，银行系统又与经济利益紧密联系，这使得银行系统易成为恶意攻击的目标。

当银行面对这些外部威胁时，最需要的是发现、预警并抑制威胁传播，避免威胁泛滥，避免反应滞后。

(2)内部安全威胁

暴露在互联网的银行系统是少数，系统面临的更多威胁来自银行内部，组织内部的安全隐患和潜在问题更应引起银行的重视。例如银行内部系统和网络管理混乱、科技内部人员的违规操作、故意窃密等行为对银行的威胁很大。如中小商业银行普遍存在共用特权账号的现象，或是对网络性能监控和管理的工具缺乏，亦或是对系统网络中的流量没有进行严密的监测和控制等等，这些都可能导致重要的业务应用得不到保证[4]。

当银行面对这些内部威胁时，最需要的是检测和审计能力，通过日志的记录、日志的分析，利用多场景的智能规则库去尽早的发现、预警并锁定威胁源，减少无意和有意的威胁。

(3)银行的科技风险

面对内外部的安全威胁，银行自身的预警和处置能力不足，无法及时、准确地发现可能的信息安全事件，如应用系统、网络设备、安全设备每天都会产生海量的安全日志，这些告警日志中存在着大量的误报，而银行也无力配置专业的信息安全人员去辅助分析和甄别这些告警，同样，银行对已发生的安全事件多数只能孤立的去处置，安全事件之间无法形成很好的关联，因此往往难以定位到真实问题。同时，由于银行间缺乏有效的事件通告和知识传递机制，某个银行对事件处理的知识经验不能得到共享，当其他行发生同类事件时，处理的效率仍然低下[5]。

1.3 统一的动态监测和监管平台

由于各银行都存在着内部、外部的安全威胁，各银行的技术能力也不尽相同，从银行监管机构的角度出发，建立统一的安全监测和监管平台是有益的，应得到足够的重视。

银行监管机构不仅要对银行应用系统、网络、主机、数据库、中间件进行有效的监控，也要通过对系统中各个子系统、用户行为、维护人员操作行为等进行监控，并对各类系统、设备上的安全告警日志进行收集、规整并进行关联分析，然后输入从监管角度构建的信息科技风险管理模型之中，形成风险预警。银行监测和监管的重点应是有互联网出口的业务系统，如电子银行、门户网站，应实现对重点应用系统安全威胁的可测、可知、可控。同时，考虑内部安全威胁，也要对银行外联业务和核心业务系统进行实时、动态的检测。通过对银行业务系统运行状况的监测，直接抓取系统告警和报错日志，并将系统停机事件(含计划内和意外)的相关信息实时传递到银行监管机构ꎻ监管机构在收到来自各银行端的实时数据后，可以立即将重大停机或故障情况以邮件、短信告警的形式发送给相关人员，以便集中对发现的错误、告警等信息进行分析和甄别，然后通知相关银行及时处理。

统一的动态监测和监管平台不仅可以提高银行监管机构监管的及时性，还具备风险点统计、关键指标自动获取以及风险量化评估的功能。一是风险点的统计，动态检测和监管平台可以根据采集到的数据，按照服务器、网络设备、操作系统、中间件、数据库等维度进行发生频率的统计分析，得到故障点的分布情况，可以有针对性地向银行发布监管提示ꎻ二是关键指标的自动获取，如系统可用率指标，过去依靠人工填报方式得到的系统可用率，可信度并不高，而通过平台可以获得系统每次的中断时长(如:核心系统)，然后按月、按季滚动计算该系统的可用率，并绘出累进图，不仅可以准确一览现状，亦可用于趋势预判ꎻ三是风险量化评估，平台可根据已发生风险(如已发生的意外停机)和潜在风险(如频现网络设备告警)出现的频率，借助预设的系统健康指数模型，计算出该系统的健康指数，该指数不仅直观地反映银行该系统稳健程度，统一的模型和计算公式还能方便银行监管机构进行区内多家银行的横向对比。

