互聯(lián)網(wǎng)時代銀行業(yè)網(wǎng)絡安全監(jiān)管政策淺析

田家璽

（中國人民銀行濟南分行，濟南 250000）

金融是國家經(jīng)濟命脈，金融網(wǎng)絡安全事關國家安全。近十多年來，信息技術在銀行業(yè)得到了廣泛和深入應用，核心業(yè)務系統(tǒng)，包括網(wǎng)上銀行、手機銀行、電話（短信）銀行在內(nèi)的各類業(yè)務系統(tǒng)已與銀行業(yè)務高度融合，成為銀行業(yè)的信息基礎設施。在互聯(lián)網(wǎng)和移動智能終端普及的時代背景下，這些業(yè)務系統(tǒng)的運行狀況直接關系到國家金融安全和廣大人民群眾的切身利益。互聯(lián)網(wǎng)背景下，銀行業(yè)迅速膨脹，既帶來了機遇，也充滿了風險和挑戰(zhàn)。傳統(tǒng)金融機構，特別是大型全國性銀行業(yè)金融機構，在擁抱互聯(lián)網(wǎng)實現(xiàn)業(yè)務創(chuàng)新的同時，需要堅守網(wǎng)絡安全底線，保障業(yè)務健康持續(xù)發(fā)展，維護金融用戶合法權益。

1 互聯(lián)網(wǎng)給銀行業(yè)帶來的機遇和挑戰(zhàn)

萬物互聯(lián)的時代，智能終端已進入千家萬戶，互聯(lián)網(wǎng)既改變了人們的生活方式，也加速了銀行業(yè)務的變革。“金融脫媒”加劇，對銀行業(yè)機構來說既是一種機遇，也是一種挑戰(zhàn)。

1.1 互聯(lián)網(wǎng)給銀行業(yè)帶來的機遇

得益于互聯(lián)網(wǎng)的廣泛應用，當前的銀行業(yè)務從根本上產(chǎn)生了新的變革。一是業(yè)務渠道從線下逐漸轉移到線上。銀行業(yè)機構從最初單一的網(wǎng)上銀行開始，逐漸實現(xiàn)了網(wǎng)上銀行、電話銀行、微信銀行、手機銀行渠道全覆蓋，業(yè)務內(nèi)容從最初的查詢、轉賬等，擴展到理財、保險、移動支付、智能投顧等新應用，服務時間也從原來的5*8小時拓展到7*24小時，銀行逐漸從后臺走向前臺，業(yè)務內(nèi)容與非銀行金融機構進一步交叉重疊。二是產(chǎn)品創(chuàng)新周期縮短，更加強調(diào)用戶體驗。銀行廣泛采用敏捷開發(fā)、灰度發(fā)布的方式，進行產(chǎn)品快速更新和更能改進，從而更好更快地提供金融服務；觸“網(wǎng)”可得的金融服務同時促使銀行機構持續(xù)改進服務體驗，提升用戶粘性，從而增加對客戶的吸引力；三是金融科技的廣泛應用為金融創(chuàng)新帶來更多可能。現(xiàn)在的銀行業(yè)務數(shù)據(jù)量呈現(xiàn)爆發(fā)性增長，非結構化數(shù)據(jù)挖掘和關聯(lián)分析可以在銀行業(yè)務創(chuàng)新、精準營銷、風險管理、成本控制等方面發(fā)揮更大的作用。

1.2 互聯(lián)網(wǎng)給銀行業(yè)帶來的挑戰(zhàn)

互聯(lián)網(wǎng)給銀行機構帶來機遇的同時，也帶來了諸多網(wǎng)絡安全風險。一是銀行關鍵基礎設施分布較為集中，容易引發(fā)風險。當前銀行機構已基本實現(xiàn)數(shù)據(jù)大集中，關鍵數(shù)據(jù)和核心應用均集中到總部數(shù)據(jù)中心，這些數(shù)據(jù)中心主要集中于北京、上海、深圳等地，容易導致集中運行風險；二是內(nèi)外部安全形勢日趨嚴峻。金融行業(yè)是經(jīng)濟運行的重點行業(yè)，金融業(yè)務系統(tǒng)是支撐經(jīng)濟社會運行的神經(jīng)網(wǎng)絡。互聯(lián)網(wǎng)時代，金融業(yè)務觸網(wǎng)可得，暴露面加大，面臨的國內(nèi)外網(wǎng)絡安全威脅越來越嚴重；三是人工智能、大數(shù)據(jù)、開放式架構等新技術的應用帶來新的未知風險。未經(jīng)充分驗證的新技術層出不窮，倒逼銀行機構加快迭代，不斷進行技術創(chuàng)新，由此也帶來一定的未知風險；四是信息泄露問題日益嚴峻。銀行信息泄露風險主要包括兩方面，一方面，金融業(yè)務產(chǎn)生的海量數(shù)據(jù)集中存放，一旦泄露，由此帶來的撞庫、身份冒用、釣魚詐騙等連鎖反應，將產(chǎn)生不可估量的社會危害。另一反面，惡意收集金融用戶隱私的事件時有發(fā)生，加強金融用戶信息保護迫在眉睫；五是金融機構與金融科技公司合作更加緊密，金融數(shù)據(jù)共享和技術分享更加廣泛，金融網(wǎng)絡安全保護難度進一步加大。

2 加強銀行業(yè)網(wǎng)絡安全監(jiān)管政策建議

面對“互聯(lián)網(wǎng)+”新態(tài)勢下的網(wǎng)絡安全挑戰(zhàn)，監(jiān)管機構應該在現(xiàn)有監(jiān)管體制框架基礎上，適應新形勢，迎接新挑戰(zhàn)，加強行業(yè)指導和協(xié)調(diào)，在有關技術力量支持下，共同做好銀行業(yè)網(wǎng)絡安全工作。

2.1 完善銀行業(yè)務網(wǎng)絡安全的相關法律、法規(guī)和政策

一是加快建立和完善配套規(guī)章制度。制定并下發(fā)關鍵信息基礎設施保護條例、保護要求，指導支撐行業(yè)和運營單位開展保護工作；二是加快制定金融個人信息保護等相關法律法規(guī)，明確銀行客戶信息保護的相關要求和責任；三是推動金融機構網(wǎng)絡安全“一把手”工程和首席安全官制度。

2.2 加強協(xié)調(diào)，完善跨行業(yè)協(xié)同保護和信息共享機制

一是協(xié)調(diào)聯(lián)合打擊和防范信息泄露、大規(guī)模網(wǎng)絡攻擊等違法行為。協(xié)調(diào)公安、工信、電信等行業(yè)主管部門，保障銀行客戶重要數(shù)據(jù)在第三方網(wǎng)絡中的傳輸安全；二是建立并完善金融行業(yè)網(wǎng)絡安全信息共享平臺，加強網(wǎng)絡安全信息情報共享。

2.3 建立健全銀行業(yè)網(wǎng)絡安全標準規(guī)范體系

一是統(tǒng)籌建立銀行業(yè)重要信息系統(tǒng)保護標準和評價標準，建立符合中國國情的保護評價體系；二是推動網(wǎng)信、公安等監(jiān)管部門組織業(yè)界權威機構對軟硬件產(chǎn)品功能參數(shù)、性能指標、安全指標等進行標準化測試，方便銀行業(yè)金融機構在技術方案編制、產(chǎn)品選型、采購和運行維護階段進行參考。

2.4 加強人才隊伍建設，滿足銀行業(yè)網(wǎng)絡安全發(fā)展需求

一是加強網(wǎng)絡安全專業(yè)人才培養(yǎng)。加強產(chǎn)學研聯(lián)合，鼓勵銀行機構與高等院校緊密合作，訂單式培養(yǎng)專業(yè)網(wǎng)絡安全人才；二是加大安全可控信息技術的人才培養(yǎng)。引導安全可控產(chǎn)品的廠商與高校、應用企業(yè)聯(lián)合，向高校和應用企業(yè)贊助安全可控產(chǎn)品，共建安全可控產(chǎn)品實驗室，共同培養(yǎng)安全可控產(chǎn)品技術人才，完善安全可控產(chǎn)品的培訓體系和認證考試體系，努力消除安全可控信息技術人才不足的瓶頸。