淺析加強我國金融網絡安全的措施

秦沁

摘要：自改革開放以來，我國金融領域機構蓬勃發展，業務欣欣向榮。隨著信息科技的進步及網絡通訊的發展，網上銀行、手機銀行、支付寶、微信等新興支付方式越來越受到大眾的青睞，傳統的支付領域面臨著巨大的挑戰。然而，技術與操作的結合也給犯罪分子和黑客們更多可趁之機，金融網絡安全已成為發達國家的關注重點。本文通過對目前我國金融網絡安全存在的問題進行分析，從白宮發表的金融“網絡安全框架”中受到的啟示，提出了我國金融機構如何加強網絡信息安全管理的應對措施。

關鍵詞：金融網絡 風險管理 措施

一、我國金融網絡安全面臨的問題

（一）金融機構信息安全風險管理欠缺

歷史上，由于金融機構多數采用紙質化工作，大部分主要安全問題都發生在實物數據資產的損失上，如票據、賬簿、機密文件的保管不當造成的信息缺失，或因意外造成的營業場所滅失。進入21世紀以來，世界范圍內的金融創新活動空前活躍，新的金融工具、金融產品及新興技術的廣泛應用，自動化、便捷化、電子化成為了主流，逐漸代替了以往的傳統操作。當前，犯罪份子以金融機構的電子數據和網絡為目標，不斷的發起攻擊來獲取客戶的重要信息，網絡安全威脅已經成為銀行業面臨的最關鍵問題之一。

近年來，金融機構在搭建金融網絡的同時，存在重建設、輕管理，重開發運行、輕安全維護的現象，應急預案的時效性和可操作性有待改進，應急演練的真實性有待加強。

（二）金融網絡內信用缺失現象嚴重

由于信用體系發育程度低，社會“失信”問題較為嚴重，金融產品在生產和交易過程中更容易出現信息不對稱和道德風險問題。信用風險不斷在金融體系中積累，會傷害交易者的合法權益，引起交易者信心喪失，使得交易方式的發展舉步維艱乃至倒退。同時，缺乏信用基礎，會使得網上銀行、手機銀行、電子支付等交易方式在國內的生存與發展后勁不足，影響現代經濟的正常運行。信用缺失不僅會阻礙網絡經濟的發展，更會阻礙我國經濟全球化發展的進程。

（三）金融監管方面存在的問題

網絡金融是一把“雙刃劍”，一方面起到改變金融機構運營模式的作用，提高經濟運行效率；另一方面也給金融機構與客戶帶來較多風險。在金融自由化、信用證券化、金融市場全球化的過程中，各種信用形式得以充分運用，網絡金融面臨的風險日益增加，金融網絡風險的特殊性使得監管機構對金融網絡安全的監管比傳統金融更為重要。目前，我國的金融網絡安全監管方式尚處于初始階段，從監管手段到法律法規并不完善。傳統的監管方式已不合時宜，金融監管當局應當不斷更新監管標準，優化監管結構，以適應瞬息萬變的金融市場，保障市場經濟的科學、穩定發展。

在貫徹落實我國經濟發展要求、提高金融網絡安全可控能力的過程中，監管層面的技術創新能力及網絡攻防能力應用有限，金融監管當局仍應該從需求導向出發，立足用戶拉動的角度，推廣使用安全可控的網絡金融產品，降低對少數廠家、產品的依賴度，在促進信息產業發展、提高國家網絡安全可控能力的基礎上提高金融網絡安全保障水平。

二、美國采取的應對網絡安全威脅措施

2014年2月，美國白宮正式推出一項可自愿加入的“網絡安全框架”項目，該項目吸納了全球現有的安全標準以及做法，以幫助有關機構了解、交流以及處理網絡安全風險。該文對我國加強金融網絡安全管理極具借鑒意義。

（一）提升關鍵基礎設施的網絡安全

1、明確國家級別的網絡安全標準

美國總統于2013年2月12日簽署并發布了名為“改善關鍵基礎設施網絡安全”的行政命令，并授權國家標準與技術研究所（NIST）開發一套基于風險的網絡安全框架，旨在作為一個國際級別的自愿標準和最佳業界實踐參照，幫助各機構把控網絡安全風險。NIST于一年后發布了《網絡安全框架》，該框架包括了五個核心領域：識別、保護、檢測、響應及恢復。

2、將網絡安全納入法律規范

上世紀末，美國《金融服務現代化法案》就已要求銀行等各金融機構開發一個信息安全程序。如今，NIST開發的《網絡安全框架》在銀行現有的信息安全程序基礎上，作出了進一步的修改和完善，以解決新興網絡風險，使得銀行的信息安全程序更加適應當今網絡化操作的趨勢。

（二）建立新型的網絡風險管理模式

要求銀行管理層須將網絡安全風險考慮納入整體風險管理框架，設計和實施合適的緩沖控制，并更新各自的政策和程序，最終通過審計程序驗證目標控制結構。一個有效的網絡風險控制結構應重點考慮四個方面：公司治理、威脅預警、安全意識培訓和補丁管理程序。

（三）發揮存款保險機構的監督管理作用

美國聯邦存款保險公司通過對銀行的現場檢查、定期報告、預警報告等措施實時監控網絡安全問題。同時，通過對監管政策的有效性、是否具有改進潛力、是否能夠適應當下潮流進行評估，切實保護其監管銀行免遭威脅。最后，發布實用工具，幫助銀行提高網絡風險應對能力。在2014年夏天，聯邦存款保險公司舉辦了網絡挑戰測試，成員機構可以通過觀看一系列視頻，并結合模擬練習來評估其網絡事件處置預案。

（四）加強網絡安全警示培訓

聯邦存款保險公司于2015年創立了網絡安全警示培訓計劃，通過電視電話培訓和現場輔導的形式，對由其監管的成員機構及其聯保存款保險公司監管人員和管理層進行培訓。

三、維護我國金融網絡安全的基本對策

隨著金融服務網絡化程度的提高及我國金融交流的國際化， 金融安全問題必然成為國家經濟安全中的最重要的內容。而網絡時代的信息金融安全對于像我國這樣的發展中國家尤其重要。

（一）強化信息安全意識，制定完善行業標準

政府應將網絡金融信息安全可能出現的威脅納入重點防范框架，建立一個統一的分類，按用戶類別制定金融信息安全國家級行業標準，指導各行各業學習行業標準，開展信息安全管理建設，規范網絡金融參與者的行為。同時，要根據市場風向的更新，對相關監管制度進行不斷地修改完善，使法律法規在時間層面和物理層面上能夠充分銜接。

（二）加大信息安全投入，建立大數據解決方案

銀行業要在控制風險的基礎上，充分利用當下大數據云計算的優勢，建立健全適合銀行業信息安全系統的建設框架及信息安全管理規范，修正完善已有的安全規范措施，豐富整體信息安全保障體系，建立完善的云計算和數據防護設備及體系，提高國內網上銀行的運營及發展能力。

（三）加強網絡安全警示培訓教育

一是根據不同的對象可能面臨到的相關網絡風險，進行分類化警示和引導；二是重點對新入職的員工開展職業培訓，重點要完善業務的操作規程， 強化關鍵權限崗位管理培訓以及內部制約機制；三是提升合作第三方及客戶的風險意識，定期向客戶和合作第三方宣傳網絡安全的重要性，結合案例、實操等方式幫助他們提高自我保護意識，抵御網絡風險。

（四）將網絡安全納入銀行整體風險管理框架

銀行應該積極利用現有資源識別、減緩潛在相關網絡風險，將網絡安全作為董事會的關注重點，制定整體化的網絡安全防范框架，明確各部門的網絡安全防范職責，營造網絡安全優先的企業文化，調動全體員工對網絡安全維護的積極性。在建立這一網絡安全防范框架時，必須將公司治理、威脅預警、安全意識培訓和補丁管理程序四個方面考慮在內，同時也應將非正常情況下的應急計劃和業務連續性計劃納入考慮，要求金融業務向綜合化、 全能化轉變。

四、結束語

在虛擬經濟已大大脫離實體經濟發展需求而存在的今天， 金融網絡安全問題已然成為國家經濟安全中一項重要的內容。隨著金融服務網絡化程度的不斷提高，我國各行各業金融交流的深入化及全球化，金融網絡安全管理成為網絡金融市場健康發展所要面對的核心問題。無論是盜領還是更改電子資金信息， 對于信用重于一切的金融機構而言，都是極大的風險隱患，會使我國經濟遭受巨大損失。本文希望通過分析和借鑒美國“網絡安全框架”的指導思想，并結合當下國內金融網絡安全現狀，為我國金融機構如何加強信息安全管理提供新的思路，從而保障網絡金融活動更加健康、有序的進行。