网络攻击事件频发、威胁日益增多,金融保险如何守住“安全”
金融保险安全直接关系到我国金融保险市场的稳定与健康,也是我国经济实现高质量发展的重要基石之一。11月21日,2022年北京金融街论坛正式召开,同日,以“全球地缘经济变动下的金融发展与金融安全”为议题的平行论坛同步举行。在论坛上,《金融保险网络安全合规技术白皮书》(以下简称《白皮书》)发布。
“保险是金融行业的重要组成部分,从整个银行、证券、保险这三大行业来看,银行业的网络安全基础比较好、实力比较雄厚,保险网络的安全也在加强,但是跟银行业相比总体来说还是一个短板。”清华大学五道口金融学院金融安全研究中心主任周道许在平行论坛上表示,保险网络的安全要摆在更加突出的地位、更加迫切的形势上来研究。
《白皮书》在《网络安全法》和网络安全等级保护制度框架下讨论了金融保险企业面临的网络安全合规问题和实施实践。《白皮书》明确了网络等级保护的基本概念。具体而言,网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
“网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,网络安全等级保护制度是国家网络安全的基本制度,是实现国家对重要网络、信息系统、数字资源实施重点保护的重大措施,是维护国家关键基础设施的重要手段。”对此,周道许指出,网络安全等级保护的工作势在必行。
网络安全等级保护可以带来多个方面的好处。周道许表示,一是能够降低网络安全的风险,提升网络系统的整体安全防护能力。二是能够满足国家、行业、主管部门法律的政策要求。三是重点保障了基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。四是能够贯彻提升全员网络的安全意识。
《白皮书》显示,从网络安全特级保护工作的五个环节来看,分别是定级、备案、建设整改、等级测评和监督检查。零壹研究院院长于百程对北京商报记者表示,《白皮书》提到的定级、备案、建设整改、等级测评、监督检查,是网络安全等级保护工作的比较通用的五个流程步骤,应用到保险网络安全等级保护符合行业惯例。
对于此次《白皮书》发布的意义,于百程表示,在网络安全重要性不断提升的今天,《白皮书》的发布为保险行业的网络安全合规提供了指引。
“金融保险安全、金融保险网络安全是保险业平稳健康发展的重要基础,事关我国保险业发展全局。”对于在当下这一大环境下保证金融保险安全、金融保险网络安全的必要性,著名经济学家宋清辉对北京商报记者表示,从保险业角度出发,保证金融保险安全、金融保险网络安全一方面有利于增强金融保险安全体系的稳定性和安全性;另一方面还有利于推动金融保险网络安全融合发展,促进金融保险网络安全产业高质量发展。
对于发布《白皮书》的考虑,周道许在平行论坛上表示,当前的网络安全形势不容乐观,一方面,网络攻击事件频发,对社会稳定、生产运行、人民生活造成深远的影响;另一方面,新技术、新场景的网络威胁日益增多,利用安全漏洞实施链式攻击更加频繁。
《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重磅法律条例的颁布,意味着金融行业基于行业本身的属性也需要把监管部门的要求落到实处,所以金融网络安全的合规工作也成为必然要求。
不过,在周道许看来,即使实施了“五个步骤”,还要定期进行漏洞扫描,要进行定期渗透测试,要加强安全巩固,同时出现了风险事件、安全事件应急响应,还要加强员工的安全意识培训等。
