《金融行业网络安全白皮书(2020年)》发布:

“数据安全”成未来投入重点

□记者 苏洁

12月18日,由《中国银行保险报》主办,华为、腾讯云、平安产险、妙健康、亚信安全、天润融通协办的2020中国保险业信息技术年会在海口举行。会上,由本报组织编写、亚信网络安全产业技术研究院提供智力支持的《金融行业网络安全白皮书(2020年)》(以下简称《白皮书》)同步发布。亚信安全高级副总裁刘东红对《白皮书》进行了解读。

监管日益细化

金融是国家重要的核心竞争力,是现代经济的核心。金融安全是国家安全的重要组成部分,国家高度重视金融安全。近年来,随着新技术在金融行业的广泛、快速应用,金融业数字化转型不断加快,但新技术引发的风险问题也日趋凸显。

近年来,金融行业监管要求日益严格细化。

2017年6月1日,《网络安全法》开始施行。2017年7月,国家互联网信息办公室公布《关键信息基础设施安全保护条例(征求意见稿)》,详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求。2019年12月,网络安全等级保护2.0系列标准开始正式实施,扩大了保护对象的范围,丰富了保护方法,增加了技术标准,提高了测评合格分数,进一步细化和提升了合规要求。2020年11月11日,中国人民银行发布《金融行业网络安全等级保护实施指引》系列标准以及《金融行业网络安全等级保护测评指南》,该标准依据国家网络安全等级保护2.0相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系。

随着近几年行业监管机构对网络安全管理体系要求的不断深入和细化,各金融机构高度重视网络安全组织与制度体系建设工作。

《白皮书》显示,70%的受访机构表示,已在机构内成立专门的网络安全管理部门,其他30%的金融机构,虽然尚未成立独立部门,但已经将网络安全管理作为部门职能,开展了相关的工作。在已成立的独立机构中,多数由信息科技分管领导牵头负责,少数由合规/风险分管领导或其他领导牵头,网络安全在金融行业已成为信息技术体系的重要职能组成。

此外,安全管理制度体系是网络安全体系建设得以发挥实效的重要基础。《白皮书》显示,金融行业网络安全管理制度体系建设情况良好,通过建立各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,形成了由信息安全方针、信息安全制度、信息安全流程等构成的全面的、系统的制度体系(见图1)。但是由于网络安全风险意识不足和宣贯不到位,部分安全管理要求流于形式。

水平参差不齐

《白皮书》指出,大型金融机构普遍构建了纵深的网络安全防御体系,同时配置了超过50人的网络安全团队,安全防护水平较高;而中小金融机构受限于整体投入及专业人员不足等问题,网络安全防御技术体系缺乏顶层的体系化设计,以单点被动防御为主,整体防护能力相对较差。

随着国家和金融行业网络安全监管力度的加强,金融机构对网络安全建设愈发重视,投入也逐年递增,但从当前网络安全工作推进的实际情况来看,面临最突出的问题仍旧是人员缺失和资金不足问题。

结合2019年上市金融机构年报数据和本次调研数据,主要金融机构IT总投入占营收的比例约3%,其中网络安全投入占IT总投入的比例平均约4%。综合来看,主要金融机构网络安全投入仅占金融机构总营收的0.1%左右,这一比例距离0.4%的国际水平有很大差距,网络安全投入总体处于较低水平(见图2)。

“安全中台”成新趋势

网络安全技术实践为网络安全体系落地提供有效技术支撑,和安全管理体系相辅相成,缺一不可。网络安全技术实践种类繁多,主要涉及数据安全、云安全、端点安全、态势感知、身份安全和威胁情报等关键技术领域。

端点安全的核心目标是防止网络受到本地或远程安全威胁。端点的范围很广,包括服务端和客户端的服务器、台式机、笔记本电脑、平板电脑和智能手机等,其安全漏洞将给网络安全造成风险隐患和实际损害。防火墙、VPN、恶意软件防范和端点准入管控等是常规的端点安全技术手段。《白皮书》显示,端点安全是网络安全体系建设中涉及范围最广、推广难度最大的部分,是安全团队最头痛的问题。

