金融网络安全论文

摘要：近年来，随着金融科技的不断发展，金融服务网络化程度不断提升，同时也逐渐成为犯罪分子攻击的重要目标，这一问题在今后相当长的时间内将持续存在。今天小编为大家精心挑选了关于《金融网络安全论文(精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

金融网络安全论文 篇1：

浅析基层央行如何防范金融网络安全风险

摘要：金融领域的关键IT基础设施是经济社会运行的中流砥柱，做好新时期的金融业网络安全工作，对防范化解金融风险、维护金融稳定具有重要意义。基层央行科技人员承担着维护辖区央行IT基础设施安全运行及指导辖内金融机构信息基础设施建设及信息安全工作的重要职责，应采取有效措施，强化金融科技工作协调机制，防范化解金融网络安全的技术类风险和业务类风险。

关键词：网络安全;风险防范;基层央行

开放科学（资源服务）标识码（OSID）：

1 引言

随着金融行业信息化的不断深入发展，金融机构对网络与信息系统的依赖程度越来越高，而人民银行运维的金融IT基础设施更是至关重要，因此，做好新时期的金融业网络安全工作，对防范化解金融风险、维护金融稳定具有重要意义。本文以中国人民银行滨州市中心支行为例，浅析了担负着维护辖区中央银行IT基础设施安全运行及指导辖内金融机构信息基础设施建设和信息安全工作重要职责的基层央行，面对当前金融网络安全的技术类风险和业务类风险，应如何与金融机构加强沟通协调，采取措施防范化解。

2 技术类风险的应对

金融网络安全的技术类风险，是通过非法途径入侵金融机构内联网从事违法活动，从而对金融机构信息系统的机密性、完整性及可用性产生严重损害的风险。人民银行滨州市中支的中心机房里，在金融城域网及业务网上运维着国际收支下载平台、国库报表系统、电子文件交换系统等连通人民银行与各金融机构的重要业务系统，这些系统的使用极大地提高了金融机构的工作效率，实现了金融业务的规范平稳运行，但是伴随而来的，是各个方面的金融网络安全风险。为了应对风险，滨州市中支在上级行指导下采取了各种防范措施，如在技术上部署了入侵检测系统、漏洞扫描系统、金融网防火墙、上网行为管理系统等各种网络安全产品，在管理上落实了《中国人民银行信息系统信息安全等级保护实施指引》《中国人民银行信息系统安全配置指引》和《中国人民银行信息安全综合规范》等基本规范和制度，从各个维度对央行重要信息系统进行加固。

网络安全是动态的而不是静态的，信息技术发展越来越快，过去分散独立的网络变得高度关联、相互依赖，需要树立综合、动态的防护理念。一方面，互联网是各项技术更新最快的领域，如果不能时刻跟进学习最前沿的技术，那在应对网络安全风险时，就会处处落后于人。作为央行科技人员，不仅要满足于日常的运维管理，更要关注大数据、人工智能、云计算等新兴技术和业界最新的网络安全技能，增强网络安全风险识别与抵抗能力。另一方面，要强化科技人员的安全意识，加强合规管理。现阶段金融网络安全问题已成为牵一发而动全身的金融行业全局性问题，要认清我们面临的形势和任务，充分认识网络安全工作的紧迫性和重要性。在网络安全工作中，要加强风险排查，及时堵塞漏洞。要加强合规管理，注重各类信息安全制度的贯彻执行，加强岗位职责培训，大力开展各科室业务人员的专业知识教育，提升合规操作意识，严格落实信息系统安全生产“三道防线”风险防控工作机制，确保各个环节落实到位。特别是对中支各科室及各县支行的计算机安全管理员，要定期进行培训，既要提高他们的安全软件应用水平，又要强化信息安全防护意识，再由他们传播到全行人员，以点及面，为辖区的金融网络安全运行奠定基础。

针对当前央行县支行科技人员少、运维水平低的现实困难，滨州市中支实施了市县机房一体化改造工程，使用华为微模块机柜对县支行机房进行更新，建立了基于NetEco的市县机房一体化智能监控平台，率先实现了中心支行对县支行机房和网络运行情况24小时监控，有效实现了风险关口前移，提高了县支行抵御网络安全风险的能力，相关工作被人民银行济南分行做出肯定性批示。滨州市县机房一体化智能监控平台如图1。

3 业务类风险的应对

金融网络安全的业务类风险，是在互联网上进行的支付交易行为所存在的风险，金融网络业务的信息与交易都是在“看不见”的情况下进行的，任何一个点发生了故障，都会对全局的交易结算造成严重的损害。不同于技术风险的是，业务风险与群众有着密切联系，一旦群众的利益得不到保障，必然也会影响金融机构的形象和地位。立足于基层央行科技岗位，有义务向公众普及网络安全知识，提高公众的网络风险防范意识。

为了推动网络安全知识普及工作深入开展，不断拓宽网络安全知识宣传的广度和深度，确保宣传活动实效，滨州市中支在深入调研的基础上制定了宣传活动实施方案，辖内各支行和银行业金融机构尤其是地方性法人金融机构在滨州市中支的统一安排部署下，聚焦“关注个人金融信息保护，增强民众金融安全意识”，广泛开展宣传。通过剖析近年发生的金融网络诈骗案例，揭露诈骗手段和操作方法，提升公众防范网络诈骗的意识;着重宣傳金融科技在搭建安全支付环境、保护个人金融信息中的作用，增强社会公众对金融科技安全的信心。各单位以“网络安全为人民，网络安全靠人民”为主题，深入宣传贯彻习近平关于网络强国的重要思想，围绕党的十八大以来网络安全领域取得的重大成就，深入宣传《中华人民共和国网络安全法》以及数据安全管理、个人信息保护等方面的法规、标准，发动群众广泛参与网络安全宣传活动，普及网络安全知识，提升全社会的网络安全意识和防护技能。据统计，2019年滨州市辖内人民银行各支行及地方性法人银行业金融机构共组织集中宣传活动29次，发放宣传材料4000余册，组织线下宣传活动覆盖3500余人，效果良好。

首先是依托传统方式，贴近民众宣传。滨州市中支印制了《金融网络安全宣传手册》，向员工、周边居民、信用报告查询市民发放;制作了国家网络安全宣传主题横幅，悬挂于单位门前交通要道人行区域;在行内LED屏滚动播放宣传标语，营造宣传氛围;在外管服务大厅、征信服务大厅张贴、摆放宣传材料;开设了国家网络安全宣传专栏，讲解安全知识，提醒注意风险防范。

其次是专注重点区域，提升宣传效果。在营业网点前设置宣传点，向市场、学校、周边社区等人员密集区域开展集中宣传活动，组织专门人员为办理业务的客户和过往市民宣传普及防范网络诈骗的知识。考虑到老年人以及入学新生金融安全意识相对薄弱，将学生和老年群体定位为特殊群体进行集中宣传，联合建设银行滨州分行到滨州学院开展专题培训，得到了广大师生的良好反响。同时，宣传活动贴近农村、贴近农民、贴近实际，深入开展乡村、企业的一线宣传，为农村基层老百姓送上一堂真正的网络安全课。通过分析当前常见的诈骗案例，讲解如何识破骗局，重点围绕维护个人金融网络信息安全、免受非法诈骗活动侵害等相关金融知识，提高公众防范金融网络诈骗的意识和技能，争做“金融好网民”。

4 构建金融科技工作协调机制

数字化转型等金融业发展新趋势对基层央行指导协调金融业网络信息安全和关键基础设施建设，推动金融科技发展与监管提出了更高的要求。针对基层央行金融科技管理中存在的沟通不畅、协调低效等问题，滨州市中支建立了金融科技工作协调机制，通过厘清工作职责、搭建协调平台、分类量化评价，理顺了沟通渠道，提升了工作质效，有效保障了金融科技工作顺利开展。

1）制定金融科技协调清单，厘清金融机构工作职责

针对金融机构对口金融科技工作部门较多、工作职责范围不清的问题，滨州市中支结合总行“新三定”方案、《金融科技发展规划（2019-2021年）》及上级行相关部署，对基层央行金融科技工作职能、权限、工作事项进行了系统梳理，同时就梳理结果组织县支行、金融机构召开座谈会3次，广泛征求了各方意见，最终按业务类型梳理形成了金融科技协调职责清单，涉及金融业网络安全、金融科技发展与监管、金融标准化宣贯、银行卡与电子支付技术管理、金融业机构信息管理5个方面、39项配合协调事项。各金融机构根据协调清单工作事项，按照业务类型落实金融科技各项工作对应承办部门，明确了工作范围及责任人。

2）搭建“领导小组+专项协调小组”机制，工作责任传导更加顺畅

为解决金融科技工作沟通不畅、金融机构人员变动频繁的问题，滨州市中支成立了滨州市金融科技工作协调领导小组，由科技工作分管行领导任组长，统筹负责辖区金融科技工作部署推进，领导小组下设金融业网络安全与金融科技应用等4个专项协调小组，其中小组召集人由科技科人员担任，成员由各金融机构对口部门业务骨干组成，负责履行本单位金融科技协调清单工作事项，并配套组建“滨州金融信息安全”“滨州金融标准”等金融科技专项工作微信群4个，各小组成员实行10个工作日变更报备制，从而确保了39项配合协调事项在辖区金融机构实现到人到岗一一压实。目前，该项组织机制已覆盖辖区34家银行，49家保险及5家证券类金融机构共计269人。

具体工作形式一是召开联席会议，每年召开一至两次金融科技工作协调领导小组会议，推进部署辖区金融科技各项工作，加强指导与督办;随时召开各专项协调小组专题工作会议，通过现场会议、视频会议等形式，高效落实总、分行具体工作部署。二是定期沟通协作，包括定期上报统计报表、定期报送信息材料、定期组织现场调研、定期开展业务协同等。疫情期间通过腾讯会议等形式远程召开专项会议7次，“两会”期间通过微信群落实辖区银行业金融机构网络安全“零事件”报告制度，金融科技沟通渠道得到拓展丰富。

3）科学制定分类评价规则，夯实金融科技工作履职效能

为科学评价辖区金融机构履行金融科技工作职责情况，强化责任意识，滨州市中支依据《山东省金融机构综合评价管理办法》中金融科技综合评价内容，结合金融科技协调清单工作事项，制定了辖区金融科技工作履职效能分类评价规则。具体由各专项协调小组召集人对各金融机构对口部门履职情况进行分类评价、加权合并，实行按季通报、周期评价，并设立日常评价台账，做到加分扣分事项有据可依、有迹可循，进一步增强了金融机构履行金融科技工作的责任意识，提高了履职效能。

金融科技工作协调机制建立以来，辖区各金融机构积极配合，明确金融科技相关内设部门职责分工，经办人员责任意识明显增强，数据报送质量与金融科技工作积极性显著提高。滨州市中支多渠道推动辖区金融科技应用发展，指導滨州河海村镇银行和阳信河海村镇银行在全省率先完成IPv6规模推广阶段任务，指导辖区法人银行业金融机构制定金融科技发展规划，推动大数据、人工智能等金融科技项目落地，定期通过微信群下发银行业金融机构信息安全风险提示，共享信息系统安全加固方案，辖区金融业网络安全零事故。

5 结语

为有效应对技术类及业务类风险，在发展新技术新业务时，必须警惕风险蔓延，要更加注重完善依法监管措施，作为基层央行科技人员，必须承担起相应的责任，增强网络风险事件辨别能力，学习相关技术及法规，根据金融科技协调机制，指导协调辖区金融机构共同做好网络安全工作，筑牢金融网络安全“防火墙”。

参考文献：

[1] 李邦红.人格视角下大学生网络责任教育路径探析[J].思想政治课研究，2020（1）：85-91，63.

【通联编辑：代影】

作者：李建波

金融网络安全论文 篇2：

浅谈金融网络安全的现状及对策建议

摘要：近年来，随着金融科技的不断发展，金融服务网络化程度不断提升，同时也逐渐成为犯罪分子攻击的重要目标，这一问题在今后相当长的时间内将持续存在。本文阐述了当前金融网络安全的现状，以及金融网络攻击的诱因、特点和趋势，深入分析其对金融体系带来的挑战，并总结了现有的针对金融网络攻击的应对经验，提出了我国应对金融网络攻击的建议，以期提高对金融网络安全的重视程度，减少金融网络攻击带来的损失。

关键词：金融网络安全 金融网络 金融科技 防范对策

近年來，金融业务网络化趋势日益显著，而金融网络攻击也呈上升趋势，其频率、范围和复杂度递增，引发各界关注。金融网络攻击又是多种攻击手段的混合体，因此保障金融网络安全，是一个跨学科、跨领域的系统性工程。

本文阐述了当前金融网络安全的现状，以及金融网络攻击的诱因、特点和趋势，深入分析其对金融体系带来的挑战，总结了现有的应对经验，并提出我国应对金融网络攻击的建议。

1.金融网络攻击的现状

过去十五年中，随网络化程度的提升，网络攻击的数量增长了近7倍，而其中相当部分针对金融系统发起，金融网络安全问题对金融体系稳定带来极大挑战。一旦大型金融机构、核心系统遭受攻击，威胁极易快速传导至整个金融体系。同时，黑客工具的获得成本和使用难度降低、功能日益强大，使得初级黑客也能轻易造成严重破坏。攻击不辨国界，机构不论大小，皆会受到侵害。

1.1.中国的现状

中国信息通信研究院、平安金融安全研究院以及普华永道共同发布的《2018-2019年度金融科技安全分析报告》[1]显示，“在过去一年中，所有被调研企业均表示发生过不同类型的网络安全事件”。其中，针对客户资料及企业重要业务数据的攻击事件合计高达44%的比例，占比最高;而“DDoS攻击及网络勒索、病毒、蠕虫等恶意程序攻击”合计占比41%。特别是勒索病毒及蠕虫，在2018年至2019年上半年成为持续影响金融科技企业主要的网络安全风险。

1.2.其他主要国家的现状

2017年6月，在对美国和英国163名业主及4000多名员工就“现有和未来金融网络安全战略”进行的调查表明：金融网络攻击风险不仅是单纯的技术问题，与人相关的风险日益突出。因员工安全教育不足或疏忽渎职引发的风险事件占比高达66%、外部入侵威胁占18%、其他占9%、采用社会工程学的金融网络犯罪占3%、金融网络勒索犯罪占2%、使网络业务终断的占2%。（Adele，Adeola.， O‘Connell，Michael.，Watson，Towers.，2017）。