最后，统一的动态监测和监管平台既是银行监管机构的监管工具，也是各银行自主检测和自助服务的辅助工具，应允许授权用户(含银监和各银行用户)在任何时候、任何地方都能访问到其设定权限内的应用和资源，对平台内部非法操作、非法行为要具备发现能力，通过平台审计能追溯到具体用户[4]。

2 动态检测和监管平台及其监管模式

按照信息安全方面的国内、国际标准，基于不同监测对象的实际应用状况，采用大规模高速旁路数据采集技术、海量数据存储技术、风险评估建模技术、海量数据抽取技术、数据仓库数据挖掘技术、搜索引擎优化技术(SEO)、面向服务体系结构(SOA)、虚拟化和云计算技术，建设一套集成风险评估、事件取证、安全服务、应急响应的动态检测和监管的服务平台，实现对银行计算机网络中大规模的信息科技风险的动态监控，为银行提供信息科技风险态势的决策依据。

2.1 总体架构

动态检测和监管平台包括动态监测中心、海量数据中心、风险评估建模中心、数据抽取挖掘中心、安全事件取证中心、专家知识库系统和安全服务网络共七部分，其总体架构如图1所示。

图1 动态监控和监管平台的总体架构图

(1)动态监测中心

通过在银行关注的互联网、外联专网等关键网络节点部署高速旁路数据采集的探测器和控制器，实现信息科技风险监测关键数据的采集、整理、监视和控制。

动态监测中心是一个执行系统，它应用了基于不同关键字或行为模式的海量数据的采集、挖掘、分析和评估结果，在对海量的网络数据报文进行概率统计的基础上，针对不同种类的安全事件采用不同的算法进行识别，从而准确地区分出恶意的网络数据报文和正常访问的网络数据报文。

(2)海量数据中心

随着动态监测中心的建立，随之而来的将是海量的采集数据，如何实现对这些容量巨大数据的存储、查询，将是一个非常棘手的问题，海量数据中心就是针对这些信息数据进行分类、分级、优化和存储处理而建立的，因此海量数据中心的核心和重点就是信息分类管理、数据分级管理、访问速度优化和存储管理。

(3)风险评估建模中心

参照《信息安全技术信息安全风险评估规范》(GB/T 20984－2007)和国家信息安全等级保护的政策要求，在充分评估业务系统在技术、管理和运维方面的威胁、脆弱性和现有控制措施有效性等指标的基础上，来进行详细的风险分析并分级。

(4)数据抽取挖掘中心

在建立风险评估模型的基础上，对海量数据进行数据抽取和数据挖掘。数据挖掘中心的重点是选择优秀的数据库工具、编写优良的程序代码、对海量数据进行分区操作、建立广泛的索引、建立缓存机制、加大虚拟内存、利用云计算方法分批处理、使用临时表和中间表、优化查询SQL语句、使用文本格式进行处理、定制强大的清洗规则和出错处理机制、建立视图或者物化视图、使用数据仓库和多维数据库存储、利用云计算方法进行数据抽取、使用采样数据，进行数据挖掘。

(5)安全事件取证中心

计算机取证在打击网络和计算机犯罪中作用十分关键，取证的目的就是将犯罪者留在系统中的痕迹作为有效的证据(如网络入侵、盗用知识产权和网络欺骗等证据)提供给审判机关，以便将犯罪嫌疑人绳之以法。

基于这些海量的数据库记录，在通过风险评估建模的数据抽取和挖掘并出具决策结果以后，将其所依赖的决策结果，也就是安全事件的取证记录反馈在银行面前。

(6)专家知识库系统

专家知识库系统包括了专家人才库与专家知识库两个方面的内容。专家人才库系统涵盖高级安全顾问、高级安全工程师、安全服务工程师、网络工程师、文档管理员、各级现场维护工程师等人员服务能力的组建，同时还包括了外聘的专家ꎻ知识库系统则包括了网络基础部分、安全业务部分、网络审计部分、网络监控部分、网络服务部分、软件工程部分、硬件工程部分、数据库部分。

