随着数字经济的快速发展，我国银行业务服务模式与技术架构发生了深刻变革。尤其在数字化转型背景下，网络安全作为保障银行业务稳定连续运行的基础，正面临更大的挑战。

银行网络安全体系与银行技术、业务架构密切相关，先后经历了分散外挂防护、集中边界防护、纵深防护等阶段。随着银行数字化转型工作的深入推进，银行网络安全体系持续升级，并逐步向全面防护、攻防能力相长的新体系演进。近年来，随着国际局势的复杂化，全球网络安全威胁持续升级，银行业金融机构作为金融领域的关键基础设施运营单位，面临更加严峻的形势：全球供应链攻击规模和影响不断升级;网络入侵事件与日俱增，高级可持续性攻击(APT攻击)呈多发态势;安全漏洞层出不穷，高危漏洞比例大幅增加，0day漏洞风险防不胜防;信息安全整体形势严峻，客户信息安全与隐私保护面临新挑战。

2.关键信息基础设施强监管时代，银行面临更高网络安全监管要求

当前，国家持续提高对网络安全工作的重视程度，陆续出台相关法律法规，以《中华人民共和国网络安全法》为基础的网络安全法律体系逐步形成，网络安全治理体系逐步完备，网络安全成为总体国家安全观的有机组成部分。2022年9月，《中华人民共和国网络安全法》拟修改并向社会公开征求意见，以加强对关基运营者违法行为的处罚力度。《关键信息基础设施安全保护条例》明确了关键信息基础设施保护流程，并要求关键信息基础设施运营者加强攻防实战能力建设。

同时，监管部门加强对网络安全的监管。公安部、人民银行、银保监会等监管部门相继出台一系列网络安全监管制度，并加大监管问责力度，多家银行因违反相关条例被监管部门给予警告、罚款、责令整改等处罚。监管部门、各级政府部门纷纷组织开展攻防比赛、专项演练等专项工作，敦促各关键信息基础设施运营单位快速提升攻防实战能力，监管重心逐渐由合规要求向能力提升转变。

3.银行数字化转型时期，新技术、新应用带来新机遇和新风险

一是新技术与银行业务的结合可能带来新风险。人工智能、物联网等新技术不断发展，与交易结算、资金融通、风险管控等银行业务深度融合，跨境交易高频发生，任一环节出现问题都可能对业务连续性造成影响。

二是新技术应用带来新的安全问题。云计算、大数据等技术的发展在为数字化转型赋能的同时，也带来了云安全、大数据安全等一系列新型安全问题，产生数据泄露风险。

三是新技术成为驱动网络安全防护数字化转型的重要组成部分。当前，人工智能、区块链、量子计算等新技术不断发展，银行不断加强对新技术的应用，研究建设数字安全平台，夯实银行业数字化安全基座。

银行网络安全工作面临严峻的内外部挑战，网络安全技术、产品快速发展，银行需要以体系化、全局化的视角统筹审视网络安全各项工作的内容和布局。

20世纪80年代以来，在信息技术的带动下，商业银行业务接连实现电子化、网络化、数字化的多次飞跃，信息技术已经成为商业银行创新的核心驱动力。网络安全与信息化同步发展，银行网络安全体系与信息技术体系相关联，网络安全工作随信息技术的演进经历了多个阶段，银行网络安全的防护目标、防护模型、关键技术在每个阶段都存在显著区别，各阶段银行网络安全体系的特征如下。

1.分散外挂防护架构

1980年以后，银行信息系统进入电子化时代。银行资金流动日益频繁，我国各大银行相继引入了大型主机系统替代人力工作，在网点建立柜面业务处理系统，在后台建立联网系统，基本实现了银行内、网点间的业务联网处理。此时我国的互联网普及率较低，大多数银行的信息系统封闭于局域网中。

在此阶段，银行网络安全体系采用分散外挂防护架构。银行信息系统主要面临技术缺陷、人为破坏、人工误操作等安全威胁，因此安全防护工作多采用分散外挂防护。银行网络安全工作的开展主要依据国家及主管部门发布的安全监管制度如《中华人民共和国计算机信息系统安全保护条例》，安全工作主要围绕物理安全、终端安全、主机系统安全等领域开展，保护专用系统和软件的安全。此时银行网络安全工作处于起步阶段，代表技术有防病毒、加密技术等。

2.集中边界防护架构

2000年以后，银行信息系统进入网络化时代。随着商业银行业务的不断扩展和对信息系统依赖性的不断加大，我国商业银行纷纷将分散的计算中心集中到大型数据中心，实现了信息系统和数据的高度集中。工商银行率先完成数据大集中，之后，全国大小银行陆续完成信息系统从“各分行分散”向“全国性集中”的革新。

在此阶段，银行网络安全体系采用集中边界防护架构。银行信息系统的高度集中也导致了风险的高度集中，银行信息系统规模日益增大，运行环境愈发复杂，仅靠过去针对性解决的方法已无法系统性地解决复杂的网络安全问题，所以银行网络安全体系演进为集中边界防护，即围绕数据中心进行的网络边界防护。此时各大银行开始运用体系化思维解决网络安全问题，参考了国内外一系列安全标准及模型，如信息安全等级保护相关政策法规、ISO27000信息安全管理体系标准等，不断提升信息安全管理的规范化水平。在此阶段，银行网络安全体系已相对成熟，代表性的安全技术有访问控制、防火墙、入侵检测技术等。

3.纵深防护架构

2014年以来，银行信息系统进入信息化、数字化时代。银行的产品、营销、运营等逐渐发生深刻改变，信息系统应用规模不断扩大，银行产品迭代不断加速。各大银行纷纷引入云计算、虚拟化、人工智能等新技术来处理越来越多、越来越繁杂的数据，信息系统逐渐由单一集中模式向分布式、集中式并存的双核架构转型。

在此阶段，银行网络安全体系采用纵深防护架构。随着信息系统走向开放，新技术深刻改变了银行的服务形式及产品形态，同时也带来了新的安全风险，因此银行网络安全架构逐渐向纵深防护演变，强调内外兼顾的综合防护。各银行依据国家及相关部门发布的《网络安全等级保护条例》与《国家关键信息基础设施安全保护条例》(以下简称“关基保护条例”)等相关法规标准，推动构建网络安全纵深防护体系。网络安全的目标由单一保护网络向保护数据转变，通过纵深防护，达到内外兼防的目的。在此阶段，银行网络安全需要同时兼顾攻防，代表技术有ATT&CK威胁建模、网络攻击溯源技术等。

目前，银行业正处于数字化转型关键阶段，银行业务模式向数字化运营转型升级，对银行网络安全体系提出了更高的要求，银行网络安全体系逐渐由合规管理向主动防御、智能防御等能力建设阶段转变。