完善网络安全管理机制 推动我国金融业发展
2020-07-06田家玺
田家玺
金融是国家经济的命脉,金融网络安全事关国家安全。当前我国金融业网络安全监管工作面临新形势、新挑战。本文分析了我国金融业网络安全工作现状和存在的问题,提出了适用于我国的金融业网络安全监管的措施及建议,具有一定的参考价值。
我国金融业网络安全管理现状
国家对金融业网络安全监管更加重视。金融业是国家经济的重要支柱,金融业网络安全也愈发重要。党和国家领导人十分重视金融业网络安全,并对相关工作做出批示,要求金融业采取切实可行的措施,全面提高网络安全保障水平,坚决打击危害金融业网络安全的犯罪活动,切实保障金融网络安全。
初步建立了“一委一行两会”模式的监管框架。在“一委一行两会”的监管体系中,国家金融稳定委员会负责统筹金融监管改革,协调职能分工,强化宏观审慎与监管问责。人民银行主要负责金融业网络安全总体规划,协调“两会”和其他相关部门做好金融业网络安全工作。证监会和银保监会承担对金融业网络安全微观审慎监管和行为监管职能。
金融关键信息基础设施保护体系不断完善。金融关键信息基础设施是经济社会运行的神经中枢,金融业务高度依赖金融网络和信息系统。当前金融业务迅速膨胀,金融基础设施数量和规模呈现爆发性增长,基础设施保护的重要程度与日俱增。《网络安全法》对金融等重要行业关键信息基础设施保护提出明确要求。
金融业安全可控水平持续提升。密码技术是金融网络安全的核心技术,目前,SM系列国密算法已较为成熟,人民银行等监管部门积极推动商业银行国密算法改造工作及其在移动支付和金融IC卡领域中的应用,有利于提升金融业网络安全的自主可控能力。
当前我国金融业网络安全监管体制面临的问题
银行业关键信息基础设施运行面临诸多风险。当前,金融行业已普遍完成数据大集中,各类业务系统和重要信息数据主要存储于总行级数据中心。这些重要的网络和信息系统,也就是金融业关键信息基础设施主要集中于北京、上海、深圳等地,容易产生集中运行风险。一旦发生区域性重大灾难事件,导致某一地区关键信息基础设施瘫痪,将会对金融业务安全稳定运行产生重大影响。
核心软硬件产品受制于人,无法实现安全自主可控。信息系统的供应链安全可控对网络安全管理和安全运维至关重要。金融信息系统的供应链涉及网络、服务器、操作系统、数据库和存储设备等多方面的产品。当前,我国金融业务系统的网络基础设施、服务器、高端存储设备、处理器芯片、数据库、操作系统、核心业务系统等广泛采用国外产品,存在不可控风险。
新技术的应用给金融行业网络安全带来挑战。一是云平台虚拟化的安全问题以及云平台的可用性问题;二是网络交易中包含了大量有价值的信息,犯罪分子通过撞库、伪基站、绑定银行卡快捷支付等方式盗取银行客户资金,造成金融机构信誉损失和用户的财产损失。三是云计算和大数据应用后,海量数据更多集中存储在服务端,容易成为更多潜在黑客攻击的重点目标。
推进金融业网络安全管理机制建设的建议
明确监管依据,完善金融业网络安全法规制度体系。进一步完善金融业信息安全监管的法规制度体系,使金融信息安全监管工作有法可依,有章可循。一是推进在行政许可事项中落实信息科技监管要求,将风险管理关口前移;二是研究制定金融业网络安全管理规范,通过借鉴国际和国家有关信息安全标准,组织各类金融机构总结经验、分析差距、明确目标,不断完善制定适合我国金融业情况的信息安全管理规范、标准,从安全策略、管理体系、技术要求、风险评价与监督等方面建立信息安全管理体系,指导金融机构有效增强信息安全管理能力。
建立权责清晰、协调统一的金融业网络安全监管框架。建立统一协调的金融业网络安全监管框架,切实保障金融网络安全和消费者信息和资产安全需要各监管机构共同努力。金融业网络安全保障工作必须坚持全局观念,人民银行做好金融业网络安全指导与协调,按照前瞻性、指导性、可操作性的原则,做好顶层设计。同时,证监会、银保监会分别做好各自领域微观审慎监管和行为监督。
强化金融网络安全人才建设,鼓励开展国际交流合作。建设加强信息科技监管队伍建设,通过多种方式提升信息科技监管人员的综合能力,要把科技监管人员从日常大量的、繁琐的技术维护服务工作中解脱出来,使他们能够把精力集中于专业水平的提升上面。另外,应当进一步加强对外交流与合作。一方面可以派出技术骨干前往国外监管机构考察学习,另一方面可以积极参与ITSG等组织的会议,使监管人员了解国际信息科技风险监管的动态和趋势。
推动建立自主可控的金融网络安全产业体系。一是尽快建立并逐步完善网络安全审查制度,提供安全可控产品目录。二是继续推动安全可控产业发展和产品应用。继续优化和落实产业政策,促進国内信息产业发展。三是适度提高因使用安全可控产品引发网络安全事件的容忍度。四是高度重视金融关键信息基础设施的安全可控工作,从根本上提供安全可靠的金融网络和应用服务。
(中国人民银行济南分行)