「专家视点」宁晓:打造自主可控高效的金融科技安全基础设施体系

2024-09-07 新闻资讯 万阅读 投稿:admin

党的二十届三中全会对进一步全面深化改革作出重大部署,为中国式现代化道路指明前进方向。全会公报三次提到“金融”,重点聚焦金融领域改革等问题,明确提出要统筹好发展和安全,落实好防范化解重点领域风险的措施。总书记在今年初的省部级主要领导干部推动金融高质量发展专题研讨班开班式上,指出要建立自主可控安全高效的金融基础设施体系。金融科技作为金融基础设施的重要组成部分,其安全管理越来越被重视,金融科技安全基础设施体系亟待构建。

构建金融科技安全基础设施体系的必要性

金融科技作为技术驱动的金融创新,为金融服务实体经济注入了动力,但技术创新与风险相伴相生,也带来了更多的安全问题。建立金融科技安全基础设施体系是保障金融科技稳健高效运行的基础,能够发挥风险监测预警和应对作用,有助于筑牢有效防控系统性风险的金融稳定保障体系。

(一)金融科技赋能金融服务更加便捷化。在数字经济蓬勃发展等背景下,“大智移云物链”等新兴技术在金融行业深度应用,金融科技资金投入增加;金融科技衍生的新技术、新业务模式不断涌现,促进了金融机构数字化经营能力的提升,使传统金融服务在提高管理效率、提升客户体验、强化风险管控、降低运营成本等方面发生了重大改变。金融科技助力金融服务更加便捷和智能,赋能金融为重点领域、薄弱环节提供优质的服务,精准高效地服务实体经济高质量发展。

(二)金融科技的技术创新是把双刃剑。伴随着金融科技发展和智能化程度加深,技术创新加快了金融业务模式革新,提高了金融资源的可获得性、便利性和覆盖程度。但是,金融科技在促进金融信息系统和日常管理实现升级的同时,也衍生出了客户信息隐私泄露、交易数据篡改与不当使用、金融网络运行不稳定等一系列潜在的新型风险,并使金融风险变得更加复杂和隐蔽,金融科技安全管理面临较多的挑战。

(三)金融科技安全成为金融基础设施安全的重要内容。我国颁布的“十四五”规划中提及“安全”180次,其中“金融基础设施安全”1次、“数据安全”5次、“网络安全”14 次;党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》提及“安全”41次,并再次对建设安全的金融基础设施等提出明确要求。国家对数据、网络、信息等安全的监管要求不断提高,陆续颁布的法律和法规对数据安全保护、网络运行安全、信息安全运营等作出了具体规定。此外,国家金融科技风险监控中心作为国家级专业化金融科技风险防控基础设施成立,并正式运转。随着国家对金融科技安全越来越被重视,金融科技安全基础设施不断完善,为金融科技发展提供安全保障的作用逐步发挥。

金融科技安全基础设施体系的主要特征

金融科技安全是识别发现金融科技应用中可能存在的风险和安全事件,开展技术安全、业务安全、合规安全、服务安全等工作,保障金融科技应用的安全、稳定、持续地运行。金融科技安全基础设施体系是指为金融机构开展的各类金融科技活动提供基础性安全管理和服务的有机整体,主要包括以下特征。

(一)安全性。由于金融行业的特殊性,金融机构的业务和技术架构比较复杂,金融科技具有跨机构、跨行业、跨市场的特征,这对金融科技基础设施的安全运行提出了更高要求。金融科技安全基础设施体系能够及时监测、识别、评估和处置金融科技运营中的风险,强化金融科技风险早期纠正硬约束,坚守金融安全底线,有效应对网络信息等攻击和威胁,保证金融科技基础设施的安全性、稳定性和可靠性,筑牢数字金融发展的安全基石。

(二)高效性。近年来,市场竞争加剧,金融机构对提升客户服务质量和效率的需求增加,推进金融科技应用可提升金融服务运行效率。为保障金融科技可持续运行,需要夯实其安全底座,建设金融科技安全基础设施体系,通过推进金融科技安全技术在金融科技领域及适配业务场景的创新应用,提升威胁防御识别能力,增强网络安全和数据安全等保障能力,提供高可用、高并发、弹性伸缩、故障自愈等金融科技安全服务,促进金融机构提升管理效率、优化冗余成本、降低科技风险,更好地满足金融行业稳定和高效的信息技术服务需求,为提升金融服务质效保驾护航。

