互联网时代银行业网络安全监管政策浅析
2020-12-31田家玺
田家玺
(中国人民银行济南分行,济南 250000)
金融是国家经济命脉,金融网络安全事关国家安全。近十多年来,信息技术在银行业得到了广泛和深入应用,核心业务系统,包括网上银行、手机银行、电话(短信)银行在内的各类业务系统已与银行业务高度融合,成为银行业的信息基础设施。在互联网和移动智能终端普及的时代背景下,这些业务系统的运行状况直接关系到国家金融安全和广大人民群众的切身利益。互联网背景下,银行业迅速膨胀,既带来了机遇,也充满了风险和挑战。传统金融机构,特别是大型全国性银行业金融机构,在拥抱互联网实现业务创新的同时,需要坚守网络安全底线,保障业务健康持续发展,维护金融用户合法权益。
1 互联网给银行业带来的机遇和挑战
万物互联的时代,智能终端已进入千家万户,互联网既改变了人们的生活方式,也加速了银行业务的变革。“金融脱媒”加剧,对银行业机构来说既是一种机遇,也是一种挑战。
1.1 互联网给银行业带来的机遇
得益于互联网的广泛应用,当前的银行业务从根本上产生了新的变革。一是业务渠道从线下逐渐转移到线上。银行业机构从最初单一的网上银行开始,逐渐实现了网上银行、电话银行、微信银行、手机银行渠道全覆盖,业务内容从最初的查询、转账等,扩展到理财、保险、移动支付、智能投顾等新应用,服务时间也从原来的5*8小时拓展到7*24小时,银行逐渐从后台走向前台,业务内容与非银行金融机构进一步交叉重叠。二是产品创新周期缩短,更加强调用户体验。银行广泛采用敏捷开发、灰度发布的方式,进行产品快速更新和更能改进,从而更好更快地提供金融服务;触“网”可得的金融服务同时促使银行机构持续改进服务体验,提升用户粘性,从而增加对客户的吸引力;三是金融科技的广泛应用为金融创新带来更多可能。现在的银行业务数据量呈现爆发性增长,非结构化数据挖掘和关联分析可以在银行业务创新、精准营销、风险管理、成本控制等方面发挥更大的作用。
1.2 互联网给银行业带来的挑战
互联网给银行机构带来机遇的同时,也带来了诸多网络安全风险。一是银行关键基础设施分布较为集中,容易引发风险。当前银行机构已基本实现数据大集中,关键数据和核心应用均集中到总部数据中心,这些数据中心主要集中于北京、上海、深圳等地,容易导致集中运行风险;二是内外部安全形势日趋严峻。金融行业是经济运行的重点行业,金融业务系统是支撑经济社会运行的神经网络。互联网时代,金融业务触网可得,暴露面加大,面临的国内外网络安全威胁越来越严重;三是人工智能、大数据、开放式架构等新技术的应用带来新的未知风险。未经充分验证的新技术层出不穷,倒逼银行机构加快迭代,不断进行技术创新,由此也带来一定的未知风险;四是信息泄露问题日益严峻。银行信息泄露风险主要包括两方面,一方面,金融业务产生的海量数据集中存放,一旦泄露,由此带来的撞库、身份冒用、钓鱼诈骗等连锁反应,将产生不可估量的社会危害。另一反面,恶意收集金融用户隐私的事件时有发生,加强金融用户信息保护迫在眉睫;五是金融机构与金融科技公司合作更加紧密,金融数据共享和技术分享更加广泛,金融网络安全保护难度进一步加大。
2 加强银行业网络安全监管政策建议
面对“互联网+”新态势下的网络安全挑战,监管机构应该在现有监管体制框架基础上,适应新形势,迎接新挑战,加强行业指导和协调,在有关技术力量支持下,共同做好银行业网络安全工作。
2.1 完善银行业务网络安全的相关法律、法规和政策
一是加快建立和完善配套规章制度。制定并下发关键信息基础设施保护条例、保护要求,指导支撑行业和运营单位开展保护工作;二是加快制定金融个人信息保护等相关法律法规,明确银行客户信息保护的相关要求和责任;三是推动金融机构网络安全“一把手”工程和首席安全官制度。
2.2 加强协调,完善跨行业协同保护和信息共享机制
一是协调联合打击和防范信息泄露、大规模网络攻击等违法行为。协调公安、工信、电信等行业主管部门,保障银行客户重要数据在第三方网络中的传输安全;二是建立并完善金融行业网络安全信息共享平台,加强网络安全信息情报共享。
2.3 建立健全银行业网络安全标准规范体系
一是统筹建立银行业重要信息系统保护标准和评价标准,建立符合中国国情的保护评价体系;二是推动网信、公安等监管部门组织业界权威机构对软硬件产品功能参数、性能指标、安全指标等进行标准化测试,方便银行业金融机构在技术方案编制、产品选型、采购和运行维护阶段进行参考。
2.4 加强人才队伍建设,满足银行业网络安全发展需求
一是加强网络安全专业人才培养。加强产学研联合,鼓励银行机构与高等院校紧密合作,订单式培养专业网络安全人才;二是加大安全可控信息技术的人才培养。引导安全可控产品的厂商与高校、应用企业联合,向高校和应用企业赞助安全可控产品,共建安全可控产品实验室,共同培养安全可控产品技术人才,完善安全可控产品的培训体系和认证考试体系,努力消除安全可控信息技术人才不足的瓶颈。
