提高金融網絡安全可控能力的操作策略

文/中國人民銀行科技司司長 王永紅

提高金融網絡安全可控能力的操作策略

文/中國人民銀行科技司司長 王永紅

經多年努力，以國家網絡安全保障設施為基礎、以金融網絡安全謹慎監管框架為指引、以金融機構技術防護為主體的金融網絡安全保障體系已基本建立，維護了金融網絡安全大局。但和平時期網絡安全局面不代表御敵于網絡邊界之外的真實安全。

提高安全可控能力是建設網絡強國核心

1.立足于國家網絡安全看待行業網絡安全

維護網絡空間主權成為國家安全戰略核心。網絡輿論、網絡攻擊在多個國家的暴力恐怖活動、顏色革命中充當了顛覆工具。2015 年3 月17 日，美國眾議院國土安全委員會主席麥考爾公開承認美國曾對朝鮮發動了網絡攻擊。沒有國家安全，就不存在行業和用戶安全。網絡安全隱患具有長期隱蔽性、爆發突然性?，F在的網絡安全要求具備防御外部網絡攻擊、快速恢復正常秩序的能力。

2. 大力降低網絡安全潛在威脅

減少產品后門威脅。技術產品后門相當于設置者潛伏在對方網絡空間的“第五縱隊”，是動搖國家關鍵信息基礎設施的“蟻穴”；降低單一供應鏈威脅。這是改變我國面臨的安全風險的重要環節。對外依存度高，一旦被切斷信息產業供應鏈，將嚴重威脅應用行業乃至國家安全。

3. 發揮應用行業的需求導向、用戶拉動作用

網絡安全可控能力與信息產業發展水平相適應。網絡大國是數量要求，核心內容是應用發展水平，主要指標是網絡覆蓋面、網民數量和網絡應用滲透率。網絡強國是質量要求，核心內容是安全可控能力，主要指標是規則制定能力、安全保障能力、網絡攻擊手段；促進創新驅動發展戰略。在國際上普遍認可的創新型國家中，科技創新對經濟發展的貢獻率在70% 以上，研發投入超過國民生產總值GDP 的2%，技術對外依存度低于20%。

建立健全提高網絡安全可控能力操作策略

站在行業應用、基層實施的角度，建立正向激勵機制，將提高網絡安全可控能力的國家戰略要求，轉化為行業發展內生性動力。管理端對需求端、供給端提出明確要求，推動建立安全可控產業生態圈。

1.將國家戰略部署轉化為機構發展職責

提出部門規章。將國家意志、人民意愿轉化為法律法規，有利于形成各行業和機構行為規范。在立法進程不可控的情況下，可圍繞加強國家關鍵信息基礎設施保護推出部門規章，處理好安全可控與自主可控、國產化與對外開放之間的關系；把提高安全可控能力列入行業發展策略。提高網絡安全可控能力，在一定時期內將增加投入、轉變技術路線、發展減速，“安全與發展”在操作層是一對矛盾。必須形成整個機構的“安全發展動力”。

2.在操作層實施創新驅動發展戰略

引導代理商推廣安全可控產品。非安全可控產品代理商和安全可控產品廠家“同室操戈”，不利于信息產業發展。管理部門應立足于創新驅動發展戰略，引導廠家積極主動推廣安全可控的產品，在供給側形成“安全發展合力”；建立健全國家檢測認證體系。結合國家建立網絡安全審查制度，依托專業檢測機構等建立國家檢測認證體系，發布具有可比性的產品檢測指標，鋪平安全可控產品的推廣之路。

（本文摘自“君眾科技”網站）