对信息安全，人民银行的思路和国家的思路是一致的。2012年，中国人民银行发布了《金融行业信息系统信息安全等级保护实施指引》(银发 163文件)等三项行业标准，把等级保护的实施指引、测评指南、安全指引等三项规范，通过金融行业标准0071到0073这三个标准规范文件落地，明确了金融行业信息安全等级保护制度。这不仅和国家的信息安全政策相一致，也是人民银行在信息安全工作上的一个重要制度安排。

这一制度安排适应了银行业在2006年全面完成数据大集中的时代变化，并在2012年等级保护规范落地制度化明确。2013年6月，电商跨界金融业务的一个标志性事件——余额宝的推出，对银行业造成了很大的冲击。表面上是大量存款搬家，实质上是互联网金融给银行业带来了全新的变化和挑战。

由此引申出第二个问题，即金融科技的创新技术、业务带来的挑战。2013年到2015年，我国互联网金融发展得非常迅速。但在E租宝，泛亚一系列欺诈、非法集资事件出现后，互联网金融受到重大挫折和负面影响。国家启动了一年多时间的整顿，成立了中国互联网金融协会。2016年8月24日，银监会正式发布四部委联合起草的《网络借贷信息中介机构业务活动管理暂行办法》，加上较早时期人民银行、证监会、保监会颁发的文件，互联网金融行业性监管框架初步形成。

互联网金融深入演变以及新兴技术的创新发展，形成了Fintech金融科技。金融科技有六个主要技术，移动互联网、云计算、大数据、生物识别、人工智能（AI）、区块链（Blockchain）。这六个技术的成熟度不一，人工智能和区块链目前还处于早期的产业化阶段。

这些新兴技术标志着银行的信息化建设到了金融科技——一个完全智能化的时代，也带来了信息安全方面新的挑战。最主要的两个挑战是移动互联网和云计算引入。银行要“互联网+”，大力发展移动金融业务，力图将线下网点的客户导流到线上网银和手机银行。于是，直销银行要推广，强化手机银行APP，向支付宝学习，接入各种线上生活服务场景。这样一来以前数据大集中时代只需面对柜员系统、POS机、ATM机等专网系统的银行，如今连接了越来越多的诸如电商、生活服务等外接系统，越来越深入到互联网生态世界。一家银行甚至能连接上千家外接系统，系统架构非常复杂。此外，线上业务现在是一年365天24小时服务，公众对银行服务的容忍度越来越小，系统稍有问题就会成为社会事件。

云计算所带来的主要问题是安全边界模糊。众所周知云计算是分布式架构的计算体系，银行业目前还处在一个向分布式架构体系发展的过程，是一个集中和分布式兼有的混合架构。而分布式架构是开放、开源的，计算、存储、网络资源都是共享的，加上互联网开门引流，过去等级保护下的纵深防护、边界防护就面临着难以为继的问题。

另外，银行和互联网金融企业一样，客户要下沉，消费金融、供应链金融都要做，这样就带来信息泄露和信息滥用的问题。信息泄露在当前社会整个环境的强力打压下，目前得到了遏制。但信息滥用在新金融环境下问题非常突出，特别是在消费金融领域。

这些变化对银行来讲，单凭自身的力量，甚至包括行业的力量都很难解决，需要认真去研究。

第三点是应对思路的变化。面临这些挑战，人民银行成立了金融科技监管委员会，明确提出RegTech即监管科技的思路。金融现在不仅仅是银行、证券、保险机构的业务，社会上资金很多，科技企业有新的技术，社会资本就会投入，理论上都可以去做金融业务。这些非金融机构或科技企业，创新金融服务能普惠到过去银行服务不到的许多消费者，新技术、新金融的趋势是挡不住的。P2P整治一年来，虽然机构少了，但放贷出去的余额不减反增，表明我国金融供给还存在着短缺。

在这种趋势下，这些非金融机构也必须要接入监管机关的监管系统。央行范一飞副行长曾表示，人民银行科技转型有两个突破，一个是分布式架构，一个是大数据，要抓好这两个突破。所以人民银行未来也会做分布式架构，做大数据分析，把自己的IT体系对外向商业银行，向社会非金融机构对接。但这个对接和过去的银行业务网对接不同，银行业务网跟互联网是逻辑隔离，互联网的端口、流量也很少，现在已经有了很大的变化，所以对于央行来讲，新技术、新金融带来的安全挑战也十分明显。

面对新的安全挑战，有一些做法还是要坚持，例如等级保护，但如何与时俱进延续到新的变化体系下，是我们需要探讨和研究的。等级保护对数据大集中的时代是有效的，对银行整体的信息化安全水平有着明显的提升，新的变化时代，仍要坚持等级保护的信念。

怎么坚持等级保护好的做法，扬弃或者更新一些不适宜时代发展的东西，有几个建议可供大家参考。一是金融系统已经开放性地融入互联网生态，如何面对互联网上的负面流量，如恶意攻击、扫描探测、交易欺诈？这些负面流量往往是非对称性的，金融机构从技术管理上要做到全面防护，投入大量人力物力，但是攻击者大多只是用简单的技术手段、随机进行攻击。对这个问题，建议要尽快修订0071到0073等保三个标准规范，考虑引进Honeynet（蜜网）、Honeypot（蜜罐）技术，对外部流量全面进行监视、检测和攻击分析，好的流量就引入到应用系统，有问题的流量就进行更深入地分析、证据收集。

第二，现在各种IT设备包括安全设备都在虚拟化，如虚拟化的WAF、虚拟化的加密机等。银行互联网平台应用系统往往多达上百个，大多是二级等保，个别是三级，也有一级的，对虚拟化安全性这块该怎么来要求？三级系统与低级等保系统虚拟机隔离之间是不是要加蜜罐来预防侧通道攻击？这些要否带进新的规范，来指导过去常说的信息化建设的五大架构体系：业务架构、应用架构、数据架构、技术架构、以及更为重要的安全架构。过去的安全架构是基于等保规范的，现在安全架构要完全按照等保做，就无法更好地去实现云计算和大数据应用。

不仅是虚拟化，对大量的外接平台，都可以继承过去等级保护的思路，可以通过修订规范，对互联系统实体、网络通道、API安全要求做到规范明确。金融科技不仅重构了银行业态，对银行的信息系统架构也是个重构，在这个重构的过程中一定要把安全架构做好。

自主可控在金融领域很重要，银行卡、网银国产密码推广应用就是个很典型的例子。但到了新的时代，自主可控的很多问题银行自己可能也无法应对。比如个人信息保护、信息滥用的问题，就得从法律层面上来解决。那么上面提到的一些新的技术，如蜜网、蜜罐，如何做到自主可控？产业界应该拿出具体解决方案，经过权威测评中心的检测认可，达到等保的相关要求，提供给银行。

此外，在新的金融科技时代，大、中银行还有余地来创新发展，但小银行则感到非常吃力。例如云计算的最大优点就是提供云服务，但对金融云服务的监管现在还是一种纠结的状态，小银行能不能在第三方的阿里云、腾讯云，甚至在社会的一些云上得到托管服务？监管机关目前并没有许可，我认为中小银行可能要走一种行业云或者是公有云来实现自己信息化彻底重构变身的道路。按照过去自己建系统的思路，人才财力物力乃至新技术都力所不及，那么建设的系统水平也可想而知。