2.攻击金融网络的诱因、特点和趋势

2.1.金融网络攻击的诱因

2.1.1. 窃取货币资产

大量资金账户可通过金融网络触达，而新兴的数字货币也依托网络创造和流通，成为攻击的首选目标。

2.1.2. 窃取机密信息

金融体系时刻在产生和处理着海量信息，包括资金账户信息、银行卡信息、征信信息、金融机构的商业机密，甚至包括个人隐私信息。这些信息极具商业价值，成为攻击的重要目标。

2.1.3. 破坏金融系统

金融网络具有广泛连接性，关系公民的切身利益和社会稳定，地位异常重要。一旦重要金融机构遭袭，系统崩溃，数据丢失，将影响金融业务的正常开展，进而影响社会稳定。

2.2.金融网络攻击的特点

2.2.1. 路径广

金融网络空间通常分为4层：底层网络（金融机构间通信）业务系统（金融业务处理）客户端（客户、系统管理员、业务人员等使用）终端客户。

随着金融科技和金融业务的迭代升级，底层网络、业务系统、客户端的种类数量激增，移动终端的普及也促使客户群体不断壮大，这为网络攻击提供了众多的路径和选择。

2.2.2. 方式多

（1）暴力攻击：如借助高性能计算设备对各类密码进行暴力破解，或通过僵尸网络等发动DDoS攻击，导致金融系统瘫痪等。

（2）漏洞攻击：操作系统、数据库、网络通信协议、加密算法以及业务系统常常存在设计缺陷;而制度流程缺位、安全责任不明、管理执行不力也会带来安全隐患，极易被利用发起攻击。

（3）钓鱼攻击：人性的弱点、专业知识欠缺及防范意识薄弱，也会被网络攻击者利用。通过诈骗电话、木马程序、钓鱼网站、伪基站、伪热点等，引诱受害人，从而盗取账户密码、支付验证码以及金融资产。

（4）后门攻击：金融机构的软硬件供应商为便于系统维护，会预留“后门”，一旦被攻击者发现并获得控制权限，便可轻而易举地窃取金融数据和资产。

（5）三方攻击：黑客还可以通过攻击与目标系统关联的第三方系统，间接实现攻击。如从电商网站或外卖平台盗取相关支付信息，或攻击电信营业商的短信服务系统获取验证口令，再利用这些信息攻击目标系统。

2.2.3. 迭代快

随着《网络安全法》等法规出台，以及各方对网络安全问题日益重视，金融网络安全保障能力有大幅提升。但攻击者也在不断分析研究新的漏洞和缺陷，优化攻击工具和策略，因此防范难度也在提升。

2.3.金融网络攻击的趋势

2.3.1.频增量升

网络的普及使得网络攻击的技术和工具迅速扩散，降低了攻击门槛，使金融系统受攻击的频次显著增长。

2.3.2. 目标集中

网络攻击的重点开始从终端客户转向大型金融机构、金融网络基础设施等核心目标。而网银、移动支付、扫码支付等新型支付方式因普及程度高，也成为重点攻击对象。

2.3.3. 日趋复杂

高级持续性威胁攻击（Advanced Persistent Threat） 近年來日益频繁，木马在系统中长期潜伏，充分收集信息、全面掌握运行规律后才发动攻击，造成的损害较传统方式更大。

3.金融网络攻击给金融行业带来的新问题

3.1.威胁金融稳定

3.1.1削弱用户信心

金融体系无信不立，其安全性是便利性的前提。网络攻击导致财产受损案件频发，必然导致客户“用脚投票”，从而严重影响金融运行效率和业务创新。

3.1.2危害金融机构

金融体系被攻击，金融机构将面临多重损失 —— 危机处置导致成本上升、业务停摆造成收益下降、声誉受损、评级下调、士气低落、客户流失、法律纠纷等。

3.1.3负面效应传导

金融与网络不断融合，金融体系联系日趋紧密，结构日趋复杂。某一环节遭遇攻击，损失会波及关联方，甚至引发系统风险，严重破坏金融和经济活动的正常开展。

3.2.带来全新挑战

金融网络空间的攻防始终是一对不断进化的矛盾体，不断对金融网络安全提出新挑战。

3.2.1敏捷响应

针对既有网络攻击和自身暴露的风险，划定网络攻击防护等级及相应安全措施，合理调配资源，确保安全策略执行，有效应对并迅速排除风险，保证安全内控机制灵活敏捷。

3.2.2全面管控

对与生产系统安全紧密相关的环节全面管控，保证业务条线和业务人员切实履责，提升整体安保水平。

3.2.3可靠测试

除基础安检外，对关键环节定期开展全面测评，及时锁定并修复漏洞。

4.防范金融网络攻击的常见做法

4.1.提升风险意识

2007年金融危机以来，世界主要国家的金融监管机构在处理既有问题的同时，也高度关注包括网络攻击风险在内的其他风险，防范爆发新的危机。

4.2.建立应对框架

网络攻击路径广、方式多、迭代快，世界主要国家的金融监管部门和金融机构尝试打破原有制度局限，建立弹性网络安全保障框架，优化金融系统的防护弹性和恢复弹性，增强应对重大攻击的能力。

英格兰银行官员Andrew Gracie在2015年英国金融服务网络安全峰会上提出的应对框架[2]包括以下3点。

4.2.1防御能力

网络安全除技术能力外，人的潜在弱点也常成为攻击的切入点，金融机构必须加大人员培训投入。定期开展CBEST（Controlled，Bespoke，Intelligence-led Cyber Security Test）测试，基于全面威胁情报，分析可能的攻击方法和场景，设计测试流程，对金融关键系统和服务进行测试，以确定防护、检测及响应网络攻击的能力。

4.2.2恢复能力

常规的主、备系统关联紧密，技术上高度一致，一旦主站被攻破，灾备站点也岌岌可危。为保障攻击发生后快速恢复，确保业务连续性，主、备系统需要足够的隔离。

4.2.3有效治理

董事会应将网络风险作为金融机构的核心策略对待，并敦促管理层采取必要措施保证网络弹性。

4.3.完善法律法规

目前世界主要国家已形成较完善的法律体系。美国已颁布的法律法规包括：《统一商法典》的4A 篇（U.C.C. -ARTICLE 4A- FUNDS TRANSFER）、联邦《电子资金划拨法》（Electronic Fund Transfer Act）及联邦储备系统理事会颁布的E 条例（Regulation E）、《借贷诚实法》（Truth in Lending Act）等。欧盟则于2015年12月通过了《一般数据保护条例》（General Data Protection Regulation），明确了涉及个人数据的保护和监管原则。

4.4.开展国际合作

積极开展国际合作是打击跨国金融网络攻击的有效途径。2016 年10月，G7达成一项加强金融业网络安全合作的协议（Cybersecurity Guidelines）。该协议建立了一系列旨在加强金融基础设施、打击网络攻击以及协调减轻网络攻击影响的快速反应系统的共同战略。并建立了适当的治理机制、风险评估和恢复机制，将网络安全纳入风险管理范畴。

5.中国应对金融网络攻击的思考和建议

5.1.多级协同防控

5.1.1. 金融机构内部

将防范网络攻击纳入操作风险管理范畴，强化技术管理，落实部门责任。实现系统运维、风险控制和安全审计间的协同，职责明确、监督有力;培养网安专门人才与提升全员网安责任意识并举。

5.1.2.金融机构之间

监管部门、金融机构与行业协会间增强信息共享，全面掌握行业网络安全整体态势，动态调整风险治理措施，确保金融稳定。

5.1.3.跨行业跨部门

立足国家网络安全战略高度，与电力、通信等保障部门密切配合，实现对金融网络安全事件联合应急处置。与网信、公安、工信等执法部门信息互通，共同防范打击金融网络攻击。对系统供应商和运维机构精细化管理，从物理层面有效防范网络攻击。开展产学研合作，引入先进技术理念，不断提升安保能力。

5.2.加强主动防御

5.2.1.金融网络安全态势感知

借助大数据和AI技术，建立金融行业网安态势感知平台[3-4]，对异常事件及时发现、告警。做到金融网络安全可见、可控、可防，事前可预判、事中能防护、事后易追踪。

5.2.2. 金融网络攻击模拟测试

参照CBEST模式，定期组织重要金融机构开展模拟攻击测试，主动、及时发现和修补系统安全漏洞。

5.2.3. 金融网络安全自主可控

按照《中华人民共和国网络安全法》和国家网络安全审查制度，制定金融业网络安全审查方案，对进入金融体系的重要软硬件产品及厂商进行安全审查，保障产品安全可控，并积极推进上述产品的国产化替代，从根本上保障金融系统自主可控。

5.2.4. 提升防范意识防范能力

结合“网络安全宣传周”“429首都网络安全日”等活动进行主题宣传，提醒金融消费者做好安全防护，谨慎交易，提升防范意识和技能。

5.2.5. 金融网络异构灾备系统

建立金融网络灾备技术标准，并据此对金融机构现有主备站点进行异构改造，实现主备站点软硬件差异化配置，确保主备系统同步遭受攻击时，备份系统及时恢复至规定的服务水平。

5.3.完善保护机制

5.3.1. 健全法律法规

当前涉及电子支付和个人金融信息保护的法律法规虽在相关法律中有所涉及，但内容分散，无法有效解决法律纠纷中的新问题。应借鉴既有立法经验，结合实际，健全该领域的法律体系[5]。

