2022金融街論壇年會(huì)定于11月21日至23日在北京金融街舉辦，本屆論壇年會(huì)主題為“踔厲奮發(fā)，共向未來(lái)——變局下的經(jīng)濟(jì)發(fā)展與金融合作”，其中由清華大學(xué)五道口金融學(xué)院承辦的主題論壇“全球地緣經(jīng)濟(jì)變動(dòng)下的金融發(fā)展與金融安全”于11月21日晚盛大開(kāi)幕，眾多專業(yè)人士受邀出席，共同就論壇主題展開(kāi)深入的討論和交流。清華大學(xué)金融科技研究院金融安全研究中心主任周道許作為本次論壇的重要演講嘉賓，在論壇上發(fā)布了《金融保險(xiǎn)網(wǎng)絡(luò)安全合規(guī)技術(shù)白皮書(shū)》。

《金融保險(xiǎn)網(wǎng)絡(luò)安全合規(guī)技術(shù)白皮書(shū)（2022）》

總編輯：周道許

主編：田新遠(yuǎn)

執(zhí)行主編：徐制宇

編輯：劉志勇 李 玲 傅裕興

現(xiàn)今網(wǎng)絡(luò)攻擊方式的不斷演進(jìn)，網(wǎng)絡(luò)安全形勢(shì)不容樂(lè)觀。具體表現(xiàn)為：一方面，網(wǎng)絡(luò)攻擊事件頻發(fā)，對(duì)社會(huì)穩(wěn)定、生產(chǎn)運(yùn)行、人民生活造成深遠(yuǎn)影響；另一方面，新技術(shù)、新場(chǎng)景的網(wǎng)絡(luò)威脅日益增多，利用安全漏洞實(shí)施鏈?zhǔn)焦舾宇l繁。近年來(lái)，政企數(shù)字化轉(zhuǎn)型，推動(dòng)了數(shù)字安全概念升級(jí)、落地。數(shù)字時(shí)代的安全，不僅要防范網(wǎng)絡(luò)中斷和系統(tǒng)癱瘓等風(fēng)險(xiǎn)、保障“線上”網(wǎng)絡(luò)系統(tǒng)安全，更要進(jìn)一步保障“線下”經(jīng)濟(jì)社會(huì)運(yùn)行秩序穩(wěn)定。

在此背景下，由清華大學(xué)金融科技研究院金融安全研究中心作為學(xué)術(shù)指導(dǎo)單位、清華大學(xué)金融科技研究院金融安全研究中心與華清信安聯(lián)合編寫(xiě)的《金融保險(xiǎn)網(wǎng)絡(luò)安全合規(guī)技術(shù)白皮書(shū)（2022）》（以下簡(jiǎn)稱《白皮書(shū)》）應(yīng)運(yùn)而生，《白皮書(shū)》從《網(wǎng)絡(luò)安全法》中要求的安全合規(guī)角度探討金融行業(yè)的安全發(fā)展趨勢(shì)，就金融行業(yè)網(wǎng)絡(luò)安全合規(guī)下如何開(kāi)展安全工作進(jìn)行了深入的討論和研究。

清華大學(xué)金融科技研究院金融安全研究中心主任周道許

金融行業(yè)網(wǎng)絡(luò)安全亟待增強(qiáng)

進(jìn)入數(shù)字化時(shí)代，網(wǎng)絡(luò)高級(jí)可持續(xù)威脅攻擊更為頻繁，網(wǎng)絡(luò)攻擊目標(biāo)、手法、產(chǎn)生的破壞力都逐步升級(jí)。在此背景下，網(wǎng)絡(luò)安全逐漸成為常態(tài)性因素，向著范圍更大、防護(hù)面更廣的數(shù)字安全體系演進(jìn)。金融行業(yè)一直是網(wǎng)絡(luò)攻擊者的重點(diǎn)目標(biāo)，隨著企業(yè)的數(shù)字化轉(zhuǎn)型和業(yè)務(wù)場(chǎng)景云化，都給金融企業(yè)網(wǎng)絡(luò)安全帶來(lái)了全新的挑戰(zhàn)。除此之外，網(wǎng)絡(luò)攻擊利益化，技術(shù)智能化，手段自動(dòng)化，在利益的驅(qū)動(dòng)下，使得網(wǎng)絡(luò)攻擊目標(biāo)更精準(zhǔn)，攻擊者更趨于針對(duì)“高價(jià)值”的金融行業(yè)。

在此背景下，金融行業(yè)的安全核心能力亟待增強(qiáng)。不僅要保障“線上”網(wǎng)絡(luò)系統(tǒng)安全，也要保障“線下”經(jīng)濟(jì)社會(huì)運(yùn)行秩序穩(wěn)定，這就意味著金融行業(yè)在更頻繁的高級(jí)可持續(xù)攻擊下需要將常態(tài)化的安全管理作為安全工作核心。同時(shí)，智能化、主動(dòng)防御、安全運(yùn)營(yíng)也是當(dāng)下網(wǎng)絡(luò)安全解決方案的核心要素，金融行業(yè)需要選擇合適的創(chuàng)新技術(shù)形成有效的安全防御體系。

法律法規(guī)政策驅(qū)動(dòng)是推動(dòng)金融行業(yè)網(wǎng)絡(luò)安全前進(jìn)的重要因素。《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》指出了企業(yè)網(wǎng)絡(luò)安全建設(shè)合規(guī)性要求如等級(jí)保護(hù)2.0要求等，金融行業(yè)政策要求和銀保監(jiān)會(huì)等主管部門(mén)日常監(jiān)管要求逐漸嚴(yán)格，也彰顯著金融行業(yè)網(wǎng)絡(luò)安全建設(shè)的重要性。本次發(fā)布的《白皮書(shū)》則是在網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度框架下討論金融保險(xiǎn)企業(yè)面臨的安全合規(guī)問(wèn)題和實(shí)施實(shí)踐，對(duì)于金融行業(yè)安全合規(guī)實(shí)施方法也有著重要的參考意義。

