在大資料時代,資料探勘和分析的技術得到前所未有的發展,散落在入口網站與社交網站的個人資訊都可通過二次利用被挖掘出個人的隱私資訊,一旦被非法利用,就可能對使用者造成難以估量的損失。銀行作為客戶資金和資訊的重要載體,保障客戶的網上交易安全和資訊保安責任重大。
11月7日,全國人大常委會表決通過《中華人民共和國網路安全法》,該法將於2017年6月1日起施行。
應該說,《網路安全法》從起草到審議,與國內外網路空間安全化、法制化的發展趨勢相吻合。從全球範圍看,目前已有70餘個國家相繼制定網路安全戰略,網路安全已逐漸成為影響全球巨集觀經濟與政治穩定的重要因素。因此,相關法規的出臺勢必將彌補我國參與國際網路安全治理的短板。
《網路安全法》也必將對金融業特別是銀行業的發展產生深遠的影響。金融是經濟的核心,而銀行又是金融業的重中之重。銀行資訊保安是銀行業務開展的基礎,是銀行經營穩健執行的保障。在大資料時代 , 資料探勘 和分析的技術得到前所未有的發展,散落在入口網站與社交網站的個人資訊都可通過二次利用被挖掘出個人的隱私資訊,一旦被非法利用,就可能對使用者造成難以估量的損失。銀行作為客戶資金和資訊的重要載體,保障客戶的網上交易安全和資訊保安責任重大。
未來銀行的核心競爭力之一將是大資料能力,這已成為銀行業界的共識。對於銀行來講,只有擁有強大的“大資料”處理能力,才能使銀行資料應用達到價值最大化。在銀行資訊化、網路化時代,如何利用大資料的優勢加強銀行機構的內部控制,防範和化解敏感資料資訊洩密風險,是當前銀行業資訊保安關注的重點和難點。
沒有資料安全就沒有資訊保安,資料安全管理必須貫穿資料生命週期的全過程。大資料的應用存在運維風險和運營風險等,前者如資料丟失、資料洩露、資料非法篡改、資料整合過程中的資訊不對稱導致錯誤決策等,後者如企業聲譽風險、資料被對手獲潤的經營風險等。因此,必須加強資料管控。
據瞭解,國內網路犯罪案件呈現逐年上升的態勢,其中涉及金融業特別是銀行資訊保安方面的犯罪也不在少數。如,2014年2月支付寶員工在資訊系統的後臺下載了大量客戶資訊有償出售給其他電商公司;2016年相繼發生的攜程信用卡資訊洩露、小米社群使用者資訊洩露等事件中,出現了大量使用者資訊資料被盜,導致使用者網路銀行賬戶被入侵事件等。上述事件嚴重影響了金融消費者合法權益,也充分暴露出在網路資訊保安領域有較大隱患,不容小覷。
從各家銀行內部看,目前無論從系統管理的角度還是從安全技術水平的角度,也都存在著不少的不足與問題:
從業務管理角度看,對資訊保安的認識不到位,資訊保安意識觀念薄弱;重視資訊保安產品的投入而忽視管理投入,應急預案不完備。同時,不少銀行缺少資訊保安管理的複合型人才。
從資訊科技角度看,部分銀行使用的軟體安全性較弱,系統漏洞較多,給業務系統帶來安全威脅,如計算機黑客的惡意入侵,盜取個人資訊和重要敏感資料。此外,還存在災備措施不完善等問題。
從環境變化角度看,業務由封閉走向開放,業務環境變化導致新的安全問題。當線下交易走到線上進行,銀行面對更多的挑戰來自線上挑戰,有些挑戰前所未有,缺乏應對的經驗和能力。
《網路安全法》共計七十多條,對網路安全各方面事項行了全面規定,內容詳細,影響深遠。從巨集觀層面看,此法的出臺將解決長期困擾網路安全工作的一些基礎性問題,有利於在一個較長時期內,統一社會各方的思想和行動。面對“網際網路+”新態勢下的資訊保安挑戰,我國銀行業應主動適應市嘗環境、技術的變化,充分藉助《網路安全法》即將出臺的東風,構建一套切實可行的銀行資訊系統安全保障體系和方法,著力開創銀行資訊保安的新局面。
具體而言,下一步可以從以下幾個方面進行努力:
一是加強對《網路安全法》的學習宣傳和培訓。認真做好相關專業人員的安全意識教育,而且常抓不懈。通過宣傳和培訓,提高所有參與管理的人員資訊保安和風險防範意識,關鍵是要重點培養資訊保安的業務骨幹。
二進推進資訊保安標準化體系建設。組織完善資料中心建設、資料儲存、網路互連、安全加密、資料交換、安全認證、客戶服務方面標準的制定。對網上銀行、移動銀行、電子商務等創新產品和服務,制定與之相適應的標準和規範。
三是建立資訊保安應急管理機制。大型的銀行要積極建設“兩地三中心”,中小型銀行可以考慮選擇災難備份外包服務,使銀行具備抵禦火災、地震、暴雨等自然災害的能力,全面促進業務系統的連續性,著實增強銀行防範風險能力。
四是加強資訊保安複合型人才培養。在多渠道培養人才的同時,還要與實踐相結合,在學習各類資訊保安知識和技術的前提下,組織參與培訓專業人員針對資訊保安制度進行實踐檢驗。此外,應從晉升、薪酬等方面對資訊保安人才進行激勵。
《網路安全法》明確提出國家要對關鍵資訊基礎設施重點保護,要加強網路安全資訊收集、分析等工作,採取措施防禦處置網路安全風險和威脅等。鑑於大資料資源在網路安全方面的戰略價值,針對大資料服務及大資料應用方面,還應採取相應措施:合理約束敏感和重要部門對社交網路工具的使用,應避免、限制使用社交網路工具作為日常辦公的通訊工具;敏感和重要部門應謹慎使用第三方雲端計算服務,特別是銀行應謹慎使用第三方雲服務,避免使用公共雲服務;嚴格監管、限制境外機構實施資料的跨境流動。
法律是維護國家穩定、金融發展的最強有力武器。相信隨著《網路安全法》的出臺,銀行資訊保安工作將迎來更加美好燦爛的明天。