（前言）

當(dāng)前，國際形勢風(fēng)云變幻，金融、科技等領(lǐng)域成為大國博弈的焦點(diǎn)，加之?dāng)?shù)字技術(shù)持續(xù)迭代并廣泛應(yīng)用，國家金融網(wǎng)絡(luò)安全治理面臨重大挑戰(zhàn)。網(wǎng)絡(luò)安全一直是國家安全的核心組成部分，特別是在金融行業(yè)，金融機(jī)構(gòu)擁有大量的敏感數(shù)據(jù)，包括個人信息、交易記錄、財務(wù)報告等，這些數(shù)據(jù)的安全直接關(guān)系到消費(fèi)者的利益和金融市場的穩(wěn)定，因此金融行業(yè)在網(wǎng)絡(luò)安全建設(shè)領(lǐng)域一直是領(lǐng)頭羊。然而隨著金融行業(yè)數(shù)字化改革的深化，網(wǎng)絡(luò)安全挑戰(zhàn)不斷增加，新技術(shù)的應(yīng)用、數(shù)據(jù)流轉(zhuǎn)加速、金融交易/服務(wù)的拓展、信息系統(tǒng)迭代頻率提升、第三方合作的深入、業(yè)務(wù)全球化的擴(kuò)張、以及合規(guī)政策趨緊等因素，都對金融行業(yè)的網(wǎng)絡(luò)安全提出了更高的要求。

本文通過對國內(nèi)金融行業(yè)網(wǎng)絡(luò)安全市場情況及現(xiàn)狀進(jìn)行分析，類比和重點(diǎn)分析和學(xué)習(xí)日本金融網(wǎng)絡(luò)安全治理實踐及建設(shè)經(jīng)驗，并結(jié)合政府需要、行業(yè)需求、企業(yè)期盼對金融行業(yè)網(wǎng)絡(luò)安全未來發(fā)展提出建議，僅供參考。

一、金融行業(yè)網(wǎng)絡(luò)安全需求旺盛，整體規(guī)模呈增長趨勢

CS Radar商業(yè)分析平臺數(shù)據(jù)顯示，2023年中國金融行業(yè)網(wǎng)絡(luò)安全市場規(guī)模為91.94億元人民幣，同比下降12%，近五年首次出現(xiàn)負(fù)增長。即使如此，整體上金融行業(yè)的網(wǎng)絡(luò)安全需求持續(xù)增長，市場采購項目數(shù)量仍處于上升趨勢。同時行業(yè)預(yù)計2024年中國金融行業(yè)網(wǎng)絡(luò)安全市場的規(guī)模預(yù)計達(dá)到99.97億元，較2023年增長約8.7%。

但隨著金融行業(yè)市場的日益成熟和網(wǎng)絡(luò)安全建設(shè)的逐步完善，金融機(jī)構(gòu)在經(jīng)濟(jì)承壓的環(huán)境下，對網(wǎng)絡(luò)安全的投入變得更加審慎，因此增速逐年下降。其中，2023 年第一季度的項目數(shù)量增速為負(fù)，是最近四年的首次季度性負(fù)增長，2023年項目數(shù)量在第四季度的帶動下實現(xiàn)了整體增長。

二、金融行業(yè)各類機(jī)構(gòu)積極投入網(wǎng)絡(luò)安全版塊，重點(diǎn)各有側(cè)重

隨著數(shù)字化改革不斷加深，漏洞管理、數(shù)據(jù)的安全使用、社工攻擊、軟件供應(yīng)鏈攻擊、業(yè)務(wù)邏輯安全風(fēng)險是金融機(jī)構(gòu)面臨的五大主要安全難題。

為了應(yīng)對以上難題，金融行業(yè)的安全體系建設(shè)對實戰(zhàn)應(yīng)對能力的要求不斷增強(qiáng)，但合規(guī)性依然是其核心驅(qū)動力。以國有商業(yè)銀行、股份制銀行和個別頭部保險公司為代表的頭部金融機(jī)構(gòu)，安全合規(guī)建設(shè)相對完目前安全建設(shè)的重點(diǎn)根據(jù)自身情況各有側(cè)重，其中數(shù)據(jù)安全和安全運(yùn)營是關(guān)注最多的兩個領(lǐng)域；小規(guī)模的各類金融機(jī)構(gòu)，合規(guī)仍是主題，常態(tài)化的實網(wǎng)攻防演習(xí)和攻防演練也促進(jìn)了他們對場景化安全能力的需求。

從安全體系建設(shè)的方式來看，大規(guī)模金融機(jī)構(gòu)的投入大、能力強(qiáng)，更傾向于自研或聯(lián)合開發(fā)；小規(guī)模金融機(jī)構(gòu)的安全投入有限,會更靈活地通過購買產(chǎn)品及服務(wù)的方式補(bǔ)足安全能力短板。