金融行業(yè)等級(jí)保護(hù)合規(guī)的必要性

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)）實(shí)施分等級(jí)保護(hù)、分等級(jí)監(jiān)管，對(duì)網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)網(wǎng)絡(luò)中發(fā)生的安全事件分等級(jí)響應(yīng)、處置。周道許主任在論壇分享時(shí)表示：“網(wǎng)絡(luò)安全等級(jí)保護(hù)是黨中央、國(guó)務(wù)院決定在網(wǎng)絡(luò)安全領(lǐng)域?qū)嵤┑幕緡?guó)策，也是國(guó)家網(wǎng)絡(luò)安全工作的基本制度，更是實(shí)現(xiàn)國(guó)家對(duì)重要網(wǎng)絡(luò)、信息系統(tǒng)、數(shù)據(jù)資源實(shí)施重點(diǎn)保護(hù)的重大措施，是維護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要手段。”金融行業(yè)由于其具有高資產(chǎn)和大量個(gè)人信息和敏感數(shù)據(jù)的特點(diǎn)，也是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例實(shí)施的重點(diǎn)行業(yè)之一。

金融企業(yè)通過(guò)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，首先就是可以滿足國(guó)家、行業(yè)、主管單位法律政策的要求，在安全合規(guī)的基礎(chǔ)上，企業(yè)可以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提升網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力，有效保障了金融企業(yè)重要系統(tǒng)的網(wǎng)絡(luò)安全，同時(shí)，也在等級(jí)保護(hù)工作開(kāi)展的過(guò)程中提升內(nèi)部人員安全意識(shí)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的重點(diǎn)

等級(jí)保護(hù)工作包含定級(jí)、備案、建設(shè)整改、測(cè)評(píng)與檢查。除了《網(wǎng)絡(luò)安全法》的要求，銀保監(jiān)會(huì)針對(duì)保險(xiǎn)行業(yè)也發(fā)布了一系列網(wǎng)絡(luò)安全相關(guān)監(jiān)管文件，包括《關(guān)于開(kāi)展保險(xiǎn)業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》、《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引》、《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)指南》等文件，共同構(gòu)成了我國(guó)金融保險(xiǎn)行業(yè)完善的網(wǎng)絡(luò)安全監(jiān)管體系。企業(yè)實(shí)施等級(jí)保護(hù)工作中，建設(shè)整改核心內(nèi)容，需要專業(yè)的安全技術(shù)人員對(duì)等企業(yè)系統(tǒng)進(jìn)行評(píng)估判斷網(wǎng)絡(luò)安全現(xiàn)狀，分析與國(guó)家等級(jí)保護(hù)要求之間的差距，確定安全需求，根據(jù)網(wǎng)絡(luò)系統(tǒng)當(dāng)前情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃等，以指導(dǎo)后續(xù)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)工程實(shí)施。

對(duì)于沒(méi)有專業(yè)安全技術(shù)人員的企業(yè)，需要專業(yè)的網(wǎng)絡(luò)安全廠商協(xié)助，比如通過(guò)提供一站式等級(jí)保護(hù)服務(wù)可以幫助企業(yè)快速通過(guò)等級(jí)保護(hù)。通過(guò)安全建設(shè)整改，不僅讓系統(tǒng)安全能力得到提升，還可以梳理安全管理流程和提升人員安全意識(shí)。通過(guò)落實(shí)網(wǎng)絡(luò)安全與信息化建設(shè)“三同步”要求，即“同步設(shè)計(jì)、同步建設(shè)、同步實(shí)施”網(wǎng)絡(luò)安全等級(jí)保護(hù)措施，落實(shí)安全責(zé)任，落實(shí)安全管理措施和技術(shù)保護(hù)措施。

金融行業(yè)網(wǎng)絡(luò)安全不止合規(guī)

網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)于金融企業(yè)來(lái)說(shuō)是安全建設(shè)的第一步，也是非常重要的一步，在安全合規(guī)的基礎(chǔ)上，金融企業(yè)還需要進(jìn)行定期的漏洞掃描、風(fēng)險(xiǎn)評(píng)估等相關(guān)安全服務(wù)來(lái)保障企業(yè)的網(wǎng)絡(luò)安全。金融企業(yè)遭受網(wǎng)絡(luò)攻擊造成巨大損失的案例在國(guó)內(nèi)外時(shí)有發(fā)生，在業(yè)務(wù)云化，企業(yè)數(shù)字化前進(jìn)的關(guān)鍵階段，網(wǎng)絡(luò)安全是重要基石，金融企業(yè)最好在第三方安全機(jī)構(gòu)的協(xié)助下，每半年開(kāi)展一次安全加固工作。

網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻，金融企業(yè)除了需要完成安全合規(guī)工作，還需要開(kāi)展相關(guān)的安全意識(shí)培訓(xùn)課程，這樣無(wú)論從信息安全技術(shù)類人員還是到普通內(nèi)部員工，均可以獲得專業(yè)的安全服務(wù)以及安全意識(shí)培訓(xùn)服務(wù)，從而使企業(yè)全員的安全意識(shí)得到提升，讓企業(yè)的網(wǎng)絡(luò)安全得到更有效的保障。

關(guān)注微信公眾號(hào)（華清信安）回復(fù)“白皮書(shū)”獲取白皮書(shū)報(bào)告全文。