中國(guó)金融網(wǎng)絡(luò)安全發(fā)展研究報(bào)告
(前言)
當(dāng)前,國(guó)際形勢(shì)風(fēng)云變幻,金融、科技等領(lǐng)域成為大國(guó)博弈的焦點(diǎn),加之?dāng)?shù)字技術(shù)持續(xù)迭代并廣泛應(yīng)用,國(guó)家金融網(wǎng)絡(luò)安全治理面臨重大挑戰(zhàn)。網(wǎng)絡(luò)安全一直是國(guó)家安全的核心組成部分,特別是在金融行業(yè),金融機(jī)構(gòu)擁有大量的敏感數(shù)據(jù),包括個(gè)人信息、交易記錄、財(cái)務(wù)報(bào)告等,這些數(shù)據(jù)的安全直接關(guān)系到消費(fèi)者的利益和金融市場(chǎng)的穩(wěn)定,因此金融行業(yè)在網(wǎng)絡(luò)安全建設(shè)領(lǐng)域一直是領(lǐng)頭羊。然而隨著金融行業(yè)數(shù)字化改革的深化,網(wǎng)絡(luò)安全挑戰(zhàn)不斷增加,新技術(shù)的應(yīng)用、數(shù)據(jù)流轉(zhuǎn)加速、金融交易/服務(wù)的拓展、信息系統(tǒng)迭代頻率提升、第三方合作的深入、業(yè)務(wù)全球化的擴(kuò)張、以及合規(guī)政策趨緊等因素,都對(duì)金融行業(yè)的網(wǎng)絡(luò)安全提出了更高的要求。
本文通過(guò)對(duì)國(guó)內(nèi)金融行業(yè)網(wǎng)絡(luò)安全市場(chǎng)情況及現(xiàn)狀進(jìn)行分析,類比和重點(diǎn)分析和學(xué)習(xí)日本金融網(wǎng)絡(luò)安全治理實(shí)踐及建設(shè)經(jīng)驗(yàn),并結(jié)合政府需要、行業(yè)需求、企業(yè)期盼對(duì)金融行業(yè)網(wǎng)絡(luò)安全未來(lái)發(fā)展提出建議,僅供參考。
一、金融行業(yè)網(wǎng)絡(luò)安全需求旺盛,整體規(guī)模呈增長(zhǎng)趨勢(shì)
CS Radar商業(yè)分析平臺(tái)數(shù)據(jù)顯示,2023年中國(guó)金融行業(yè)網(wǎng)絡(luò)安全市場(chǎng)規(guī)模為91.94億元人民幣,同比下降12%,近五年首次出現(xiàn)負(fù)增長(zhǎng)。即使如此,整體上金融行業(yè)的網(wǎng)絡(luò)安全需求持續(xù)增長(zhǎng),市場(chǎng)采購(gòu)項(xiàng)目數(shù)量仍處于上升趨勢(shì)。同時(shí)行業(yè)預(yù)計(jì)2024年中國(guó)金融行業(yè)網(wǎng)絡(luò)安全市場(chǎng)的規(guī)模預(yù)計(jì)達(dá)到99.97億元,較2023年增長(zhǎng)約8.7%。
但隨著金融行業(yè)市場(chǎng)的日益成熟和網(wǎng)絡(luò)安全建設(shè)的逐步完善,金融機(jī)構(gòu)在經(jīng)濟(jì)承壓的環(huán)境下,對(duì)網(wǎng)絡(luò)安全的投入變得更加審慎,因此增速逐年下降。其中,2023 年第一季度的項(xiàng)目數(shù)量增速為負(fù),是最近四年的首次季度性負(fù)增長(zhǎng),2023年項(xiàng)目數(shù)量在第四季度的帶動(dòng)下實(shí)現(xiàn)了整體增長(zhǎng)。
二、金融行業(yè)各類機(jī)構(gòu)積極投入網(wǎng)絡(luò)安全版塊,重點(diǎn)各有側(cè)重