作為金融行業(yè)的從業(yè)者來說，積極布局和投入網(wǎng)絡(luò)安全是進(jìn)入下一個快速發(fā)展期的必要條件，同時政府也需要對這一趨勢發(fā)展提供良好的保障機(jī)制、法律法規(guī)、做法指引、監(jiān)管手段等方面進(jìn)行引導(dǎo)，我們需要思考。

三、典型案例分析：日本金融網(wǎng)絡(luò)安全治理

作為數(shù)字技術(shù)先進(jìn)國家，日本自21世紀(jì)初以來不斷強(qiáng)化網(wǎng)絡(luò)安全建設(shè)，逐步完善戰(zhàn)略布局。近年來，隨著日本加速推動數(shù)字化轉(zhuǎn)型，人工智能、云計算等先進(jìn)技術(shù)與金融業(yè)務(wù)深度融合，金融系統(tǒng)遭受的網(wǎng)絡(luò)攻擊明顯增多。面對挑戰(zhàn)，日本高度重視金融網(wǎng)絡(luò)安全治理，在制度建設(shè)和政策實踐方面取得了顯著成效，其相關(guān)經(jīng)驗值得借鑒。

1、重視金融網(wǎng)絡(luò)安全監(jiān)管：定期評估，分類實施動態(tài)監(jiān)管

金融廳定期檢查評估金融機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)，監(jiān)管重點(diǎn)及方式根據(jù)行業(yè)、業(yè)務(wù)規(guī)模進(jìn)行調(diào)整。例如，全年嚴(yán)格動態(tài)監(jiān)管敏感度高、擁有全球經(jīng)營網(wǎng)絡(luò)的三大銀行，督促其及時引進(jìn)國際先進(jìn)技術(shù)與理念；適度監(jiān)管敏感度低的金融機(jī)構(gòu)，著重提升其自律能力，為其開發(fā)針對性的網(wǎng)絡(luò)安全自評估工具；根據(jù)更易受到的網(wǎng)絡(luò)攻擊類型調(diào)整檢查項目；支持逐步推廣零信任網(wǎng)絡(luò)安全架構(gòu)等。為提升金融網(wǎng)絡(luò)安全監(jiān)管工作質(zhì)量，金融廳積極進(jìn)行共性風(fēng)險摸底，定期評估監(jiān)管效果及制定改進(jìn)方案。

2、提升網(wǎng)絡(luò)攻防演習(xí)質(zhì)量：網(wǎng)絡(luò)安全評估+模擬攻擊+實戰(zhàn)演練

鼓勵金融機(jī)構(gòu)采用“威脅主導(dǎo)滲透測試”（TLPT）等高水平的網(wǎng)絡(luò)安全評估方法，根據(jù)威脅情報及實際系統(tǒng)環(huán)境模擬攻擊場景，從而檢測網(wǎng)絡(luò)安全系統(tǒng)對外部沖擊的響應(yīng)能力。2019年9月，日本金融行業(yè)信息系統(tǒng)中心（FISC）發(fā)布了相關(guān)指南，為其有效應(yīng)用TLPT提供框架性指導(dǎo)。同時自2016年起，日本金融廳在每年10月左右組織大規(guī)模的跨行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全實戰(zhàn)演練，以提升金融領(lǐng)域整體網(wǎng)絡(luò)安全保障能力。

3、促進(jìn)信息共享：建立健全多層次、跨機(jī)構(gòu)的金融網(wǎng)絡(luò)安全信息共享機(jī)制

日本2014年成立了金融信息共享與分析中心（FISAC），旨在促進(jìn)金融機(jī)構(gòu)之間共享網(wǎng)絡(luò)攻擊威脅信息及技術(shù)漏洞信息并共商應(yīng)對辦法。2023年3月，日本發(fā)布《網(wǎng)絡(luò)攻擊危害信息的共享與發(fā)布指南》，通過問答形式引導(dǎo)受網(wǎng)絡(luò)攻擊的組織共享相關(guān)信息。另外，日本通過提供多元化共享范式、視情況允許數(shù)據(jù)匿名化及延遲發(fā)布、責(zé)任豁免等多種方式，盡力消除相關(guān)組織對共享過程中承擔(dān)法律風(fēng)險及名譽(yù)損失等的擔(dān)憂，促進(jìn)信息共享及時、暢通。

4、重視人才培養(yǎng)：重視網(wǎng)絡(luò)安全人才的體系化、國際化培養(yǎng)

