網絡攻擊事件頻發、威脅日益增多,金融保險如何守住“安全”
金融保險安全直接關系到我國金融保險市場的穩定與健康,也是我國經濟實現高質量發展的重要基石之一。11月21日,2022年北京金融街論壇正式召開,同日,以“全球地緣經濟變動下的金融發展與金融安全”為議題的平行論壇同步舉行。在論壇上,《金融保險網絡安全合規技術白皮書》(以下簡稱《白皮書》)發布。
“保險是金融行業的重要組成部分,從整個銀行、證券、保險這三大行業來看,銀行業的網絡安全基礎比較好、實力比較雄厚,保險網絡的安全也在加強,但是跟銀行業相比總體來說還是一個短板。”清華大學五道口金融學院金融安全研究中心主任周道許在平行論壇上表示,保險網絡的安全要擺在更加突出的地位、更加迫切的形勢上來研究。
《白皮書》在《網絡安全法》和網絡安全等級保護制度框架下討論了金融保險企業面臨的網絡安全合規問題和實施實踐。《白皮書》明確了網絡等級保護的基本概念。具體而言,網絡安全等級保護是指對網絡(含信息系統、數據)實施分等級保護、分等級監管,對網絡中使用的網絡安全產品實行按等級管理,對網絡中發生的安全事件分等級響應、處置。
“網絡安全等級保護是黨中央、國務院決定在網絡安全領域實施的基本國策,網絡安全等級保護制度是國家網絡安全的基本制度,是實現國家對重要網絡、信息系統、數字資源實施重點保護的重大措施,是維護國家關鍵基礎設施的重要手段。”對此,周道許指出,網絡安全等級保護的工作勢在必行。
網絡安全等級保護可以帶來多個方面的好處。周道許表示,一是能夠降低網絡安全的風險,提升網絡系統的整體安全防護能力。二是能夠滿足國家、行業、主管部門法律的政策要求。三是重點保障了基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。四是能夠貫徹提升全員網絡的安全意識。
《白皮書》顯示,從網絡安全特級保護工作的五個環節來看,分別是定級、備案、建設整改、等級測評和監督檢查。零壹研究院院長于百程對北京商報記者表示,《白皮書》提到的定級、備案、建設整改、等級測評、監督檢查,是網絡安全等級保護工作的比較通用的五個流程步驟,應用到保險網絡安全等級保護符合行業慣例。
對于此次《白皮書》發布的意義,于百程表示,在網絡安全重要性不斷提升的今天,《白皮書》的發布為保險行業的網絡安全合規提供了指引。
“金融保險安全、金融保險網絡安全是保險業平穩健康發展的重要基礎,事關我國保險業發展全局。”對于在當下這一大環境下保證金融保險安全、金融保險網絡安全的必要性,著名經濟學家宋清輝對北京商報記者表示,從保險業角度出發,保證金融保險安全、金融保險網絡安全一方面有利于增強金融保險安全體系的穩定性和安全性;另一方面還有利于推動金融保險網絡安全融合發展,促進金融保險網絡安全產業高質量發展。
對于發布《白皮書》的考慮,周道許在平行論壇上表示,當前的網絡安全形勢不容樂觀,一方面,網絡攻擊事件頻發,對社會穩定、生產運行、人民生活造成深遠的影響;另一方面,新技術、新場景的網絡威脅日益增多,利用安全漏洞實施鏈式攻擊更加頻繁。
《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等重磅法律條例的頒布,意味著金融行業基于行業本身的屬性也需要把監管部門的要求落到實處,所以金融網絡安全的合規工作也成為必然要求。
不過,在周道許看來,即使實施了“五個步驟”,還要定期進行漏洞掃描,要進行定期滲透測試,要加強安全鞏固,同時出現了風險事件、安全事件應急響應,還要加強員工的安全意識培訓等。