隨著數(shù)字化改革不斷加深,漏洞管理、數(shù)據(jù)的安全使用、社工攻擊、軟件供應(yīng)鏈攻擊、業(yè)務(wù)邏輯安全風(fēng)險(xiǎn)是金融機(jī)構(gòu)面臨的五大主要安全難題。
為了應(yīng)對(duì)以上難題,金融行業(yè)的安全體系建設(shè)對(duì)實(shí)戰(zhàn)應(yīng)對(duì)能力的要求不斷增強(qiáng),但合規(guī)性依然是其核心驅(qū)動(dòng)力。以國(guó)有商業(yè)銀行、股份制銀行和個(gè)別頭部保險(xiǎn)公司為代表的頭部金融機(jī)構(gòu),安全合規(guī)建設(shè)相對(duì)完目前安全建設(shè)的重點(diǎn)根據(jù)自身情況各有側(cè)重,其中數(shù)據(jù)安全和安全運(yùn)營(yíng)是關(guān)注最多的兩個(gè)領(lǐng)域;小規(guī)模的各類金融機(jī)構(gòu),合規(guī)仍是主題,常態(tài)化的實(shí)網(wǎng)攻防演習(xí)和攻防演練也促進(jìn)了他們對(duì)場(chǎng)景化安全能力的需求。
從安全體系建設(shè)的方式來(lái)看,大規(guī)模金融機(jī)構(gòu)的投入大、能力強(qiáng),更傾向于自研或聯(lián)合開(kāi)發(fā);小規(guī)模金融機(jī)構(gòu)的安全投入有限,會(huì)更靈活地通過(guò)購(gòu)買(mǎi)產(chǎn)品及服務(wù)的方式補(bǔ)足安全能力短板。
作為金融行業(yè)的從業(yè)者來(lái)說(shuō),積極布局和投入網(wǎng)絡(luò)安全是進(jìn)入下一個(gè)快速發(fā)展期的必要條件,同時(shí)政府也需要對(duì)這一趨勢(shì)發(fā)展提供良好的保障機(jī)制、法律法規(guī)、做法指引、監(jiān)管手段等方面進(jìn)行引導(dǎo),我們需要思考。
三、典型案例分析:日本金融網(wǎng)絡(luò)安全治理
作為數(shù)字技術(shù)先進(jìn)國(guó)家,日本自21世紀(jì)初以來(lái)不斷強(qiáng)化網(wǎng)絡(luò)安全建設(shè),逐步完善戰(zhàn)略布局。近年來(lái),隨著日本加速推動(dòng)數(shù)字化轉(zhuǎn)型,人工智能、云計(jì)算等先進(jìn)技術(shù)與金融業(yè)務(wù)深度融合,金融系統(tǒng)遭受的網(wǎng)絡(luò)攻擊明顯增多。面對(duì)挑戰(zhàn),日本高度重視金融網(wǎng)絡(luò)安全治理,在制度建設(shè)和政策實(shí)踐方面取得了顯著成效,其相關(guān)經(jīng)驗(yàn)值得借鑒。
1、重視金融網(wǎng)絡(luò)安全監(jiān)管:定期評(píng)估,分類實(shí)施動(dòng)態(tài)監(jiān)管
金融廳定期檢查評(píng)估金融機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè),監(jiān)管重點(diǎn)及方式根據(jù)行業(yè)、業(yè)務(wù)規(guī)模進(jìn)行調(diào)整。例如,全年嚴(yán)格動(dòng)態(tài)監(jiān)管敏感度高、擁有全球經(jīng)營(yíng)網(wǎng)絡(luò)的三大銀行,督促其及時(shí)引進(jìn)國(guó)際先進(jìn)技術(shù)與理念;適度監(jiān)管敏感度低的金融機(jī)構(gòu),著重提升其自律能力,為其開(kāi)發(fā)針對(duì)性的網(wǎng)絡(luò)安全自評(píng)估工具;根據(jù)更易受到的網(wǎng)絡(luò)攻擊類型調(diào)整檢查項(xiàng)目;支持逐步推廣零信任網(wǎng)絡(luò)安全架構(gòu)等。為提升金融網(wǎng)絡(luò)安全監(jiān)管工作質(zhì)量,金融廳積極進(jìn)行共性風(fēng)險(xiǎn)摸底,定期評(píng)估監(jiān)管效果及制定改進(jìn)方案。
