我国金融领域的信息科技应用在经历了电子化阶段、渠道网络化阶段后，正迎来数字科技发展新浪潮。近年来，我国高度重视金融科技应用与发展，中国人民银行和银保监会等相关单位先后出台了《金融科技（FinTech）发展规划（2019—2021年）》《关于促进平台经济规范健康发展的指导意见》等系列政策法规，为金融科技安全发展创造了良好的政策环境。随着《网络安全法》和《信息安全技术网络安全等级保护制度（简称等保2.0）》正式实施，标志着我国信息安全建设全面进入2.0时代。2019年11月11日《金融行业网络安全等级保护测评指南》（JR/T0072-2020）的正式颁布，对金融行业各类设备及资产安全管理提出了明确要求。

网络安全与物联网发展趋势探析

　　习近平总书记对国家网络安全曾作出重要指示：没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民的利益也难以得到保障。要坚持网络安全为人民，网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。

　　上一次信息技术发展伴随着网络病毒泛滥等安全问题依然历历在目，对人们的信息和财产安全构成严重威胁，导致安全事件频发。当下物联网在金融行业发展迅速，例如安防视频、报警、IP对讲、出入口控制等系统的广泛应用，对网络防护提出了更高要求。物联网是建立在互联网基础上的网络发展的一个新阶段，被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。当前物联网产业仍处于爆发前期向爆发期的过渡阶段，爆发前期仍将持续数年，物联网规模化加速演进必须解决碎片化、安全、成本三大发展难题。我国物联网安全面临三大难题：一是我国物联网安全政策布局不足，二是我国物联网安全产业尚处于起步阶段，三是物联网安全核心终端的产业成熟度不高，现阶段终端安全是物联网安全的重中之重，是物联网安全的基础。网络安全必将成为银行业金融机构面临的严峻课题。

　　1.资产管控面临新挑战

　　银行管理部门对在网设备全生命周期管理过程中，资金投入大，人工成本高，如对IT设备、非IT设备的调拨、挂账、更新、盘点、合规性检查等，目前仍需大量人工手动作业，对设备的定位及隐患的发现，缺乏有效的事前感知手段。

　　一是设备挂账及调拨管理时效性不高。管理人员无法实时、清晰地掌握网络中接入了什么设备，挂账人信息是否准确等问题。对于设备调拨、挂账、更新都需要人工手动操作，成本高、错误率高。

　　二是设备盘点和合规检查不易精准定位。设备盘点和合规检查需要在分支行现场对每一台设备进行登记、检查，费时费力。设备定位需要通过交换机或现场核实确认，不能及时、全面了解接入设备存在的安全隐患，缺乏有效的安全威胁感知能力。

　　三是安全功能割裂，数据不统一。当前部署的各种安全系统均独立运行，只做自己的工作，数据相对孤立，无法实现自动化安全运维。需要管理人员手工在各个系统上配置安全策略，导致发生安全事件时无法及时响应。

　　四是零信任架构下新挑战。传统网络安全通过设立“安全边界”，对非信任区域、信任区域、DMZ管理区域、数据中心等边界建立有效的访问控制，阻断“跨边界”的纵向攻击行为。但是在区域内部，尤其是物联网资产在“大二层”环境下汇聚，打破了传统的安全边界概念，为“零信任”网络环境。因此，如果非法入侵者擅自更换前端设备（如将网络打印机网线接到笔记本上），就能扫描网络内的所有设备，实现网络的入侵和非法数据的访问，更有甚者，黑客人员可以通过营业网点室外的摄像机进行物理攻击，仿冒摄像机IP、MAC地址通过安保网络渗透业务网络进行纵向攻击。

　　2.全网设备智能识别与检测管控系统实践

　　对于上述金融科技面临的新挑战、新风险，建立以资产为核心的统一管理系统，持续自动获取设备信息，实现端点设备的合规检查和自动化运维，实现对资产全生命周期的动态化管理，具体采取的措施如下（见图1）：

　　图1 资产全生命周期的动态化管理

　　一是在网点接入层部署“营业网点终端准入设备”。在设备管理的最“前沿阵地”对全网设备测绘梳理，主动发现在网的每一个资产并建立数字化指纹标签，融合RFID标签、IT信息、设备类型、品牌型号、物理位置等多重维度，形成每个资产特有的数字画像，对资产全生命周期管理、运维与安全服务提供数据支撑。

