亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        我國(guó)金融網(wǎng)絡(luò)安全韌性監(jiān)管研究:現(xiàn)實(shí)困境、英國(guó)經(jīng)驗(yàn)及制度構(gòu)建*

        2022-04-12 03:55:28宋心然李鵬飛張麗迎
        情報(bào)雜志 2022年3期
        關(guān)鍵詞:滲透性服務(wù)商韌性

        宋心然 李鵬飛 張麗迎

        (首都經(jīng)濟(jì)貿(mào)易大學(xué)城市經(jīng)濟(jì)與公共管理學(xué)院 北京 100070)

        在網(wǎng)絡(luò)沖擊難以預(yù)測(cè)的環(huán)境下,網(wǎng)絡(luò)安全是近年理論界與實(shí)務(wù)界廣泛關(guān)注的焦點(diǎn)性議題。而金融作為一國(guó)經(jīng)濟(jì)的風(fēng)向標(biāo),是最易受到網(wǎng)絡(luò)圍攻的行業(yè)。無(wú)論是風(fēng)險(xiǎn)管理、記賬清算,還是資產(chǎn)定價(jià)、數(shù)字貨幣,金融行業(yè)的網(wǎng)絡(luò)化建設(shè)都已走在各行業(yè)前列。2017年6月1日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確將金融列入重點(diǎn)保護(hù)的行業(yè)及領(lǐng)域,在頂層統(tǒng)籌方面反映了網(wǎng)絡(luò)安全對(duì)于金融安全至關(guān)重要。為進(jìn)一步完善金融行業(yè)的網(wǎng)絡(luò)安全建設(shè),中國(guó)人民銀行于2020年11月相繼出臺(tái)《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引》《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)指南》以及《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020)等文件。2021年9月1日,國(guó)務(wù)院在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中正式將“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者責(zé)任義務(wù)”作為網(wǎng)絡(luò)安全的重點(diǎn)予以推進(jìn),更凸顯了國(guó)家對(duì)網(wǎng)絡(luò)安全的關(guān)注,但國(guó)家網(wǎng)信部門(mén)和行業(yè)主管部門(mén)、監(jiān)管部門(mén)之間如何協(xié)調(diào)配合,如何共同構(gòu)建金融網(wǎng)絡(luò)安全的防御機(jī)制,如何“構(gòu)建風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)處置的全流程風(fēng)險(xiǎn)防控體系”[1],尚待進(jìn)一步研究完善。

        鑒于此,本文在分析我國(guó)現(xiàn)階段金融網(wǎng)絡(luò)安全監(jiān)管發(fā)展面臨的現(xiàn)實(shí)困境的基礎(chǔ)上,深入研究英國(guó)滲透性韌性測(cè)試的成功經(jīng)驗(yàn),重點(diǎn)總結(jié)、提煉其運(yùn)作模式,并闡述該機(jī)制在我國(guó)落地的可行性,建構(gòu)我國(guó)的金融網(wǎng)絡(luò)安全韌性監(jiān)管制度,為創(chuàng)新金融網(wǎng)絡(luò)安全監(jiān)管、提高監(jiān)管效能提供參考。

        1 現(xiàn)階段我國(guó)金融網(wǎng)絡(luò)安全監(jiān)管發(fā)展面臨的現(xiàn)實(shí)困境

        金融行業(yè)由于網(wǎng)絡(luò)技術(shù)路徑突破了傳統(tǒng)金融業(yè)瓶頸,催生了新的金融產(chǎn)品,但也給金融網(wǎng)絡(luò)安全監(jiān)管帶來(lái)巨大挑戰(zhàn)。目前的金融從業(yè)機(jī)構(gòu)由于諸如分布式記賬技術(shù) (distributed ledger technology,DLT,一種網(wǎng)絡(luò)成員之間共享、復(fù)制和同步數(shù)據(jù)庫(kù),而且每個(gè)節(jié)點(diǎn)都進(jìn)行獨(dú)立更新的技術(shù))、加密技術(shù)等新一代網(wǎng)絡(luò)算法的加持,重塑了全新的金融交易方式,亦使互聯(lián)網(wǎng)金融、大數(shù)據(jù)征信、智能投顧、虛擬貨幣等新金融業(yè)態(tài)深度嵌入了個(gè)體生活。而在金融領(lǐng)域衍生出來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)包含移動(dòng)app敲詐、信用卡欺詐與網(wǎng)絡(luò)釣魚(yú)等方面,也包括分布式拒絕服務(wù)(Distributed Denial of Service,DDoS,多個(gè)攻擊者利用網(wǎng)絡(luò)的缺陷入侵目標(biāo)主機(jī)的同時(shí),隱蔽性工作做的很好的一種攻擊方式)、ATM與POS機(jī)攻擊、加密勒索等。據(jù)《金融行業(yè)網(wǎng)絡(luò)安全白皮書(shū)2020年》記錄,近幾年“區(qū)塊鏈技術(shù)+金融”等新型攻擊手段引發(fā)的安全事故損失高達(dá)上百億美元[2]。由此可見(jiàn),在新技術(shù)背景下金融行業(yè)暴露出大量網(wǎng)絡(luò)安全問(wèn)題,對(duì)金融系統(tǒng)安全帶來(lái)重大威脅,產(chǎn)生了嚴(yán)重?fù)p失。如何在鼓勵(lì)金融創(chuàng)新發(fā)展的同時(shí),防控金融網(wǎng)絡(luò)風(fēng)險(xiǎn),完善金融網(wǎng)絡(luò)安全監(jiān)管,就成為我們需要研究的重要課題。那么,中國(guó)現(xiàn)行金融網(wǎng)絡(luò)安全監(jiān)管體制面臨怎樣的困境呢?

        1.1整體性監(jiān)管機(jī)制的缺失難以抵御系統(tǒng)性金融風(fēng)險(xiǎn)現(xiàn)有金融業(yè)的分業(yè)監(jiān)管體制雖有簡(jiǎn)單明晰的優(yōu)點(diǎn),但在金融網(wǎng)絡(luò)安全監(jiān)管的協(xié)作治理方面存在不足,恐難以應(yīng)對(duì)系統(tǒng)性金融網(wǎng)絡(luò)風(fēng)險(xiǎn)。當(dāng)前我國(guó)金融行業(yè)網(wǎng)絡(luò)安全管理以行業(yè)監(jiān)管部門(mén)為主、國(guó)家相關(guān)部門(mén)為輔,堅(jiān)持分業(yè)監(jiān)管為主的架構(gòu)。這種微觀管理體制與金融科技綜合化的發(fā)展趨向不符。新技術(shù)與金融產(chǎn)品的結(jié)合,導(dǎo)致金融科技從業(yè)機(jī)構(gòu)成為跨行業(yè)、跨市場(chǎng)、跨地域的一種新型的混合業(yè)態(tài),大大加強(qiáng)了系統(tǒng)的關(guān)聯(lián)性和開(kāi)放性,同時(shí)亦加劇了系統(tǒng)性金融風(fēng)險(xiǎn)爆發(fā)的可能。面對(duì)具有混合屬性的金融科技從業(yè)機(jī)構(gòu),監(jiān)管部門(mén)僅針對(duì)本行業(yè)領(lǐng)域內(nèi)的金融科技風(fēng)險(xiǎn)制定監(jiān)管細(xì)則,且內(nèi)容多以準(zhǔn)入資格審批與行為合規(guī)審查為主,沒(méi)有統(tǒng)一的網(wǎng)絡(luò)安全監(jiān)管標(biāo)準(zhǔn),亦未涉及對(duì)金融科技行業(yè)的宏觀風(fēng)險(xiǎn)監(jiān)測(cè),在金融科技監(jiān)管數(shù)據(jù)共享、風(fēng)險(xiǎn)預(yù)警、聯(lián)動(dòng)執(zhí)法等方面缺乏相應(yīng)的協(xié)調(diào)機(jī)制。囿于整體性監(jiān)管的缺失,導(dǎo)致我國(guó)各行業(yè)監(jiān)管部門(mén)之間的協(xié)調(diào)配合存在明顯不足,欠缺應(yīng)對(duì)混業(yè)經(jīng)營(yíng)的有效規(guī)制。

