文│中国人民银行清算总中心 程宇贤 牛冬梅 李兵 王善甲 宋泽凡

党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,提出了一系列新思想新观点新论断,形成了具有中国特色的网络强国战略思想,为金融网络安全工作提供了根本遵循。近年,在大国博弈、俄乌冲突、世纪疫情等国内外形势发生超预期变化的社会背景下,金融科技迅猛发展、数字化转型快速推进,金融网络安全加速与传统安全紧密交织,面临形势和挑战更加严峻。维护金融网络安全既是维护国家网络安全工作的需要,又是维护国家金融安全的需要。金融网络安全对于国家安全牵一发而动全身,已成为维护国家安全不可割舍的重要组成部分,新形势下如何做好金融网络安全保障工作值得深入思考和探究。

一、金融网络安全保障工作基础

(一)高起点强化金融网络安全顶层设计

2014 年,中央宣告成立网络安全和信息化领导小组,由习近平总书记亲自担任组长,标志着我国网络安全工作迈入了全新的时代。而后,国家互联网信息办公室于 2016 年发布《国家网络空间安全战略》,阐明了中国关于网络空间发展和安全的重大立场,用于全方位指导中国网络安全工作。同年,我国发布首部网络安全综合性法律暨《中华人民共和国网络安全法》,引领网络安全法律体系建设启航。近年,国家密集出台了《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规及《关键信息基础设施安全保护要求》、等级保护 2.0 等系列配套标准,国家网络安全顶层设计日趋丰富完善。金融行业内,人民银行同步批准发布《金融行业网络安全等级保护实施指引》(JR/T 0071-2020)、《金融行业网络安全等级保护测评指南》(JR/T 0072-2020)等配套金融行业网络安全标准,为金融网络安全全面深入推进奠定了坚实的工作基础。

(二)高标准擘画金融网络安全发展新蓝图

2021 年,国家发布《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》(以下简称“《国家十四五规划》”),强调了“统筹安全和发展”的指导思想。全文累计出现“安全”180 次、“网络安全”14 次、“数据安全”5 次、“金融安全”和“金融基础设施安全”各 1 次,设置了专门的章节阐述金融安全战略和网络安全规划,特别提及了“建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力”“加强重要领域数据资源、重要网络和信息系统安全保障”和“推进金融业信息化核心技术安全可控,维护金融基础设施安全”等重要规划内容,推动网络安全从“立柱架梁”全面迈入“积厚成势”新阶段,为金融业网络安全工作指明了发展方向。基于《国家十四五规划》,人民银行制定了《金融科技发展规划(2022-2025年)》和网络安全相关规划,描绘了金融网络安全宏伟蓝图,提出了金融网络安全工作目标和任务事项,为相关单位落实落细金融网络安全工作提供了具体的行动指南。

(三)高质量建设金融网络安全防御体系

“十三五”期间,在国家网信办、公安部、工信部和一行三会的有力领导下,金融行业深入落实网络安全顶层设计,各司其职、联合促进我国金融网络安全实现高质量发展。金融网络安全跟随国家网络安全发展步伐,从等级保护 1.0 时代大步迈向 2.0 时代,并从以等级保护为核心向以关键信息基础设施安全保护为重点进行转变。金融行业深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度,按照网络安全“三化六防”新思想,通过多轮次、全方位、深层次的常态化实战演习促进业内各单位加大网络安全资金投入、加强网络安全人才队伍建设、加快纵深网络安全综合防御体系建设、加深同行同业网络安全协同合作,切实维护金融关键信息基础设施、重要网络和数据安全,快速提升了金融业关键信息基础设施和重要网络信息系统安全保障水平。

二、面临挑战和存在问题

(一)金融网络安全发展不平衡不充分

金融行业信息化程度高,业务系统数据集中度高、资金流转数目巨大,金融网络安全事件甚至可能引发系统性金融风险,可谓关乎国计民生。因此,金融网络安全具有更高更严的监管合规要求,运营单位重视程度也相对较高,金融网络安全发展进而较其他行业整体处于领先水平。然而,近年信息技术日新月异,广泛深入应用于金融业数字化转型发展,金融网络安全建设步伐相对滞后,导致各领域、各单位网络安全发展仍存在不平衡、不充分的问题。一是不同领域存在网络安全水平差异性。银行、证券、保险等具有不同的业务特点,面临不同主管部门的合规要求,网络安全防护各有长短、各有侧重。二是同一领域不同单位存在网络安全水平差异性。由于单位规模、重视程度、专业能力以及财务实力不一,网络安全水平呈多级阶梯分布。三是各单位内部或存在重生产轻办公、重外网轻内网、网络安全建设跟不上新技术新业态发展水平等现象,导致网络安全发展不平衡不充分。各单位需进一步提高认识,把金融网络安全提升至国家安全的高度推进相关工作落实,加强网络安全资源投入,补短板、强弱项,统筹安全与发展,避免短板效应。

(二)金融网络安全人才紧缺

网络空间的攻防对抗本质上是专业人才的能力较量。近年来,新一代信息技术蓬勃发展加速推动数字化转型发展,网络安全保障需求呈几何式增长,对网络安全人才数量和人员能力都提出了新要求。目前,我国网络安全人才发展仍存在一些突出问题。一是金融网络安全人才数量不足。虽然近年各大高等院校正在加快输出专业人才,企业也逐渐重视网络安全人才培养,然而我国的网络安全人才缺口数量依然巨大,金融网络安全专业人才供不应求、青黄不接的情况将持续很长一段时间。二是金融网络安全人才技能有待提升。新一代信息技术驱动我国数字经济发展的同时,对金融网络安全同步提出了更高的技术和管理要求,需要大量既熟悉金融科技、又精通网络安全、还掌握金融业务本领、且具有丰富实战经验的复合型网络安全人才。而实际工作中,各单位网络安全领军人才和实战型攻防人才均极其稀缺,人才跨领域能力还普遍不足,人才成长和培养速度显著落后于社会变革和技术发展的步伐,亟需系统性提升金融网络安全人才的工作本领。

(三)金融关键信息基础设施面临“卡脖子”

国家坚持将安全自主可控战略向纵深推进,鼓励 ICT 供应商聚焦关键核心技术,联合开展协同创新,着力培育信创产业生态,不断提高各行业单位信息化设备、产品国产化比例,逐步加强信息技术应用创新。但是,金融行业由于仍然存在较大比例的服务器、存储设备、操作系统、数据库、网络设备等核心存量设备,对于原厂产品设备和服务的依赖性尚未显著下降,若厂商供货或技术支持出现问题,依然存在业务连续性受影响的风险隐患。相关单位亟待加强信息技术创新应用和自主可控人才队伍建设和培养,对金融关键平台、关键组件以及关键信息基础设施形成自主研发、运行维护能力,降低外部依赖,避免核心技术被“卡脖子”。

三、金融网络安全融合发展思路

金融网络安全融合发展思路旨在从更广范围、更高层次、更深程度系统性推进网络安全与银行、保险、证券等金融业务工作相互渗透、相互影响、相互促进,逐步建立运营单位网络安全自生长能力,最终实现金融网络安全从量变到质变的飞跃。

(一)坚持党管人才,聚力网络安全专控队伍建设

网络空间的竞争,归根到底是人才的竞争。习近平总书记强调,要聚天下英才而用之,为网信事业发展提供有力人才支撑。金融网络安全领域人才建设必须坚持党管人才,坚持需求引领、问题导向,全方位培养、引进、用好网络安全人才,锻造一支自主可控、忠诚干净担当的高素质金融网络安全人才队伍。

各单位一要集聚网络安全人才力量。充分调动网络安全社会力量,强化、深化与高校院所、政府职能部门、专业厂商和机构、行业协会等网络安全产业链供应链相关单位的合作交流,加强威胁情报共享,强化协同防御,联合开展金融网络安全课题研究、项目合作和技术攻关,探索利用各方力量构建产学研深度融合的人才培养新模式。二要加强单位内部网络安全人才统一规划、统一培养和统一调度。制定网络安全人才发展规划,注重人才梯队培养,坚持理论与实际相结合,分层分类提供体系化的专业培训,建设虚实结合的网络安全培训平台和靶场环境,充分模拟各种金融业务场景和极端场景,全方位锻炼相关专业领域人才队伍,不断提升人才队伍专业化水平。三要建立健全金融网络安全人才培养机制。建立适宜的网络安全人才考核评价和激励机制,畅通网络安全人才职业发展通道,建立与市场化水平接轨的薪酬体系,打破唯帽子、唯文凭、唯论文的传统观念,强化事业感召力度、凝聚惜才爱才温度、拓宽招贤纳良广度,不拘一格引进人才、留住人才、培养人才,增强对相关人才的吸引力、感召力和留存力。

(二)坚持规划引领,深刻把握金融网络安全发展方向

各单位要坚持以习近平新时代中国特色社会主义思想特别是习近平网络强国战略思想为指导,以本行业领域网络安全相关规划为引领,结合实际工作不断探索金融网络安全保障工作新思路。一是绘宏伟蓝图。积极制定适合本单位金融业务和信息化发展方向的网络安全规划,把握前瞻性、先进性和可行性,强化网络安全顶层设计,为本单位网络安全工作提供全面、系统和深入的方向性指导。二是抓主要矛盾。网络安全规划要抓住“国家关键信息基础设施网络安全保障”这个牛鼻子,坚持有的放矢、分类施策,聚焦网络安全面临的新形势、新任务和新要求进行系统谋划。三是重落地执行。网络安全规划生命力在于执行,应加强规划任务分解,层层压实责任,多措并举推进规划落地执行并定期跟踪督办。期间,应因势而动、顺势而为,结合不断变化的安全形势和工作实际,定期评估规划执行情况,按需调整相关任务,确保规划有效可行。