(三)自主可控性。我国金融科技安全基础设施的研发和应用尚处于初级阶段,需要发挥人才、技术、数据和模型管理等优势,从智能软件和硬件设备等方面提升金融科技安全基础设施的自主研发水平。加强金融科技安全基础设施的创新和自主开发,攻克核心金融科技安全技术难题,加快软硬件安全技术在金融领域的成果转化和应用,解决关键核心技术受制于人的“卡脖子”问题,实现金融科技安全基础设施的设计、开发、运营、维护等由我国自主掌控,不受外部的干预,为深化金融体制改革提供有力支撑。

金融科技安全基础设施体系的主要内容

近年来,新兴技术与金融场景深度融合,金融科技加速发展,金融科技安全成为国家安全的重要内容。通过构建金融科技安全基础设施体系,助力推进金融科技深入应用,支撑做好“金融五篇大文章”,促进金融提升服务实体经济质效。金融科技安全基础设施体系主要包括以下方面。

(一)构建精细化的金融数据安全基础设施体系。2015年起,《中华人民共和国国家安全法》《中华人民共和国数据安全法》等陆续出台,数据作为新型生产要素,数据安全上升至国家安全层面。金融行业作为数据处理密集行业,金融数据的使用、加工、传输、共享等活动日益频繁,其安全保护的重要性进一步凸显。金融数据的生命周期涵盖生成、采集、传输、存储、使用、共享、归档、销毁等。金融数据安全通常用于保护在生命周期内的金融数据不因偶然和恶意的原因遭到破坏、更改或泄露,保障合法利用和持续安全的能力。

金融数据安全基础设施体系是对金融数据安全进行管理和控制而衍生出的一系列评估、监测、存储、处置等软硬件管理工具,包括金融机构的数据安全治理、数据安全监测、数据库安全、数据防泄漏系统、数据算法安全、个人隐私保护、文档加密与管理、数据容灾备份等。其中,金融数据安全治理是“体系化”的金融数据安全管理和服务,包括对金融数据的安全评估、分类分级管理、安全管控平台应用、安全体系建设等,金融数据分类分级管理涵盖对金融数据建立资源目录、开展分类分级和动态评估管理、采取差异化保护措施等;金融数据安全监测是对金融机构软硬件系统运营中金融数据的管理漏洞、授权使用、用户身份认证强度、异常访问控制、线路传输承载能力等进行监测、评估和分级管理;金融数据库安全包含了金融机构数据库的防火墙、加密、脱敏等;金融数据防泄露系统能够实现金融数据的内容识别、脱敏、加密、管控、审计等多种安全管理功能。通过构建金融数据安全基础设施体系,建立金融数据全生命周期管控机制,提升风险监测、态势感知、威胁研判和应急处置等能力,保证金融数据的完整性、可用性、保密性,释放金融数据要素的价值。

(二)建立集约化的金融网络安全基础设施体系。2017年起,《中华人民共和国网络安全法》《关键信息基础设施保护条例》等相继落地,网络安全进入强监管、严监管时代。金融行业信息化程度高,清算结算、存管支付等系统数据集中度高、资金流转数目大,网络钓鱼、木马病毒、“伪基站”等金融网络安全事件高发,此类事件关乎国计民生,并可能引发系统性金融风险。金融网络安全主要是防范金融机构的网络被攻击、侵入、干扰、破坏等,保障可靠和稳定运行的能力。金融网络安全基础设施体系是为金融机构提供金融网络运行安全、网络信息安全、网络安全支持等,提高金融网络保密性、完整性、可控性的产品和服务;主要由金融安全软件和交换机等构成,其中硬件是金融网络安全管理的载体,软件是发挥效能的核心,包括金融机构的网络与通信安全、计算环境安全、大数据传输安全、云计算安全、物联网应用安全、网络移动安全、人工智能应用安全、区块链应用安全、身份与访问安全、业务应用安全、软件供应链安全、网络安全管理、网络安全支撑、网络安全服务等。其中,金融大数据传输安全包含金融机构的数据备份与恢复、数据防泄漏、大数据保护、数据传输合规检测、隐私计算等;金融网络安全管理包含金融机构的网络安全态势感知、日志审计与管理、网络安全响应自动化、IT风险管理和审计、网络安全治理等,金融网络安全治理涵盖金融机构的网络安全等级保护、信息系统安全等保定级、系统漏洞全生命周期管理等。通过建立金融网络安全基础设施体系,夯实金融网络安全等级保护、金融信息系统分级保护、关键金融网络基础设施保护、金融商密应用安全性评估“四道防线”,实现金融网络安全管理从单点防控向纵深防控转变,从被动防控向主动防控转变,促进数字金融发挥服务实体经济助推器作用。