        1.2靜態(tài)監(jiān)管模式難以及時(shí)獲取真實(shí)全面的網(wǎng)絡(luò)安全信息金融網(wǎng)絡(luò)安全監(jiān)管的風(fēng)險(xiǎn)評(píng)測(cè)有賴于金融從業(yè)機(jī)構(gòu)定期披露的相關(guān)信息,因此信息的及時(shí)性和準(zhǔn)確性會(huì)極大制約監(jiān)管的效力。而我國(guó)現(xiàn)行金融監(jiān)管模式為“命令—控制”型的靜態(tài)監(jiān)管模式,很難在第一時(shí)間獲得真實(shí)有效的網(wǎng)絡(luò)安全信息。一方面,隨著人工智能、區(qū)塊鏈等新技術(shù)賦能金融行業(yè),金融產(chǎn)品更新?lián)Q代的速度加快,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也成幾何倍數(shù)增加。在傳統(tǒng)的自上而下的監(jiān)管模式下,監(jiān)管主體很難自主地及時(shí)察覺(jué)潛在風(fēng)險(xiǎn),往往會(huì)在問(wèn)題暴露并產(chǎn)生一定影響之后,才會(huì)對(duì)其加以監(jiān)管。因此,新技術(shù)在金融產(chǎn)品中的應(yīng)用,更加放大了靜態(tài)監(jiān)管體制的監(jiān)管滯后的弊端。

        另一方面,由于金融從業(yè)機(jī)構(gòu)在監(jiān)管的過(guò)程中往往處于“被動(dòng)服從”的地位,缺乏向上級(jí)監(jiān)管部門(mén)報(bào)送真實(shí)全面信息的動(dòng)力。一是為規(guī)避監(jiān)管,金融從業(yè)機(jī)構(gòu)可能就現(xiàn)有的金融業(yè)務(wù)與現(xiàn)行的法律法規(guī)、政策進(jìn)行合規(guī)性的自我審查與評(píng)估后,選擇上報(bào)對(duì)己方有利的信息;二是金融從業(yè)機(jī)構(gòu)出于市場(chǎng)競(jìng)爭(zhēng)的考慮,為維護(hù)自身的優(yōu)勢(shì)地位,更愿意獨(dú)占自己采集、存儲(chǔ)和分析的相關(guān)信息,而不愿與監(jiān)管部門(mén)或其他企業(yè)共享。此時(shí),監(jiān)管部門(mén)的風(fēng)險(xiǎn)評(píng)測(cè)在缺乏真實(shí)全面的信息為基礎(chǔ)的情況下,無(wú)以窺風(fēng)險(xiǎn)全貌,實(shí)現(xiàn)監(jiān)管效能。

        1.3傳統(tǒng)監(jiān)管體制難以應(yīng)對(duì)監(jiān)管對(duì)象的日趨復(fù)雜化新技術(shù)和金融產(chǎn)品的結(jié)合,使金融網(wǎng)絡(luò)引入了第三方科技機(jī)構(gòu)。我國(guó)金融科技從業(yè)機(jī)構(gòu)的存在形式主要有三種:一是“互聯(lián)網(wǎng)系”大型科技從業(yè)機(jī)構(gòu),包括但不限于中國(guó)的BAT(百度、阿里巴巴、騰訊),二是“金融系”金融科技從業(yè)機(jī)構(gòu),如上市銀行設(shè)立的金融科技子公司或者子部門(mén),三是中小型金融科技從業(yè)機(jī)構(gòu)。具體而言,大型科技機(jī)構(gòu)憑借著巨大的用戶流量、用戶口碑而進(jìn)入金融領(lǐng)域,容易抵達(dá)長(zhǎng)尾用戶的需求端,實(shí)現(xiàn)支付清算、客戶畫(huà)像等金融功能,據(jù)了解螞蟻服務(wù)生態(tài)系統(tǒng)中合作的金融從業(yè)機(jī)構(gòu)超過(guò)2000家,其中包括100多家銀行、90多家保險(xiǎn)機(jī)構(gòu)以及170多家資管機(jī)構(gòu)[3];商業(yè)銀行為了抵御大型科技機(jī)構(gòu)所帶來(lái)的競(jìng)爭(zhēng),也紛紛開(kāi)始科技轉(zhuǎn)型,打造自己的金融科技從業(yè)機(jī)構(gòu),據(jù)統(tǒng)計(jì)36家上市銀行已有12家單獨(dú)成立金融科技從業(yè)機(jī)構(gòu)[4];中小型金融科技從業(yè)機(jī)構(gòu)利用企業(yè)科技的優(yōu)勢(shì),整理金融機(jī)構(gòu)資源,搭建金融信息服務(wù)平臺(tái)。

        金融科技從業(yè)機(jī)構(gòu)由于缺乏完善的金融網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范和相應(yīng)的技術(shù)管理人員,成為網(wǎng)絡(luò)安全防護(hù)新的風(fēng)險(xiǎn)點(diǎn)。傳統(tǒng)的金融監(jiān)管對(duì)象主要為銀行、證券、保險(xiǎn)等金融從業(yè)機(jī)構(gòu),有著嚴(yán)格的防范標(biāo)準(zhǔn)和準(zhǔn)入標(biāo)準(zhǔn)。金融科技從業(yè)機(jī)構(gòu)雖然通過(guò)資格審查暫時(shí)獲得金融業(yè)務(wù)牌照,但是由于缺乏明確的監(jiān)管規(guī)則,它們不僅在金融產(chǎn)品、運(yùn)營(yíng)、防護(hù)技術(shù)方面與金融從業(yè)機(jī)構(gòu)的信息安全標(biāo)準(zhǔn)存在管理差異,而且自身防范風(fēng)險(xiǎn)能力也參差不齊,由此產(chǎn)生的網(wǎng)絡(luò)風(fēng)險(xiǎn)尚不能被監(jiān)管機(jī)構(gòu)精準(zhǔn)識(shí)別與界定,存在較大的安全隱患。

        2 英國(guó)金融網(wǎng)絡(luò)監(jiān)管實(shí)踐:“滲透性韌性測(cè)試”機(jī)制

        2.1英國(guó)“滲透性韌性測(cè)試”機(jī)制概述為大力支持金融科技創(chuàng)新的同時(shí),保證金融穩(wěn)定、防御系統(tǒng)性風(fēng)險(xiǎn),英國(guó)政府在近十年間進(jìn)行了監(jiān)管制度的創(chuàng)新,并探索出一些較為成熟的經(jīng)驗(yàn)和成果。其中,滲透性韌性測(cè)試機(jī)制就是防范金融網(wǎng)絡(luò)風(fēng)險(xiǎn)的一種行之有效的網(wǎng)絡(luò)安全監(jiān)管合作機(jī)制,值得我國(guó)借鑒和研究。

        何為“滲透測(cè)試”? 相關(guān)研究對(duì)滲透測(cè)試進(jìn)行了六大階段劃分,分別為明確滲透目標(biāo)、資料收集、假設(shè)目標(biāo)漏洞、確認(rèn)目標(biāo)漏洞、擴(kuò)展目標(biāo)漏洞和消除目標(biāo)漏洞[5]。亦即,學(xué)者認(rèn)為滲透方法雖擁有不同的步驟,但一般為信息偵查、漏洞與端口掃描、漏洞利用和維持訪問(wèn)[6]。當(dāng)然,還有學(xué)者認(rèn)為滲透測(cè)試就是通過(guò)模擬所有可能的惡意攻擊,發(fā)現(xiàn)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)漏洞,以此來(lái)評(píng)估和修復(fù)網(wǎng)絡(luò)防御系統(tǒng)的一種方式[7]??梢哉f(shuō),滲透測(cè)試以狀態(tài)管道連接性、行為特定性、過(guò)程動(dòng)態(tài)性、資源約束性、路徑最優(yōu)性為特點(diǎn),攻擊路徑為核心,發(fā)現(xiàn)漏洞序列并修復(fù)脆弱的環(huán)節(jié)[8]。鑒此,筆者認(rèn)為,滲透性韌性測(cè)試中的“滲透測(cè)試”是指以測(cè)試人員掌握的金融從業(yè)機(jī)構(gòu)信息為基礎(chǔ),模擬現(xiàn)實(shí)環(huán)境中的惡意攻擊,以此來(lái)提前發(fā)現(xiàn)、修補(bǔ)與規(guī)避金融機(jī)構(gòu)的不確定性風(fēng)險(xiǎn)。

        “韌性”一詞最初是一個(gè)生態(tài)領(lǐng)域的概念,是一種常見(jiàn)的生態(tài)表達(dá)形式和重要概念。美國(guó)生態(tài)研究者霍林首次從韌性視角出發(fā)探討生態(tài)韌性的結(jié)構(gòu)規(guī)律,即生態(tài)系統(tǒng)受到外部干擾時(shí)為維持內(nèi)部均衡狀況所表現(xiàn)出能動(dòng)的吸收力與適應(yīng)力,以此開(kāi)創(chuàng)了韌性主義先河[9]。學(xué)者在霍林實(shí)驗(yàn)的基礎(chǔ)上首次將韌性模型用于日本私營(yíng)部門(mén)經(jīng)濟(jì)行為的決策,為生物韌性決策模型提供了新的假設(shè)范式——預(yù)測(cè)力和復(fù)原力的增強(qiáng)可以在不斷變化的環(huán)境中做出高效率的決策和回應(yīng),并降低整個(gè)系統(tǒng)的風(fēng)險(xiǎn)脆弱性[10]。此后,“韌性”理論以生態(tài)科學(xué)為基礎(chǔ),多元主體協(xié)調(diào)合作的韌性方式為特征,探討區(qū)域事物發(fā)展邏輯的研究進(jìn)路在人文、社會(huì)科學(xué)、制度與組織安排中得到了越來(lái)越廣泛的測(cè)試與應(yīng)用[11]。同時(shí),以韌性視角為基礎(chǔ)的研究范式逐漸進(jìn)入經(jīng)濟(jì)領(lǐng)域研究視野,學(xué)者將經(jīng)濟(jì)韌性解讀為二種:靜態(tài)經(jīng)濟(jì)韌性是指系統(tǒng)在受到外部擾動(dòng)時(shí)依舊能保障功能的正常運(yùn)作;動(dòng)態(tài)經(jīng)濟(jì)韌性是指系統(tǒng)迎接沖擊后在底端恢復(fù)和重建之前均衡狀態(tài)的速度[12]。學(xué)者將韌性理念引入到當(dāng)前網(wǎng)絡(luò)時(shí)代,網(wǎng)絡(luò)韌性被表示為系統(tǒng)在受到?jīng)_擊時(shí)所表現(xiàn)出來(lái)的集預(yù)測(cè)力、識(shí)別力、保護(hù)力、檢測(cè)力、響應(yīng)力和復(fù)原力于一體的穩(wěn)定態(tài)勢(shì),這六種能力組合在一起可以抵御網(wǎng)絡(luò)威脅,從而保護(hù)社會(huì)的網(wǎng)絡(luò)安全[13]。由此可見(jiàn),“韌性”理論更強(qiáng)調(diào)復(fù)雜系統(tǒng)或組織之間的相互運(yùn)作以及風(fēng)險(xiǎn)調(diào)適能力,以實(shí)現(xiàn)各類主體的可持續(xù)發(fā)展。

        英國(guó)的滲透性韌性測(cè)試就是這樣一種通過(guò)滲透測(cè)試的方法,提高金融網(wǎng)絡(luò)安全預(yù)測(cè)力、適應(yīng)力、抵御力與發(fā)展力的非線性的協(xié)同與自我糾錯(cuò)的機(jī)制。具體而言,它以英國(guó)政府通訊總部為主導(dǎo)機(jī)構(gòu),允許金融從業(yè)機(jī)構(gòu)在自愿的前提下提供自身真實(shí)情報(bào),并批準(zhǔn)測(cè)試服務(wù)提供商通過(guò)真實(shí)情報(bào)模仿網(wǎng)絡(luò)攻擊者意圖進(jìn)行測(cè)試推演,于6~7個(gè)月測(cè)試期限內(nèi),測(cè)試并提前修復(fù)其具有風(fēng)險(xiǎn)性的金融產(chǎn)品和金融系統(tǒng)的一種以情報(bào)為主的金融網(wǎng)絡(luò)監(jiān)管機(jī)制。該機(jī)制為金融網(wǎng)絡(luò)安全監(jiān)管提供了集預(yù)測(cè)、適應(yīng)、抵御和發(fā)展于一體的韌性發(fā)展路徑,在一定程度上緩解其面臨網(wǎng)絡(luò)攻擊或者突發(fā)事件應(yīng)對(duì)的壓力,同時(shí)與監(jiān)管沙盒體制形成完美閉環(huán)。因此,監(jiān)管機(jī)構(gòu)可以據(jù)此構(gòu)建一個(gè)全程參與與掌握現(xiàn)有金融網(wǎng)絡(luò)安全信息的反饋路徑,有效管理金融網(wǎng)絡(luò)化發(fā)展過(guò)程中存在的必然風(fēng)險(xiǎn),從而一定程度上降低系統(tǒng)性金融風(fēng)險(xiǎn)的集中與爆發(fā)。

        2.2英國(guó)“滲透性韌性測(cè)試”機(jī)制建設(shè)歷程英國(guó)的滲透性韌性測(cè)試是2013年6月英國(guó)財(cái)政部、英格蘭銀行、金融行為監(jiān)管局與金融從業(yè)機(jī)構(gòu)協(xié)商的結(jié)果,其目的是在確保金融從業(yè)機(jī)構(gòu)的關(guān)鍵資產(chǎn)不受損害的基礎(chǔ)上,利用網(wǎng)絡(luò)威脅情報(bào)對(duì)其進(jìn)行真實(shí)的滲透測(cè)試[14]。2016年12月,英格蘭銀行在以往基礎(chǔ)上對(duì)滲透性韌性測(cè)試的基本框架進(jìn)行更新,使得測(cè)試中的威脅情報(bào)更加成熟化和智能化[15],從而進(jìn)一步鞏固了英國(guó)作為歐盟地區(qū)領(lǐng)先的金融中心和網(wǎng)絡(luò)空間的地位。

