引言：信息化時代，互聯(lián)網(wǎng)技術(shù)給金融業(yè)帶來新的發(fā)展，但伴隨而來的網(wǎng)絡(luò)安全威脅也成為行業(yè)的突出問題。網(wǎng)絡(luò)安全法的出臺將為金融業(yè)解決網(wǎng)絡(luò)安全問題帶來新的契機(jī)。

隨著《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）的正式實施，《網(wǎng)絡(luò)安全法》與金融業(yè)直接相關(guān)的條文多達(dá)三十余條?！毒W(wǎng)絡(luò)安全法》的出臺將為金融業(yè)解決網(wǎng)絡(luò)安全問題帶來新的契機(jī)。

金融業(yè)的網(wǎng)絡(luò)安全挑戰(zhàn)及對策

1.跨境數(shù)據(jù)流動

金融業(yè)應(yīng)及時對跨境傳輸?shù)臄?shù)據(jù)內(nèi)容和方式方法進(jìn)行調(diào)整，對外發(fā)的數(shù)據(jù)內(nèi)容、傳輸方式等實施安全評估。

一是結(jié)合企業(yè)自身特點，對跨境數(shù)據(jù)流動進(jìn)行分級分類管理。涉及國家安全、經(jīng)濟(jì)安全的數(shù)據(jù)嚴(yán)格限定在境內(nèi)的數(shù)據(jù)中心存儲和處理；對其他重要數(shù)據(jù)、個人信息等實施跨境數(shù)據(jù)流動的條件限制，以落實數(shù)據(jù)控制主體的安全保護(hù)責(zé)任。

二是建立跨境數(shù)據(jù)流動安全風(fēng)險評估機(jī)制。對境內(nèi)運(yùn)營中收集和產(chǎn)生的信息數(shù)據(jù)確需跨境提供的，要按照國家相關(guān)部門制定的辦法，進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移事前、事中、事后全生命周期管理的風(fēng)險評估，保護(hù)數(shù)據(jù)安全。

三是對金融境外機(jī)構(gòu)的數(shù)據(jù)服務(wù)供應(yīng)商進(jìn)行規(guī)范約束。若金融業(yè)分支機(jī)構(gòu)接受境外的運(yùn)營商和服務(wù)商提供數(shù)據(jù)服務(wù)，服務(wù)商應(yīng)符合我國安全認(rèn)證或簽訂標(biāo)準(zhǔn)安全協(xié)議，規(guī)范服務(wù)商人員、數(shù)據(jù)傳輸方式、服務(wù)范圍、風(fēng)險賠償?shù)纫蟆?/p>

2.客戶信息保護(hù)

金融業(yè)作為價值密集領(lǐng)域，客戶信息泄漏事件時有發(fā)生，即使是不經(jīng)意的紕漏或?qū)?dǎo)致對客戶大額的經(jīng)濟(jì)賠償甚至停業(yè)關(guān)閉。

一是在科技系統(tǒng)運(yùn)營方面，系統(tǒng)設(shè)計開發(fā)時即考慮賬號權(quán)限分配和訪問控制設(shè)定功能，避免內(nèi)部人員因職權(quán)便利，違規(guī)查詢或批量下載客戶個人信息、交易記錄等；系統(tǒng)運(yùn)行期間，通過采取如前臺業(yè)務(wù)流程評估、后臺賬號和權(quán)限管理、數(shù)據(jù)庫審計等，實施有效的信息系統(tǒng)的全方位數(shù)據(jù)訪問控制，降低個人信息泄露、毀損、丟失風(fēng)險；同時，金融機(jī)構(gòu)應(yīng)強(qiáng)化對客戶風(fēng)險的預(yù)警，利用大數(shù)據(jù)分析、人工智能等手段，發(fā)現(xiàn)異常行為，暢通溝通渠道、及時提示預(yù)警客戶風(fēng)險，有效聯(lián)動做好風(fēng)險處置。

二是在健全管控機(jī)制方面，應(yīng)常態(tài)化開展技術(shù)滲透測試評估，避免應(yīng)用系統(tǒng)在功能實現(xiàn)上存在拖庫、平行越權(quán)等不足。健全系統(tǒng)版本管理及漏洞修復(fù)機(jī)制，特別是針對0day漏洞等及時防范與補(bǔ)救修復(fù)愈加重要；企業(yè)應(yīng)動態(tài)跟蹤解讀國內(nèi)外政策對客戶信息保護(hù)的要求，與時俱進(jìn)修訂數(shù)據(jù)使用、獲取、存儲等規(guī)范，對內(nèi)部人員行為進(jìn)行約束、從制度層面保障系統(tǒng)安全功能的優(yōu)化完善等。

