ISC 2020金融安全論壇：讓金融網(wǎng)絡(luò)安全真正成為國家安全的一部分

目前，我國數(shù)字經(jīng)濟呈現(xiàn)快速發(fā)展和上升勢頭，數(shù)字金融基礎(chǔ)設(shè)施作為重要的市場要素也處于加速建設(shè)的政策紅利期。但網(wǎng)絡(luò)犯罪和惡意網(wǎng)絡(luò)活動長期在金融行業(yè)試探，整個金融科技體系正面臨數(shù)據(jù)泄漏、APT威脅、內(nèi)部安全等多個維度的現(xiàn)實挑戰(zhàn)。

2016年2月4日至5日，黑客攻擊孟加拉央行，通過SWIFT向紐約聯(lián)邦儲備銀行發(fā)出35筆轉(zhuǎn)賬申請，其中4筆轉(zhuǎn)賬成功，損失計8100萬美元;2018年5月，加拿大兩家銀行遭到攻擊，9萬名客戶信息遭泄露;2019年1月，美國多家大銀行泄露了2400多萬份金融及銀行資料，涉及大量貸款和抵押貸款信息;2019年7月31日，美國Capital One遭遇數(shù)據(jù)泄露，暴露了大約1億美國人和600萬加拿大人的姓名、地址、電話號碼、電子郵件、出生日期和收入報告……反觀國內(nèi)，目前360累計監(jiān)測到針對中國境內(nèi)目標(biāo)發(fā)動攻擊的APT組織超40個，金融機構(gòu)是APT攻擊的第二大目標(biāo)。

在金融科技大背景下，如何守住新風(fēng)險壓力下的安全底線，已成為金融機構(gòu)共同實踐探索的重要命題。8月17日，ISC 2020第八屆互聯(lián)網(wǎng)安全大會重磅上線金融安全論壇，邀請到中國人民銀行金融信息中心信息安全部主任、教授級高級工程師袁慧萍，中國工商銀行業(yè)務(wù)研發(fā)中心信息安全部及安全攻防實驗室負(fù)責(zé)人、高級工程師蘇建明，360金融集團首席科學(xué)家張家興，中國光大銀行信息科技部副總經(jīng)理彭曉，中國農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風(fēng)險管理處處長何啟翱共同探討新金融生態(tài)下的網(wǎng)絡(luò)安全應(yīng)對。

規(guī)重矩迭：金融網(wǎng)絡(luò)安全的合規(guī)遵從與安全能力成熟度評估

中國人民銀行金融信息中心信息安全部主任、教授級高級工程師袁慧萍在演講《金融網(wǎng)絡(luò)安全的合規(guī)遵從與落地實踐》中從網(wǎng)絡(luò)安全形式研判、網(wǎng)絡(luò)安全法律法規(guī)標(biāo)準(zhǔn)回顧、金融網(wǎng)絡(luò)安全合規(guī)實踐三方面進行了分享。她指出，當(dāng)前網(wǎng)絡(luò)空間中，金融業(yè)主要面臨對手“組織化”、環(huán)境“云”化、目標(biāo)“數(shù)據(jù)化”、戰(zhàn)法“實戰(zhàn)化”等全新挑戰(zhàn)。我國的網(wǎng)絡(luò)安全法制化已經(jīng)進入快軌道，金融網(wǎng)絡(luò)安全在風(fēng)險管理、彌補短板、合規(guī)管理、實戰(zhàn)攻防、關(guān)聯(lián)可視、停服風(fēng)險、規(guī)劃設(shè)計等方面都有一些全新的實踐。

袁慧萍強調(diào)，新金融生態(tài)下的安全形勢，新技術(shù)不僅助推新金融的蓬勃發(fā)展，而且也帶來風(fēng)險挑戰(zhàn)，當(dāng)今的金融行業(yè)急需有擔(dān)當(dāng)、有謀略的網(wǎng)絡(luò)安全團隊形成合力，讓金融網(wǎng)絡(luò)安全真正成為國家安全的一部分。

伴隨著金融科技的影響和滲透，銀行業(yè)已經(jīng)站到了全面數(shù)字化轉(zhuǎn)型的路口。如何在梳理業(yè)務(wù)流程的基礎(chǔ)上，合理運用技術(shù)，把數(shù)字化作為效益化的有效工具?中國工商銀行業(yè)務(wù)研發(fā)中心信息安全部及安全攻防實驗室負(fù)責(zé)人、高級工程師蘇建明在《銀行信息安全能力成熟度評估方法的探索與研究》的分享中解答了這一問題。

蘇建明介紹，信息安全能力成熟度模型(BIS-CMM)是借鑒關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(NIST CSF)和能力成熟度模型(CMM)的理論思想，并結(jié)合銀行信息安全管理最佳實踐制定形成，該模型是指導(dǎo)銀行開展信息安全能力成熟度評估的方法論。蘇建明從安全能力定義、安全措施制定、成熟度等級判定標(biāo)準(zhǔn)及評估方法詳細(xì)介紹了銀行信息安全能力成熟度評估方案的制定。