        2.3英國(guó)“滲透性韌性測(cè)試”機(jī)制運(yùn)作模式英國(guó)的滲透性韌性測(cè)試在運(yùn)作模式中涉及六方主體,即統(tǒng)籌者、運(yùn)籌者、監(jiān)管者、威脅者、滲透者和被測(cè)試者。其中,統(tǒng)籌者由政府通訊總部擔(dān)任,在整個(gè)測(cè)試機(jī)制中起主導(dǎo)作用;運(yùn)籌者由英格蘭銀行網(wǎng)絡(luò)部門(mén)小組擔(dān)任,推進(jìn)與評(píng)估整個(gè)測(cè)試機(jī)制的運(yùn)作;監(jiān)管者有英格蘭銀行審慎監(jiān)管局、金融行為監(jiān)管局和金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì),具體的監(jiān)管者會(huì)根據(jù)被測(cè)試者(測(cè)試客體)的不同產(chǎn)生相應(yīng)的變化(被測(cè)試者如果是保險(xiǎn)投資類的金融從業(yè)機(jī)構(gòu),則需要審慎監(jiān)管局和金融行為監(jiān)管局聯(lián)合監(jiān)管;被測(cè)試者如果是金融市場(chǎng)基礎(chǔ)設(shè)施,則需要金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)監(jiān)管);威脅者包括威脅情報(bào)服務(wù)商和管理者;滲透者包含滲透測(cè)試服務(wù)商和管理者;被測(cè)試者可以是金融從業(yè)機(jī)構(gòu),也可以是金融市場(chǎng)基礎(chǔ)設(shè)施。

        上述主體貫穿于滲透性韌性測(cè)試的整個(gè)運(yùn)作模式中。整個(gè)運(yùn)作過(guò)程可以分為四個(gè)階段:?jiǎn)?dòng)階段、威脅情報(bào)階段、滲透測(cè)試階段和項(xiàng)目評(píng)估階段。在這四個(gè)階段中,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組為金融從業(yè)機(jī)構(gòu)或者金融市場(chǎng)基礎(chǔ)設(shè)施提供監(jiān)管解讀、服務(wù)范圍審定以及評(píng)估反饋等支持,英國(guó)滲透性韌性測(cè)試機(jī)制的具體運(yùn)作模式見(jiàn)圖1(資料來(lái)源于英格蘭銀行官網(wǎng))。

        圖1 英國(guó)滲透性韌性測(cè)試機(jī)制運(yùn)作模式

        2.3.1 啟動(dòng)階段 通常而言,在申請(qǐng)啟動(dòng)階段,被測(cè)試者大約需要花費(fèi)4~6周的時(shí)間,啟動(dòng)階段分為四步:第一,在滲透性韌性測(cè)試過(guò)程開(kāi)始之前,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組向相應(yīng)的監(jiān)管機(jī)構(gòu)簡(jiǎn)要介紹滲透性韌性測(cè)試過(guò)程和各自的職責(zé);第二,在參與過(guò)程中,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組和監(jiān)管機(jī)構(gòu)要同被測(cè)試者會(huì)面,共同協(xié)商測(cè)試時(shí)間與安全合同協(xié)議;第三,在滲透性韌性測(cè)試服務(wù)范圍界定期間,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組規(guī)范了該機(jī)制測(cè)試的范圍,特別是所涉及的關(guān)鍵“職能”,即提供核心服務(wù)所需的人員、過(guò)程和技術(shù)。在以上基礎(chǔ)上,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組、監(jiān)管機(jī)構(gòu)與被測(cè)試者這三方主體共同討論具體的服務(wù)范圍。最終,滲透性韌性測(cè)試服務(wù)范圍草案、被測(cè)試者的項(xiàng)目啟動(dòng)文件草案和互聯(lián)網(wǎng)資產(chǎn)登記表,這三份文件將一同交付給監(jiān)管機(jī)構(gòu)、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組與政府通訊總部。如果啟動(dòng)階段提前中斷,可能會(huì)對(duì)金融從業(yè)機(jī)構(gòu)的安全,包括客戶群及金融穩(wěn)定產(chǎn)生不利的影響;第四,被測(cè)試者需要在滲透測(cè)試資格認(rèn)證組織采購(gòu)?fù){情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商,以確保測(cè)試的正常運(yùn)行(滲透測(cè)試資格認(rèn)證組織是一個(gè)專門(mén)進(jìn)行滲透測(cè)試專業(yè)級(jí)別認(rèn)證的國(guó)際性非營(yíng)利組織,且與英格蘭銀行網(wǎng)絡(luò)部門(mén)小組合作開(kāi)發(fā)了威脅情報(bào)經(jīng)理資格、滲透測(cè)試經(jīng)理資格,所有的威脅情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商都必須取得相應(yīng)的專業(yè)資格)。

        2.3.2 威脅情報(bào)階段 在威脅情報(bào)階段中,被測(cè)試者大約需要花費(fèi)十周的時(shí)間。此階段分為四步:第一,被測(cè)試者向威脅情報(bào)服務(wù)商提供測(cè)試服務(wù)范圍,其中需要包括被測(cè)試者的每個(gè)關(guān)鍵“職能”;第二,威脅情報(bào)服務(wù)商收集與分析當(dāng)前的威脅評(píng)估與網(wǎng)絡(luò)攻擊事項(xiàng),這些情報(bào)使得威脅情報(bào)服務(wù)商盡快地鎖定攻擊者的目標(biāo),其目標(biāo)可能是客戶資料或者是數(shù)據(jù)資源等;第三,基于這種“灰盒測(cè)試”(一種介于白盒測(cè)試與黑盒測(cè)試的方式,關(guān)注輸出對(duì)輸入的正確性,既不同于了解產(chǎn)品內(nèi)部工作流程的白盒測(cè)試,也不同于從程序外部結(jié)構(gòu)應(yīng)用窮舉法進(jìn)行測(cè)試,是在部分了解目標(biāo)系統(tǒng)主機(jī)的信息條件下,通過(guò)信息收集與利用等行為來(lái)評(píng)估目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全性的過(guò)程),威脅情報(bào)服務(wù)商根據(jù)攻擊者的動(dòng)機(jī)和方法構(gòu)建高概率的真實(shí)威脅場(chǎng)景,最終形成一份威脅情報(bào)報(bào)告。這份報(bào)告需要交付給被測(cè)試者、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組、監(jiān)管機(jī)構(gòu)與滲透測(cè)試服務(wù)商。隨后,威脅情報(bào)服務(wù)商、被測(cè)試者與滲透測(cè)試服務(wù)商一起舉行研討會(huì),討論威脅情報(bào)報(bào)告草稿,并獲得多方反饋;第四,政府通訊總部審查該草稿,通常需要花費(fèi)三個(gè)星期,并且審查的目的是確保威脅情報(bào)的可用性與合理性;第五,在進(jìn)入威脅情報(bào)的評(píng)估階段需要形成兩項(xiàng)評(píng)估報(bào)告,分別是:威脅情報(bào)服務(wù)商評(píng)估被測(cè)試者的內(nèi)部威脅情報(bào)能力、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組評(píng)估威脅情報(bào)服務(wù)商的能力,這兩項(xiàng)評(píng)估將使被測(cè)試者更深刻地理解內(nèi)部網(wǎng)絡(luò)安全,同時(shí)也使監(jiān)管機(jī)構(gòu)了解市場(chǎng)上的金融網(wǎng)絡(luò)安全。