2021年4月，日本經(jīng)濟(jì)產(chǎn)業(yè)省發(fā)布《網(wǎng)絡(luò)安全體系建設(shè)和人力資源保障指南》，為企業(yè)等部門健全網(wǎng)絡(luò)安全風(fēng)險管理體系及加強(qiáng)相關(guān)人才培養(yǎng)提供指導(dǎo)。日本金融廳要求金融機(jī)構(gòu)持續(xù)加強(qiáng)網(wǎng)絡(luò)安全人才隊伍建設(shè)，制定及落實人才培養(yǎng)計劃，完善激勵與評價機(jī)制；重視提升管理層網(wǎng)絡(luò)安全意識，定期開展內(nèi)部培訓(xùn)及跨部門交流；盡量保障各部門均配備專職網(wǎng)絡(luò)安全人員，在人員短缺情況下支持其在各部門定期輪崗。五是加強(qiáng)國際合作。針對跨國金融網(wǎng)絡(luò)犯罪日益嚴(yán)重的趨勢，日本金融監(jiān)管部門通過雙邊及多邊機(jī)制，在信息共享、政策協(xié)調(diào)、實戰(zhàn)演習(xí)、標(biāo)準(zhǔn)制定等領(lǐng)域加強(qiáng)金融網(wǎng)絡(luò)安全國際合作。

四、金融行業(yè)網(wǎng)絡(luò)安全發(fā)展建議

近年來我國高度重視網(wǎng)絡(luò)安全治理，國家層面陸續(xù)出臺了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)及部門規(guī)章。金融系統(tǒng)也制定了高起點(diǎn)、高標(biāo)準(zhǔn)的金融網(wǎng)絡(luò)安全治理規(guī)劃和行業(yè)指引。但目前伴隨著技術(shù)發(fā)展帶來的雙刃劍，網(wǎng)絡(luò)安全帶來的風(fēng)險挑戰(zhàn)愈加嚴(yán)重，我國金融網(wǎng)絡(luò)安全治理建設(shè)在結(jié)合自身實際的同時，也需不斷借鑒如日本、歐洲國際先進(jìn)經(jīng)驗。

1、構(gòu)建統(tǒng)籌兼顧、分工協(xié)作的監(jiān)管體制。當(dāng)前我國金融領(lǐng)域網(wǎng)絡(luò)信息安全主要受國家網(wǎng)信辦、公安部、工信部、“一行一總局一會”等部門多維度的監(jiān)督管理。為了平衡合力監(jiān)管與分業(yè)監(jiān)管優(yōu)勢，各部門應(yīng)明確職能分工，既要避免監(jiān)管重疊也要防止監(jiān)管真空，確保金融網(wǎng)絡(luò)不留監(jiān)管死角。

2、提升金融系統(tǒng)的主動防御能力。相關(guān)政府機(jī)構(gòu)和金融監(jiān)管部門常態(tài)化組織金融系統(tǒng)開展大規(guī)模跨行業(yè)網(wǎng)絡(luò)攻防演習(xí)，不斷豐富業(yè)務(wù)連續(xù)性演練場景。成立網(wǎng)絡(luò)安全應(yīng)急工作小組，指導(dǎo)金融機(jī)構(gòu)組建應(yīng)急管理團(tuán)隊、制定應(yīng)急預(yù)案、提高應(yīng)急處置能力。通過設(shè)立專項經(jīng)費(fèi)、指導(dǎo)創(chuàng)建產(chǎn)學(xué)研聯(lián)合實驗室等，加速推進(jìn)零信任、人工智能、量子信息技術(shù)等網(wǎng)絡(luò)安全技術(shù)布局與應(yīng)用。

3、促進(jìn)金融網(wǎng)絡(luò)安全信息共享。健全金融網(wǎng)絡(luò)安全信息共享的政策體系，促進(jìn)金融機(jī)構(gòu)與國家安全機(jī)構(gòu)、監(jiān)管部門、金融同業(yè)、外部安全廠商等不同層次機(jī)構(gòu)建立威脅情報共享機(jī)制。強(qiáng)化措施提升信息共享工作質(zhì)效，如完善高質(zhì)量、多維度、全覆蓋的金融業(yè)網(wǎng)絡(luò)態(tài)勢感知與信息共享平臺建設(shè)，消除信息孤島；提供多元化共享范式、賦予信息共享主體適當(dāng)責(zé)任豁免，促進(jìn)信息共享安全暢通。同時應(yīng)重視國際金融網(wǎng)絡(luò)安全信息共享合作，嘗試與“一帶一路”共建國家合作搭建相關(guān)數(shù)據(jù)庫及信息資源共享平臺，增強(qiáng)信息溝通與對話。