業界：提升攻防能力是金融機構網絡安全建設的重要方向

來源：人民網 原創稿

人民網北京3月25日電 (記者李彤)近日，中國人民銀行制定的《金融業數據能力建設指引》正式印發。有業界人士表示，近年來網絡安全成為金融業發展的重要課題，隨着頂層制度的不斷完善，金融機構對於網絡安全正從“買硬件”轉向“重實戰”，未來“雲 端 流量”的攻防能力升級，是金融機構網絡信息安全建設的重要方向。

在金融科技提高業務效率、降低服務成本的同時，網絡安全的隱患也有所增加。據中國信息通信研究院數據顯示，在2019年不同行業發生的重大網絡安全事件中，金融行業佔比達30%，成為網絡安全問題發生的重災區。

記者梳理發現，圍繞金融業網絡安全制度設計，除了人民銀行印發的《金融業數據能力建設指引》外，此前原銀監會也發佈了《銀行業金融機構數據治理指引》，從監管職能方面將數據治理能力納入公司治理評價體系及行政處罰範圍，已有多家銀行據此被行政處罰；證監會起草了《證券期貨業網絡安全事件報告與調查處理辦法(徵求意見稿)》，進一步規範了證券期貨業網絡安全事件的報告和責任追究。

“早些年金融機構對網絡安全的關注，集中在符合監管部門的要求，‘買硬件’的階段。”網絡安全企業微步在線CEO薛鋒表示，目前金融機構更關心實用效果、預先發現、實時監測、攻擊溯源等，特別是疫情加速了網絡化服務的進程。

隨着金融業務在雲、端等維度的開展，金融數字化轉型更為迫切，潛在的風險越來越複雜，安全的邊界在不斷延伸。

“在雲技術重構企業IT架構的大環境下，金融機構充分利用大數據、雲計算、人工智能等新技術是展業的趨勢。”薛鋒認為，基於雲端的SECaaS(安全即服務)模式正逐漸替代基於本地化部署的傳統軟件服務模式。金融機構不斷完善的動態安全檢測能力，將在網絡安全中擁有長期價值。

一家股份制商業銀行業務負責人認為，傳統對數據進行封閉性管理、限制流動、層層審批的思路，不再適應數字化轉型的需求。“大家都在講，數據是未來最重要的銀行資產，但目前還存在內部數據無成本、無序流動的現象，沒有固定的成本付出和價值兑現框架、流程約束，會導致安全管理很被動。

“目前網絡安全已經貫穿到規劃、設計、開發、測試、運維等業務運營的全生命週期。”上述負責人説，要讓安全專業崗位人員將更多精力用來挖掘更深層次的漏洞和未知威脅，培養安全技術崗位人才的金融素養，讓他們更瞭解金融業務。

安全本質是人的對抗，提升金融機構內部網絡管理人員的能力，是從源頭上提升安全管理水平。有業界人士表示，要通過場景化安全交流，利用虛擬化平台，模擬實戰化場景，培養優秀的網絡安全防護崗位人員，有效提升金融機構發現和處置多種網絡攻擊的防護能力。

面對錯綜複雜的金融網絡安全形勢，近期人民銀行建設了金融業網絡安全重要基礎設施“金融業網絡安全態勢感知與信息共享平台”，旨在通過建立完善的制度、精細的標準、有效的手段和專業的團隊，提升金融業網絡安全治理效能。