5.3.2. 加强监管核查

按照《国务院办公厅关于加强金融消费者权益保护工作的指导意见》4的要求，指导督促金融机构妥善设立投诉受理渠道，对由网络攻击引发的投诉，查清事实，分清责任，妥善处理，切实维护金融消费者的权益[6-7]。

5.3.3.发展网安保险

国内网络安全保险市场刚刚起步，前景广阔。发展针对关联方风险的保险产品，鼓励金融机构对受托资产投保，可有效减少因网络攻击给金融机构和消费者带来的损失。

参考文献

[1]2018-2019年度金融科技安全分析报告[EB/OL].https：//www.pwccn.com/zh/issues/cybersecurity-and-data-privacy/2018-2019-fintech-cyber-security-report.pdf.

[2]Andrew Gracie： Cyber in context [EB/OL].（2015-07-02）.https：//www.bis.org/review/r150810a.htm.

[3] 管忆军.基于大数据的基层央行网络安全态势感知平台架构的探讨[J].金融科技时代，2019（10）：35-37.

[4] 廖渊，李北川.基于金融行业支付场景的安全态势感知模型研究[J].信息安全研究，2020，6（3）：235-243.

[5] 顾雷.我国个人金融信息的保护要义与监管建议[J].清华金融评论，2020（12）：97-98.

[6] 张明春.数字时代背景下基层金融消费者权益保护问题探析[J].金融科技时代，2020，28（3）：78-82.

[7] 赵帅.典型案例对网络安全保险发展的启示——以美国科洛尼尔公司网络勒索事件为例[J].中国保险，2021（8）：41-45.

作者：高赫

金融网络安全论文 篇3：

基于全面风险管理视角的金融网络安全管理标准框架

摘要：论文分析了国际主流的标准框架设计体系，其中包括信息安全管理国际标准的框架设计、美国国家标准与技术研究院（NIST）关于网络安全的标准框架以及新加坡金融管理局（MAS）的相关标准，同时也讨论了信息安全国家标准的框架设计，最后在此基础上提出了一个可行且优化的金融网络安全管理标准的框架。

关键词： 信息安全 风险管理 金融网络安全

Key words： information security， risk management， financial cybersecurity

在讨论细分领域网络安全标准时，我们应该将管理类标准与技术类标准分开，因为技术大多是通用的，尤其是密码技术等，虽然细分领域应用也略有不同。对于管理而言，存在的不同在于，管理虽然也存在通用性，但是与业务流程的结合更为重要。

1 国际标准架构、形成过程及其分析

ISO/IEC JCT1 SC27是目前影响最大的组织之一，关于信息安全管理的标准在2005年重新整合后，统一纳入ISO/IEC 27000标准族，该标准族目前也发布了关于网络安全（Cybersecurity）的标准，例如，2012年发布ISO/IEC 27032 Guidelines for Cybersecurity（网络安全指南）。当然，这区别于传统的网络安全（Network Security）相关标准，例如，陆续发布的6个部分的ISO/IEC 27033 Network Security（网络安全）。

ISO/IEC 27000标准族的起源是伦敦政经大学Backhouse等人开发的一个“最佳实践”，并将其定义为“信息安全管理体系（ISMS）”。也就是说，ISO/IEC 27000标准族是围绕一个“最佳实践”发展起来的标准体系。

ISO/IEC 27000标准族的发展与框架大致如下：

· 荷兰皇家壳牌石油公司多年信息安全实践；

· 1993年，Backhouse等人在英国政府资助下根据上述实践开发出“最佳实践”；

· 1995年，成为英国标准；1996年，加了一个方法论，即PDCA（Plan-Do-Check-Act）框架；

· 2000年，成为国际标准，“最佳实践”成了ISO/IEC 27002，“方法论”成了ISO/IEC 27001；

· 2005年，ISO/IEC 27000标准族的计划公布，并开始大规模统一标准号。

值得指出的是，之所以加PDCA框架，是因为1987年发布的ISO 9000是英国标准协会（BSI）推广成国际标准的，其中用的框架就是PDCA。当然，对于质量管理而言，贡献最大的是日本和美国，而不是英国，英国在国际标准推广方面比较领先。

目前的逻辑框架大致如下：

· ISO/IEC 27000至ISO/IEC 27008，是纯粹关于ISMS，或者说，从不同的方面定义了ISMS；

· ISO/IEC 27009至ISO/IEC 27030，包括了分行业应用，以及更外围的方面，或者与其他体系的整合问题；

· ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如，包括了信息安全事件管理和业务连续性管理等各个方面。

ISO/IEC 27000标准族是围绕“最佳实践”发展起来的框架，其后加的方法论，即PDCA戴明环，在实践中也备受争议。原因在于，对质量管理而言，技术手段是固定的，流程对于质量稳定非常重要，但是对于信息安全/网络安全管理而言，技术手段发展迅速，按部就班的PDCA多数时候没有用武之地。