(7)安全服务网络

根据客户信息系统的实际需求，通过规范的软件开发与设计流程，向用户提供统一的安全服务管理平台，安全责任部门能够利用该平台实现对相关工作的分配与跟踪，提供相关的专业技术工具支持，同时该平台还负责保存所有与服务保障相关的所有数据。

平台还包括一套ITIL运维工具，即按照ISO20000的服务规范制定的标准流程，并在此基础上定制开发设计的ITIL工具，基于该平台银行的监管部门可以向各银行提供统一的安全监管和服务，并以此为基础形成各银行一体的安全服务网络。

2.2 监管模式

基于动态检测和监管平台的监管模型如图2所示，该模型分为三个部分，第一部分是监管端，是由监管机构统一建设的监管系统，主要进行日常监控、监督、管理和公共服务ꎻ第二部分则是被监管端(银行)，是动态检测和监管平台的数据来源，也是被监管和服务的对象ꎻ第三部分是运维管理，运维的流程完全依照ISO20000的要求，对监管与被监管方技术支持、服务的过程全程进行跟踪、监督并可追溯，保障平台运营的有序性，也体现了监管方在运维中对被监管方的监督、验证、指导和管理的作用。

图2 基于动态检测和监管平台的监管模型

整个监管体系的数据源来自于各银行的信息系统，包括应用系统、安全和网络设备产生的日志，通过检测和监管平台封闭式的数据收集系统，来对这些数据进行收集和采集，并通过关联系统进行分析，达到监管方监管的目的。

接入该平台的银行(被监管端)可以通过该平台的自评估系统、自服务系统，来了解自身的安全状况，差距以及不足，也可以选择所对应的整改方案，或者安全服务，修补安全漏洞，提升自身的防护能力ꎻ该平台将安全等级、风险大小等建模的要求，对接入用户的资产进行分级保护，根据不同的SLA，享有不同的服务等级。

监控管理同时监督安全运维平台的运营情况，并对不足之处提出改进意见，同时对发生的安全事件提出整改意见，根据安全运维平台所产生的报表，形成周报、月报和年报，对银行的安全威胁和不足及时通报，提出整改意见，防微杜渐，惩前毖后，也作为向各级监管部门汇报的依据。

2.3 指标体系

围绕平台建立相应的指标体系如图3所示，能给平台和支撑的服务团队提供基础指导，给监管机构提供指导意见和参考标准，规范并保证平台和基于平台的服务实施的整个功能评价的一致性、可比性和真实性。平台与服务的指标体系包含以下四个方面。

图3 服务评价指标体系结构图

(1)功能性指标的要求

首先是完备性，即按照服务协议或者合同的要求，功能实现的完整程度ꎻ其次是充分性，即被评价服务功能的实现充分程度。

(2)安全性指标的要求

首先是可用性，即约定的服务资源在服务期间是否能够被合法用户进行访问ꎻ其次是完整性，即在服务期间，信息资源在正确的授权下进行的变更操作ꎻ最后是保密性，即评价服务方的保密能力。

(3)可靠性指标的要求

首先是连续性，即对服务的有效性和及时性进行评价ꎻ其次是稳定性，即所服务系统的稳定运行比例ꎻ最后是影响情况，即安全服务期间对信息系统造成的影响。

(4)响应性指标的要求

首先是及时性，即体现对服务的响应速度ꎻ其次是有效性，即银行向服务团队服务请求的有效处理率。

另外，对平台指标体系的建立我们除了以上的几个方面，还要做到和SLA的结合，这样将银行的感知度和评价标准进行量化，让风险评估和咨询服务平台能够真实的可评价，具体的量化是在平台运行过程中，建立了一个一体化的安全服务评价指标体系。

3 动态检测和监管平台的建设

动态监测和监管平台的建设包括核心系统的建设与部署、基础平台与支撑体系的建设和技术服务团队建设三个部分。

3.1 核心系统的建设与部署

动态检测和监管平台的七个核心系统除动态监测中心外均采用集中部署的方式，核心系统建设的难点就是在各银行分布部署动态监测中心子系统(ISCP)。

动态监测中心子系统(ISCP)客户端需要部署到各银行，考虑各银行的不同情况，在银行部署客户端时，存在着不同类型的部署方式，按照其部署范围和涉及数据量的大小，分为小型、中型和大型的动态监测部署方式:

1)小型单点动态监测部署方式:只针对关键业务系统，通过平台提供的旁路部署方式，将探测器设备“旁路”部署在网络入口下端，探测器主要对网络入口的流量提供监控功能，及时检测安全事件的类型和来源。

2)中型单点动态监测部署方式:在中型动态监测部署方式中，作为Master角色的控制器和其他若干台作为Slave角色的控制器设备“并联”在网络入口端。当安全事件流量增大时，Master角色设备会及时启动流量牵引机制，将分流的安全事件流量牵引至Slave角色设备，以均衡系统负载，保证整个网络的正常运行。

3)大型单点动态监测部署方式:在大型动态监测部署方式中，若干台控制器设备并联在网络中，在某台控制器设备接收到探测器设备的攻击告警后，会启动流量牵引机制，直接将可疑安全事件流量均衡分配到若干台控制器上进行流量过滤。

3.2 基础平台与支撑体系的建设

基础支撑体系包括数据中心机房、会议室和支撑配套设施的建设。

1)数据中心机房建设:中心机房建设主要是实现网络、系统的IT资源集中，保障信息安全风险评估与咨询服务平台的运行。

2)会议室等配套设施建设:建会议室、攻防实验室、涉密维修室、应用研发中心等配套工程，作为整个信息安全风险评估与咨询服务平台业主对象的服务接口。

3)支撑配套设施的建设:支撑配套设施是核心系统运行和基础平台正常工作的重要保障，包括防雷接地系统、消防系统、空调和新风系统、UPS不间断电源等内容。

3.3 技术服务团队建设

通过前文分析可以看到，动态检测和监管平台的技术服务团队由两部分构成，一部分是平台自身专业、专职的服务支撑队伍，人数较少，能力较高ꎻ另一部分是各银行科技部门的技术人员，人数较多且分散在不同地域不同银行，能力参差不齐。因此要建立与之相适应的虚拟团队管理办法，设计规范化、标准化的管理制度和一体化工作流程，建立运维数据交换和联动的机制，以全面提升综合服务能力，实现从简单组合向集成服务转变、从监控信息推送和应急向满足不同银行不同需求和预警转变，最终实现动态检测和监管平台、监管机构、银行的价值捆绑和服务增值。

4 结语

在业务的监测与预警方面，银行需要自动化、智能化的监测手段，在银行信息科技风险监管方面，银行监管机构需要实时、准确的检测手段，因此银行监管机构建设统一的动态监测和监管平台具有很大的价值和意义:统一的平台可以帮助银行建立科技与业务部门间、银行与银行间的风险信息提示与共享[6]，而基于该平台实时的对银行信息科技风险进行监管又可以有效地提高银行监管机构非现场监管的质量。

本文构建的动态监测与监管平台分为七个部分，是充分考虑未来科技发展的，例如我们把海量数据存储、数据抽取挖掘以中心的形式规划建设，虽然实事上本期没有考虑如何深度挖掘和利用这些采集到的海量数据，没有提出对数据关联及分析(挖掘)更多有价值的模型，但随着云计算、大数据等技术的不断成熟，未来的平台会更智能、更精确，到那时，数据如何挖掘和使用将成为平台的重点，这也是本课题后面需要进一步研究的重点。

[1] 熊良俊.创新非现场监管手段防控银行信息科技风险[J].中国金融家，2013(6):52－54.

[2] 吴博.操作风险管理视角下的商业银行信息科技风险管理研究[J].新金融，2010(9):32－36.

[3] 陈文雄.信息科技风险监管和管理[J].金融电子化，2009(10):27－29.

[4] 刘鹏，吴艳艳，魏彬.电子政务信息系统安全监控的研究[J].网络安全技术与应用，2013(5):40－42.

[5] 余勇，林为民.基于等级保护的电力信息安全监控系统的设计[J].计算机科学，2012(11):440－442.

[6] 骆絮飞.商业银行业务连续性管理的分析与思考[J].银行家，2013(7):111－113.