ISC 2020金融安全論壇：讓金融網(wǎng)絡安全真正成為國家安全的一部分

目前，我國數(shù)字經(jīng)濟呈現(xiàn)快速發(fā)展和上升勢頭，數(shù)字金融基礎設施作為重要的市場要素也處于加速建設的政策紅利期。但網(wǎng)絡犯罪和惡意網(wǎng)絡活動長期在金融行業(yè)試探，整個金融科技體系正面臨數(shù)據(jù)泄漏、APT威脅、內(nèi)部安全等多個維度的現(xiàn)實挑戰(zhàn)。

2016年2月4日至5日，黑客攻擊孟加拉央行，通過SWIFT向紐約聯(lián)邦儲備銀行發(fā)出35筆轉(zhuǎn)賬申請，其中4筆轉(zhuǎn)賬成功，損失計8100萬美元;2018年5月，加拿大兩家銀行遭到攻擊，9萬名客戶信息遭泄露;2019年1月，美國多家大銀行泄露了2400多萬份金融及銀行資料，涉及大量貸款和抵押貸款信息;2019年7月31日，美國Capital One遭遇數(shù)據(jù)泄露，暴露了大約1億美國人和600萬加拿大人的姓名、地址、電話號碼、電子郵件、出生日期和收入報告……反觀國內(nèi)，目前360累計監(jiān)測到針對中國境內(nèi)目標發(fā)動攻擊的APT組織超40個，金融機構是APT攻擊的第二大目標。

在金融科技大背景下，如何守住新風險壓力下的安全底線，已成為金融機構共同實踐探索的重要命題。8月17日，ISC 2020第八屆互聯(lián)網(wǎng)安全大會重磅上線金融安全論壇，邀請到中國人民銀行金融信息中心信息安全部主任、教授級高級工程師袁慧萍，中國工商銀行業(yè)務研發(fā)中心信息安全部及安全攻防實驗室負責人、高級工程師蘇建明，360金融集團首席科學家張家興，中國光大銀行信息科技部副總經(jīng)理彭曉，中國農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風險管理處處長何啟翱共同探討新金融生態(tài)下的網(wǎng)絡安全應對。

規(guī)重矩迭：金融網(wǎng)絡安全的合規(guī)遵從與安全能力成熟度評估

中國人民銀行金融信息中心信息安全部主任、教授級高級工程師袁慧萍在演講《金融網(wǎng)絡安全的合規(guī)遵從與落地實踐》中從網(wǎng)絡安全形式研判、網(wǎng)絡安全法律法規(guī)標準回顧、金融網(wǎng)絡安全合規(guī)實踐三方面進行了分享。她指出，當前網(wǎng)絡空間中，金融業(yè)主要面臨對手“組織化”、環(huán)境“云”化、目標“數(shù)據(jù)化”、戰(zhàn)法“實戰(zhàn)化”等全新挑戰(zhàn)。我國的網(wǎng)絡安全法制化已經(jīng)進入快軌道，金融網(wǎng)絡安全在風險管理、彌補短板、合規(guī)管理、實戰(zhàn)攻防、關聯(lián)可視、停服風險、規(guī)劃設計等方面都有一些全新的實踐。

袁慧萍強調(diào)，新金融生態(tài)下的安全形勢，新技術不僅助推新金融的蓬勃發(fā)展，而且也帶來風險挑戰(zhàn)，當今的金融行業(yè)急需有擔當、有謀略的網(wǎng)絡安全團隊形成合力，讓金融網(wǎng)絡安全真正成為國家安全的一部分。

伴隨著金融科技的影響和滲透，銀行業(yè)已經(jīng)站到了全面數(shù)字化轉(zhuǎn)型的路口。如何在梳理業(yè)務流程的基礎上，合理運用技術，把數(shù)字化作為效益化的有效工具?中國工商銀行業(yè)務研發(fā)中心信息安全部及安全攻防實驗室負責人、高級工程師蘇建明在《銀行信息安全能力成熟度評估方法的探索與研究》的分享中解答了這一問題。

蘇建明介紹，信息安全能力成熟度模型(BIS-CMM)是借鑒關鍵基礎設施網(wǎng)絡安全框架(NIST CSF)和能力成熟度模型(CMM)的理論思想，并結合銀行信息安全管理最佳實踐制定形成，該模型是指導銀行開展信息安全能力成熟度評估的方法論。蘇建明從安全能力定義、安全措施制定、成熟度等級判定標準及評估方法詳細介紹了銀行信息安全能力成熟度評估方案的制定。