就如上所示的框架而言，逻辑上非常清晰，但是存在一个很严重的问题：普遍认为，所有的网络安全实践的目的都是为了控制风险，但是在ISO/IEC 27000标准族中，风险管理所占的比重有限，为了解决这个问题，在ISO/IEC 27001中描述ISMS建立过程的时候，用了较大的篇幅描述风险评估和风险处置的过程。

结论A：以“最佳实践”为基础发展而来的国际信息安全管理标准架构（主要指ISO/IEC 27000标准族）并不是围绕“控制安全风险”展开的，虽然其中包含了风险评估/处置的过程，也多次强调风险管理的重要性，但整体而言，缺乏全面的风险观，至少其“PDCA方法论”并不能必然導致对风险的控制。

2 由此演化来的国家标准体系及其分析

全国信息安全标准化技术委员会（SAC/TC260）在2002年成立，是与ISO/IEC JCT1 SC27相对应的组织，因此，在信息安全管理方面的标准大致也遵循了上述逻辑架构，当然也有所创新，例如，在风险管理方面，发布了以下5个标准：

· GB/T 20984—2007 信息安全技术 信息安全风险评估规范；

· GB/Z 24364—2009 信息安全技术 信息安全风险管理指南；

· GB/T 31509—2015 信息安全技术 信息安全风险评估实施指南；

· GB/T 31722—2015/ISO/IEC 27005： 2008 信息技术 安全技术 信息安全风险管理；

· GB/T 33132—2016 信息安全技术 信息安全风险处理实施指南。

国家标准存在另一个不足，GB/T 27×××号码段已经被占用，如果沿用ISO 9000采用为GB/T 19000的类似形式，目前也不可行，导致国家标准不但存在国际标准已有的问题，而且看起来不够体系化。

结论B：在金融网络安全细分领域，如果将国际/国家标准体系照搬，不但会存在结论A所述的缺点，而且与金融主营业务所强调的全面风险管理视角不能一脉相承。

3 NIST Approach及其纵向分层分析

美国国家标准与技术研究院（NIST）的组织机构介绍中一直没有用“信息安全”这个词汇，该分支机构自成立就用计算机安全（Computer Security）这一词汇，2016年，该分支机构名称修改为Cybersecurity（网络安全）。

NIST关于网络安全管理标准的横向架构被Wheeler E.定义为NIST Approach。这个方法是一个围绕“安全风险”的框架标准集。具体而言，NIST Approach包括了6个步骤：1）分类（Categorize）；2）选择（Select）；3）应用（Implement）；4）評估（Assess）；5）授权（Authorize）；6）监视（Monitor）。

原则上，NIST发布的所有网络安全管理类标准都分布在这6个步骤上，但是实际情况是，已经发布的标准并没有将NIST RMF框架作为依据，这个框架在某种程度上只是充当了NIST Handbook的分类依据。究其原因，大概是因为这个“方法论”步骤过于复杂，已经失去了模型的抽象意义。

基于风险管理的横向划分应用是失败的，但是NIST SP 800-39所描述的风险纵向分层却有很高的实用价值，随后在2012改版的NIST SP 800-30就基于这个分层，具体分层为：

· TIER1，治理层，关注整个组织层面的风险；

· TIER2，管理层，关注任务/业务过程中的风险；

· TIER3，控制层，关注信息系统风险，或者具体的技术风险。

这3个层次的划分，最重要的意义之一在于使风险的管理责任变得有章可循，从上至下，风险的责任分别归属治理层（董事会和高管）、管理层（中层管理）和控制层（基层员工），关注的重点依次为：组织、任务/业务过程和信息系统。

但是NIST已经发布的标准中关于治理层（TIER1）和管理层（TIER2）的极少，绝大部分都集中在控制层（TIER3）。因为NIST发布的标准并不针对具体的业务系统或者具体类型的组织，导致很难抽象化，而信息系统更多的是技术问题，比较容易抽象。

结论C：NIST所描述的RMF方法论，虽然围绕 “安全风险”，但是严重失去了体系（system）感或整体感，同时，NIST所提供的纵向3个分层，对划分风险管理责任非常有意义。缺点是限于其部门职能，其绝大部分标准都集中在控制层。

4 MAS TRMG的框架分析

既然NIST是面向通用安全的标准机构，这同时也导致了治理层和业务层难以抽象化的问题，那么细分领域，例如金融网络安全恰好提供了这样的可能。新加坡金融管理局（MAS）在2013年发布的《技术风险管理指引》（TRMG）和ISO/TC 68发布的ISO/TR 13569： 2005都验证了这一观点。例如，在ISO/TR 13569： 2005中，5.2法律法规符合性中，有专门的“公司治理（corporate governance）”章节。又如，在MAS TRMG中，3.1 角色与职责，要求比较多是“董事会与高管宜……”。与之对应，ISO/IEC 27000标准族和NIST网络安全相关标准中，虽然也有关于治理的，例如ISO/IEC 27014： 2013，但比较游离，也比较简略。