        2.3.3 滲透測(cè)試階段 在滲透測(cè)試階段中,被測(cè)試者大約需要花費(fèi)十周的時(shí)間,在威脅情報(bào)階段完成之后,滲透測(cè)試服務(wù)商基于威脅情報(bào)策劃一份量身定做且行之有效的滲透測(cè)試計(jì)劃;其次,根據(jù)威脅情報(bào)構(gòu)建真實(shí)場(chǎng)景,滲透測(cè)試服務(wù)商模擬攻擊路徑,并滲透服務(wù)范圍內(nèi)的每個(gè)關(guān)鍵“職能”;再者,滲透測(cè)試服務(wù)商需形成一份滲透測(cè)試報(bào)告,其中包含目前關(guān)鍵“職能”性能問(wèn)題、漏洞問(wèn)題和其他補(bǔ)救成功的商業(yè)案例等;同時(shí),被測(cè)試者需要根據(jù)滲透測(cè)試發(fā)現(xiàn)的漏洞,及時(shí)作出補(bǔ)救計(jì)劃,并且英格蘭銀行網(wǎng)絡(luò)部門(mén)小組對(duì)滲透測(cè)試報(bào)告和補(bǔ)救計(jì)劃一同進(jìn)行審查;最終,在滲透測(cè)試的評(píng)估階段需要形成兩項(xiàng)評(píng)估,即:滲透測(cè)試服務(wù)商評(píng)估被測(cè)試者的攻擊響應(yīng)能力、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組根據(jù)服務(wù)協(xié)議評(píng)估滲透測(cè)試服務(wù)商的能力,這兩項(xiàng)評(píng)估旨在作為最終網(wǎng)絡(luò)安全評(píng)估的一部分。

        2.3.4 項(xiàng)目評(píng)估階段 在項(xiàng)目評(píng)估階段的工作中,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組大約需要花費(fèi)為期四周的時(shí)間。英格蘭銀行網(wǎng)絡(luò)部門(mén)小組評(píng)估威脅情報(bào)服務(wù)商與滲透測(cè)試服務(wù)商提交的威脅情報(bào)、滲透測(cè)試報(bào)告,并協(xié)同多方利益主體一起審查評(píng)估的結(jié)果,最終被測(cè)試者完成漏洞的補(bǔ)救計(jì)劃。在補(bǔ)救過(guò)程中,監(jiān)管機(jī)構(gòu)全程監(jiān)督補(bǔ)救計(jì)劃的執(zhí)行,直至被測(cè)試者完成補(bǔ)救任務(wù)。

        英國(guó)滲透性韌性測(cè)試機(jī)制更注重事后評(píng)估,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組要求服務(wù)提供商在測(cè)試期結(jié)束后向其提供反饋報(bào)告。報(bào)告中應(yīng)詳細(xì)列出以下信息:一是測(cè)試期間哪些活動(dòng)進(jìn)展良好;二是測(cè)試期間哪些活動(dòng)可以得到改進(jìn);三是其他多方利益主體的反饋。服務(wù)提供商所提供的資料與信息將會(huì)協(xié)助英格蘭銀行網(wǎng)絡(luò)部門(mén)小組反思與改進(jìn)滲透性韌性測(cè)試機(jī)制的運(yùn)作和成效,以及及時(shí)識(shí)別該機(jī)制面臨的主要問(wèn)題和風(fēng)險(xiǎn)。

        2.4“滲透性韌性測(cè)試”機(jī)制本質(zhì)特征由此可見(jiàn),英國(guó)滲透性韌性測(cè)試機(jī)制的運(yùn)行過(guò)程處處滲透出通過(guò)協(xié)同共治、提前防范,實(shí)現(xiàn)對(duì)金融從業(yè)機(jī)構(gòu)資產(chǎn)安全的保護(hù),減少了監(jiān)管的沉默成本,是金融科技背景下抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的良好范例,有必要對(duì)其特征進(jìn)行深入分析和總結(jié)。

        2.4.1 參與主體的協(xié)同性 滲透性韌性測(cè)試中的各方參與主體在政府通訊總部的主導(dǎo)下,分工明確、協(xié)調(diào)配合,共同為防御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)揮了作用。不同與以往的微觀管理,該機(jī)制將與網(wǎng)絡(luò)安全相關(guān)的各類公私部門(mén)都統(tǒng)籌在一起,如英格蘭銀行網(wǎng)絡(luò)部門(mén)小組、審慎監(jiān)管局、金融行為監(jiān)管局、金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)、威脅情報(bào)服務(wù)商、滲透測(cè)試服務(wù)商等,形成一種多元主體協(xié)同共治的情形。英國(guó)政府通訊總部作為政府重要的情報(bào)部門(mén),通過(guò)備案審查、研討評(píng)估,確保滲透測(cè)試整個(gè)過(guò)程的有效性和安全性,并統(tǒng)籌協(xié)調(diào)測(cè)試中的各個(gè)參與主體,使各方職責(zé)都得到相應(yīng)地把控和劃分;英格蘭銀行網(wǎng)絡(luò)部門(mén)小組作為金融行業(yè)的專門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全的技術(shù)部門(mén),負(fù)責(zé)整個(gè)測(cè)試過(guò)程的推進(jìn)和運(yùn)作,在事前備案、事中監(jiān)管和事后評(píng)估中不斷完善該測(cè)試;威脅情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商作為技術(shù)服務(wù)商,分別提供威脅情報(bào)和滲透測(cè)試的技術(shù)服務(wù);金融從業(yè)機(jī)構(gòu)負(fù)責(zé)提供當(dāng)前的威脅評(píng)估與網(wǎng)絡(luò)攻擊事項(xiàng);審慎監(jiān)管局、金融行為監(jiān)管局和金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)作為監(jiān)管部門(mén),會(huì)根據(jù)具體監(jiān)管對(duì)象的不同,分別從各自的專業(yè)領(lǐng)域提供指導(dǎo)和監(jiān)督……這種多元協(xié)同機(jī)制在后期指導(dǎo)金融從業(yè)機(jī)構(gòu)的補(bǔ)救計(jì)劃、制定針對(duì)性的金融網(wǎng)絡(luò)監(jiān)管規(guī)則指南意義重大。

        2.4.2 測(cè)試客體的自主性 在滲透性韌性測(cè)試的測(cè)試客體上,監(jiān)管機(jī)構(gòu)并不強(qiáng)制金融從業(yè)機(jī)構(gòu)參與測(cè)試,而是金融從業(yè)機(jī)構(gòu)認(rèn)識(shí)到自身存在網(wǎng)絡(luò)風(fēng)險(xiǎn)之后主動(dòng)要求進(jìn)行測(cè)試與評(píng)估。這與傳統(tǒng)監(jiān)管模式中,金融從業(yè)機(jī)構(gòu)被動(dòng)披露信息不同。這些金融從業(yè)機(jī)構(gòu)具有較強(qiáng)的風(fēng)險(xiǎn)意識(shí),認(rèn)為通過(guò)與監(jiān)管機(jī)構(gòu)合作,可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此,它們?cè)敢夥e極地向威脅情報(bào)服務(wù)商告知其關(guān)鍵“職能”以及網(wǎng)絡(luò)攻擊等情報(bào),從而使威脅情報(bào)服務(wù)商極大概率地分析出關(guān)鍵“職能”的脆弱性領(lǐng)域和構(gòu)建真實(shí)的威脅場(chǎng)景。這就極大地解決了在監(jiān)管中存在的信息不對(duì)稱問(wèn)題,讓監(jiān)管部門(mén)可以盡快獲得真實(shí)有效的數(shù)據(jù),對(duì)可能出現(xiàn)的相應(yīng)風(fēng)險(xiǎn)進(jìn)行更為精準(zhǔn)地識(shí)別、測(cè)試與評(píng)估,從而及時(shí)制定相應(yīng)的策略。

        2.4.3 監(jiān)管模式的抗逆性 英國(guó)滲透性韌性測(cè)試的顯著優(yōu)勢(shì)在于,它可以在較大程度上對(duì)未來(lái)的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和防范,從而盡可能降低監(jiān)管滯后帶來(lái)的損失。該機(jī)制通過(guò)對(duì)既有網(wǎng)絡(luò)安全情報(bào)進(jìn)行匯總收集,模擬攻擊,并及時(shí)彌補(bǔ)漏洞,對(duì)關(guān)鍵“職能”脆弱性領(lǐng)域進(jìn)行補(bǔ)救和升級(jí),以真正防范風(fēng)險(xiǎn),確保網(wǎng)絡(luò)安全。這一過(guò)程的不斷循環(huán)往復(fù),在一定程度上就實(shí)現(xiàn)了實(shí)時(shí)動(dòng)態(tài)監(jiān)管,可以對(duì)新技術(shù)帶來(lái)的新增風(fēng)險(xiǎn)點(diǎn)做出較快反應(yīng),制定相應(yīng)預(yù)防措施,從而避免事后監(jiān)管滯后的弊端,做到防患于未然。

        3 我國(guó)引入“滲透性韌性測(cè)試”機(jī)制的可行性分析

        很多歐盟國(guó)家均對(duì)滲透性韌性測(cè)試的英國(guó)藍(lán)本進(jìn)行了關(guān)注和本土化適用,我國(guó)能否具備實(shí)行滲透性韌性測(cè)試的條件?以下將從治理目標(biāo)、監(jiān)管邏輯與政策路徑三個(gè)方面進(jìn)行敘述。

        3.1“滲透性韌性測(cè)試”機(jī)制與構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的治理目標(biāo)相契合金融網(wǎng)絡(luò)治理強(qiáng)調(diào)依法治網(wǎng)和合作治網(wǎng),屬于多元參與和立體協(xié)同的治理模式,無(wú)論在內(nèi)涵外延還是實(shí)踐意義上,都是網(wǎng)絡(luò)空間命運(yùn)共同體治理的根本遵循,能夠保證網(wǎng)絡(luò)空間創(chuàng)新發(fā)展與安全有序。滲透性韌性測(cè)試正是建設(shè)網(wǎng)絡(luò)空間命運(yùn)共同體的突出表現(xiàn),能夠契合網(wǎng)絡(luò)空間命運(yùn)共同體的構(gòu)建需求。滲透性韌性測(cè)試為金融從業(yè)機(jī)構(gòu)提供真實(shí)的滲透環(huán)境,使得金融網(wǎng)絡(luò)風(fēng)險(xiǎn)提前暴露出來(lái),有助于監(jiān)管機(jī)構(gòu)提前根據(jù)金融系統(tǒng)的運(yùn)作情況進(jìn)行動(dòng)態(tài)調(diào)整,進(jìn)一步夯實(shí)金融行業(yè)的共同安全,并藉此實(shí)現(xiàn)網(wǎng)絡(luò)空間命運(yùn)共同體的現(xiàn)實(shí)目標(biāo)。

        3.2“滲透性韌性測(cè)試”機(jī)制與我國(guó)金融網(wǎng)絡(luò)監(jiān)管的邏輯趨同我國(guó)金融網(wǎng)絡(luò)監(jiān)管以安全和發(fā)展兩者兼顧為目標(biāo)。中國(guó)人民銀行于2019年下半年組建金融業(yè)態(tài)度感知與信息共享平臺(tái)項(xiàng)目,金融從業(yè)機(jī)構(gòu)已基本全部參與進(jìn)來(lái)。這些動(dòng)向與措施都體現(xiàn)了監(jiān)管機(jī)構(gòu)面對(duì)金融網(wǎng)絡(luò)呈現(xiàn)出明顯的風(fēng)險(xiǎn)態(tài)勢(shì)意識(shí),其邏輯在于不斷平衡金融創(chuàng)新與金融網(wǎng)絡(luò)安全之間的關(guān)系,即一方面鼓勵(lì)金融科技創(chuàng)新,提高金融資源傳輸效率,另一方面鞏固金融網(wǎng)絡(luò)安全,守住不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)的底線要求。滲透性韌性測(cè)試與我國(guó)金融網(wǎng)絡(luò)監(jiān)管的邏輯趨同。它沒(méi)有為了規(guī)避風(fēng)險(xiǎn),而完全禁止新科技在金融產(chǎn)品中的應(yīng)用,而是在不抑制金融創(chuàng)新的同時(shí),盡最大可能及時(shí)識(shí)別風(fēng)險(xiǎn)、實(shí)施動(dòng)態(tài)監(jiān)測(cè),通過(guò)評(píng)估和反饋,制定防范和預(yù)防措施,從而實(shí)現(xiàn)金融創(chuàng)新和安全之間的平衡。

        3.3“滲透性韌性測(cè)試”機(jī)制與我國(guó)金融政策試點(diǎn)實(shí)施路徑吻合我國(guó)的政策試點(diǎn)形式是以“干中學(xué)”的方法來(lái)探尋未知問(wèn)題領(lǐng)域的政策備選方案,獲取回歸反饋信息,反復(fù)修復(fù)政策信息,以此摸索出適合推向市場(chǎng)的正確解決方案[16]。而由新科技衍生出的金融產(chǎn)品潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),對(duì)于監(jiān)管者而言,同樣是未知領(lǐng)域,需要“摸著石頭過(guò)河”,以局部實(shí)驗(yàn)的形式逐步推究適當(dāng)?shù)谋O(jiān)管方式?!皾B透性韌性測(cè)試”本質(zhì)亦屬于局部試點(diǎn),通過(guò)實(shí)踐中的威脅情報(bào)模擬攻擊,不斷評(píng)估、調(diào)整防御方案,逐漸實(shí)現(xiàn)金融網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)化。這種“點(diǎn)-面-點(diǎn)”的遞歸迭代循環(huán)治理路徑符合我國(guó)金融政策試點(diǎn)的實(shí)施路徑理念,在實(shí)踐中具有可行性。

        4 我國(guó)金融網(wǎng)絡(luò)安全韌性監(jiān)管的制度構(gòu)建

        滲透性韌性測(cè)試的英國(guó)發(fā)展經(jīng)驗(yàn)對(duì)于我國(guó)走出金融網(wǎng)絡(luò)監(jiān)管困境具有一定的啟發(fā),同時(shí)也符合我國(guó)先行先試的監(jiān)管理念,我國(guó)可以從該機(jī)制汲取成功經(jīng)驗(yàn),尋繹一條符合我國(guó)國(guó)情的切實(shí)可行的制度路徑。滲透性韌性測(cè)試機(jī)制是以各專業(yè)組織的協(xié)調(diào)配合為基礎(chǔ),發(fā)揮合力并共同形成較強(qiáng)的風(fēng)險(xiǎn)調(diào)適能力,完成對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的高效預(yù)測(cè)和處置。因此,金融網(wǎng)絡(luò)安全韌性監(jiān)管制度的構(gòu)建,需要從組織機(jī)構(gòu)設(shè)置、激勵(lì)機(jī)制、能力提升等方面,研究如何讓多元主體參與到治理中來(lái),并自主自愿地協(xié)調(diào)配合,不斷完善提高自身能力,從而共同實(shí)現(xiàn)金融網(wǎng)絡(luò)安全治理體系和能力現(xiàn)代化。

