48
《中華人民共和國網絡安全法》給金融IT安全帶來了哪些影響?
為了加強網絡安全標準體係的建設,《中華人民共和國網絡安全法》(以下簡稱:《網絡安全法》)於2017年6月1日正式實施。該法案的實施在保障網絡安全,保護公民、法人和其他組織的合法權益的同時,也對各行各業的IT安全提出了更高的要求。
以金融行業為例,《網絡安全法》中明確指出銀行業及金融機構不僅是網絡服務的提供者,也是關鍵信息基礎設施的運營者,一方麵,突出了金融行業的戰略地位和價值;另一方麵,也明確了銀行業及金融機構做好自身網絡安全工作的義務和責任。金融行業需要依據《網絡安全法》的法律要求進行落地實施,有效地提高金融行業整體的網絡安全保護水平。
《網絡安全法》已經正式實施,該法案究竟對金融IT安全帶來了怎樣的影響?帶著這一疑問,51CTO記者在近日舉行的2017C3安全峰會上采訪了廣東銀信金融服務中心副總裁周丹。
廣東銀信金融服務中心副總裁周丹
《網絡安全法》的出現改變了什麼?
《網絡安全法》的出現改變了什麼?周丹表示,《網絡安全法》的出現帶來了三個方麵的改變:在安全措施方麵,在《網絡安全法》出現之前,企業引用的規範都是信息係統等級保護指導,是指導性的很寬泛的規範。而現在,是法律上的規範。在保護內容方麵,以前等保係統保護的網絡層麵和係統層麵,但現在《網絡安全法》的第四章專門針對網絡的信息安全進行了規範,它從係統和網絡層麵轉換到了內容層麵。保護的範圍和難度都大幅度增加。在對違規的處罰方麵,以前違規了會受到警告和整改。但是現在,就要進行罰款追責,甚至對主要責任人,進行追責。所以,違規的成本在大幅度提高。
綜上所述,《網絡安全法》改變最大的就是我國對網絡風險的容忍度降低了,對包括金融在內的各個行業提出了更高的要求。
金融行業的IT將麵臨五大轉變
周丹向記者表示,麵對《網絡安全法》的高要求,今後,金融行業的IT將會麵臨以下五大方向的轉變。
第一個轉變:從低投入轉向高投入。雖然相較於很多行業來說金融行業在安全上的投入一直處於較高的水平,但是《網絡安全法》的到來將會迫使其在安全上的投入更高。因為以前網絡安全問題出現後,主要追究技術人員的責任,但是現在法律規定要對主要負責人追責,這樣會間接的清除一些IT安全預算上的而障礙,從而促使安全的投入增加。
第二個轉變:從單點防護轉向體係防護。目前,金融行業的IT安全防護主要以單點防護為主,防火牆、防毒軟件、漏洞掃描器等安全產品形成了防禦孤島,各自為戰,無法實現無縫有效協同。為了要更好的響應《網絡安全法》的要求,提高防護能力,金融行業需要從單點防護轉向體係防護,需要做到從信息安全的角度,從頂層設計開始把製度體係、組織體係以及技術體係建立起來,通過安全態勢感知平台來整合網絡安全,應用安全,開發安全,數據安全,雲安全等各方麵的防護能力,從而實現更好的防護效果。
第三個轉變:對新技術的應用。金融IT相對於互聯網來講,對於新技術的應用比較保守。在安全領域,也同樣是如此。以前金融行業會采用比較成熟的或者傳統的技術和設備,成本會較低。《網絡安全法》的實施提出的高要求,讓金融IT在安全不得不應用雲計算、大數據、人工智能、區塊鏈等新IT技術,防範新的安全漏洞,新的威脅和攻擊手段。
第四個轉變:信息收集範圍從貪大求全轉向有限收集。大數據時代,幾乎每個機構都是盡可能多的收集信息,而不管這些信息是否有用,甚至這些信息有的是客戶的高度敏感的隱私信息,比如:手機銀行軟件要求拿到客戶的定位權限,以此獲得客戶位置信息,但是從業務來說這是完全沒有必要的。現在《網絡安全法》明確規定,企業要公開信息收集和使用的規則,要明示收集使用的目的方式範圍,要獲得客戶的授權征得同意,如未通過則會違法,麵臨懲罰。所以未來金融企業將注重隱私保護,信息收集範圍從貪大求全,到有限收集。這是必然的趨勢。
第五個轉變:從安全消費轉向安全運營。到目前為止,金融行業的IT都是安全的消費者。現在,《網絡安全法》的出台抬高了安全成本,導致很多小型金融企業無法承受安全帶來的挑戰。因為要符合法律的規範,隻能向有能力建設IT安全的機構求助,獲得技術支持,或者利用私有雲提供公有服務,讓小型金融企業和其他行業的企業享受到金融的安全服務。
如何應對《網絡安全法》帶來的合規挑戰?
據周丹介紹,近年來,廣東省農村信用社聯合社(以下簡稱:廣東農信)全麵深化改革,加快轉型升級,領跑普惠金融,已經成為全國農信係統的排頭兵和廣東農村金融的重要力量。目前,廣東農信在全省設有6000多個支行,服務1.7億的用戶,體量很大。為了提升廣東農信的IT安全,針對銀行的內容和風險問題,廣東農信選擇基於數據分析來管控,並尋找行業內較為領先的安全廠商合作,根據自身的情況去製定更符合農村金融的安全體係。
“比如說我們跟亞信安全的合作,我們在去年年底簽署了戰略合作協議。”周丹說。
2016年11月,廣東農信選擇與在金融行業的安全領域有著豐富經驗的亞信安全達成了戰略合作。未來,雙方將攜手打造農村普惠金融安全管理標杆機構,借助亞信安全威脅態勢感知平台,充分發揮大數據網絡威脅治理的能力,為新型金融提供安全服務,為惠民工程提供安全保障。
據悉,亞信安全的安全解決方案已經應用在全國70%以上的銀行,80%以上的券商,還有60%以上的保險公司,在金融行業的安全防護上有著豐富的經驗。亞信安全副總裁劉科表示,亞信安全之所以能夠深受金融行業用戶的青睞,原因在於:在Gartner的報告中,亞信安全在金融安全領域連續兩年排在全球第一位,已經做到了國際性一流產品的水準。一直以來,亞信安全強調本地服務,在所有的工行、農行、中行等大型銀行都有原廠的駐點工程師7*24小時的響應與服務,甚至針對國外分行,也能提供7*24小時雙語服務,為我國金融企業外出保駕護航。
目前,廣東農信通過與亞信安全深度合作,憑借亞信安全多年的行業經驗和威脅態勢感知等安全技術,全麵提升自身的整體防護能力,構建一套合規的、完善的網絡安全保護製度,真正應對《網絡安全法》實施提出的高要求,應對不斷變幻的安全風險。
本文作者:杜美潔
來源:51CTO
最後更新:2017-11-03 16:34:09