秦沁

摘要：自改革開放以來，我國金融領(lǐng)域機構(gòu)蓬勃發(fā)展，業(yè)務(wù)欣欣向榮。隨著信息科技的進步及網(wǎng)絡(luò)通訊的發(fā)展，網(wǎng)上銀行、手機銀行、支付寶、微信等新興支付方式越來越受到大眾的青睞，傳統(tǒng)的支付領(lǐng)域面臨著巨大的挑戰(zhàn)。然而，技術(shù)與操作的結(jié)合也給犯罪分子和黑客們更多可趁之機，金融網(wǎng)絡(luò)安全已成為發(fā)達國家的關(guān)注重點。本文通過對目前我國金融網(wǎng)絡(luò)安全存在的問題進行分析，從白宮發(fā)表的金融“網(wǎng)絡(luò)安全框架”中受到的啟示，提出了我國金融機構(gòu)如何加強網(wǎng)絡(luò)信息安全管理的應(yīng)對措施。

關(guān)鍵詞：金融網(wǎng)絡(luò) 風(fēng)險管理 措施

一、我國金融網(wǎng)絡(luò)安全面臨的問題

（一）金融機構(gòu)信息安全風(fēng)險管理欠缺

歷史上，由于金融機構(gòu)多數(shù)采用紙質(zhì)化工作，大部分主要安全問題都發(fā)生在實物數(shù)據(jù)資產(chǎn)的損失上，如票據(jù)、賬簿、機密文件的保管不當(dāng)造成的信息缺失，或因意外造成的營業(yè)場所滅失。進入21世紀(jì)以來，世界范圍內(nèi)的金融創(chuàng)新活動空前活躍，新的金融工具、金融產(chǎn)品及新興技術(shù)的廣泛應(yīng)用，自動化、便捷化、電子化成為了主流，逐漸代替了以往的傳統(tǒng)操作。當(dāng)前，犯罪份子以金融機構(gòu)的電子數(shù)據(jù)和網(wǎng)絡(luò)為目標(biāo)，不斷的發(fā)起攻擊來獲取客戶的重要信息，網(wǎng)絡(luò)安全威脅已經(jīng)成為銀行業(yè)面臨的最關(guān)鍵問題之一。

近年來，金融機構(gòu)在搭建金融網(wǎng)絡(luò)的同時，存在重建設(shè)、輕管理，重開發(fā)運行、輕安全維護的現(xiàn)象，應(yīng)急預(yù)案的時效性和可操作性有待改進，應(yīng)急演練的真實性有待加強。

（二）金融網(wǎng)絡(luò)內(nèi)信用缺失現(xiàn)象嚴(yán)重

由于信用體系發(fā)育程度低，社會“失信”問題較為嚴(yán)重，金融產(chǎn)品在生產(chǎn)和交易過程中更容易出現(xiàn)信息不對稱和道德風(fēng)險問題。信用風(fēng)險不斷在金融體系中積累，會傷害交易者的合法權(quán)益，引起交易者信心喪失，使得交易方式的發(fā)展舉步維艱乃至倒退。同時，缺乏信用基礎(chǔ)，會使得網(wǎng)上銀行、手機銀行、電子支付等交易方式在國內(nèi)的生存與發(fā)展后勁不足，影響現(xiàn)代經(jīng)濟的正常運行。信用缺失不僅會阻礙網(wǎng)絡(luò)經(jīng)濟的發(fā)展，更會阻礙我國經(jīng)濟全球化發(fā)展的進程。

（三）金融監(jiān)管方面存在的問題

網(wǎng)絡(luò)金融是一把“雙刃劍”，一方面起到改變金融機構(gòu)運營模式的作用，提高經(jīng)濟運行效率；另一方面也給金融機構(gòu)與客戶帶來較多風(fēng)險。在金融自由化、信用證券化、金融市場全球化的過程中，各種信用形式得以充分運用，網(wǎng)絡(luò)金融面臨的風(fēng)險日益增加，金融網(wǎng)絡(luò)風(fēng)險的特殊性使得監(jiān)管機構(gòu)對金融網(wǎng)絡(luò)安全的監(jiān)管比傳統(tǒng)金融更為重要。目前，我國的金融網(wǎng)絡(luò)安全監(jiān)管方式尚處于初始階段，從監(jiān)管手段到法律法規(guī)并不完善。傳統(tǒng)的監(jiān)管方式已不合時宜，金融監(jiān)管當(dāng)局應(yīng)當(dāng)不斷更新監(jiān)管標(biāo)準(zhǔn)，優(yōu)化監(jiān)管結(jié)構(gòu)，以適應(yīng)瞬息萬變的金融市場，保障市場經(jīng)濟的科學(xué)、穩(wěn)定發(fā)展。