还有一种可能，是否重视公司治理是由这些标准的制定者所导致的。因为ISO/IEC或者NIST发布的网络安全标准，一般都是出自信息系统管理领域或者计算机相关学科的学者，这些学者对于“公司治理”普遍知之甚少。但是ISO/TC 68的人员则不同，他们一般来自金融企业，对财务等领域很熟悉，而公司治理在研究方法和研究问题与该领域基本一致。

整体而言，MAS TRMG在整体架构上沿用了ISO/TR 13569： 2005，虽然在风险评估/管理的描述方面与ISO/IEC 27001相比较进展不大，但是在通篇描述上非常注重公司治理与巴塞尔协议兼容等问题。

5 基于全面风险管理视角的标准框架

综上所述，当前流行的标准体系优劣分析如下：

· 国际标准/ISO/IEC 27000标准族，优点为起源于“最佳实践”的整体设计非常体系化，但是缺乏全面的风险观，整体并不是围绕“控制安全风险”展开；

· NIST发布的标准，更注重落地，整个框架设计基于风险管理，虽然围绕“安全风险”，但是严重失去了体系感或整体感。

基于上述分析，我们提出了一个基于图1所示的网络安全管理标准的框架，这个框架基于全面风险管理视角，并采纳了NIST SP 800-39所描述的风险纵向分层，将所有的标准按照治理层、管理层和控制层分开，这个逻辑与ISO/TR 13569： 2005等标准也保持了兼容。

基于全面风险管理视角的金融网络安全管理标准框架沿用了NIST SP 800-39的纵向分层，以更好地区分不同的管理者应该关注的重点，以及更好地进行责任分割。具体描述如下：

· 治理层主要关注信息安全管理的架构问题，其中包括了词汇和框架等基础标准，也包括了形如ISO/IEC 27014信息安全治理一类的治理层问题；在职责分配方面，治理层的标准阅读者主要是组织高层管理者，据此确定组织的信息安全管理架构或信息安全风险管理架构；

· 管理层主要关注业务流程的相关问题，是实现信息安全转变为“从业务到安全”的关键，其中包括了不涉及具体信息系统情况下的各类安全控制，例如，信息安全风险评估流程、业务连续性管理、信息安全事件管理等标准；在职责分配方面，管理层的标准阅读者主要是组织的中层管理者，安全控制的选择要考虑治理层所确立的信息安全战略定位以及组织具体业务特点；

· 控制層主要关注具体信息系统的问题，更多的是基线配置指南，控制层的标准是管理层的相关标准要求在具体信息系统的落地，某种程度而言，这类标准更适合作为团体标准来处理，即，某类业务系统都有其基线配置要求；在职责分配方面，控制层的标准阅读者主要是技术人员。

6 小结

本文主要分析了基于“最佳实践”发展而来的ISO/IEC 27000标准族的架构和基于“风险管理”的NIST关于网络安全的相关标准架构，在此基础上，指出了这些标准难于在金融领域推行的几个原因：（1）缺乏全面风险管理的视角，使得安全控制与业务流程相结合较为困难，导致部署流于形式，例如，由于此原因，导致ISO/IEC TR 27015在2017年被废止；（2）未能考虑金融领域的强监管特征，应用范围较广的标准，例如ISO/IEC 27002：2013将此列入“符合性”，但是从ISO TR 13569：2005来看，金融领域的标准必须考虑行业监管以及巴塞尔协议；（3）没有充分考虑金融行业管理的特点，例如，MAS TRMG或ISO/TC 68发布的标准都无一例外地首先强调了“公司治理”，而现有的大部分的标准并没有考虑这些特点。

基于此，本文提出了金融网络安全标准的框架，这个框架避免了已有标准体系中所存在的以上问题，该框架主要有以下特点：（1）基于全面风险管理视角，将风险自上而下依次梳理为治理层的架构风险、管理层的过程风险和控制层的系统风险；（2）考虑金融网络空间的特点，强调金融网络安全的“最佳实践”，而不是照搬信息安全时代的最佳实践，例如，一个重要特点是对“可用性”的关注；（3）紧密结合金融行业的特点，充分考虑与巴塞尔协议等主流监管标准的兼容，并且将“公司治理”等作为重点关注的内容。

参考文献

谢宗晓. 信息安全管理体系实施指南（第二版）[M]. 北 京：中国质检出版社/中国标准出版社，2017.

谢宗晓. 信息安全管理体系实施案例（第二版）[M]. 北 京：中国质检出版社/中国标准出版社，2017.

赵战生，谢宗晓. 信息安全风险评估（第二版）[M]. 北 京：中国质检出版社/中国标准出版社，2017.

作者：贾海云 谢宗晓