目前,我国数字经济呈现快速发展和上升势头,数字金融基础设施作为重要的市场要素也处于加速建设的政策红利期。
但网络犯罪和恶意网络活动长期在金融行业试探,整个金融科技体系正面临数据泄漏、APT威胁、内部安全等多个维度的现实挑战。
2016年2月4日至5日,黑客攻击孟加拉央行,通过SWIFT向纽约联邦储备银行发出35笔转账申请,其中4笔转账成功,损失计8100万美元;
2018年5月,加拿大两家银行遭到攻击,9万名客户信息遭泄露;
2019年1月,美国多家大银行泄露了2400多万份金融及银行资料,涉及大量贷款和抵押贷款信息;
2019年7月31日,美国Capital One遭遇数据泄露,暴露了大约1亿美国人和600万加拿大人的姓名、地址、电话号码、电子邮件、出生日期和收入报告…
反观国内,目前360累计监测到针对中国境内目标发动攻击的APT组织超40个,金融机构是APT攻击的第二大目标。
在金融科技大背景下,如何守住新风险压力下的安全底线,已成为金融机构共同实践探索的重要命题。
8月17日,ISC 2020第八届互联网安全大会重磅上线金融安全论坛,邀请到中国人民银行金融信息中心信息安全部主任、教授级高级工程师袁慧萍,中国工商银行业务研发中心信息安全部及安全攻防实验室负责人、高级工程师苏建明,360金融集团首席科学家张家兴,中国光大银行信息科技部副总经理彭晓,中国农业银行总行科技与产品管理局信息安全与风险管理处处长何启翱共同探讨新金融生态下的网络安全应对。
规重矩迭:金融网络安全的合规
遵从与安全能力成熟度评估
中国人民银行金融信息中心信息安全部主任、教授级高级工程师袁慧萍在演讲《金融网络安全的合规遵从与落地实践》中从网络安全形式研判、网络安全法律法规标准回顾、金融网络安全合规实践三方面进行了分享。
她指出,当前网络空间中,金融业主要面临对手“组织化”、环境“云”化、目标“数据化”、战法“实战化”等全新挑战。我国的网络安全法制化已经进入快轨道,金融网络安全在风险管理、弥补短板、合规管理、实战攻防、关联可视、停服风险、规划设计等方面都有一些全新的实践。
袁慧萍强调,新金融生态下的安全形势,新技术不仅助推新金融的蓬勃发展,而且也带来风险挑战,当今的金融行业急需有担当、有谋略的网络安全团队形成合力,让金融网络安全真正成为国家安全的一部分。
伴随着金融科技的影响和渗透,银行业已经站到了全面数字化转型的路口。如何在梳理业务流程的基础上,合理运用技术,把数字化作为效益化的有效工具?中国工商银行业务研发中心信息安全部及安全攻防实验室负责人、高级工程师苏建明在《银行信息安全能力成熟度评估方法的探索与研究》的分享中解答了这一问题。
苏建明介绍,信息安全能力成熟度模型(BIS-CMM)是借鉴关键基础设施网络安全框架(NIST CSF)和能力成熟度模型(CMM)的理论思想,并结合银行信息安全管理最佳实践制定形成,该模型是指导银行开展信息安全能力成熟度评估的方法论。苏建明从安全能力定义、安全措施制定、成熟度等级判定标准及评估方法详细介绍了银行信息安全能力成熟度评估方案的制定。
百家争鸣:金融机构的
安全建设与管理实践面面观
360金融集团首席科学家张家兴带来《智能时代的金融数据安全保护-360金融数据安全建设》的分享,他指出,原本在金融里的决策是基于人的理性的决策,但随着人工智能的发展,逐渐转变为用机器学习模型做抉择。
这种决策超越了人的理性,可以称为超理性决策,其特点是基于数据和不可解释,效果上优于人的理性决策。目前市场上采取了诸多中台实践,如双中台,即业务中台与数据中台,或AI中台、技术中台等。
张家兴认为,对于一个涵盖多种业务类型、链接上亿用户的公司来说,理解用户与匹配相适应的金融产品需要借助数据与AI相融合的力量。如获客阶段通过智能投放平台,触达最有金融需求的潜在客户;客户经营阶段运用智能运营平台,高效满足客户需求;通过智能风控平台,全周期理解客户风险动态等。
中国光大银行信息科技部副总经理彭晓带来《后疫情时代的安全管理实践》的主题演讲,面对疫情下复工复产的挑战,光大银行依托安全、自主的云基础设施,构建多终端、多媒体、多场景的远程办公生态圈。
后疫情时代,需要从安全保障、全员安全意识提升等方面做好各项安全防护工作,特别是远程办公在带来便利的同时,也存在一定的安全隐患。光大银行信息科技部谨守安全生产不放松、防在治先的原则,打造疫情期间风险防控新体系,全面落实安全管理要求。
彭晓呼吁,“随着更快速更大范围的业务线上化、办公线上化的转变,各类快捷支付、移动APP大面积应用及推广,我们面对的个人金融信息泄露的问题愈发严峻,信息安全管理将是长期的挑战,需要更多的金融同业、安全公司,参与到金融支付安全以及个人金融信息保护工作中来!”
数据已经成为个人和企业的“核心资产”。中国农业银行总行科技与产品管理局信息安全与风险管理处处长何启翱分享了《金融数据安全保护的难点与思路》。
数字化时代给金融业带来的新的发展契机,但同样也给网络黑产发展留下了可乘之机,新技术、新模式的广泛应用使得风险更加复杂多变,企业的数据使用和管理合规意识有待加强,客户对自身信息保护的意识极度欠缺,同时数据资产天然的“不唯一”带来最大的管理挑战。
何启翱基于自身在金融大数据和信息安全领域的多年经验,结合近年监管部门在数据安全方面的要求,以及农行的实践情况,介绍了金融企业数据安全保护的思路。
科技红利的辐射使得各类金融服务在产品和规模方面都得到了快速扩张,金融成为AI、大数据等技术最佳的落地场景,而云计算、大数据、区块链作为金融行业首当其冲的技术体系所面临的传统安全威胁依然存在,同时新型的威胁还在不断涌现。
发展金融监管科技,是新金融生态下安全形势的必然要求,也将成为未来维护金融安全的有力支撑。
除了“金融安全论坛”外,本届ISC互联网安全大会还特别打造了百余个安全峰会论坛,围绕新基建、战略、信创、技术、产业、人才等领域进行全方位探讨与交流,永不闭幕的第八届互联网安全大会ISC 2020正在火热进行中。