为了加强网络安全标准体系的建设,《中华人民共和国网络安全法》(以下简称:《网络安全法》)于2017年6月1日正式实施。该法案的实施在保障网络安全,保护公民、法人和其他组织的合法权益的同时,也对各行各业的IT安全提出了更高的要求。
以金融行业为例,《网络安全法》中明确指出银行业及金融机构不仅是网络服务的提供者,也是关键信息基础设施的运营者,一方面,突出了金融行业的战略地位和价值;另一方面,也明确了银行业及金融机构做好自身网络安全工作的义务和责任。金融行业需要依据《网络安全法》的法律要求进行落地实施,有效地提高金融行业整体的网络安全保护水平。
《网络安全法》已经正式实施,该法案究竟对金融IT安全带来了怎样的影响?带着这一疑问,51CTO记者在近日举行的2017C3安全峰会上采访了广东银信金融服务中心副总裁周丹。
广东银信金融服务中心副总裁周丹
《网络安全法》的出现改变了什么?
《网络安全法》的出现改变了什么?周丹表示,《网络安全法》的出现带来了三个方面的改变:在安全措施方面,在《网络安全法》出现之前,企业引用的规范都是信息系统等级保护指导,是指导性的很宽泛的规范。而现在,是法律上的规范。在保护内容方面,以前等保系统保护的网络层面和系统层面,但现在《网络安全法》的第四章专门针对网络的信息安全进行了规范,它从系统和网络层面转换到了内容层面。保护的范围和难度都大幅度增加。在对违规的处罚方面,以前违规了会受到警告和整改。但是现在,就要进行罚款追责,甚至对主要责任人,进行追责。所以,违规的成本在大幅度提高。
综上所述,《网络安全法》改变最大的就是我国对网络风险的容忍度降低了,对包括金融在内的各个行业提出了更高的要求。
金融行业的IT将面临五大转变
周丹向记者表示,面对《网络安全法》的高要求,今后,金融行业的IT将会面临以下五大方向的转变。
第一个转变:从低投入转向高投入。虽然相较于很多行业来说金融行业在安全上的投入一直处于较高的水平,但是《网络安全法》的到来将会迫使其在安全上的投入更高。因为以前网络安全问题出现后,主要追究技术人员的责任,但是现在法律规定要对主要负责人追责,这样会间接的清除一些IT安全预算上的而障碍,从而促使安全的投入增加。
第二个转变:从单点防护转向体系防护。目前,金融行业的IT安全防护主要以单点防护为主,防火墙、防毒软件、漏洞扫描器等安全产品形成了防御孤岛,各自为战,无法实现无缝有效协同。为了要更好的响应《网络安全法》的要求,提高防护能力,金融行业需要从单点防护转向体系防护,需要做到从信息安全的角度,从顶层设计开始把制度体系、组织体系以及技术体系建立起来,通过安全态势感知平台来整合网络安全,应用安全,开发安全,数据安全,云安全等各方面的防护能力,从而实现更好的防护效果。
第三个转变:对新技术的应用。金融IT相对于互联网来讲,对于新技术的应用比较保守。在安全领域,也同样是如此。以前金融行业会采用比较成熟的或者传统的技术和设备,成本会较低。《网络安全法》的实施提出的高要求,让金融IT在安全不得不应用云计算、大数据、人工智能、区块链等新IT技术,防范新的安全漏洞,新的威胁和攻击手段。
第四个转变:信息收集范围从贪大求全转向有限收集。大数据时代,几乎每个机构都是尽可能多的收集信息,而不管这些信息是否有用,甚至这些信息有的是客户的高度敏感的隐私信息,比如:手机银行软件要求拿到客户的定位权限,以此获得客户位置信息,但是从业务来说这是完全没有必要的。现在《网络安全法》明确规定,企业要公开信息收集和使用的规则,要明示收集使用的目的方式范围,要获得客户的授权征得同意,如未通过则会违法,面临惩罚。所以未来金融企业将注重隐私保护,信息收集范围从贪大求全,到有限收集。这是必然的趋势。
第五个转变:从安全消费转向安全运营。到目前为止,金融行业的IT都是安全的消费者。现在,《网络安全法》的出台抬高了安全成本,导致很多小型金融企业无法承受安全带来的挑战。因为要符合法律的规范,只能向有能力建设IT安全的机构求助,获得技术支持,或者利用私有云提供公有服务,让小型金融企业和其他行业的企业享受到金融的安全服务。
如何应对《网络安全法》带来的合规挑战?
据周丹介绍,近年来,广东省农村信用社联合社(以下简称:广东农信)全面深化改革,加快转型升级,领跑普惠金融,已经成为全国农信系统的排头兵和广东农村金融的重要力量。目前,广东农信在全省设有6000多个支行,服务1.7亿的用户,体量很大。为了提升广东农信的IT安全,针对银行的内容和风险问题,广东农信选择基于数据分析来管控,并寻找行业内较为领先的安全厂商合作,根据自身的情况去制定更符合农村金融的安全体系。
“比如说我们跟亚信安全的合作,我们在去年年底签署了战略合作协议。”周丹说。
2016年11月,广东农信选择与在金融行业的安全领域有着丰富经验的亚信安全达成了战略合作。未来,双方将携手打造农村普惠金融安全管理标杆机构,借助亚信安全威胁态势感知平台,充分发挥大数据网络威胁治理的能力,为新型金融提供安全服务,为惠民工程提供安全保障。
据悉,亚信安全的安全解决方案已经应用在全国70%以上的银行,80%以上的券商,还有60%以上的保险公司,在金融行业的安全防护上有着丰富的经验。亚信安全副总裁刘科表示,亚信安全之所以能够深受金融行业用户的青睐,原因在于:在Gartner的报告中,亚信安全在金融安全领域连续两年排在全球第一位,已经做到了国际性一流产品的水准。一直以来,亚信安全强调本地服务,在所有的工行、农行、中行等大型银行都有原厂的驻点工程师7*24小时的响应与服务,甚至针对国外分行,也能提供7*24小时双语服务,为我国金融企业外出保驾护航。
目前,广东农信通过与亚信安全深度合作,凭借亚信安全多年的行业经验和威胁态势感知等安全技术,全面提升自身的整体防护能力,构建一套合规的、完善的网络安全保护制度,真正应对《网络安全法》实施提出的高要求,应对不断变幻的安全风险。
本文作者:杜美洁
来源:51CTO