金融安全问题日益突出,政策加码安全建设,自主可控技术加速推进
——金融安全是国家安全的重要组成部分,金融关键信息基础设施是经济社会运行的神经中枢之一,是网络安全的重中之重,也是可能遭到重点攻击的目标。事实上,金融行业已成为网络攻击者的首要攻击目标,金融关键信息基础设施频繁遭受攻击,安全威胁发展到网络安全、数据安全、业务安全等各个方面。近几年来,勒索攻击前所未有地大爆发,现在已经成为了一种网络攻击趋势,同时,金融机构在互联网化和云化之后,高敏的金融数据对安全要求不断提高,但对内外双重威胁仍然防不胜防,层出不穷的网络攻击使金融业务连续性受到严重影响。
金融行业信息化催生安全问题成为新主题。随着信息技术的蓬勃发展,金融科技逐渐打破传统金融生产力与生产关系的桎梏,开启以人工智能、大数据、云计算、区块链等新一代信息技术为主导的新金融时代。金融关键信息基础设施的建设以及新技术的应用、实践、突破、创新,成就了今天便捷而多样的金融业务与服务,金融行业全面转向信息化。新时代下,安全成为新金融不可忽视的主题。
金融信息系统是我国关键信息基础设施之一,对金融安全具有重要意义。《中华人民共和国网络安全法》中给出了关键信息基础设施的大致范围,可分为七类:公共通信和信息服务、能源、交通、水利、金融、公共服务(水、电、食品、卫生)、电子政务。而《网络空间安全战略》中的规定的关键信息基础设施包括:1 张基础网络、11 个重要信息系统和1 类重要互联网应用系统,共13 项,具体包括:1、提供公共通信,广播电视传输等服务的基础信息网络;2、能源;3、金融;4、交通;5、教育;6、科研;7、水利;8、工业制造;9、医疗卫生;10、社会保障;11、公用事业;12、国家机关;13、重要互联网应用系统。
中美俄德四国界定的关键信息基础设施对比
资料来源:360威胁情报中心
根据360 威胁情报中心对全球关键信息基础设施重大网络安全事件的公开信息监测数据分析,在各类不同的关键信息基础设施中,金融、交通、能源等领域最容易遭受网络攻击,其中金融(34.3%)、交通(17.1%)、能源(7.6%)、医疗卫生(7.6%)等领域信息基础设施发生的重大网络安全事件最多。
各领域关键信息基础设施发生重大网络安全事件比例
资料来源:360威胁情报中心
全球关键信息基础设施重大网络安全事件类型分布
资料来源:360威胁情报中心
全球信息基础设施发生重大网络安全事件的类型主要有敏感信息泄露、系统破坏、金融资产盗窃等。从共性上看,不同领域关键信息基础设施一般都会遭遇敏感信息泄露问题,例如金融、教育、交通、医疗卫生、能源等都发生过许多重大信息泄露事件;
同时,不同领域也呈现一定的特点,例如金融领域的窃取金融资产的事件明显偏多;通信、能源领域的系统破坏事件较多,而教育行业领域网站遭篡改的事件明显多于其他领域。敏感信息泄露所占比例最高,约占27.7%,其次是破坏型攻击(25.3%)、金融资产盗窃(21.7%),三者之和约占总数的3/4。
发展中国家综合防护能力薄弱,金融安全问题更为突出。根据360 威胁情报中心的监测数据,以英国、美国、德国为代表的发达国家关键信息基础设施发生的安全事件占比与发展中国家基本持平,分别占51.6%和48.4%。在综合防护能力,应急响应能力等方面,发展中国家也远远落后于发达国家,所以网络安全问题对发展中国家的威胁比对发达国家来说更加严重。
金融机构主要面临的高危风险:SWIFT 攻击、ATM 攻击、信息泄露、恶意软件、网络诈骗、系统故障和DNS 攻击。2016 和2017 年均堪称是金融机构的网络灾害年。大量针对金融机构的攻击给全球各国的金融机构造成了巨大的财产损失。2016 年11月,美国托管信托结算公司(DTCC)进行的第三季度研究显示,22%的受访者将网络风险列为单一最大风险,56%的受访者将其列为全球金融体系的前五大风险。
——近年来,国家高度重视安全建设与发展,对金融等领域基础设施进行安全检查和评估,在全国组织开展等级保护定级、安全建设整改等工作,并陆续制定出台一系列网络安全法规和规范性文件。其中,《网络安全法》第十六条强调要推广安全可信的网络产品和服务,《国家网络空间安全战略》也强调加快安全可信的产品推广应用,同时,《关键信息基础设施保护条例》也正在制定推动中。
我国正在稳步推进核心领域自主可控技术在金融业的应用,提高金融网络安全和信息化工作的前瞻性、科学性、有效性。习近平总书记在全国网络安全和信息化工作会议上强调,金融领域的关键信息基础设施是经济社会运行的神经中枢,金融业务高度依赖金融网络和信息系统。要基于技术变革和创新,积极适应互联网时代对金融网络安全的新需求,加强对重要金融基础设施的规划。中共中央政治局2 月22 日就完善金融服务、防范金融风险举行第十三次集体学习。习近平指出,防范化解金融风险特别是防止发生系统性金融风险,是金融工作的根本性任务,要加快金融市场基础设施建设,稳步推进金融业关键信息基础设施国产化。
面对新金融新局面,不仅要考虑数据安全、应用安全、网络安全、主机安全、物理安全等基础设施安全,更要兼顾大数据、云计算、人工智能、区块链、物联网等金融科技技术安全,同时还要落到账户安全、交易安全、反欺诈、隐私保护等各个金融业务中。
自主可控加速推进,从党政军到十二大行业,金融领域进展最快。十二行业指的是涉及国计民生的重大行业一般指金融、石油、电力、电信、交通、航空航天、医院、教育等主要行业。在中国自主可控技术和产品性价比仍低于国际龙头的现状下,这些对安全要求较高,受政府指导调控影响较大的行业是自主可控最主要的需求来源。随着贸易纷争的越演越烈,自主创新将成为中国内生经济增长的主要发动机,在自主可控产品在八大行业的推广试点中,金融行业可谓一马当先。