        4.1重構(gòu)我國(guó)金融網(wǎng)絡(luò)滲透性韌性監(jiān)管體系英國(guó)滲透性韌性測(cè)試機(jī)制是在政府通訊總部的領(lǐng)導(dǎo)下運(yùn)作的。而該機(jī)構(gòu)并非金融領(lǐng)導(dǎo)部門(mén),而是國(guó)家安全部門(mén),且不隸屬于外交部,而直接向英國(guó)外交大臣負(fù)責(zé)。該架構(gòu)可以將與網(wǎng)絡(luò)安全有關(guān)的所有部門(mén),包括金融從業(yè)機(jī)構(gòu),又不限于金融監(jiān)管部門(mén)組織起來(lái),共同為金融網(wǎng)絡(luò)安全監(jiān)管服務(wù)。這就彌補(bǔ)了新技術(shù)背景下金融混業(yè)經(jīng)營(yíng)狀態(tài)下分業(yè)監(jiān)管的不足,更有利于抵御系統(tǒng)性風(fēng)險(xiǎn)。因此,在網(wǎng)絡(luò)安全監(jiān)管的組織架構(gòu)上,應(yīng)當(dāng)突破金融行業(yè)微觀管理的壁壘,以維護(hù)國(guó)家安全為目標(biāo),建設(shè)整體性的金融網(wǎng)絡(luò)安全監(jiān)管體制。具體而言,在組織體系上,其一,當(dāng)以國(guó)家互聯(lián)網(wǎng)信息辦公室擔(dān)當(dāng)統(tǒng)帥,突出“總司令”職責(zé)。其二,當(dāng)以國(guó)務(wù)院公安部門(mén)作為運(yùn)籌者用于銜接國(guó)家互聯(lián)網(wǎng)信息辦公室、一行兩會(huì)以及模擬服務(wù)商,在此充當(dāng)英格蘭銀行網(wǎng)絡(luò)部門(mén)小組的角色與職責(zé)。其三,一行兩會(huì)應(yīng)當(dāng)作為監(jiān)管機(jī)構(gòu)全程參與被測(cè)試者的測(cè)試過(guò)程,突出“監(jiān)管”職責(zé)。其四,中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心應(yīng)當(dāng)以威脅情報(bào)服務(wù)商的身份承擔(dān)收集情報(bào)的職責(zé),突出“灰盒”測(cè)試的涵義。其五,滲透測(cè)試服務(wù)商當(dāng)以中國(guó)信息安全測(cè)評(píng)中心擔(dān)當(dāng)滲透者角色,承擔(dān)“真實(shí)”測(cè)試的職責(zé)。金融網(wǎng)絡(luò)滲透性韌性監(jiān)管體系的重構(gòu)在一定程度上契合金融微觀審慎監(jiān)管理念,加強(qiáng)各監(jiān)管機(jī)構(gòu)統(tǒng)籌協(xié)調(diào)性,降低金融網(wǎng)絡(luò)體系的風(fēng)險(xiǎn)傳染性,從而有助于正處在風(fēng)口浪尖的金融從業(yè)機(jī)構(gòu)及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)與管控風(fēng)險(xiǎn)。

        4.2完善企業(yè)主動(dòng)披露信息的激勵(lì)機(jī)制滲透性韌性測(cè)試的作用機(jī)理是“報(bào)告-診斷-預(yù)測(cè)-操作-激活”[17],其實(shí)現(xiàn)是建立在金融從業(yè)機(jī)構(gòu)能夠主動(dòng)提供真實(shí)準(zhǔn)確信息的基礎(chǔ)之上。金融從業(yè)機(jī)構(gòu)之所以愿意主動(dòng)披露內(nèi)部信息,主要原因在于英國(guó)能提供較完善的制度保障:一是2016年英國(guó)出臺(tái)的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》、歐盟實(shí)施的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)》以及《信息共享最佳實(shí)踐指南》這三部法律更加強(qiáng)調(diào)在網(wǎng)絡(luò)風(fēng)險(xiǎn)下公私合作伙伴以及信息共享建設(shè)的重要性,夯實(shí)了英國(guó)的金融從業(yè)機(jī)構(gòu)自愿披露信息的基礎(chǔ);二是英國(guó)實(shí)施的《通用數(shù)據(jù)保護(hù)條例》和《數(shù)據(jù)保護(hù)法》不僅擴(kuò)大了個(gè)人數(shù)據(jù)主體的權(quán)利,更細(xì)化了數(shù)據(jù)保護(hù)的規(guī)則,從而奠定了滲透性韌性測(cè)試的數(shù)據(jù)法律基礎(chǔ);三是英格蘭銀行把網(wǎng)絡(luò)風(fēng)險(xiǎn)補(bǔ)充到操作風(fēng)險(xiǎn)管理規(guī)范之中,并且網(wǎng)絡(luò)情報(bào)一直在更新,以確保測(cè)試的安全性。這些法律法規(guī)既加大了企業(yè)的違法成本,迫使其主動(dòng)披露數(shù)據(jù);又加強(qiáng)了對(duì)企業(yè)在滲透測(cè)試中的安全防護(hù),免除其后顧之憂。

        因此,建議我國(guó)應(yīng)首先制定更完善的金融數(shù)據(jù)分類標(biāo)準(zhǔn)和監(jiān)管辦法。中國(guó)人民銀行制定并發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等行業(yè)標(biāo)準(zhǔn),對(duì)金融信息保護(hù)提供了規(guī)范性要求,但沒(méi)能根據(jù)金融從業(yè)機(jī)構(gòu)的敏感程度進(jìn)行分類。由于“金融機(jī)構(gòu)的性質(zhì)不同,風(fēng)險(xiǎn)累積也各異”[18],建議在充分研究的基礎(chǔ)上,根據(jù)金融從業(yè)機(jī)構(gòu)的性質(zhì)與規(guī)模大小,區(qū)分敏感程度,對(duì)敏感度較高的企業(yè)進(jìn)行重點(diǎn)監(jiān)管,對(duì)敏感度低的企業(yè)則適度監(jiān)管。第二,明確企業(yè)在金融數(shù)據(jù)泄漏和網(wǎng)絡(luò)安全事故中的責(zé)任,完善金融消費(fèi)者的個(gè)人信息保護(hù)制度。完善的金融消費(fèi)者個(gè)人信息保護(hù)制度是倒逼金融從業(yè)機(jī)構(gòu)披露數(shù)據(jù)的重要抓手。正是由于金融從業(yè)機(jī)構(gòu)不主動(dòng)披露真實(shí)數(shù)據(jù)可能承擔(dān)更大的經(jīng)濟(jì)和聲譽(yù)損失風(fēng)險(xiǎn),才使得這些機(jī)構(gòu)愿意積極投身網(wǎng)絡(luò)安全的共同建設(shè)之中,將自己掌握的金融網(wǎng)絡(luò)安全數(shù)據(jù)與政府和其他組織共享。值得一提的是,即將正式實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》已經(jīng)規(guī)定了金融從業(yè)機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)應(yīng)盡的義務(wù)和責(zé)任,下一步有必要對(duì)金融信息保護(hù)制定更高等級(jí)的專門(mén)立法,加大對(duì)企業(yè)泄漏金融數(shù)據(jù)的懲處力度。第三,完善測(cè)試客體的外在保障機(jī)制。在測(cè)試中,我國(guó)可考慮明確測(cè)試者訪問(wèn)范圍的若干限制性規(guī)定,并完善金融從業(yè)機(jī)構(gòu)的財(cái)產(chǎn)安全權(quán),以及發(fā)生網(wǎng)絡(luò)風(fēng)險(xiǎn)事件時(shí)及時(shí)告知金融從業(yè)機(jī)構(gòu)可采取的司法救濟(jì)途徑。