(三)筑牢可控化的金融信息安全基础设施体系。近年来,《中华人民共和国个人信息保护法》《信息安全等级保护管理办法》等逐步实施,加强金融信息安全屏障建设已成为行业共识,是金融科技创新与发展的“生命线”。金融信息安全是以金融信息的机密性、完整性、可用性等三种基本的属性为保护核心,以不可否认性、真实性、可控性等扩展属性为辅助开展的信息安全管理活动。金融信息安全保障基础设施体系是保护金融机构信息自身的安全和信息贮存载体即信息系统安全的产品和服务,包括金融机构的物理安全、主机及其计算环境安全、网络通信安全、边界安全、信息防护、软件应用安全、信息安全支撑等。其一,物理安全包括金融机构的环境安全、设备安全、介质安全等。金融物理安全是设立物理安全保护区域,保证重要信息科技设备与其他机构的有效隔离,并严格控制物理访问权限。其二,金融边界安全包括金融机构的边界隔离、入侵防范、边界访问控制、网络终端安全、内容安全等。入侵防范是通过采取有效的防病毒、防攻击、防篡改、防泄密等措施,提高金融机构的信息系统抵御内外部攻击破坏的能力。其三,金融信息安全防护包括金融机构的信息平台安全、备份与恢复、数据保护等。备份与恢复是通过建立金融数据信息防丢失、防删除的权限管控机制和技术手段,实现备份数据全生命周期的标准化、自动化和线上化的管理。其四,金融信息安全支撑包括金融机构的综合审计、安全应急响应支持、密码保护支持、风险评估等。通过构建金融信息安全保障基础设施体系,建立覆盖金融机构的系统终端、网络传输、存储应用等多层次信息风险阻断机制,保障业务连续性,织牢金融信息安全防护网,当好维护金融稳定的压舱石。

(四)打造标准化的金融科技安全检测认证基础设施体系。2003年起,《中华人民共和国标准化法》《中华人民共和国认证认可条例》等依次颁布,检测认证是保证产品质量和提高运行效率的重要手段,通过检测认证引领金融科技安全规范健康发展,是国家质量基础的主要构成部分。金融科技安全检测认证是依据相关标准或规范,对金融科技安全产品、服务、管理体系的质量、性能进行验证,证明其符合评定要求的活动。金融科技安全检测认证基础设施体系是集标准、认证、检测等于一体的金融科技安全质量管理体系,可强化过程控制和风险防范,包括金融科技安全的标准、产品认证、检测和评估、审计等。其中,金融科技安全标准包括金融数据安全、金融网络安全、金融信息安全的基础类标准、技术与实施类标准、产品与服务类标准等;金融科技安全检测和评估包括金融机构的安全隔离与信息交换、入侵软硬件检测系统、网络脆弱性扫描、算法模型评估等;金融网络脆弱性扫描主要是针对金融机构的网络漏洞进行扫描,涵盖金融机构的主机型脆弱性扫描、数据库脆弱性扫描、网络应用脆弱性扫描等,可利用机器学习、模式识别等智能分析发展趋势,增强动态感知和穿透分析能力;金融数据库的脆弱性扫描可通过采用白黑灰盒检测和人工渗透等相结合方式,检测安全缺陷和第三方组件漏洞,实现数据库漏洞的检测、发现、修复、复检的全生命周期管理。通过建设金融科技安全检测认证基础设施体系,发挥其市场准入和引领示范效应,促进金融科技安全评估行业的标准化、规范化、专业化发展,防控金融科技风险向金融业务领域传递,保障金融科技安全基础设施体系的可靠性,共建数字金融安全生态。

(来源:金融时报,作者:宁晓为清华大学五道口金融学院金融安全研究中心特约兼职研究员)

声明:易百科所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流。若您的权利被侵害,请联系。