宁波银行：打造“网络资产管理”新样本

面对日新月异的金融科技变化和日益严峻的安全攻势，网络安全将会深度融入金融数字化发展进程中。宁波银行紧抓机遇、积极变革，坚持“业务发展”和“网络安全”并驾齐驱，一方面加速数字化转型，另一方面以资产为基础，提升安全态势感知能力，为企业发展注入源源不断的“活水”。

一直以来，有着城商行界“三好生”称号的宁波银行，依托优越的区域经济优势，大力发展“业务线上化、网点智能化”服务，数字化升级之路也颇为业内称道。2007年，宁波银行挂牌上市，是国内首批上市的城市商业银行之一，成为城商行发展的样本。

大步迈进数字化转型的同时，宁波银行不断积蓄“安全”能量。作为国家关键基础设施，金融机构核心业务系统的安全性是前提，而精准的资产管控是网络安全精细化管理的基础，互联网暴露面资产的网络安全管理又是重中之重。宁波银行深谙其道、厚积薄发，创新性地引入了网络资产探测服务模式，摸清网络资产家底，打破安全管理的“空中楼阁”。

让我们走进宁波银行，探寻其秘诀。

“树大招风”看见被忽略的安全隐患

宁波银行信息化进化之路，于2008年就已起步。宁波银行先后用6年时间，从建设和改进全行的业务系统到提高科技服务水平，不断通过自主研发能力持续推进科技与业务融合创新。随着业务全面线上化、数字化，宁波银行已具备先进、完整的业务系统体系。

当网络规模愈发庞大，IT资产越来越多，资产如何管理？大量资产暴露在互联网面临外部攻击者的威胁，又该如何“阻击”？宁波银行同样面临着这样的问题。

不破不立。宁波银行开始实践更先进的管理体制，这其中就包含了在线业务的资产管理！

从攻击者视角，精准发现资产盲区

通过半年多的调研和排查，今年初，宁波银行携手安恒信息开始着手打造一个更为智能化、轻量级的网络资产探测服务平台，提升全方位资产探测和安全风险发现能力。

如何管理？宁波银行另辟蹊径，从攻击者视角入手，对单位内互联网暴露面资产梳理开展一次“大体检”，摸清单位网络资产底数，对内发现未知资产和资产风险，包含高危漏洞和主机资产脆弱性、资产变化、设备用途的私自变更等安全威胁，以及外部发现在Github、网盘、文库上泄露的资产信息，当发现资产异常或确定为安全风险时，及时告警并给予加固建议。并且，建立完整且及时的企业互联网暴露面IT资产信息库、风险库，为安全风险管理提供基础数据。“边缘化资产、不常用的资产，都在探测范围内，尽量减少暴露面。”

目前，大量企业仍存在采用人工录入的方式或者使用半本地化管理系统对互联网暴露面IT资产进行管理维护的情况，宁波银行引入主动发现新接入IT资产的技术手段，能自定义、自动化开展资产探测。

“这一排查工作是基于saas化服务平台，在远程办公的特殊时期，‘轻装上阵’非常关键。”宁波银行安全运营负责人表示，轻量级部署即可协助用户感知本单位整体网络资产的安全态势，建立健全网络资产治理和风险管理机制，提高单位的网络安全管理工作效率。

除用于单位自查，发现本单位暴露在互联网上的各类主机和web应用、对资产进行统一监控和管理外，网络资产探测服务平台还可满足上级核查和行业普查的需求。

通过网络资产探测服务平台，宁波银行可对下属的分支机构网络资产上报情况进行核查，是否存在漏报或误报情况，协助下级单位或分公司摸清资产底数；针对金融行业或是区域内监管的要求，可实现行业资产普查，消除监管死角和盲区，为实施行业网络安全监管工作提供数据支持。

“平台投入使用后，还可与宁波银行现有的大数据平台打通，将发现的新数据与业务平台对接、同步输送。”宁波银行安全运营负责人说道。