2、提升網(wǎng)絡(luò)攻防演習(xí)質(zhì)量:網(wǎng)絡(luò)安全評(píng)估+模擬攻擊+實(shí)戰(zhàn)演練
鼓勵(lì)金融機(jī)構(gòu)采用“威脅主導(dǎo)滲透測(cè)試”(TLPT)等高水平的網(wǎng)絡(luò)安全評(píng)估方法,根據(jù)威脅情報(bào)及實(shí)際系統(tǒng)環(huán)境模擬攻擊場(chǎng)景,從而檢測(cè)網(wǎng)絡(luò)安全系統(tǒng)對(duì)外部沖擊的響應(yīng)能力。2019年9月,日本金融行業(yè)信息系統(tǒng)中心(FISC)發(fā)布了相關(guān)指南,為其有效應(yīng)用TLPT提供框架性指導(dǎo)。同時(shí)自2016年起,日本金融廳在每年10月左右組織大規(guī)模的跨行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練,以提升金融領(lǐng)域整體網(wǎng)絡(luò)安全保障能力。
3、促進(jìn)信息共享:建立健全多層次、跨機(jī)構(gòu)的金融網(wǎng)絡(luò)安全信息共享機(jī)制
日本2014年成立了金融信息共享與分析中心(FISAC),旨在促進(jìn)金融機(jī)構(gòu)之間共享網(wǎng)絡(luò)攻擊威脅信息及技術(shù)漏洞信息并共商應(yīng)對(duì)辦法。2023年3月,日本發(fā)布《網(wǎng)絡(luò)攻擊危害信息的共享與發(fā)布指南》,通過(guò)問(wèn)答形式引導(dǎo)受網(wǎng)絡(luò)攻擊的組織共享相關(guān)信息。另外,日本通過(guò)提供多元化共享范式、視情況允許數(shù)據(jù)匿名化及延遲發(fā)布、責(zé)任豁免等多種方式,盡力消除相關(guān)組織對(duì)共享過(guò)程中承擔(dān)法律風(fēng)險(xiǎn)及名譽(yù)損失等的擔(dān)憂,促進(jìn)信息共享及時(shí)、暢通。
4、重視人才培養(yǎng):重視網(wǎng)絡(luò)安全人才的體系化、國(guó)際化培養(yǎng)
2021年4月,日本經(jīng)濟(jì)產(chǎn)業(yè)省發(fā)布《網(wǎng)絡(luò)安全體系建設(shè)和人力資源保障指南》,為企業(yè)等部門(mén)健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系及加強(qiáng)相關(guān)人才培養(yǎng)提供指導(dǎo)。日本金融廳要求金融機(jī)構(gòu)持續(xù)加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè),制定及落實(shí)人才培養(yǎng)計(jì)劃,完善激勵(lì)與評(píng)價(jià)機(jī)制;重視提升管理層網(wǎng)絡(luò)安全意識(shí),定期開(kāi)展內(nèi)部培訓(xùn)及跨部門(mén)交流;盡量保障各部門(mén)均配備專職網(wǎng)絡(luò)安全人員,在人員短缺情況下支持其在各部門(mén)定期輪崗。五是加強(qiáng)國(guó)際合作。針對(duì)跨國(guó)金融網(wǎng)絡(luò)犯罪日益嚴(yán)重的趨勢(shì),日本金融監(jiān)管部門(mén)通過(guò)雙邊及多邊機(jī)制,在信息共享、政策協(xié)調(diào)、實(shí)戰(zhàn)演習(xí)、標(biāo)準(zhǔn)制定等領(lǐng)域加強(qiáng)金融網(wǎng)絡(luò)安全國(guó)際合作。