在终端安全管理方面,超过90%的金融机构部署了防病毒软件和终端网络准入进行基本的终端安全防护,统一的补丁管理、外设管理和应用管理相对稍差,但也超过了50%。

另外,《白皮书》显示,越来越多的金融机构采用云服务(私有云、混合云)模式部署自己的业务系统,云安全成为保证业务安全的核心诉求之一。云安全是一个统一的层次化安全防护体系,涉及基础设施、数据、应用等多个层面的安全能力构建和联动。无论是公有云还是私有云服务形式,超过85%的金融机构都部署了云安全管理系统,对云的安全防护进行统一的管理,以避免新技术应用隐藏的安全风险,但也有13%的用户在私有云上尚未部署云安全管理系统,面临较高风险。

在数据安全领域,针对重要数据的数据备份、数据加密、数据脱敏以及数据库操作审计应用比例已经超过70%,得到了较广泛的应用;数据防泄密技术的应用情况稍差,但也达到了50%的覆盖度,同时敏感数据发现、数据交换平台和数据水印技术应用情况只有30%左右;多方计算平台作为数据共享场景下的新兴技术,应用比例很低,目前只在部分头部金融机构进行试点和应用推广。

态势感知和安全中台是智能安全的两大支柱。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终保证安全能力的落地。未来3年,金融机构态势感知平台建设将进入高峰期。安全中台结合安全编排自动化与响应和软件定义安全等新的安全架构和技术理念,以“弹性、自适应”为中心,以精密产品联动、自愈分析、自我学习输出为工作主线,以威胁情报、指挥平台和安全服务为辅助支持,以安全战略、安全流程闭环为目的,从技术、流程、服务等多个维度实现持续安全合规、能力对接和状态评估,提高安全运营效率,提升实际安全防御能力。

网络安全需要全息化、服务化和实效化,“安全中台”服务架构的提出成为网络安全建设的一个新趋势。“安全中台”的核心目标是提升安全效能、数据化运营服务、更好地保障客户业务持续、规模化地创新发展,是安全服务于业务理念的核心体现。《白皮书》数据显示,10%的头部金融机构已经完成或部分完成了“安全中台”的建设,近一年内有超过15%的金融机构计划建设安全中台,近三年内计划建设“安全中台”的金融机构比例超过了45%,“安全中台”的建设将进入第一个高潮(见图3)。

身份管理是用户管理的基础,直接影响信息系统的整体运维和管理效率。从调研情况来看,接近30%的大中型金融机构实现了网络安全设备、主机系统、内部应用的统一身份管理;9%的头部金融机构同时还实现了合作伙伴及客户的统一身份管理。剩余70%中小金融机构在统一身份管理方面情况不一,还存在较大改进空间。

金融隐私保护问题日益凸显

近年来,随着大数据、人工智能、区块链等技术的发展,金融业与科技加速融合,新业务、新技术的大量涌现,金融风险、信息技术风险敞口加大。同时,随着金融对外开放力度不断加大,金融信息基础设施直面国内外不同形式的网络风险。金融业一旦发生安全风险,不仅会威胁到用户的利益,也会给金融企业本身带来巨大的损失,破坏整个行业的发展,甚至带来系统性金融风险。金融业网络安全面临的风险和挑战持续升级。

《白皮书》指出,区块链、移动互联、云计算和大数据技术的广泛应用已对金融机构的网络安全保障提出了更高的现实要求。金融机构在利用高新技术面向市场提供快速金融产品的同时必须面对技术高速发展带来的网络安全的不定性。

近年来,针对金融行业的网络攻击行为大幅增长,给各类企业、用户以及金融行业造成的损失每年达百亿元之巨,并有继续快速升级的趋势。相关监测报告显示,针对金融机构的网络攻击类型较多且方式灵活多变,以盗取资金、盗取敏感信息为目的,以SWIFT攻击、ATM攻击、信息泄露、恶意软件、网络诈骗、系统故障、勒索软件和DNS攻击等为主要攻击手段,金融机构经营发展和商业声誉受到严重影响,承受巨大损失。

金融行业自身业务价值高,涉及资金、个人信息、征信信息等重要数据,金融行业的数据正在成为不法分子紧盯的重点对象。另外,金融行业自身业务对信息化依赖程度的加深,业务的多样化、服务的开放化等使得应用越来越复杂,这也将导致出现技术脆弱性或者业务安全隐患的几率增大,防御阵地过大。金融行业中个人金融信息由于其数据价值高,信息非法交易问题尤其严峻,近些年金融用户隐私泄露事件及侵犯公民个人信息违法犯罪频频发生,暴露出第三方内控不严、信息系统出现安全漏洞,信息泄漏传输链条长,难追溯等问题。

