构建金融业安全策略

引言：信息化时代，互联网技术给金融业带来新的发展，但伴随而来的网络安全威胁也成为行业的突出问题。网络安全法的出台将为金融业解决网络安全问题带来新的契机。

随着《中华人民共和国网络安全法》（以下简称《网络安全法》）的正式实施，《网络安全法》与金融业直接相关的条文多达三十余条。《网络安全法》的出台将为金融业解决网络安全问题带来新的契机。

金融业的网络安全挑战及对策

1.跨境数据流动

金融业应及时对跨境传输的数据内容和方式方法进行调整，对外发的数据内容、传输方式等实施安全评估。

一是结合企业自身特点，对跨境数据流动进行分级分类管理。涉及国家安全、经济安全的数据严格限定在境内的数据中心存储和处理；对其他重要数据、个人信息等实施跨境数据流动的条件限制，以落实数据控制主体的安全保护责任。

二是建立跨境数据流动安全风险评估机制。对境内运营中收集和产生的信息数据确需跨境提供的，要按照国家相关部门制定的办法，进行数据跨境转移事前、事中、事后全生命周期管理的风险评估，保护数据安全。

三是对金融境外机构的数据服务供应商进行规范约束。若金融业分支机构接受境外的运营商和服务商提供数据服务，服务商应符合我国安全认证或签订标准安全协议，规范服务商人员、数据传输方式、服务范围、风险赔偿等要求。

2.客户信息保护

金融业作为价值密集领域，客户信息泄漏事件时有发生，即使是不经意的纰漏或将导致对客户大额的经济赔偿甚至停业关闭。

一是在科技系统运营方面，系统设计开发时即考虑账号权限分配和访问控制设定功能，避免内部人员因职权便利，违规查询或批量下载客户个人信息、交易记录等；系统运行期间，通过采取如前台业务流程评估、后台账号和权限管理、数据库审计等，实施有效的信息系统的全方位数据访问控制，降低个人信息泄露、毁损、丢失风险；同时，金融机构应强化对客户风险的预警，利用大数据分析、人工智能等手段，发现异常行为，畅通沟通渠道、及时提示预警客户风险，有效联动做好风险处置。

二是在健全管控机制方面，应常态化开展技术渗透测试评估，避免应用系统在功能实现上存在拖库、平行越权等不足。健全系统版本管理及漏洞修复机制，特别是针对0day漏洞等及时防范与补救修复愈加重要；企业应动态跟踪解读国内外政策对客户信息保护的要求，与时俱进修订数据使用、获取、存储等规范，对内部人员行为进行约束、从制度层面保障系统安全功能的优化完善等。

三是在客户告知提示方面，金融机构对于客户信息收集、使用环节应以明确易懂的方式如实公示其收集目的、使用范围、安全保护措施等信息，接受公共监督；在发生或可能发生信息泄露的情况时，应当立即采取补救措施，并及时告知客户；多渠道加强宣传和提升客户的安全意识，特别是在银行卡搭载互联网技术，消费业务与卡分离，更应充分提示提醒客户，以预防不必要的金融纠纷。

3.日志留存与电子取证

在日志留存方面，目前很多企业尚存在一些问题，如日志无分类分级保存、未开启重要级别的日志、人工审计效率低下、未对发现问题跟踪解决等。

应建立日志的常态化分析机制，有效识别风险。实际上，即便部署足够多的设备、存储海量日志信息，仍需进行持续监控，才能有效发挥硬件设施的价值，及时发现存在的安全事件及隐患。对于海量日志数据的监控分析，人工监控检查时常存在难以兼顾、效率低下的瓶颈，建议企业建设自动化日志审计系统，借助审计工具将分析策略相关联，充分挖掘出网络攻击、异常认证等以往人工审查难以发现的威胁，有效提升风险发现和预警的自动化能力。

建立联动响应机制，快速发现处理威胁。金融业可根据日志类别、严重程度等的不同，设置合理的告警策略，分类将告警信息自动发送到相关人员，形成闭环处理机制。建议金融企业考虑引入大数据技术，构建涵盖综合分析与预警、联动响应的企业SOC（安全运行中心），以异常事件监测为基础，整合历史分析数据和业界威胁情报，实现安全态势的全维度智能感知、可视化展现及前瞻性预测，有效遏制网络犯罪的发生发展。

4.多条线监管

金融业如何在有限的投入下满足监管要求、保护好自身的合法利益,建议企业可从以下两方面着手：

一是密切联络监管执行机构。未来金融业监管将会涉及众多部门,应密切关注各监管部门的监管动态，对于网络安全事件汇报、产品准入等事项，按照法律要求及时上报；对于外部要求的检查评估、执法检查等积极配合；建立落实与监管部门的常态化互动联络机制。

二是积极参与法规标准的制定。更多与网络安全法配套的法律法规将接连出台,金融要持续关注不断跟进，积极参与行业标准的制定。法律法规出台后，则需进一步加强对相关法律法规的学习研究，结合实际修订企业内部规章制度、适时完善企业系统架构功能。

结语

我国目前正处于信息化快速发展的阶段，国内外网络安全环境日新月异且错综复杂。随着网络空间安全立法步伐的加快，网络安全法及后续配套法律法规的陆续出台，对企业行为的约束从监管规范上升到了法律高度，将更好地服务于经济、科技和社会的发展。金融业应以此为契机，对照法律要求，从管理机制和技术防护措施两方面做好查漏补缺工作，循序渐进、不断提高，从整体上提升金融业网络安全防护水平。