近日,“2020中国保险业信息技术年会”在海口开幕,来自银保监系统的领导以及保险企业、科技与网络安全企业等上百位嘉宾,围绕“数智引领,生态重塑”的主题展开了交流探讨。由中国银行保险报组织编写,亚信网络安全产业技术研究院智力支持的《金融行业网络安全白皮书(2020年)》成为本届年会的亮点之一,亚信安全高级副总裁刘东红受邀出席并对《白皮书》进行了全面解读,针对国内外金融行业网络安全总体形势、发展趋势、安全能力提升进行了深入分析。
重磅发布——《金融行业网络安全白皮书(2020年)》
近年来,随着新技术在金融行业的广泛、快速应用,金融业数字化转型不断加快,但新技术引发的风险问题、面临的各项威胁和挑战也持续升级。
金融是国家重要的核心竞争力,是现代经济的核心。国家高度重视金融安全。习近平总书记强调,要切实把维护金融安全作为治国理政的一件大事。
在此背景下,由中国银行保险报联合亚信网络安全产业技术研究院共同发起,于2020年4月开展了金融行业网络安全专项调研活动。结合调研数据,年会上发布的《金融行业网络安全白皮书(2020年)》总结了金融行业网络安全整体态势,从网络攻击、数据安全监管和隐私保护难度等方面阐述了金融行业网络安全面临的风险与挑战,重点关注了网络安全关键技术与创新领域的探索与突破,为进一步提升金融行业网络安全建设和维护水平提供参考和帮助。
【亚信安全高级副总裁刘东红】
亚信安全高级副总裁刘东红对《白皮书》中的具体数据进行了全面分析与解读。她表示:“调研数据显示,在监管要求日益细化的推动下,金融科技网络安全在组织制度体现上得到了进一步完善,但依然存在大中小机构的技术水平参差不齐、安全投入比例总体偏低(网络安全投入比例占营收的0.1%,与国外0.4%的平均水平有较大差距)等情况。另外,本次调研主要涉及了多项网安关键技术领域,其中数据安全成为建设重点,应用安全、安全运营服务、身份安全等将成为金融机构未来三年主要投入的技术领域。”
《白皮书》同时指出,5G+ABCDE等一系列创新技术的快速应用促进了业务创新,但是也带来了隐性的安全风险,同时事件型漏洞和高危零日漏洞威胁依然持续走高,网络攻击的种类、规模和方式也不断增加,隐蔽性更强的 APT 攻击成为常态。随着 5G 在金融领域的商业化应用,将产生新的基于场景应用的网络威胁,使得网络安全边界、数据安全保护体系的建设难度不断加大。
人物融合——提升网络安全能力
针对金融行业面临的新风险和新挑战,结合目前存在的问题,更基于多年以来服务金融行业的经验,亚信安全建议相关机构应从六个方面进行网络安全能力提升:
· 一是以人为本, 采取多种方式加强网络安全意识培训和宣贯, 提升全员网络安全风险防范意识;
· 二是以合规能力建设为基础,全面贯彻落实“三化六防”防护体系新思想;
· 三是创新思路,统筹推进网络安全顶层规划工作;
· 四是加强个人金融信息保护,逐步建设全要素的数据安全治理体系;
· 五是加强人、工具协同,首先通过XDR解决方案的快速落地形成完整的威胁检测防御能力,其次建设安全中台,实现从被动响应到主动运营的转变,形成体系化的安全运营能力;
· 六是注重网络安全人才培养,同时加强与专业机构的合作,持续提升网络安全人员的专业技能。
以智为治——筑牢金融网络安全屏障
针对安全策略与能力升级的具体操作,亚信安全认为金融机构可以将合规能力建设框架定为基础,结合自身的应用与发展制定顶层安全规划,分步骤建设,从而形成网络安全防护体系的‘四梁八柱’,不断持续优化网络安全防护体系整体能力。多年来,亚信安全一直积极配合政府部门、金融行业提升网络防护建设,在后续建设中,亚信安全继续发挥技术特色,在以新业务、新场景中,为不同类型的金融机构、保险企业做好服务。
· 亚信安全智能框架能够协助用户将“三化六防(实战化、体系化、常态化,动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控)”落地,实现安全与安全的打通、安全与业务的打通;
· 在金融行业得到广泛认可并部署的XDR体系,包括了 EDR(终端检测及响应)、NDR (网络检测及响应)以及 MDR (智能管理平台的检测及响应),大降低安全运营的复杂度和管理成本;
· 通过对数据和业务的全面梳理,制定数据安全策略和数据安全管理体系;技术支撑方面,以数据安全治理平台为核心,联动数据防泄漏、加密、脱敏等技术能力,形成完整的数据安全治理体系;
· 针对大型机构,用户以安全中台为枢纽,以威胁情报为支撑,实时采集分析全网安全态势数据,同时联动行业云端威胁情报库,分析潜在的安全风险及未来发展趋势,形成统一的网络安全攻防指挥中心。
目前,亚信安全在金融安全领域的技术实力已经十分突出,并拥有庞大的用户基础,涵盖了国内主要银行、证券,及保险客户,包含了中国人民保险、中国人寿、平安保险、太平洋保险等保险行业的头部用户,深得用户信赖。而《白皮书》的发布,重点剖析了金融科技网络安全的新思路和新技术,结合具体的金融业务场景,提出了金融科技网络安全挑战的应对策略,这为行业决策、从业者提升网络安全认知、网络威胁治理状况、改善网络安全生态提供极大帮助。