        4.3加快學(xué)習(xí)型與考核型金融網(wǎng)絡(luò)安全治理主體建設(shè)在合作治理網(wǎng)絡(luò)中,各參與主體自身的專業(yè)能力提高是組織之間協(xié)調(diào)合作的充分條件,亦是制約韌性監(jiān)管發(fā)揮實(shí)效的瓶頸。在復(fù)雜且以技術(shù)為依托的金融網(wǎng)絡(luò)環(huán)境下,滲透性韌性測(cè)試能否實(shí)現(xiàn)真實(shí)且安全的網(wǎng)絡(luò)威脅場(chǎng)景建構(gòu),對(duì)現(xiàn)實(shí)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和抵御,在一定程度上有賴于服務(wù)提供商的專業(yè)化程度、金融從業(yè)機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)的響應(yīng)能力和監(jiān)管機(jī)構(gòu)的判斷能力。在英國(guó)的滲透性韌性測(cè)試中,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組與滲透測(cè)試資格認(rèn)證組織舉行滲透測(cè)試考試,制定認(rèn)證標(biāo)準(zhǔn),目的是篩選出專業(yè)級(jí)別的威脅情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商?;诖耍就粱瘽B透性韌性測(cè)試機(jī)制應(yīng)當(dāng)加快服務(wù)提供商的學(xué)習(xí)型與考核型建設(shè),這樣可以提升滲透性韌性測(cè)試機(jī)制作用于金融從業(yè)機(jī)構(gòu)的規(guī)范、目標(biāo)導(dǎo)向型監(jiān)管效用,使得服務(wù)提供商可以及時(shí)為金融從業(yè)機(jī)構(gòu)識(shí)別金融網(wǎng)絡(luò)風(fēng)險(xiǎn)、構(gòu)建高概率威脅場(chǎng)景、依托威脅情報(bào)實(shí)現(xiàn)全方面滲透、完成滲透評(píng)估報(bào)告,以對(duì)接信息化驅(qū)動(dòng)精準(zhǔn)監(jiān)管的未來(lái)。同時(shí),加強(qiáng)金融從業(yè)機(jī)構(gòu)和監(jiān)管部門(mén)在網(wǎng)絡(luò)安全方面的專業(yè)人才、設(shè)備和制度等多方面建設(shè),發(fā)揮網(wǎng)絡(luò)安全協(xié)會(huì)在相應(yīng)的考核干預(yù)中的作用,全面提升風(fēng)險(xiǎn)識(shí)別和監(jiān)測(cè)能力,滿足新時(shí)期金融網(wǎng)絡(luò)安全建設(shè)的需要。

        5 結(jié) 語(yǔ)

        金融網(wǎng)絡(luò)安全的健康發(fā)展離不開(kāi)完善的制度庇護(hù),加快彌補(bǔ)金融網(wǎng)絡(luò)方面的監(jiān)管空白是當(dāng)務(wù)之急。滲透性韌性測(cè)試機(jī)制作為監(jiān)管機(jī)構(gòu)、金融從業(yè)機(jī)構(gòu)等多方參與主體與新技術(shù)相結(jié)合的產(chǎn)物,依托滲透性韌性機(jī)制所開(kāi)展的金融網(wǎng)絡(luò)監(jiān)管具有協(xié)同性、自主性與抗逆性特征,可以內(nèi)外聯(lián)動(dòng)應(yīng)對(duì)金融網(wǎng)絡(luò)本身發(fā)展所帶來(lái)的風(fēng)險(xiǎn),尤其是金融網(wǎng)絡(luò)這個(gè)輪廓尚不鮮明、規(guī)則尚待生成的領(lǐng)域,更好地平衡金融從業(yè)機(jī)構(gòu)風(fēng)險(xiǎn)與監(jiān)管之間的關(guān)系,著眼于在監(jiān)管機(jī)構(gòu)與金融從業(yè)機(jī)構(gòu)之間建立良好的風(fēng)險(xiǎn)防控體系,立足于金融網(wǎng)絡(luò)風(fēng)險(xiǎn)被早識(shí)別、早預(yù)警、早發(fā)現(xiàn)、早處置,致力于日臻提高我國(guó)金融網(wǎng)絡(luò)安全能力建設(shè),一起合力促進(jìn)防范系統(tǒng)性金融風(fēng)險(xiǎn)這一目的的實(shí)現(xiàn),打造“金融安全3.0”時(shí)代的安全生態(tài)圈(金融安全3.0是以金融信息基礎(chǔ)設(shè)施為底層建設(shè),金融業(yè)務(wù)為導(dǎo)向,共同支撐金融科技的安全,其中包括網(wǎng)絡(luò)安全、云計(jì)算安全、風(fēng)險(xiǎn)控制等)。

        猜你喜歡
        滲透性服務(wù)商韌性
        數(shù)字有韌性
        不同固化劑摻量對(duì)濕陷性黃土強(qiáng)度和滲透性的影響
        航天衛(wèi)星領(lǐng)域?qū)I(yè)服務(wù)商
        視唱練耳課程與作曲技術(shù)理論的交叉滲透性探究
        論IaaS云服務(wù)商的著作權(quán)侵權(quán)責(zé)任
        房地產(chǎn)市場(chǎng)韌性猶存
        韌性,讓成長(zhǎng)更美好
        中華家教(2018年11期)2018-12-03 08:08:20
        阿奇山1號(hào)巖體現(xiàn)場(chǎng)水文地質(zhì)試驗(yàn)及滲透性評(píng)價(jià)
        紡織基小口徑人工血管材料的體外水滲透性研究
        笑中帶淚的韌性成長(zhǎng)
        特別文摘(2016年15期)2016-08-15 22:04:26
        精品一区二区三区老熟女少妇| 欧美熟妇精品一区二区三区| 国产午夜精品一区二区三区视频| 亲少妇摸少妇和少妇啪啪 | 国产主播在线 | 中文| 中文字幕精品亚洲一区二区三区| 日本男人精品一区二区| 爆乳熟妇一区二区三区霸乳| 欧美日韩电影一区| av一区二区不卡久久| 亚洲国产精品国自产拍久久蜜av| 欧洲美女黑人粗性暴交| 有码精品一二区在线| 国产三级伦理视频在线| 在线播放亚洲丝袜美腿| 免费无码又黄又爽又刺激| 国产亚洲亚洲精品777| 日韩精品夜色二区91久久久| 丰满少妇人妻久久精品| 成l人在线观看线路1| 亚洲一区视频在线| 加勒比特在线视频播放| 欧美成人家庭影院| 日韩亚洲av无码一区二区不卡| 人妻少妇一区二区三区| 日本韩国三级在线观看| 国产精品99无码一区二区| 国产精品 视频一区 二区三区| 一区二区三区午夜视频在线观看| 日本一区二区三区视频免费观看 | 亚洲精品国产av成人精品| 狠狠色噜噜狠狠狠狠7777米奇| 国产精品无码久久久久免费AV| 亚洲乱码中文字幕第一页| 日本一卡二卡3卡四卡免费观影2022| 乱子伦视频在线看| 国产高清女人对白av在在线| 午夜福利影院成人影院| 四虎影视免费观看高清视频| 甲状腺囊实性结节三级| 国产人妖伦理视频在线观看|