百家爭鳴：金融機構的安全建設與管理實踐面面觀

360金融集團首席科學家張家興帶來《智能時代的金融數(shù)據(jù)安全保護-360金融數(shù)據(jù)安全建設》的分享，他指出，原本在金融里的決策是基于人的理性的決策，但隨著人工智能的發(fā)展，逐漸轉(zhuǎn)變?yōu)橛脵C器學習模型做抉擇。這種決策超越了人的理性，可以稱為超理性決策，其特點是基于數(shù)據(jù)和不可解釋，效果上優(yōu)于人的理性決策。目前市場上采取了諸多中臺實踐，如雙中臺，即業(yè)務中臺與數(shù)據(jù)中臺，或AI中臺、技術中臺等。

張家興認為，對于一個涵蓋多種業(yè)務類型、鏈接上億用戶的公司來說，理解用戶與匹配相適應的金融產(chǎn)品需要借助數(shù)據(jù)與AI相融合的力量。如獲客階段通過智能投放平臺，觸達最有金融需求的潛在客戶;客戶經(jīng)營階段運用智能運營平臺，高效滿足客戶需求;通過智能風控平臺，全周期理解客戶風險動態(tài)等。

中國光大銀行信息科技部副總經(jīng)理彭曉帶來《后疫情時代的安全管理實踐》的主題演講， 面對疫情下復工復產(chǎn)的挑戰(zhàn)，光大銀行依托安全、自主的云基礎設施，構建多終端、多媒體、多場景的遠程辦公生態(tài)圈。后疫情時代，需要從安全保障、全員安全意識提升等方面做好各項安全防護工作，特別是遠程辦公在帶來便利的同時，也存在一定的安全隱患。光大銀行信息科技部謹守安全生產(chǎn)不放松、防在治先的原則，打造疫情期間風險防控新體系，全面落實安全管理要求。

彭曉呼吁，“隨著更快速更大范圍的業(yè)務線上化、辦公線上化的轉(zhuǎn)變，各類快捷支付、移動APP大面積應用及推廣，我們面對的個人金融信息泄露的問題愈發(fā)嚴峻，信息安全管理將是長期的挑戰(zhàn)，需要更多的金融同業(yè)、安全公司，參與到金融支付安全以及個人金融信息保護工作中來!”

數(shù)據(jù)已經(jīng)成為個人和企業(yè)的“核心資產(chǎn)”。中國農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風險管理處處長何啟翱分享了《金融數(shù)據(jù)安全保護的難點與思路》。數(shù)字化時代給金融業(yè)帶來的新的發(fā)展契機，但同樣也給網(wǎng)絡黑產(chǎn)發(fā)展留下了可乘之機，新技術、新模式的廣泛應用使得風險更加復雜多變，企業(yè)的數(shù)據(jù)使用和管理合規(guī)意識有待加強，客戶對自身信息保護的意識極度欠缺，同時數(shù)據(jù)資產(chǎn)天然的“不唯一”帶來最大的管理挑戰(zhàn)。何啟翱基于自身在金融大數(shù)據(jù)和信息安全領域的多年經(jīng)驗，結合近年監(jiān)管部門在數(shù)據(jù)安全方面的要求，以及農(nóng)行的實踐情況，介紹了金融企業(yè)數(shù)據(jù)安全保護的思路。

科技紅利的輻射使得各類金融服務在產(chǎn)品和規(guī)模方面都得到了快速擴張，金融成為AI、大數(shù)據(jù)等技術最佳的落地場景，而云計算、大數(shù)據(jù)、區(qū)塊鏈作為金融行業(yè)首當其沖的技術體系所面臨的傳統(tǒng)安全威脅依然存在，同時新型的威脅還在不斷涌現(xiàn)。發(fā)展金融監(jiān)管科技，是新金融生態(tài)下安全形勢的必然要求，也將成為未來維護金融安全的有力支撐。除了“金融安全論壇”外，本屆ISC互聯(lián)網(wǎng)安全大會還特別打造了百余個安全峰會論壇，圍繞新基建、戰(zhàn)略、信創(chuàng)、技術、產(chǎn)業(yè)、人才等領域進行全方位探討與交流，永不閉幕的第八屆互聯(lián)網(wǎng)安全大會ISC 2020正在火熱進行中。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）