在貫徹落實我國經(jīng)濟發(fā)展要求、提高金融網(wǎng)絡(luò)安全可控能力的過程中，監(jiān)管層面的技術(shù)創(chuàng)新能力及網(wǎng)絡(luò)攻防能力應(yīng)用有限，金融監(jiān)管當(dāng)局仍應(yīng)該從需求導(dǎo)向出發(fā)，立足用戶拉動的角度，推廣使用安全可控的網(wǎng)絡(luò)金融產(chǎn)品，降低對少數(shù)廠家、產(chǎn)品的依賴度，在促進信息產(chǎn)業(yè)發(fā)展、提高國家網(wǎng)絡(luò)安全可控能力的基礎(chǔ)上提高金融網(wǎng)絡(luò)安全保障水平。

二、美國采取的應(yīng)對網(wǎng)絡(luò)安全威脅措施

2014年2月，美國白宮正式推出一項可自愿加入的“網(wǎng)絡(luò)安全框架”項目，該項目吸納了全球現(xiàn)有的安全標(biāo)準(zhǔn)以及做法，以幫助有關(guān)機構(gòu)了解、交流以及處理網(wǎng)絡(luò)安全風(fēng)險。該文對我國加強金融網(wǎng)絡(luò)安全管理極具借鑒意義。

（一）提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全

1、明確國家級別的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

美國總統(tǒng)于2013年2月12日簽署并發(fā)布了名為“改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”的行政命令，并授權(quán)國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）開發(fā)一套基于風(fēng)險的網(wǎng)絡(luò)安全框架，旨在作為一個國際級別的自愿標(biāo)準(zhǔn)和最佳業(yè)界實踐參照，幫助各機構(gòu)把控網(wǎng)絡(luò)安全風(fēng)險。NIST于一年后發(fā)布了《網(wǎng)絡(luò)安全框架》，該框架包括了五個核心領(lǐng)域：識別、保護、檢測、響應(yīng)及恢復(fù)。

2、將網(wǎng)絡(luò)安全納入法律規(guī)范

上世紀(jì)末，美國《金融服務(wù)現(xiàn)代化法案》就已要求銀行等各金融機構(gòu)開發(fā)一個信息安全程序。如今，NIST開發(fā)的《網(wǎng)絡(luò)安全框架》在銀行現(xiàn)有的信息安全程序基礎(chǔ)上，作出了進一步的修改和完善，以解決新興網(wǎng)絡(luò)風(fēng)險，使得銀行的信息安全程序更加適應(yīng)當(dāng)今網(wǎng)絡(luò)化操作的趨勢。

（二）建立新型的網(wǎng)絡(luò)風(fēng)險管理模式

要求銀行管理層須將網(wǎng)絡(luò)安全風(fēng)險考慮納入整體風(fēng)險管理框架，設(shè)計和實施合適的緩沖控制，并更新各自的政策和程序，最終通過審計程序驗證目標(biāo)控制結(jié)構(gòu)。一個有效的網(wǎng)絡(luò)風(fēng)險控制結(jié)構(gòu)應(yīng)重點考慮四個方面：公司治理、威脅預(yù)警、安全意識培訓(xùn)和補丁管理程序。

（三）發(fā)揮存款保險機構(gòu)的監(jiān)督管理作用

美國聯(lián)邦存款保險公司通過對銀行的現(xiàn)場檢查、定期報告、預(yù)警報告等措施實時監(jiān)控網(wǎng)絡(luò)安全問題。同時，通過對監(jiān)管政策的有效性、是否具有改進潛力、是否能夠適應(yīng)當(dāng)下潮流進行評估，切實保護其監(jiān)管銀行免遭威脅。最后，發(fā)布實用工具，幫助銀行提高網(wǎng)絡(luò)風(fēng)險應(yīng)對能力。在2014年夏天，聯(lián)邦存款保險公司舉辦了網(wǎng)絡(luò)挑戰(zhàn)測試，成員機構(gòu)可以通過觀看一系列視頻，并結(jié)合模擬練習(xí)來評估其網(wǎng)絡(luò)事件處置預(yù)案。

（四）加強網(wǎng)絡(luò)安全警示培訓(xùn)

聯(lián)邦存款保險公司于2015年創(chuàng)立了網(wǎng)絡(luò)安全警示培訓(xùn)計劃，通過電視電話培訓(xùn)和現(xiàn)場輔導(dǎo)的形式，對由其監(jiān)管的成員機構(gòu)及其聯(lián)保存款保險公司監(jiān)管人員和管理層進行培訓(xùn)。

