目前,我國數(shù)字經(jīng)濟(jì)呈現(xiàn)快速發(fā)展和上升勢頭,數(shù)字金融基礎(chǔ)設(shè)施作為重要的市場要素也處于加速建設(shè)的政策紅利期。但網(wǎng)絡(luò)犯罪和惡意網(wǎng)絡(luò)活動長期在金融行業(yè)試探,整個金融科技體系正面臨數(shù)據(jù)泄漏、APT威脅、內(nèi)部安全等多個維度的現(xiàn)實挑戰(zhàn)。
2016年2月4日至5日,黑客攻擊孟加拉央行,通過SWIFT向紐約聯(lián)邦儲備銀行發(fā)出35筆轉(zhuǎn)賬申請,其中4筆轉(zhuǎn)賬成功,損失計8100萬美元;2018年5月,加拿大兩家銀行遭到攻擊,9萬名客戶信息遭泄露;2019年1月,美國多家大銀行泄露了2400多萬份金融及銀行資料,涉及大量貸款和抵押貸款信息;2019年7月31日,美國Capital One遭遇數(shù)據(jù)泄露,暴露了大約1億美國人和600萬加拿大人的姓名、地址、電話號碼、電子郵件、出生日期和收入報告……反觀國內(nèi),目前360累計監(jiān)測到針對中國境內(nèi)目標(biāo)發(fā)動攻擊的APT組織超40個,金融機(jī)構(gòu)是APT攻擊的第二大目標(biāo)。
在金融科技大背景下,如何守住新風(fēng)險壓力下的安全底線,已成為金融機(jī)構(gòu)共同實踐探索的重要命題。8月17日,ISC 2020第八屆互聯(lián)網(wǎng)安全大會重磅上線金融安全論壇,邀請到中國人民銀行金融信息中心信息安全部主任、教授級高級工程師袁慧萍,中國工商銀行業(yè)務(wù)研發(fā)中心信息安全部及安全攻防實驗室負(fù)責(zé)人、高級工程師蘇建明,360金融集團(tuán)首席科學(xué)家張家興,中國光大銀行信息科技部副總經(jīng)理彭曉,中國農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風(fēng)險管理處處長何啟翱共同探討新金融生態(tài)下的網(wǎng)絡(luò)安全應(yīng)對。
規(guī)重矩迭:金融網(wǎng)絡(luò)安全的合規(guī)遵從與安全能力成熟度評估
中國人民銀行金融信息中心信息安全部主任、教授級高級工程師袁慧萍在演講《金融網(wǎng)絡(luò)安全的合規(guī)遵從與落地實踐》中從網(wǎng)絡(luò)安全形式研判、網(wǎng)絡(luò)安全法律法規(guī)標(biāo)準(zhǔn)回顧、金融網(wǎng)絡(luò)安全合規(guī)實踐三方面進(jìn)行了分享。她指出,當(dāng)前網(wǎng)絡(luò)空間中,金融業(yè)主要面臨對手“組織化”、環(huán)境“云”化、目標(biāo)“數(shù)據(jù)化”、戰(zhàn)法“實戰(zhàn)化”等全新挑戰(zhàn)。我國的網(wǎng)絡(luò)安全法制化已經(jīng)進(jìn)入快軌道,金融網(wǎng)絡(luò)安全在風(fēng)險管理、彌補(bǔ)短板、合規(guī)管理、實戰(zhàn)攻防、關(guān)聯(lián)可視、停服風(fēng)險、規(guī)劃設(shè)計等方面都有一些全新的實踐。
袁慧萍強(qiáng)調(diào),新金融生態(tài)下的安全形勢,新技術(shù)不僅助推新金融的蓬勃發(fā)展,而且也帶來風(fēng)險挑戰(zhàn),當(dāng)今的金融行業(yè)急需有擔(dān)當(dāng)、有謀略的網(wǎng)絡(luò)安全團(tuán)隊形成合力,讓金融網(wǎng)絡(luò)安全真正成為國家安全的一部分。
伴隨著金融科技的影響和滲透,銀行業(yè)已經(jīng)站到了全面數(shù)字化轉(zhuǎn)型的路口。如何在梳理業(yè)務(wù)流程的基礎(chǔ)上,合理運用技術(shù),把數(shù)字化作為效益化的有效工具?中國工商銀行業(yè)務(wù)研發(fā)中心信息安全部及安全攻防實驗室負(fù)責(zé)人、高級工程師蘇建明在《銀行信息安全能力成熟度評估方法的探索與研究》的分享中解答了這一問題。
蘇建明介紹,信息安全能力成熟度模型(BIS-CMM)是借鑒關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(NIST CSF)和能力成熟度模型(CMM)的理論思想,并結(jié)合銀行信息安全管理最佳實踐制定形成,該模型是指導(dǎo)銀行開展信息安全能力成熟度評估的方法論。蘇建明從安全能力定義、安全措施制定、成熟度等級判定標(biāo)準(zhǔn)及評估方法詳細(xì)介紹了銀行信息安全能力成熟度評估方案的制定。