根据中国互联网协会发布的《网民权益保护调查报告》,78.2%的网民的个人身份信息、63.4%的网民的网络金融交易记录曾被泄露过。近年来,每年发生的金融隐私泄露事件大约以35%的速度在增长。《白皮书》认为,与欧美国家相比,我国隐私保护体系建设起步相对较晚,加之近年来各类新技术在金融行业迅速广泛应用,金融隐私保护问题日益凸显。银行数据、保险数据和其他平台金融数据泄露频发,网贷业务及大数据风控乱象屡禁不止,金融用户隐私保护形势严峻,难度较大。

“数据安全”成未来投入重点

近年来,金融机构也不断提升对数据安全与隐私保护的重要性的认识水平。《金融数据安全 数据安全分级指南》《个人金融信息保护技术规范》等标准规范密集出台,对数据安全和隐私保护赋予了更加明确的定义,对安全保护能力提出了更高要求。《白皮书》显示,14.49%的金融机构将“数据安全”作为未来三年重点投入的第一选择,“数据安全”已经成为未来建设投入重点(见表1)。

此外,金融行业对于网络安全服务需求不断增加。2019年,安全服务已成为主要金融机构排名第二的投入重点。在未来相当长的时间内,金融机构在网络安全服务方向的投入将保持持续增加,成为仅次于数据安全的重点投入领域。

当前,金融科技、数字经济正在加速推动,无处不在的网络扩大了攻击者的攻击面。机构关键数字资产暴露于各种攻击火力之下,已成为用户在向数字化转型过程中的主要挑战之一。过去数年,被披露的数起重大数据泄露案件均是由“身份冒用”引发,因此,基于重要场景(例如:线上金融交易、机构间的数据交换等)进行二次认证等安全机制约束需求开始得到重视,这就是“零信任”的雏形。

由此,“零信任”的核心思想可以概括为:网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任,其本质是以身份为中心进行访问控制。“零信任”可以降低数据泄露、数据丢失事件的发生频率,拒绝未授权的访问,在数据安全方面价值巨大。因此,应建立以身份为基础,持续进行信任评估和动态访问控制,将各种安全产品、安全模块整合起来、紧密耦合的安全体系,进而构建安全的ICT基础设施,保障应用和数据的安全性。

5G 技术赋能金融行业的同时,也带来了隐性的网络安全风险,按照网络安全建设“三同步”原则,5G安全应在金融领域5G创新应用中进行同步规划、同步实施。5G网络是基于虚拟化、云化的网络架构,针对引入的边缘计算、网络切片等新技术,传统防护手段难以满足需求;5G时代在物联网等领域终端种类和数量增加,易被攻击利用,对网络运行安全造成威胁。5G新应用场景从移动互联网拓展至物联网,会产生新的基于场景应用的网络威胁。因此,需要面向新时代,持续开展5G环境下的安全特性预研,为5G时代开放银行、智慧资管等场景下的安全风险控制提供安全技术支撑,制定新的5G安全解决方案,保障5G在金融机构的场景化落地和推广。

多方着手提升综合防护能力

针对金融行业面临的新的风险和挑战,结合目前存在的问题,《白皮书》建议,金融机构从以下六个方面着手,快速提升网络安全综合防护能力:

一是以人为本,采取多种方式加强网络安全意识培训和宣贯,提升全员网络安全风险防范意识;二是以合规能力建设为基础,全面贯彻落实“三化六防”防护体系新思想;三是创新思路,统筹推进网络安全顶层规划工作;四是加强个人金融信息保护,逐步建设全要素的数据安全治理体系;五是加强人、工具协同,首先通过XDR解决方案的快速落地形成完整的威胁检测防御能力,其次建设安全中台,实现从被动响应到主动运营的转变,形成体系化的安全运营能力;六是注重网络安全人才培养,同时加强与专业机构的合作,持续提升网络安全人员的专业技能。

图2:主要金融机构2019年度IT与网络安全领域投入占比

图3:主要金融机构“安全中台”规划和建设情况

图1:网络安全管理制度体系

表1:主要金融机构未来三年网络安全主要投入领域

本版制图:王梓

pc版
首页  >  科技

《金融行业网络安全白皮书(2020年)》发布:

“数据安全”成未来投入重点

来源:中国银行保险报网  时间:2020-12-21

□记者 苏洁

12月18日,由《中国银行保险报》主办,华为、腾讯云、平安产险、妙健康、亚信安全、天润融通协办的2020中国保险业信息技术年会在海口举行。会上,由本报组织编写、亚信网络安全产业技术研究院提供智力支持的《金融行业网络安全白皮书(2020年)》(以下简称《白皮书》)同步发布。亚信安全高级副总裁刘东红对《白皮书》进行了解读。

监管日益细化

金融是国家重要的核心竞争力,是现代经济的核心。金融安全是国家安全的重要组成部分,国家高度重视金融安全。近年来,随着新技术在金融行业的广泛、快速应用,金融业数字化转型不断加快,但新技术引发的风险问题也日趋凸显。

近年来,金融行业监管要求日益严格细化。

2017年6月1日,《网络安全法》开始施行。2017年7月,国家互联网信息办公室公布《关键信息基础设施安全保护条例(征求意见稿)》,详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求。2019年12月,网络安全等级保护2.0系列标准开始正式实施,扩大了保护对象的范围,丰富了保护方法,增加了技术标准,提高了测评合格分数,进一步细化和提升了合规要求。2020年11月11日,中国人民银行发布《金融行业网络安全等级保护实施指引》系列标准以及《金融行业网络安全等级保护测评指南》,该标准依据国家网络安全等级保护2.0相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系。

随着近几年行业监管机构对网络安全管理体系要求的不断深入和细化,各金融机构高度重视网络安全组织与制度体系建设工作。

《白皮书》显示,70%的受访机构表示,已在机构内成立专门的网络安全管理部门,其他30%的金融机构,虽然尚未成立独立部门,但已经将网络安全管理作为部门职能,开展了相关的工作。在已成立的独立机构中,多数由信息科技分管领导牵头负责,少数由合规/风险分管领导或其他领导牵头,网络安全在金融行业已成为信息技术体系的重要职能组成。

此外,安全管理制度体系是网络安全体系建设得以发挥实效的重要基础。《白皮书》显示,金融行业网络安全管理制度体系建设情况良好,通过建立各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,形成了由信息安全方针、信息安全制度、信息安全流程等构成的全面的、系统的制度体系(见图1)。但是由于网络安全风险意识不足和宣贯不到位,部分安全管理要求流于形式。

水平参差不齐

《白皮书》指出,大型金融机构普遍构建了纵深的网络安全防御体系,同时配置了超过50人的网络安全团队,安全防护水平较高;而中小金融机构受限于整体投入及专业人员不足等问题,网络安全防御技术体系缺乏顶层的体系化设计,以单点被动防御为主,整体防护能力相对较差。

随着国家和金融行业网络安全监管力度的加强,金融机构对网络安全建设愈发重视,投入也逐年递增,但从当前网络安全工作推进的实际情况来看,面临最突出的问题仍旧是人员缺失和资金不足问题。

结合2019年上市金融机构年报数据和本次调研数据,主要金融机构IT总投入占营收的比例约3%,其中网络安全投入占IT总投入的比例平均约4%。综合来看,主要金融机构网络安全投入仅占金融机构总营收的0.1%左右,这一比例距离0.4%的国际水平有很大差距,网络安全投入总体处于较低水平(见图2)。

“安全中台”成新趋势

网络安全技术实践为网络安全体系落地提供有效技术支撑,和安全管理体系相辅相成,缺一不可。网络安全技术实践种类繁多,主要涉及数据安全、云安全、端点安全、态势感知、身份安全和威胁情报等关键技术领域。

端点安全的核心目标是防止网络受到本地或远程安全威胁。端点的范围很广,包括服务端和客户端的服务器、台式机、笔记本电脑、平板电脑和智能手机等,其安全漏洞将给网络安全造成风险隐患和实际损害。防火墙、VPN、恶意软件防范和端点准入管控等是常规的端点安全技术手段。《白皮书》显示,端点安全是网络安全体系建设中涉及范围最广、推广难度最大的部分,是安全团队最头痛的问题。

在终端安全管理方面,超过90%的金融机构部署了防病毒软件和终端网络准入进行基本的终端安全防护,统一的补丁管理、外设管理和应用管理相对稍差,但也超过了50%。

另外,《白皮书》显示,越来越多的金融机构采用云服务(私有云、混合云)模式部署自己的业务系统,云安全成为保证业务安全的核心诉求之一。云安全是一个统一的层次化安全防护体系,涉及基础设施、数据、应用等多个层面的安全能力构建和联动。无论是公有云还是私有云服务形式,超过85%的金融机构都部署了云安全管理系统,对云的安全防护进行统一的管理,以避免新技术应用隐藏的安全风险,但也有13%的用户在私有云上尚未部署云安全管理系统,面临较高风险。

在数据安全领域,针对重要数据的数据备份、数据加密、数据脱敏以及数据库操作审计应用比例已经超过70%,得到了较广泛的应用;数据防泄密技术的应用情况稍差,但也达到了50%的覆盖度,同时敏感数据发现、数据交换平台和数据水印技术应用情况只有30%左右;多方计算平台作为数据共享场景下的新兴技术,应用比例很低,目前只在部分头部金融机构进行试点和应用推广。

态势感知和安全中台是智能安全的两大支柱。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终保证安全能力的落地。未来3年,金融机构态势感知平台建设将进入高峰期。安全中台结合安全编排自动化与响应和软件定义安全等新的安全架构和技术理念,以“弹性、自适应”为中心,以精密产品联动、自愈分析、自我学习输出为工作主线,以威胁情报、指挥平台和安全服务为辅助支持,以安全战略、安全流程闭环为目的,从技术、流程、服务等多个维度实现持续安全合规、能力对接和状态评估,提高安全运营效率,提升实际安全防御能力。

网络安全需要全息化、服务化和实效化,“安全中台”服务架构的提出成为网络安全建设的一个新趋势。“安全中台”的核心目标是提升安全效能、数据化运营服务、更好地保障客户业务持续、规模化地创新发展,是安全服务于业务理念的核心体现。《白皮书》数据显示,10%的头部金融机构已经完成或部分完成了“安全中台”的建设,近一年内有超过15%的金融机构计划建设安全中台,近三年内计划建设“安全中台”的金融机构比例超过了45%,“安全中台”的建设将进入第一个高潮(见图3)。

身份管理是用户管理的基础,直接影响信息系统的整体运维和管理效率。从调研情况来看,接近30%的大中型金融机构实现了网络安全设备、主机系统、内部应用的统一身份管理;9%的头部金融机构同时还实现了合作伙伴及客户的统一身份管理。剩余70%中小金融机构在统一身份管理方面情况不一,还存在较大改进空间。

金融隐私保护问题日益凸显

近年来,随着大数据、人工智能、区块链等技术的发展,金融业与科技加速融合,新业务、新技术的大量涌现,金融风险、信息技术风险敞口加大。同时,随着金融对外开放力度不断加大,金融信息基础设施直面国内外不同形式的网络风险。金融业一旦发生安全风险,不仅会威胁到用户的利益,也会给金融企业本身带来巨大的损失,破坏整个行业的发展,甚至带来系统性金融风险。金融业网络安全面临的风险和挑战持续升级。

《白皮书》指出,区块链、移动互联、云计算和大数据技术的广泛应用已对金融机构的网络安全保障提出了更高的现实要求。金融机构在利用高新技术面向市场提供快速金融产品的同时必须面对技术高速发展带来的网络安全的不定性。

近年来,针对金融行业的网络攻击行为大幅增长,给各类企业、用户以及金融行业造成的损失每年达百亿元之巨,并有继续快速升级的趋势。相关监测报告显示,针对金融机构的网络攻击类型较多且方式灵活多变,以盗取资金、盗取敏感信息为目的,以SWIFT攻击、ATM攻击、信息泄露、恶意软件、网络诈骗、系统故障、勒索软件和DNS攻击等为主要攻击手段,金融机构经营发展和商业声誉受到严重影响,承受巨大损失。

金融行业自身业务价值高,涉及资金、个人信息、征信信息等重要数据,金融行业的数据正在成为不法分子紧盯的重点对象。另外,金融行业自身业务对信息化依赖程度的加深,业务的多样化、服务的开放化等使得应用越来越复杂,这也将导致出现技术脆弱性或者业务安全隐患的几率增大,防御阵地过大。金融行业中个人金融信息由于其数据价值高,信息非法交易问题尤其严峻,近些年金融用户隐私泄露事件及侵犯公民个人信息违法犯罪频频发生,暴露出第三方内控不严、信息系统出现安全漏洞,信息泄漏传输链条长,难追溯等问题。

根据中国互联网协会发布的《网民权益保护调查报告》,78.2%的网民的个人身份信息、63.4%的网民的网络金融交易记录曾被泄露过。近年来,每年发生的金融隐私泄露事件大约以35%的速度在增长。《白皮书》认为,与欧美国家相比,我国隐私保护体系建设起步相对较晚,加之近年来各类新技术在金融行业迅速广泛应用,金融隐私保护问题日益凸显。银行数据、保险数据和其他平台金融数据泄露频发,网贷业务及大数据风控乱象屡禁不止,金融用户隐私保护形势严峻,难度较大。

“数据安全”成未来投入重点

近年来,金融机构也不断提升对数据安全与隐私保护的重要性的认识水平。《金融数据安全 数据安全分级指南》《个人金融信息保护技术规范》等标准规范密集出台,对数据安全和隐私保护赋予了更加明确的定义,对安全保护能力提出了更高要求。《白皮书》显示,14.49%的金融机构将“数据安全”作为未来三年重点投入的第一选择,“数据安全”已经成为未来建设投入重点(见表1)。

此外,金融行业对于网络安全服务需求不断增加。2019年,安全服务已成为主要金融机构排名第二的投入重点。在未来相当长的时间内,金融机构在网络安全服务方向的投入将保持持续增加,成为仅次于数据安全的重点投入领域。

当前,金融科技、数字经济正在加速推动,无处不在的网络扩大了攻击者的攻击面。机构关键数字资产暴露于各种攻击火力之下,已成为用户在向数字化转型过程中的主要挑战之一。过去数年,被披露的数起重大数据泄露案件均是由“身份冒用”引发,因此,基于重要场景(例如:线上金融交易、机构间的数据交换等)进行二次认证等安全机制约束需求开始得到重视,这就是“零信任”的雏形。

由此,“零信任”的核心思想可以概括为:网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任,其本质是以身份为中心进行访问控制。“零信任”可以降低数据泄露、数据丢失事件的发生频率,拒绝未授权的访问,在数据安全方面价值巨大。因此,应建立以身份为基础,持续进行信任评估和动态访问控制,将各种安全产品、安全模块整合起来、紧密耦合的安全体系,进而构建安全的ICT基础设施,保障应用和数据的安全性。

5G 技术赋能金融行业的同时,也带来了隐性的网络安全风险,按照网络安全建设“三同步”原则,5G安全应在金融领域5G创新应用中进行同步规划、同步实施。5G网络是基于虚拟化、云化的网络架构,针对引入的边缘计算、网络切片等新技术,传统防护手段难以满足需求;5G时代在物联网等领域终端种类和数量增加,易被攻击利用,对网络运行安全造成威胁。5G新应用场景从移动互联网拓展至物联网,会产生新的基于场景应用的网络威胁。因此,需要面向新时代,持续开展5G环境下的安全特性预研,为5G时代开放银行、智慧资管等场景下的安全风险控制提供安全技术支撑,制定新的5G安全解决方案,保障5G在金融机构的场景化落地和推广。

多方着手提升综合防护能力

针对金融行业面临的新的风险和挑战,结合目前存在的问题,《白皮书》建议,金融机构从以下六个方面着手,快速提升网络安全综合防护能力:

一是以人为本,采取多种方式加强网络安全意识培训和宣贯,提升全员网络安全风险防范意识;二是以合规能力建设为基础,全面贯彻落实“三化六防”防护体系新思想;三是创新思路,统筹推进网络安全顶层规划工作;四是加强个人金融信息保护,逐步建设全要素的数据安全治理体系;五是加强人、工具协同,首先通过XDR解决方案的快速落地形成完整的威胁检测防御能力,其次建设安全中台,实现从被动响应到主动运营的转变,形成体系化的安全运营能力;六是注重网络安全人才培养,同时加强与专业机构的合作,持续提升网络安全人员的专业技能。

图2:主要金融机构2019年度IT与网络安全领域投入占比

图3:主要金融机构“安全中台”规划和建设情况

图1:网络安全管理制度体系

表1:主要金融机构未来三年网络安全主要投入领域

本版制图:王梓

未经许可 不得转载 Copyright© 2000-2019
中国银行保险报 All Rights Reserved