三是在客戶告知提示方面，金融機(jī)構(gòu)對于客戶信息收集、使用環(huán)節(jié)應(yīng)以明確易懂的方式如實公示其收集目的、使用范圍、安全保護(hù)措施等信息，接受公共監(jiān)督；在發(fā)生或可能發(fā)生信息泄露的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時告知客戶；多渠道加強(qiáng)宣傳和提升客戶的安全意識，特別是在銀行卡搭載互聯(lián)網(wǎng)技術(shù)，消費(fèi)業(yè)務(wù)與卡分離，更應(yīng)充分提示提醒客戶，以預(yù)防不必要的金融糾紛。

3.日志留存與電子取證

在日志留存方面，目前很多企業(yè)尚存在一些問題，如日志無分類分級保存、未開啟重要級別的日志、人工審計效率低下、未對發(fā)現(xiàn)問題跟蹤解決等。

應(yīng)建立日志的常態(tài)化分析機(jī)制，有效識別風(fēng)險。實際上，即便部署足夠多的設(shè)備、存儲海量日志信息，仍需進(jìn)行持續(xù)監(jiān)控，才能有效發(fā)揮硬件設(shè)施的價值，及時發(fā)現(xiàn)存在的安全事件及隱患。對于海量日志數(shù)據(jù)的監(jiān)控分析，人工監(jiān)控檢查時常存在難以兼顧、效率低下的瓶頸，建議企業(yè)建設(shè)自動化日志審計系統(tǒng)，借助審計工具將分析策略相關(guān)聯(lián)，充分挖掘出網(wǎng)絡(luò)攻擊、異常認(rèn)證等以往人工審查難以發(fā)現(xiàn)的威脅，有效提升風(fēng)險發(fā)現(xiàn)和預(yù)警的自動化能力。

建立聯(lián)動響應(yīng)機(jī)制，快速發(fā)現(xiàn)處理威脅。金融業(yè)可根據(jù)日志類別、嚴(yán)重程度等的不同，設(shè)置合理的告警策略，分類將告警信息自動發(fā)送到相關(guān)人員，形成閉環(huán)處理機(jī)制。建議金融企業(yè)考慮引入大數(shù)據(jù)技術(shù)，構(gòu)建涵蓋綜合分析與預(yù)警、聯(lián)動響應(yīng)的企業(yè)SOC（安全運(yùn)行中心），以異常事件監(jiān)測為基礎(chǔ)，整合歷史分析數(shù)據(jù)和業(yè)界威脅情報，實現(xiàn)安全態(tài)勢的全維度智能感知、可視化展現(xiàn)及前瞻性預(yù)測，有效遏制網(wǎng)絡(luò)犯罪的發(fā)生發(fā)展。

4.多條線監(jiān)管

金融業(yè)如何在有限的投入下滿足監(jiān)管要求、保護(hù)好自身的合法利益,建議企業(yè)可從以下兩方面著手：

一是密切聯(lián)絡(luò)監(jiān)管執(zhí)行機(jī)構(gòu)。未來金融業(yè)監(jiān)管將會涉及眾多部門,應(yīng)密切關(guān)注各監(jiān)管部門的監(jiān)管動態(tài)，對于網(wǎng)絡(luò)安全事件匯報、產(chǎn)品準(zhǔn)入等事項，按照法律要求及時上報；對于外部要求的檢查評估、執(zhí)法檢查等積極配合；建立落實與監(jiān)管部門的常態(tài)化互動聯(lián)絡(luò)機(jī)制。

二是積極參與法規(guī)標(biāo)準(zhǔn)的制定。更多與網(wǎng)絡(luò)安全法配套的法律法規(guī)將接連出臺,金融要持續(xù)關(guān)注不斷跟進(jìn)，積極參與行業(yè)標(biāo)準(zhǔn)的制定。法律法規(guī)出臺后，則需進(jìn)一步加強(qiáng)對相關(guān)法律法規(guī)的學(xué)習(xí)研究，結(jié)合實際修訂企業(yè)內(nèi)部規(guī)章制度、適時完善企業(yè)系統(tǒng)架構(gòu)功能。

結(jié)語

我國目前正處于信息化快速發(fā)展的階段，國內(nèi)外網(wǎng)絡(luò)安全環(huán)境日新月異且錯綜復(fù)雜。隨著網(wǎng)絡(luò)空間安全立法步伐的加快，網(wǎng)絡(luò)安全法及后續(xù)配套法律法規(guī)的陸續(xù)出臺，對企業(yè)行為的約束從監(jiān)管規(guī)范上升到了法律高度，將更好地服務(wù)于經(jīng)濟(jì)、科技和社會的發(fā)展。金融業(yè)應(yīng)以此為契機(jī)，對照法律要求，從管理機(jī)制和技術(shù)防護(hù)措施兩方面做好查漏補(bǔ)缺工作，循序漸進(jìn)、不斷提高，從整體上提升金融業(yè)網(wǎng)絡(luò)安全防護(hù)水平。