百家爭鳴：金融機構(gòu)的安全建設(shè)與管理實踐面面觀

360金融集團首席科學(xué)家張家興帶來《智能時代的金融數(shù)據(jù)安全保護-360金融數(shù)據(jù)安全建設(shè)》的分享，他指出，原本在金融里的決策是基于人的理性的決策，但隨著人工智能的發(fā)展，逐漸轉(zhuǎn)變?yōu)橛脵C器學(xué)習(xí)模型做抉擇。這種決策超越了人的理性，可以稱為超理性決策，其特點是基于數(shù)據(jù)和不可解釋，效果上優(yōu)于人的理性決策。目前市場上采取了諸多中臺實踐，如雙中臺，即業(yè)務(wù)中臺與數(shù)據(jù)中臺，或AI中臺、技術(shù)中臺等。

張家興認(rèn)為，對于一個涵蓋多種業(yè)務(wù)類型、鏈接上億用戶的公司來說，理解用戶與匹配相適應(yīng)的金融產(chǎn)品需要借助數(shù)據(jù)與AI相融合的力量。如獲客階段通過智能投放平臺，觸達最有金融需求的潛在客戶;客戶經(jīng)營階段運用智能運營平臺，高效滿足客戶需求;通過智能風(fēng)控平臺，全周期理解客戶風(fēng)險動態(tài)等。

中國光大銀行信息科技部副總經(jīng)理彭曉帶來《后疫情時代的安全管理實踐》的主題演講， 面對疫情下復(fù)工復(fù)產(chǎn)的挑戰(zhàn)，光大銀行依托安全、自主的云基礎(chǔ)設(shè)施，構(gòu)建多終端、多媒體、多場景的遠(yuǎn)程辦公生態(tài)圈。后疫情時代，需要從安全保障、全員安全意識提升等方面做好各項安全防護工作，特別是遠(yuǎn)程辦公在帶來便利的同時，也存在一定的安全隱患。光大銀行信息科技部謹(jǐn)守安全生產(chǎn)不放松、防在治先的原則，打造疫情期間風(fēng)險防控新體系，全面落實安全管理要求。

彭曉呼吁，“隨著更快速更大范圍的業(yè)務(wù)線上化、辦公線上化的轉(zhuǎn)變，各類快捷支付、移動APP大面積應(yīng)用及推廣，我們面對的個人金融信息泄露的問題愈發(fā)嚴(yán)峻，信息安全管理將是長期的挑戰(zhàn)，需要更多的金融同業(yè)、安全公司，參與到金融支付安全以及個人金融信息保護工作中來!”

數(shù)據(jù)已經(jīng)成為個人和企業(yè)的“核心資產(chǎn)”。中國農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風(fēng)險管理處處長何啟翱分享了《金融數(shù)據(jù)安全保護的難點與思路》。數(shù)字化時代給金融業(yè)帶來的新的發(fā)展契機，但同樣也給網(wǎng)絡(luò)黑產(chǎn)發(fā)展留下了可乘之機，新技術(shù)、新模式的廣泛應(yīng)用使得風(fēng)險更加復(fù)雜多變，企業(yè)的數(shù)據(jù)使用和管理合規(guī)意識有待加強，客戶對自身信息保護的意識極度欠缺，同時數(shù)據(jù)資產(chǎn)天然的“不唯一”帶來最大的管理挑戰(zhàn)。何啟翱基于自身在金融大數(shù)據(jù)和信息安全領(lǐng)域的多年經(jīng)驗，結(jié)合近年監(jiān)管部門在數(shù)據(jù)安全方面的要求，以及農(nóng)行的實踐情況，介紹了金融企業(yè)數(shù)據(jù)安全保護的思路。

科技紅利的輻射使得各類金融服務(wù)在產(chǎn)品和規(guī)模方面都得到了快速擴張，金融成為AI、大數(shù)據(jù)等技術(shù)最佳的落地場景，而云計算、大數(shù)據(jù)、區(qū)塊鏈作為金融行業(yè)首當(dāng)其沖的技術(shù)體系所面臨的傳統(tǒng)安全威脅依然存在，同時新型的威脅還在不斷涌現(xiàn)。發(fā)展金融監(jiān)管科技，是新金融生態(tài)下安全形勢的必然要求，也將成為未來維護金融安全的有力支撐。除了“金融安全論壇”外，本屆ISC互聯(lián)網(wǎng)安全大會還特別打造了百余個安全峰會論壇，圍繞新基建、戰(zhàn)略、信創(chuàng)、技術(shù)、產(chǎn)業(yè)、人才等領(lǐng)域進行全方位探討與交流，永不閉幕的第八屆互聯(lián)網(wǎng)安全大會ISC 2020正在火熱進行中。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）