四、金融行業(yè)網(wǎng)絡(luò)安全發(fā)展建議
近年來(lái)我國(guó)高度重視網(wǎng)絡(luò)安全治理,國(guó)家層面陸續(xù)出臺(tái)了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)及部門(mén)規(guī)章。金融系統(tǒng)也制定了高起點(diǎn)、高標(biāo)準(zhǔn)的金融網(wǎng)絡(luò)安全治理規(guī)劃和行業(yè)指引。但目前伴隨著技術(shù)發(fā)展帶來(lái)的雙刃劍,網(wǎng)絡(luò)安全帶來(lái)的風(fēng)險(xiǎn)挑戰(zhàn)愈加嚴(yán)重,我國(guó)金融網(wǎng)絡(luò)安全治理建設(shè)在結(jié)合自身實(shí)際的同時(shí),也需不斷借鑒如日本、歐洲國(guó)際先進(jìn)經(jīng)驗(yàn)。
1、構(gòu)建統(tǒng)籌兼顧、分工協(xié)作的監(jiān)管體制。當(dāng)前我國(guó)金融領(lǐng)域網(wǎng)絡(luò)信息安全主要受國(guó)家網(wǎng)信辦、公安部、工信部、“一行一總局一會(huì)”等部門(mén)多維度的監(jiān)督管理。為了平衡合力監(jiān)管與分業(yè)監(jiān)管優(yōu)勢(shì),各部門(mén)應(yīng)明確職能分工,既要避免監(jiān)管重疊也要防止監(jiān)管真空,確保金融網(wǎng)絡(luò)不留監(jiān)管死角。
2、提升金融系統(tǒng)的主動(dòng)防御能力。相關(guān)政府機(jī)構(gòu)和金融監(jiān)管部門(mén)常態(tài)化組織金融系統(tǒng)開(kāi)展大規(guī)??缧袠I(yè)網(wǎng)絡(luò)攻防演習(xí),不斷豐富業(yè)務(wù)連續(xù)性演練場(chǎng)景。成立網(wǎng)絡(luò)安全應(yīng)急工作小組,指導(dǎo)金融機(jī)構(gòu)組建應(yīng)急管理團(tuán)隊(duì)、制定應(yīng)急預(yù)案、提高應(yīng)急處置能力。通過(guò)設(shè)立專項(xiàng)經(jīng)費(fèi)、指導(dǎo)創(chuàng)建產(chǎn)學(xué)研聯(lián)合實(shí)驗(yàn)室等,加速推進(jìn)零信任、人工智能、量子信息技術(shù)等網(wǎng)絡(luò)安全技術(shù)布局與應(yīng)用。
3、促進(jìn)金融網(wǎng)絡(luò)安全信息共享。健全金融網(wǎng)絡(luò)安全信息共享的政策體系,促進(jìn)金融機(jī)構(gòu)與國(guó)家安全機(jī)構(gòu)、監(jiān)管部門(mén)、金融同業(yè)、外部安全廠商等不同層次機(jī)構(gòu)建立威脅情報(bào)共享機(jī)制。強(qiáng)化措施提升信息共享工作質(zhì)效,如完善高質(zhì)量、多維度、全覆蓋的金融業(yè)網(wǎng)絡(luò)態(tài)勢(shì)感知與信息共享平臺(tái)建設(shè),消除信息孤島;提供多元化共享范式、賦予信息共享主體適當(dāng)責(zé)任豁免,促進(jìn)信息共享安全暢通。同時(shí)應(yīng)重視國(guó)際金融網(wǎng)絡(luò)安全信息共享合作,嘗試與“一帶一路”共建國(guó)家合作搭建相關(guān)數(shù)據(jù)庫(kù)及信息資源共享平臺(tái),增強(qiáng)信息溝通與對(duì)話。