百家爭鳴:金融機(jī)構(gòu)的安全建設(shè)與管理實踐面面觀
360金融集團(tuán)首席科學(xué)家張家興帶來《智能時代的金融數(shù)據(jù)安全保護(hù)-360金融數(shù)據(jù)安全建設(shè)》的分享,他指出,原本在金融里的決策是基于人的理性的決策,但隨著人工智能的發(fā)展,逐漸轉(zhuǎn)變?yōu)橛脵C(jī)器學(xué)習(xí)模型做抉擇。這種決策超越了人的理性,可以稱為超理性決策,其特點是基于數(shù)據(jù)和不可解釋,效果上優(yōu)于人的理性決策。目前市場上采取了諸多中臺實踐,如雙中臺,即業(yè)務(wù)中臺與數(shù)據(jù)中臺,或AI中臺、技術(shù)中臺等。
張家興認(rèn)為,對于一個涵蓋多種業(yè)務(wù)類型、鏈接上億用戶的公司來說,理解用戶與匹配相適應(yīng)的金融產(chǎn)品需要借助數(shù)據(jù)與AI相融合的力量。如獲客階段通過智能投放平臺,觸達(dá)最有金融需求的潛在客戶;客戶經(jīng)營階段運用智能運營平臺,高效滿足客戶需求;通過智能風(fēng)控平臺,全周期理解客戶風(fēng)險動態(tài)等。
中國光大銀行信息科技部副總經(jīng)理彭曉帶來《后疫情時代的安全管理實踐》的主題演講, 面對疫情下復(fù)工復(fù)產(chǎn)的挑戰(zhàn),光大銀行依托安全、自主的云基礎(chǔ)設(shè)施,構(gòu)建多終端、多媒體、多場景的遠(yuǎn)程辦公生態(tài)圈。后疫情時代,需要從安全保障、全員安全意識提升等方面做好各項安全防護(hù)工作,特別是遠(yuǎn)程辦公在帶來便利的同時,也存在一定的安全隱患。光大銀行信息科技部謹(jǐn)守安全生產(chǎn)不放松、防在治先的原則,打造疫情期間風(fēng)險防控新體系,全面落實安全管理要求。
彭曉呼吁,“隨著更快速更大范圍的業(yè)務(wù)線上化、辦公線上化的轉(zhuǎn)變,各類快捷支付、移動APP大面積應(yīng)用及推廣,我們面對的個人金融信息泄露的問題愈發(fā)嚴(yán)峻,信息安全管理將是長期的挑戰(zhàn),需要更多的金融同業(yè)、安全公司,參與到金融支付安全以及個人金融信息保護(hù)工作中來!”
數(shù)據(jù)已經(jīng)成為個人和企業(yè)的“核心資產(chǎn)”。中國農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風(fēng)險管理處處長何啟翱分享了《金融數(shù)據(jù)安全保護(hù)的難點與思路》。數(shù)字化時代給金融業(yè)帶來的新的發(fā)展契機(jī),但同樣也給網(wǎng)絡(luò)黑產(chǎn)發(fā)展留下了可乘之機(jī),新技術(shù)、新模式的廣泛應(yīng)用使得風(fēng)險更加復(fù)雜多變,企業(yè)的數(shù)據(jù)使用和管理合規(guī)意識有待加強(qiáng),客戶對自身信息保護(hù)的意識極度欠缺,同時數(shù)據(jù)資產(chǎn)天然的“不唯一”帶來最大的管理挑戰(zhàn)。何啟翱基于自身在金融大數(shù)據(jù)和信息安全領(lǐng)域的多年經(jīng)驗,結(jié)合近年監(jiān)管部門在數(shù)據(jù)安全方面的要求,以及農(nóng)行的實踐情況,介紹了金融企業(yè)數(shù)據(jù)安全保護(hù)的思路。
科技紅利的輻射使得各類金融服務(wù)在產(chǎn)品和規(guī)模方面都得到了快速擴(kuò)張,金融成為AI、大數(shù)據(jù)等技術(shù)最佳的落地場景,而云計算、大數(shù)據(jù)、區(qū)塊鏈作為金融行業(yè)首當(dāng)其沖的技術(shù)體系所面臨的傳統(tǒng)安全威脅依然存在,同時新型的威脅還在不斷涌現(xiàn)。發(fā)展金融監(jiān)管科技,是新金融生態(tài)下安全形勢的必然要求,也將成為未來維護(hù)金融安全的有力支撐。除了“金融安全論壇”外,本屆ISC互聯(lián)網(wǎng)安全大會還特別打造了百余個安全峰會論壇,圍繞新基建、戰(zhàn)略、信創(chuàng)、技術(shù)、產(chǎn)業(yè)、人才等領(lǐng)域進(jìn)行全方位探討與交流,永不閉幕的第八屆互聯(lián)網(wǎng)安全大會ISC 2020正在火熱進(jìn)行中。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )