ISC 2020金融安全論壇：讓金融網(wǎng)絡(luò)安全真正成為國(guó)家安全的一部分

目前，我國(guó)數(shù)字經(jīng)濟(jì)呈現(xiàn)快速發(fā)展和上升勢(shì)頭，數(shù)字金融基礎(chǔ)設(shè)施作為重要的市場(chǎng)要素也處于加速建設(shè)的政策紅利期。但網(wǎng)絡(luò)犯罪和惡意網(wǎng)絡(luò)活動(dòng)長(zhǎng)期在金融行業(yè)試探，整個(gè)金融科技體系正面臨數(shù)據(jù)泄漏、APT威脅、內(nèi)部安全等多個(gè)維度的現(xiàn)實(shí)挑戰(zhàn)。

2016年2月4日至5日，黑客攻擊孟加拉央行，通過(guò)SWIFT向紐約聯(lián)邦儲(chǔ)備銀行發(fā)出35筆轉(zhuǎn)賬申請(qǐng)，其中4筆轉(zhuǎn)賬成功，損失計(jì)8100萬(wàn)美元;2018年5月，加拿大兩家銀行遭到攻擊，9萬(wàn)名客戶(hù)信息遭泄露;2019年1月，美國(guó)多家大銀行泄露了2400多萬(wàn)份金融及銀行資料，涉及大量貸款和抵押貸款信息;2019年7月31日，美國(guó)Capital One遭遇數(shù)據(jù)泄露，暴露了大約1億美國(guó)人和600萬(wàn)加拿大人的姓名、地址、電話號(hào)碼、電子郵件、出生日期和收入報(bào)告……反觀國(guó)內(nèi)，目前360累計(jì)監(jiān)測(cè)到針對(duì)中國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的APT組織超40個(gè)，金融機(jī)構(gòu)是APT攻擊的第二大目標(biāo)。

在金融科技大背景下，如何守住新風(fēng)險(xiǎn)壓力下的安全底線，已成為金融機(jī)構(gòu)共同實(shí)踐探索的重要命題。8月17日，ISC 2020第八屆互聯(lián)網(wǎng)安全大會(huì)重磅上線金融安全論壇，邀請(qǐng)到中國(guó)人民銀行金融信息中心信息安全部主任、教授級(jí)高級(jí)工程師袁慧萍，中國(guó)工商銀行業(yè)務(wù)研發(fā)中心信息安全部及安全攻防實(shí)驗(yàn)室負(fù)責(zé)人、高級(jí)工程師蘇建明，360金融集團(tuán)首席科學(xué)家張家興，中國(guó)光大銀行信息科技部副總經(jīng)理彭曉，中國(guó)農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風(fēng)險(xiǎn)管理處處長(zhǎng)何啟翱共同探討新金融生態(tài)下的網(wǎng)絡(luò)安全應(yīng)對(duì)。

規(guī)重矩迭：金融網(wǎng)絡(luò)安全的合規(guī)遵從與安全能力成熟度評(píng)估

中國(guó)人民銀行金融信息中心信息安全部主任、教授級(jí)高級(jí)工程師袁慧萍在演講《金融網(wǎng)絡(luò)安全的合規(guī)遵從與落地實(shí)踐》中從網(wǎng)絡(luò)安全形式研判、網(wǎng)絡(luò)安全法律法規(guī)標(biāo)準(zhǔn)回顧、金融網(wǎng)絡(luò)安全合規(guī)實(shí)踐三方面進(jìn)行了分享。她指出，當(dāng)前網(wǎng)絡(luò)空間中，金融業(yè)主要面臨對(duì)手“組織化”、環(huán)境“云”化、目標(biāo)“數(shù)據(jù)化”、戰(zhàn)法“實(shí)戰(zhàn)化”等全新挑戰(zhàn)。我國(guó)的網(wǎng)絡(luò)安全法制化已經(jīng)進(jìn)入快軌道，金融網(wǎng)絡(luò)安全在風(fēng)險(xiǎn)管理、彌補(bǔ)短板、合規(guī)管理、實(shí)戰(zhàn)攻防、關(guān)聯(lián)可視、停服風(fēng)險(xiǎn)、規(guī)劃設(shè)計(jì)等方面都有一些全新的實(shí)踐。

袁慧萍強(qiáng)調(diào)，新金融生態(tài)下的安全形勢(shì)，新技術(shù)不僅助推新金融的蓬勃發(fā)展，而且也帶來(lái)風(fēng)險(xiǎn)挑戰(zhàn)，當(dāng)今的金融行業(yè)急需有擔(dān)當(dāng)、有謀略的網(wǎng)絡(luò)安全團(tuán)隊(duì)形成合力，讓金融網(wǎng)絡(luò)安全真正成為國(guó)家安全的一部分。

伴隨著金融科技的影響和滲透，銀行業(yè)已經(jīng)站到了全面數(shù)字化轉(zhuǎn)型的路口。如何在梳理業(yè)務(wù)流程的基礎(chǔ)上，合理運(yùn)用技術(shù)，把數(shù)字化作為效益化的有效工具?中國(guó)工商銀行業(yè)務(wù)研發(fā)中心信息安全部及安全攻防實(shí)驗(yàn)室負(fù)責(zé)人、高級(jí)工程師蘇建明在《銀行信息安全能力成熟度評(píng)估方法的探索與研究》的分享中解答了這一問(wèn)題。

蘇建明介紹，信息安全能力成熟度模型(BIS-CMM)是借鑒關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(NIST CSF)和能力成熟度模型(CMM)的理論思想，并結(jié)合銀行信息安全管理最佳實(shí)踐制定形成，該模型是指導(dǎo)銀行開(kāi)展信息安全能力成熟度評(píng)估的方法論。蘇建明從安全能力定義、安全措施制定、成熟度等級(jí)判定標(biāo)準(zhǔn)及評(píng)估方法詳細(xì)介紹了銀行信息安全能力成熟度評(píng)估方案的制定。

百家爭(zhēng)鳴：金融機(jī)構(gòu)的安全建設(shè)與管理實(shí)踐面面觀

360金融集團(tuán)首席科學(xué)家張家興帶來(lái)《智能時(shí)代的金融數(shù)據(jù)安全保護(hù)-360金融數(shù)據(jù)安全建設(shè)》的分享，他指出，原本在金融里的決策是基于人的理性的決策，但隨著人工智能的發(fā)展，逐漸轉(zhuǎn)變?yōu)橛脵C(jī)器學(xué)習(xí)模型做抉擇。這種決策超越了人的理性，可以稱(chēng)為超理性決策，其特點(diǎn)是基于數(shù)據(jù)和不可解釋?zhuān)Ч蟽?yōu)于人的理性決策。目前市場(chǎng)上采取了諸多中臺(tái)實(shí)踐，如雙中臺(tái)，即業(yè)務(wù)中臺(tái)與數(shù)據(jù)中臺(tái)，或AI中臺(tái)、技術(shù)中臺(tái)等。

張家興認(rèn)為，對(duì)于一個(gè)涵蓋多種業(yè)務(wù)類(lèi)型、鏈接上億用戶(hù)的公司來(lái)說(shuō)，理解用戶(hù)與匹配相適應(yīng)的金融產(chǎn)品需要借助數(shù)據(jù)與AI相融合的力量。如獲客階段通過(guò)智能投放平臺(tái)，觸達(dá)最有金融需求的潛在客戶(hù);客戶(hù)經(jīng)營(yíng)階段運(yùn)用智能運(yùn)營(yíng)平臺(tái)，高效滿(mǎn)足客戶(hù)需求;通過(guò)智能風(fēng)控平臺(tái)，全周期理解客戶(hù)風(fēng)險(xiǎn)動(dòng)態(tài)等。

中國(guó)光大銀行信息科技部副總經(jīng)理彭曉帶來(lái)《后疫情時(shí)代的安全管理實(shí)踐》的主題演講， 面對(duì)疫情下復(fù)工復(fù)產(chǎn)的挑戰(zhàn)，光大銀行依托安全、自主的云基礎(chǔ)設(shè)施，構(gòu)建多終端、多媒體、多場(chǎng)景的遠(yuǎn)程辦公生態(tài)圈。后疫情時(shí)代，需要從安全保障、全員安全意識(shí)提升等方面做好各項(xiàng)安全防護(hù)工作，特別是遠(yuǎn)程辦公在帶來(lái)便利的同時(shí)，也存在一定的安全隱患。光大銀行信息科技部謹(jǐn)守安全生產(chǎn)不放松、防在治先的原則，打造疫情期間風(fēng)險(xiǎn)防控新體系，全面落實(shí)安全管理要求。

彭曉呼吁，“隨著更快速更大范圍的業(yè)務(wù)線上化、辦公線上化的轉(zhuǎn)變，各類(lèi)快捷支付、移動(dòng)APP大面積應(yīng)用及推廣，我們面對(duì)的個(gè)人金融信息泄露的問(wèn)題愈發(fā)嚴(yán)峻，信息安全管理將是長(zhǎng)期的挑戰(zhàn)，需要更多的金融同業(yè)、安全公司，參與到金融支付安全以及個(gè)人金融信息保護(hù)工作中來(lái)!”

數(shù)據(jù)已經(jīng)成為個(gè)人和企業(yè)的“核心資產(chǎn)”。中國(guó)農(nóng)業(yè)銀行總行科技與產(chǎn)品管理局信息安全與風(fēng)險(xiǎn)管理處處長(zhǎng)何啟翱分享了《金融數(shù)據(jù)安全保護(hù)的難點(diǎn)與思路》。數(shù)字化時(shí)代給金融業(yè)帶來(lái)的新的發(fā)展契機(jī)，但同樣也給網(wǎng)絡(luò)黑產(chǎn)發(fā)展留下了可乘之機(jī)，新技術(shù)、新模式的廣泛應(yīng)用使得風(fēng)險(xiǎn)更加復(fù)雜多變，企業(yè)的數(shù)據(jù)使用和管理合規(guī)意識(shí)有待加強(qiáng)，客戶(hù)對(duì)自身信息保護(hù)的意識(shí)極度欠缺，同時(shí)數(shù)據(jù)資產(chǎn)天然的“不唯一”帶來(lái)最大的管理挑戰(zhàn)。何啟翱基于自身在金融大數(shù)據(jù)和信息安全領(lǐng)域的多年經(jīng)驗(yàn)，結(jié)合近年監(jiān)管部門(mén)在數(shù)據(jù)安全方面的要求，以及農(nóng)行的實(shí)踐情況，介紹了金融企業(yè)數(shù)據(jù)安全保護(hù)的思路。

科技紅利的輻射使得各類(lèi)金融服務(wù)在產(chǎn)品和規(guī)模方面都得到了快速擴(kuò)張，金融成為AI、大數(shù)據(jù)等技術(shù)最佳的落地場(chǎng)景，而云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈作為金融行業(yè)首當(dāng)其沖的技術(shù)體系所面臨的傳統(tǒng)安全威脅依然存在，同時(shí)新型的威脅還在不斷涌現(xiàn)。發(fā)展金融監(jiān)管科技，是新金融生態(tài)下安全形勢(shì)的必然要求，也將成為未來(lái)維護(hù)金融安全的有力支撐。除了“金融安全論壇”外，本屆ISC互聯(lián)網(wǎng)安全大會(huì)還特別打造了百余個(gè)安全峰會(huì)論壇，圍繞新基建、戰(zhàn)略、信創(chuàng)、技術(shù)、產(chǎn)業(yè)、人才等領(lǐng)域進(jìn)行全方位探討與交流，永不閉幕的第八屆互聯(lián)網(wǎng)安全大會(huì)ISC 2020正在火熱進(jìn)行中。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）