2022金融街論壇年會定于11月21日至23日在北京金融街舉辦,本屆論壇年會主題為“踔厲奮發,共向未來——變局下的經濟發展與金融合作”,其中由清華大學五道口金融學院承辦的主題論壇“全球地緣經濟變動下的金融發展與金融安全”于11月21日晚盛大開幕,眾多專業人士受邀出席,共同就論壇主題展開深入的討論和交流。清華大學金融科技研究院金融安全研究中心主任周道許作為本次論壇的重要演講嘉賓,在論壇上發布了《金融保險網絡安全合規技術白皮書》。
《金融保險網絡安全合規技術白皮書(2022)》
總編輯:周道許
主編:田新遠
執行主編:徐制宇
編輯:劉志勇 李 玲 傅裕興
現今網絡攻擊方式的不斷演進,網絡安全形勢不容樂觀。具體表現為:一方面,網絡攻擊事件頻發,對社會穩定、生產運行、人民生活造成深遠影響;另一方面,新技術、新場景的網絡威脅日益增多,利用安全漏洞實施鏈式攻擊更加頻繁。近年來,政企數字化轉型,推動了數字安全概念升級、落地。數字時代的安全,不僅要防范網絡中斷和系統癱瘓等風險、保障“線上”網絡系統安全,更要進一步保障“線下”經濟社會運行秩序穩定。
在此背景下,由清華大學金融科技研究院金融安全研究中心作為學術指導單位、清華大學金融科技研究院金融安全研究中心與華清信安聯合編寫的《金融保險網絡安全合規技術白皮書(2022)》(以下簡稱《白皮書》)應運而生,《白皮書》從《網絡安全法》中要求的安全合規角度探討金融行業的安全發展趨勢,就金融行業網絡安全合規下如何開展安全工作進行了深入的討論和研究。
清華大學金融科技研究院金融安全研究中心主任周道許
金融行業網絡安全亟待增強
進入數字化時代,網絡高級可持續威脅攻擊更為頻繁,網絡攻擊目標、手法、產生的破壞力都逐步升級。在此背景下,網絡安全逐漸成為常態性因素,向著范圍更大、防護面更廣的數字安全體系演進。金融行業一直是網絡攻擊者的重點目標,隨著企業的數字化轉型和業務場景云化,都給金融企業網絡安全帶來了全新的挑戰。除此之外,網絡攻擊利益化,技術智能化,手段自動化,在利益的驅動下,使得網絡攻擊目標更精準,攻擊者更趨于針對“高價值”的金融行業。
在此背景下,金融行業的安全核心能力亟待增強。不僅要保障“線上”網絡系統安全,也要保障“線下”經濟社會運行秩序穩定,這就意味著金融行業在更頻繁的高級可持續攻擊下需要將常態化的安全管理作為安全工作核心。同時,智能化、主動防御、安全運營也是當下網絡安全解決方案的核心要素,金融行業需要選擇合適的創新技術形成有效的安全防御體系。
法律法規政策驅動是推動金融行業網絡安全前進的重要因素。《網絡安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》指出了企業網絡安全建設合規性要求如等級保護2.0要求等,金融行業政策要求和銀保監會等主管部門日常監管要求逐漸嚴格,也彰顯著金融行業網絡安全建設的重要性。本次發布的《白皮書》則是在網絡安全法和網絡安全等級保護制度框架下討論金融保險企業面臨的安全合規問題和實施實踐,對于金融行業安全合規實施方法也有著重要的參考意義。
金融行業等級保護合規的必要性
網絡安全等級保護是指對網絡(含信息系統、數據)實施分等級保護、分等級監管,對網絡中使用的網絡安全產品實行按等級管理,對網絡中發生的安全事件分等級響應、處置。周道許主任在論壇分享時表示:“網絡安全等級保護是黨中央、國務院決定在網絡安全領域實施的基本國策,也是國家網絡安全工作的基本制度,更是實現國家對重要網絡、信息系統、數據資源實施重點保護的重大措施,是維護國家關鍵信息基礎設施的重要手段。”金融行業由于其具有高資產和大量個人信息和敏感數據的特點,也是網絡安全等級保護制度和關鍵信息基礎設施安全保護條例實施的重點行業之一。
金融企業通過開展網絡安全等級保護工作,首先就是可以滿足國家、行業、主管單位法律政策的要求,在安全合規的基礎上,企業可以降低網絡安全風險,提升網絡系統的安全防護能力,有效保障了金融企業重要系統的網絡安全,同時,也在等級保護工作開展的過程中提升內部人員安全意識。
網絡安全等級保護工作的重點
等級保護工作包含定級、備案、建設整改、測評與檢查。除了《網絡安全法》的要求,銀保監會針對保險行業也發布了一系列網絡安全相關監管文件,包括《關于開展保險業信息系統安全等級保護定級工作的通知》、《金融行業網絡安全等級保護實施指引》、《金融行業網絡安全等級保護測評指南》等文件,共同構成了我國金融保險行業完善的網絡安全監管體系。企業實施等級保護工作中,建設整改核心內容,需要專業的安全技術人員對等企業系統進行評估判斷網絡安全現狀,分析與國家等級保護要求之間的差距,確定安全需求,根據網絡系統當前情況和安全需求等,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施計劃等,以指導后續的網絡系統安全建設工程實施。
對于沒有專業安全技術人員的企業,需要專業的網絡安全廠商協助,比如通過提供一站式等級保護服務可以幫助企業快速通過等級保護。通過安全建設整改,不僅讓系統安全能力得到提升,還可以梳理安全管理流程和提升人員安全意識。通過落實網絡安全與信息化建設“三同步”要求,即“同步設計、同步建設、同步實施”網絡安全等級保護措施,落實安全責任,落實安全管理措施和技術保護措施。
金融行業網絡安全不止合規
網絡安全等級保護對于金融企業來說是安全建設的第一步,也是非常重要的一步,在安全合規的基礎上,金融企業還需要進行定期的漏洞掃描、風險評估等相關安全服務來保障企業的網絡安全。金融企業遭受網絡攻擊造成巨大損失的案例在國內外時有發生,在業務云化,企業數字化前進的關鍵階段,網絡安全是重要基石,金融企業最好在第三方安全機構的協助下,每半年開展一次安全加固工作。
網絡安全形勢越來越嚴峻,金融企業除了需要完成安全合規工作,還需要開展相關的安全意識培訓課程,這樣無論從信息安全技術類人員還是到普通內部員工,均可以獲得專業的安全服務以及安全意識培訓服務,從而使企業全員的安全意識得到提升,讓企業的網絡安全得到更有效的保障。
關注微信公眾號(華清信安)回復“白皮書”獲取白皮書報告全文。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞:
因業績預告披露凈利潤與實際
第32屆中國廚師節在福州舉辦
生成式AI如何照進新零售?良
水滴保險經紀積極參與“金融
半導體板塊漲3.46% 利揚芯
(鄉村行·看振興)山東特色
極氪007:突破豪華純電界限
國家開放大學首屆新商科創新
48小時點擊排行