　　二是防控关口前移。对前端设备进行重点排查监测，利用接入层分布式部署的优势，将每个接入交换机变成网络空间的“隔离社区”，实现对私自接入、伪造设备接入等安全风险行为或网络攻击的阻断隔离。

　　三是在分行部署“全网设备智能识别与检测管控系统UECM”。建立终端数字化管理的“防控总指挥部”，实现全网资产私接仿冒“有的放矢”、网络攻击“有据可查”、安全运维“有目共睹”、终端安全“有法可依”。

　　四是全网设备定期“体检”。UECM系统会定期对终端设备进行漏洞、弱口令扫描，协助运维人员及时修补各种漏洞及网络风险。

全网设备统一识别与管控系统的特点及应用

　　全网设备智能识别与检测管控系统平台，使用集群管理技术自动根据可用资源和实际负载，动态调整业务负载所在的物理设备，实现服务器间的负载均衡，从而提高系统的性能和可靠性，同时实现设备的本地探测识别和流量特征采集。

　　1.技术创新点

　　一是多源资产整合，打通设备管理、安全防护、科技运维三大纬度的壁垒，实现一体化管理，提高工作效率。

　　二是系统使用独有的多维度设备指纹库，识别多种类、多厂商的物联网哑终端设备，解决物联网哑终端因无法安装客户端而导致身份识别难的问题。

　　三是基于Hadoop构建的大数据分析平台，通过探测引擎主动扫描和被动流量采样，汇集大量的设备指纹和流量特征等信息。设备可布置在前端，不占用上行专线带宽，同时镜像流量采集本地东西向流量，更精准识别设备类型。探测引擎同时支持分布式管理，实现不同隔离网络共用一套探测引擎的部署方式。

　　四是多系统整合统，实现统一自动化运维，将资产管理系统、漏洞和弱口令扫描、AD域等多个割裂的系统整合，制定统一的安全策略，实现内网统一的自动化运维。

　　2.实践效果及价值

　　通过建立全网设备的统一监测与管控体系，实现对各类终端设备动态监测、实现盘点、合规检查以及全生命周期管控。利用科技手段为全网终端安全管理赋能，为各个部门提供定制化的策略和数据，提升各部门的管理运营效率。

　　信息科技部：终端管理数字化管控，通过该系统获取所有终端相关信息，包括PC机、服务器、打印机、扫描仪及各类哑终端设备的品牌、型号、IP、MAC、接入端口、使用人员、登录信息、状态实时变化（入网、在线、离线等）等信息，实现对设备进行调拨、盘点、系统漏洞扫描、弱口令扫描、合规性检查、运行状态监测、入网管控等功能。

　　保卫部：利用该系统的固定资产管理功能摸清家底，包括摄像机、硬盘录像机、IP对讲、报警调和、出入口管理系统等智能物联网设备和哑终端设备，在对各类设备实施更加精准的安全管控的同时使得所有资产“看得见”“理得清”“找得到”，从“大安防”视角提升安保工作的广度和深度。

　　资产管理部门：利用该系统的大数据分析技术，对采购的设备品牌、型号、使用年限、在网时间、故障率等统计，为供应商管理及设备采购提供参考依据。用RFID技术，实现对办公网内非电子类资产及离线资产的生命周期管理数字化、可视化，充分挖掘数据价值，提升数据对业务发展的支撑作用，实现“智慧金融、数字华夏”战略目标。

科技赋能管理的实践探索

　　全网设备智能识别与检测管控系统将打造成为我行首个安全管理中台，彻底打通设备端、AD域、Vmware虚拟主机、固定资产管理等系统，实现对全网设备及系统的统一调度协作。通过系统的大数据分析引擎，打通数据壁垒，消除信息孤岛，替代目前各条线资产管理的手工作业模式，为业务发展提供数据支撑，实现端点设备的安全准入和自动化运营，实现对资产全生命周期的动态化管理。

　　科技创新只有进行时，没有完成时，需因时需变，应势而为。华夏银行乌鲁木齐分行安保工作将主动顺应新时期银行安保工作发展形势，在分行党委的正确领导下，积极践行新发展理念，深入实施创新驱动发展战略，持续探推动科技创新，积极做好成果转化，探索一条大安防管理机制，不断拓展安保转型的广度和深度，打破惯性思维和路径依赖，以思想破冰引领创新突围，永葆“闯”的精神、“创”的劲头、“干”的作风，努力续写更多“华夏故事”！