構建金融業安全策略

引言：信息化時代，互聯網技術給金融業帶來新的發展，但伴隨而來的網絡安全威脅也成為行業的突出問題。網絡安全法的出臺將為金融業解決網絡安全問題帶來新的契機。

隨著《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的正式實施，《網絡安全法》與金融業直接相關的條文多達三十余條?！毒W絡安全法》的出臺將為金融業解決網絡安全問題帶來新的契機。

金融業的網絡安全挑戰及對策

1.跨境數據流動

金融業應及時對跨境傳輸的數據內容和方式方法進行調整，對外發的數據內容、傳輸方式等實施安全評估。

一是結合企業自身特點，對跨境數據流動進行分級分類管理。涉及國家安全、經濟安全的數據嚴格限定在境內的數據中心存儲和處理；對其他重要數據、個人信息等實施跨境數據流動的條件限制，以落實數據控制主體的安全保護責任。

二是建立跨境數據流動安全風險評估機制。對境內運營中收集和產生的信息數據確需跨境提供的，要按照國家相關部門制定的辦法，進行數據跨境轉移事前、事中、事后全生命周期管理的風險評估，保護數據安全。

三是對金融境外機構的數據服務供應商進行規范約束。若金融業分支機構接受境外的運營商和服務商提供數據服務，服務商應符合我國安全認證或簽訂標準安全協議，規范服務商人員、數據傳輸方式、服務范圍、風險賠償等要求。

2.客戶信息保護

金融業作為價值密集領域，客戶信息泄漏事件時有發生，即使是不經意的紕漏或將導致對客戶大額的經濟賠償甚至停業關閉。

一是在科技系統運營方面，系統設計開發時即考慮賬號權限分配和訪問控制設定功能，避免內部人員因職權便利，違規查詢或批量下載客戶個人信息、交易記錄等；系統運行期間，通過采取如前臺業務流程評估、后臺賬號和權限管理、數據庫審計等，實施有效的信息系統的全方位數據訪問控制，降低個人信息泄露、毀損、丟失風險；同時，金融機構應強化對客戶風險的預警，利用大數據分析、人工智能等手段，發現異常行為，暢通溝通渠道、及時提示預警客戶風險，有效聯動做好風險處置。

二是在健全管控機制方面，應常態化開展技術滲透測試評估，避免應用系統在功能實現上存在拖庫、平行越權等不足。健全系統版本管理及漏洞修復機制，特別是針對0day漏洞等及時防范與補救修復愈加重要；企業應動態跟蹤解讀國內外政策對客戶信息保護的要求，與時俱進修訂數據使用、獲取、存儲等規范，對內部人員行為進行約束、從制度層面保障系統安全功能的優化完善等。

三是在客戶告知提示方面，金融機構對于客戶信息收集、使用環節應以明確易懂的方式如實公示其收集目的、使用范圍、安全保護措施等信息，接受公共監督；在發生或可能發生信息泄露的情況時，應當立即采取補救措施，并及時告知客戶；多渠道加強宣傳和提升客戶的安全意識，特別是在銀行卡搭載互聯網技術，消費業務與卡分離，更應充分提示提醒客戶，以預防不必要的金融糾紛。

3.日志留存與電子取證

在日志留存方面，目前很多企業尚存在一些問題，如日志無分類分級保存、未開啟重要級別的日志、人工審計效率低下、未對發現問題跟蹤解決等。

應建立日志的常態化分析機制，有效識別風險。實際上，即便部署足夠多的設備、存儲海量日志信息，仍需進行持續監控，才能有效發揮硬件設施的價值，及時發現存在的安全事件及隱患。對于海量日志數據的監控分析，人工監控檢查時常存在難以兼顧、效率低下的瓶頸，建議企業建設自動化日志審計系統，借助審計工具將分析策略相關聯，充分挖掘出網絡攻擊、異常認證等以往人工審查難以發現的威脅，有效提升風險發現和預警的自動化能力。

建立聯動響應機制，快速發現處理威脅。金融業可根據日志類別、嚴重程度等的不同，設置合理的告警策略，分類將告警信息自動發送到相關人員，形成閉環處理機制。建議金融企業考慮引入大數據技術，構建涵蓋綜合分析與預警、聯動響應的企業SOC（安全運行中心），以異常事件監測為基礎，整合歷史分析數據和業界威脅情報，實現安全態勢的全維度智能感知、可視化展現及前瞻性預測，有效遏制網絡犯罪的發生發展。

4.多條線監管

金融業如何在有限的投入下滿足監管要求、保護好自身的合法利益,建議企業可從以下兩方面著手：

一是密切聯絡監管執行機構。未來金融業監管將會涉及眾多部門,應密切關注各監管部門的監管動態，對于網絡安全事件匯報、產品準入等事項，按照法律要求及時上報；對于外部要求的檢查評估、執法檢查等積極配合；建立落實與監管部門的常態化互動聯絡機制。

二是積極參與法規標準的制定。更多與網絡安全法配套的法律法規將接連出臺,金融要持續關注不斷跟進，積極參與行業標準的制定。法律法規出臺后，則需進一步加強對相關法律法規的學習研究，結合實際修訂企業內部規章制度、適時完善企業系統架構功能。

結語

我國目前正處于信息化快速發展的階段，國內外網絡安全環境日新月異且錯綜復雜。隨著網絡空間安全立法步伐的加快，網絡安全法及后續配套法律法規的陸續出臺，對企業行為的約束從監管規范上升到了法律高度，將更好地服務于經濟、科技和社會的發展。金融業應以此為契機，對照法律要求，從管理機制和技術防護措施兩方面做好查漏補缺工作，循序漸進、不斷提高，從整體上提升金融業網絡安全防護水平。