三、維護我國金融網(wǎng)絡(luò)安全的基本對策

隨著金融服務(wù)網(wǎng)絡(luò)化程度的提高及我國金融交流的國際化， 金融安全問題必然成為國家經(jīng)濟安全中的最重要的內(nèi)容。而網(wǎng)絡(luò)時代的信息金融安全對于像我國這樣的發(fā)展中國家尤其重要。

（一）強化信息安全意識，制定完善行業(yè)標(biāo)準(zhǔn)

政府應(yīng)將網(wǎng)絡(luò)金融信息安全可能出現(xiàn)的威脅納入重點防范框架，建立一個統(tǒng)一的分類，按用戶類別制定金融信息安全國家級行業(yè)標(biāo)準(zhǔn)，指導(dǎo)各行各業(yè)學(xué)習(xí)行業(yè)標(biāo)準(zhǔn)，開展信息安全管理建設(shè)，規(guī)范網(wǎng)絡(luò)金融參與者的行為。同時，要根據(jù)市場風(fēng)向的更新，對相關(guān)監(jiān)管制度進行不斷地修改完善，使法律法規(guī)在時間層面和物理層面上能夠充分銜接。

（二）加大信息安全投入，建立大數(shù)據(jù)解決方案

銀行業(yè)要在控制風(fēng)險的基礎(chǔ)上，充分利用當(dāng)下大數(shù)據(jù)云計算的優(yōu)勢，建立健全適合銀行業(yè)信息安全系統(tǒng)的建設(shè)框架及信息安全管理規(guī)范，修正完善已有的安全規(guī)范措施，豐富整體信息安全保障體系，建立完善的云計算和數(shù)據(jù)防護設(shè)備及體系，提高國內(nèi)網(wǎng)上銀行的運營及發(fā)展能力。

（三）加強網(wǎng)絡(luò)安全警示培訓(xùn)教育

一是根據(jù)不同的對象可能面臨到的相關(guān)網(wǎng)絡(luò)風(fēng)險，進行分類化警示和引導(dǎo)；二是重點對新入職的員工開展職業(yè)培訓(xùn)，重點要完善業(yè)務(wù)的操作規(guī)程， 強化關(guān)鍵權(quán)限崗位管理培訓(xùn)以及內(nèi)部制約機制；三是提升合作第三方及客戶的風(fēng)險意識，定期向客戶和合作第三方宣傳網(wǎng)絡(luò)安全的重要性，結(jié)合案例、實操等方式幫助他們提高自我保護意識，抵御網(wǎng)絡(luò)風(fēng)險。

（四）將網(wǎng)絡(luò)安全納入銀行整體風(fēng)險管理框架

銀行應(yīng)該積極利用現(xiàn)有資源識別、減緩潛在相關(guān)網(wǎng)絡(luò)風(fēng)險，將網(wǎng)絡(luò)安全作為董事會的關(guān)注重點，制定整體化的網(wǎng)絡(luò)安全防范框架，明確各部門的網(wǎng)絡(luò)安全防范職責(zé)，營造網(wǎng)絡(luò)安全優(yōu)先的企業(yè)文化，調(diào)動全體員工對網(wǎng)絡(luò)安全維護的積極性。在建立這一網(wǎng)絡(luò)安全防范框架時，必須將公司治理、威脅預(yù)警、安全意識培訓(xùn)和補丁管理程序四個方面考慮在內(nèi)，同時也應(yīng)將非正常情況下的應(yīng)急計劃和業(yè)務(wù)連續(xù)性計劃納入考慮，要求金融業(yè)務(wù)向綜合化、 全能化轉(zhuǎn)變。

四、結(jié)束語

在虛擬經(jīng)濟已大大脫離實體經(jīng)濟發(fā)展需求而存在的今天， 金融網(wǎng)絡(luò)安全問題已然成為國家經(jīng)濟安全中一項重要的內(nèi)容。隨著金融服務(wù)網(wǎng)絡(luò)化程度的不斷提高，我國各行各業(yè)金融交流的深入化及全球化，金融網(wǎng)絡(luò)安全管理成為網(wǎng)絡(luò)金融市場健康發(fā)展所要面對的核心問題。無論是盜領(lǐng)還是更改電子資金信息， 對于信用重于一切的金融機構(gòu)而言，都是極大的風(fēng)險隱患，會使我國經(jīng)濟遭受巨大損失。本文希望通過分析和借鑒美國“網(wǎng)絡(luò)安全框架”的指導(dǎo)思想，并結(jié)合當(dāng)下國內(nèi)金融網(wǎng)絡(luò)安全現(xiàn)狀，為我國金融機構(gòu)如何加強信息安全管理提供新的思路，從而保障網(wǎng)絡(luò)金融活動更加健康、有序的進行。