近日,中国人民银行制定的《金融业数据能力建设指引》正式印发。有业界人士表示,近年来网络安全成为金融业发展的重要课题,随着顶层制度的不断完善,金融机构对于网络安全正从“买硬件”转向“重实战”,未来“云+端+流量”的攻防能力升级,是金融机构网络信息安全建设的重要方向。
在金融科技提高业务效率、降低服务成本的同时,网络安全的隐患也有所增加。据中国信息通信研究院数据显示,在2019年不同行业发生的重大网络安全事件中,金融行业占比达30%,成为网络安全问题发生的重灾区。
记者梳理发现,围绕金融业网络安全制度设计,除了人民银行印发的《金融业数据能力建设指引》外,此前原银监会也发布了《银行业金融机构数据治理指引》,从监管职能方面将数据治理能力纳入公司治理评价体系及行政处罚范围,已有多家银行据此被行政处罚;证监会起草了《证券期货业网络安全事件报告与调查处理办法(征求意见稿)》,进一步规范了证券期货业网络安全事件的报告和责任追究。
“早些年金融机构对网络安全的关注,集中在符合监管部门的要求,‘买硬件’的阶段。”网络安全企业微步在线CEO薛锋表示,目前金融机构更关心实用效果、预先发现、实时监测、攻击溯源等,特别是疫情加速了网络化服务的进程。
随着金融业务在云、端等维度的开展,金融数字化转型更为迫切,潜在的风险越来越复杂,安全的边界在不断延伸。
“在云技术重构企业IT架构的大环境下,金融机构充分利用大数据、云计算、人工智能等新技术是展业的趋势。”薛锋认为,基于云端的SECaaS(安全即服务)模式正逐渐替代基于本地化部署的传统软件服务模式。金融机构不断完善的动态安全检测能力,将在网络安全中拥有长期价值。
一家股份制商业银行业务负责人认为,传统对数据进行封闭性管理、限制流动、层层审批的思路,不再适应数字化转型的需求。“大家都在讲,数据是未来最重要的银行资产,但目前还存在内部数据无成本、无序流动的现象,没有固定的成本付出和价值兑现框架、流程约束,会导致安全管理很被动。
“目前网络安全已经贯穿到规划、设计、开发、测试、运维等业务运营的全生命周期。”上述负责人说,要让安全专业岗位人员将更多精力用来挖掘更深层次的漏洞和未知威胁,培养安全技术岗位人才的金融素养,让他们更了解金融业务。
安全本质是人的对抗,提升金融机构内部网络管理人员的能力,是从源头上提升安全管理水平。有业界人士表示,要通过场景化安全交流,利用虚拟化平台,模拟实战化场景,培养优秀的网络安全防护岗位人员,有效提升金融机构发现和处置多种网络攻击的防护能力。
面对错综复杂的金融网络安全形势,近期人民银行建设了金融业网络安全重要基础设施“金融业网络安全态势感知与信息共享平台”,旨在通过建立完善的制度、精细的标准、有效的手段和专业的团队,提升金融业网络安全治理效能。(记者李彤)