2022金融街论坛年会定于11月21日至23日在北京金融街举办,本届论坛年会主题为“踔厉奋发,共向未来——变局下的经济发展与金融合作”,其中由清华大学五道口金融学院承办的主题论坛“全球地缘经济变动下的金融发展与金融安全”于11月21日晚盛大开幕,众多专业人士受邀出席,共同就论坛主题展开深入的讨论和交流。清华大学金融科技研究院金融安全研究中心主任周道许作为本次论坛的重要演讲嘉宾,在论坛上发布了《金融保险网络安全合规技术白皮书》。
《金融保险网络安全合规技术白皮书(2022)》
总编辑:周道许
主编:田新远
执行主编:徐制宇
编辑:刘志勇 李 玲 傅裕兴
现今网络攻击方式的不断演进,网络安全形势不容乐观。具体表现为:一方面,网络攻击事件频发,对社会稳定、生产运行、人民生活造成深远影响;另一方面,新技术、新场景的网络威胁日益增多,利用安全漏洞实施链式攻击更加频繁。近年来,政企数字化转型,推动了数字安全概念升级、落地。数字时代的安全,不仅要防范网络中断和系统瘫痪等风险、保障“线上”网络系统安全,更要进一步保障“线下”经济社会运行秩序稳定。
在此背景下,由清华大学金融科技研究院金融安全研究中心作为学术指导单位、清华大学金融科技研究院金融安全研究中心与华清信安联合编写的《金融保险网络安全合规技术白皮书(2022)》(以下简称《白皮书》)应运而生,《白皮书》从《网络安全法》中要求的安全合规角度探讨金融行业的安全发展趋势,就金融行业网络安全合规下如何开展安全工作进行了深入的讨论和研究。
清华大学金融科技研究院金融安全研究中心主任周道许
金融行业网络安全亟待增强
进入数字化时代,网络高级可持续威胁攻击更为频繁,网络攻击目标、手法、产生的破坏力都逐步升级。在此背景下,网络安全逐渐成为常态性因素,向着范围更大、防护面更广的数字安全体系演进。金融行业一直是网络攻击者的重点目标,随着企业的数字化转型和业务场景云化,都给金融企业网络安全带来了全新的挑战。除此之外,网络攻击利益化,技术智能化,手段自动化,在利益的驱动下,使得网络攻击目标更精准,攻击者更趋于针对“高价值”的金融行业。
在此背景下,金融行业的安全核心能力亟待增强。不仅要保障“线上”网络系统安全,也要保障“线下”经济社会运行秩序稳定,这就意味着金融行业在更频繁的高级可持续攻击下需要将常态化的安全管理作为安全工作核心。同时,智能化、主动防御、安全运营也是当下网络安全解决方案的核心要素,金融行业需要选择合适的创新技术形成有效的安全防御体系。
法律法规政策驱动是推动金融行业网络安全前进的重要因素。《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》指出了企业网络安全建设合规性要求如等级保护2.0要求等,金融行业政策要求和银保监会等主管部门日常监管要求逐渐严格,也彰显着金融行业网络安全建设的重要性。本次发布的《白皮书》则是在网络安全法和网络安全等级保护制度框架下讨论金融保险企业面临的安全合规问题和实施实践,对于金融行业安全合规实施方法也有着重要的参考意义。
金融行业等级保护合规的必要性
网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。周道许主任在论坛分享时表示:“网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,也是国家网络安全工作的基本制度,更是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。”金融行业由于其具有高资产和大量个人信息和敏感数据的特点,也是网络安全等级保护制度和关键信息基础设施安全保护条例实施的重点行业之一。
金融企业通过开展网络安全等级保护工作,首先就是可以满足国家、行业、主管单位法律政策的要求,在安全合规的基础上,企业可以降低网络安全风险,提升网络系统的安全防护能力,有效保障了金融企业重要系统的网络安全,同时,也在等级保护工作开展的过程中提升内部人员安全意识。
网络安全等级保护工作的重点
等级保护工作包含定级、备案、建设整改、测评与检查。除了《网络安全法》的要求,银保监会针对保险行业也发布了一系列网络安全相关监管文件,包括《关于开展保险业信息系统安全等级保护定级工作的通知》、《金融行业网络安全等级保护实施指引》、《金融行业网络安全等级保护测评指南》等文件,共同构成了我国金融保险行业完善的网络安全监管体系。企业实施等级保护工作中,建设整改核心内容,需要专业的安全技术人员对等企业系统进行评估判断网络安全现状,分析与国家等级保护要求之间的差距,确定安全需求,根据网络系统当前情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的网络系统安全建设工程实施。
对于没有专业安全技术人员的企业,需要专业的网络安全厂商协助,比如通过提供一站式等级保护服务可以帮助企业快速通过等级保护。通过安全建设整改,不仅让系统安全能力得到提升,还可以梳理安全管理流程和提升人员安全意识。通过落实网络安全与信息化建设“三同步”要求,即“同步设计、同步建设、同步实施”网络安全等级保护措施,落实安全责任,落实安全管理措施和技术保护措施。
金融行业网络安全不止合规
网络安全等级保护对于金融企业来说是安全建设的第一步,也是非常重要的一步,在安全合规的基础上,金融企业还需要进行定期的漏洞扫描、风险评估等相关安全服务来保障企业的网络安全。金融企业遭受网络攻击造成巨大损失的案例在国内外时有发生,在业务云化,企业数字化前进的关键阶段,网络安全是重要基石,金融企业最好在第三方安全机构的协助下,每半年开展一次安全加固工作。
网络安全形势越来越严峻,金融企业除了需要完成安全合规工作,还需要开展相关的安全意识培训课程,这样无论从信息安全技术类人员还是到普通内部员工,均可以获得专业的安全服务以及安全意识培训服务,从而使企业全员的安全意识得到提升,让企业的网络安全得到更有效的保障。
关注微信公众号(华清信安)回复“白皮书”获取白皮书报告全文。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
关键词: