十三五金融网络安全建设要点.pdfVIP

“十三五”金融网络安全建设要点 1 随着金融行业 “十二五”建设的完毕， 中国人民银行于 2017 年 6 月发布了 《中国金融业信息技术 “十 三五“发展规划》 （以下简称“十三五”规划）。 “十三五”规划与《中国金融业信息化“十二五“发 展规划》（以下简称“十二五”规划）相比，我们可以看到监管机构针对网络安全领域的要求发生了 显著变化。 在“十二五”规划中，我们理解监管机构主要强调了三点：一是提高金融机构业务连续性保障能力； 二是提高信息安全管理水平，三是提升信息安全防护水平。而在“十三五”规划中，可以看到以下三 方面变化： 一是提出 “坚持安全与发展并重” 的原则；二是确定了包括健全和提高网络安全管理机制、 新技术应用风险防控能力、安全生产和网络安全防护能力的网络安全保障体系发展目标；三是明确了 提高安全生产能力、安全管理水平和全面推进落实网络安全法的重点任务。 结合“十三五”规划的要求，以及绿盟科技多年服务金融行业的经验，本文从六个方面阐述对当前及 未来金融行业信息安全要点的理解。 金融机构网络安全与国家安全战略发展的一致性 “十二五”期间中央网络安全和信息化领导小组的成立，意味着网络安全已经上升到中国的国家安全 战略。习近平主席提出了“没有网络安全就没有国家安全”的国家战略安全观。我国金融监管机构在 网络安全方面的工作思路一直以来都保持与国家安全战略的一致性。 2012 年，中国人民银行发布了 《金融行业信息系统信息安全等级保护实施指引》（银发 163 文件）等三项行业标准，这一重要制 度安排明确了金融行业信息安全等级保护的执行机制。 《中华人民共和国网络安全法》的正式颁布明 2 确了关键信息基础设施实行网络安全等级保护，从法律层面正式确认了等级保护的强制性。针对关键 信息基础设施的安全防护和检查， 各监管机构相应发布管理文件， 如银监会发布的银监办发 【2016 】 107 号文和银监办发【 2017 】57 号文，证券会制订了《证券基金经营机构信息技术管理办法》（征 求意见稿）。 综上可见，金融机构在开展自身网络安全建设过程中，需要参照并遵循国家安全战略的发展方向、满 足国家法律与监管要求。 着重考虑作为关键信息基础设施的金融机构信息系统在知识产权、 技术能力、 发展主动权、供应链等方面的自主可控。 满足监管合规要求并不足以完全应对安全威胁 监管和业务双方是相生互助的关系。金融业务在不断改变模式，持续引进新技术、新应用的同时，对 监管也提出了新的安全要求。这种管控反过来又将金融业务的发展牵引到规范、安全的方向。 对于金融机构而言，监管机构的合规要求是达标的安全基线，是普适要求，并不能完全满足真实环境 中的网络安全保障需求。在此方面，云计算安全是一个典型实例，前文提到的《金融行业信息系统信 息安全等级保护实施指引》中没有涉及该部分内容，而云计算在金融行业已经是普遍存在的业务部署 和使用场景，针对金融云应用中更需关注的信息资产安全与隐私保护、可信服务、虚拟化安全等，金 融机构有必要在合规要求未覆盖的领域，对云计算应用展开安全评估与安全建设。 又如金融行业中普遍使用防火墙、 IDS 等网络安全系统，如果仅从合规角度看，部署这些系统的确表 明机构已满足了监管要求，但这些系统在缺乏集中管控和关联分析手段的情况下，管理人员较难从海 3 量日志信息中发现真正有用的攻击信息，同时也无法实现攻击链的整体评估，安全防护仅限于单个设 备的管理与维护， 不能从更高视角看待机构整体的安全性。 因此，通过建立合规要求之外的先进手段， 如安全态势感知、安全大数据智能分析平台等，可以更好地帮助企业实现具备宏观和微观视角的网络 安全管控。 “互联网+ ”金融发展带来持续安全挑战 在持续强化网上银行、手机银行、直销银行、网上