(三)坚持融合发展,全面提升金融网络安全保障能力

1. 思想融合

网络安全是国家安全的重要组成部分,是非传统安全的典型代表。各单位要洞悉当前国际国内形势所面临的深刻变化,体察当今时代网络安全要素与传统安全要素相互交织、相互融合、相互依赖、相互影响的客观现实。坚持以国家总体安全观为指导思想,统筹传统安全与非传统安全,站在网络空间安全的高度和广度,基于传统信息安全将网络安全工作视角延展至员工网络行为管理、网络舆论治理、网络阵地和网络文化建设等网络活动安全,吸收借鉴传统安全领域的经典方法理论,做知己知彼、耳聪目明的金融网络安全守护者。

2. 标规融合

各单位网络安全建设需满足业内不同领域的网络安全政策法规、标准制度要求,应打破不同标准体系各自林立、互为孤岛的工作模式,探索建立统一的、符合多标多规的网络安全管理体系和标准体系,有机融合国家网络安全法律体系、国家网络安全关基保护和等级保护制度、金融行业网络安全制度标准要求以及 ISO 27001/ISO20000/ISO 9000 等国际标准要求,依法合规、对表对标开展网络安全各项工作,全面夯实金融网络安全管理基础。

3. 技术融合

网络安全的核心是技术安全,前提是自主可控。各单位一要深入落实网络安全“三同步”工作要求,推进网络安全措施与网络信息系统同步规划、同步建设和同步使用,建设融合了纵深防御网络安全措施的金融网络和信息系统。二要顺应信息技术和产品国产化替代趋势,加速推进国产化改造和信息技术应用创新,建设融合了国产、国芯等安全属性的金融信息基础设施。三要加强基础协议和算法安全。深入推广应用安全自主可控的国密算法和通信协议,夯实金融网络安全基础,从源头降低业务连续性风险隐患。四要紧跟网络安全发展步伐,全面推动金融网络安全架构从外挂式安全向原生安全转变,从捆绑式安全向安全平行切面体系演进,在数字化业务复杂性爆炸背景下,最终形成与金融业务既相互融合又互相解耦的网络安全能力。

4. 数据融合

数字经济时代,金融数据作为重要的生产要素通过大数据、云计算、互联网、人工智能等新一代信息技术积沙成塔、涓滴成海,正在成为金融行业、单位决策的重要依据,与金融业务发展深度融合,是新业态的核心竞争力,数据安全因此成为金融网络安全防护的重中之重。各单位需积极开展数据安全治理,以数据生命周期为主线,以数据应用典型场景为切入点,从组织、制度流程和工具等维度建立健全的数据安全体系,全面梳理安全、数据和金融业务流程之间的复杂关系,构建清晰的数据流转视图,将安全能力深入融合至金融业务流程和信息化建设过程中,促进数据安全、有序、高效流动,为金融数据资源价值的提升提供自生长的安全保障能力。

5. 能力融合

各单位应坚持理论与实践相结合、技术与管理相结合、人员与工具相结合,常态化开展网络攻防演习、网络安全竞赛、等级保护定级测评、网络安全宣传等网络安全专项工作,全面聚合金融网络安全保障能力。一要牢固树立网络安全意识。营造“网络安全为人民、网络安全靠人民”的网络安全意识氛围,打造人人有责、人人参与的网络安全人力防火墙。二要充分发挥网络安全设备作用。在检测评估和攻防实战中横向打通关键安全设备在监测预警、入侵防范、溯源反制等方面的安全防护能力,实现安全大数据的融合碰撞,打造金融网络安全的铜墙铁壁。三是人员专业技能形成合力。通过各种专项任务持续加强从业人员的协同合作与能力培养,广泛凝聚安全管理、安全开发、安全运行、网络攻防和安全研究等领域的网络安全工作共识,实现网络安全管理要求和技术措施的有机融合,形成金融网络安全保障合力,为金融业务发展保驾护航。

“网络安全是整体的而不是割裂的;网络安全是共同的而不是孤立的”,正如习近平总书记所指出的,网络安全保障工作需要系统性融合推进。金融网络安全牵一发而动全身,各单位应树立科学的网络安全观,坚持使用辩证思维和融合发展思路切实筑牢金融网络安全屏障,防范化解金融网络安全重大风险,提升应对极端情况的能力,为国家经济社会发展营造安全稳定的金融数字化环境。

(本文刊登于《中国信息安全》杂志2022年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。