新闻频道 > 热点专题 > 2020年中国保险业信息技术年会 > 正文
《金融行业网络安全白皮书(2020年)》发布:未来三年金融机构将加大“数据安全”投入
发布时间:2020-12-18 15:48:13 作者: 来源:中国银行保险报网
中国银行保险报网讯【记者 苏洁】
12月18日,由《中国银行保险报》主办,华为、腾讯云、平安产险、妙健康、亚信安全、天润融通协办的2020中国保险业信息技术年会在琼举行。会上,由《中国银行保险报》组织编写、亚信网络安全产业技术研究院提供智力支持的《金融行业网络安全白皮书(2020年)》(以下简称《白皮书》)同步发布。亚信安全高级副总裁刘东红对《白皮书》进行了解读。
《白皮书》显示,由于大型金融机构和中小型金融机构的信息化水平差距较大,网络安全防护技术体系的建设情况也参差不齐。大型金融机构普遍构建了纵深的安全防御体系,中小金融机构则缺乏顶层的体系化设计,以单点被动防御为主,整体安全防护能力较差。在网络安全投入上,国内金融行业网络安全投入比例只占营收的0.1%,与国外同行0.4%的平均水平有较大差距。
另外,在金融行业网络安全关键技术应用上,端点安全以防病毒和准入为主要防护手段,基本已全面部署,但EDR等主动威胁检测能力尚不具备;云安全和云平台基本采取同步规划建设的方式,防护现状较好,但也有部分中小金融机构存在云平台裸奔的情况;数据安全防护技术应用以数据脱敏、数据加密等成熟技术的场景化应用为主,尚未形成体系化的数据安全防护能力;态势感知和安全中台的建设已经成为行业热点,且人行推进的金融业态势感知与信息共享平台大大加速了这一进程,但由于多品牌安全产品联动实现有一定困难,因此部分机构建设效果未达到预期;在身份安全管理建设方面,中小金融机构和大型金融机构有明显差距,还有较大的提升空间;另外,威胁情报的应用也备受关注,其应用场景呈现多样化特征。
《白皮书》总结认为,随着国内外网络安全复杂、严峻形势的演变,我国金融行业网络安全形势日趋严峻,面临诸多新的风险和挑战:首先,金融科技创新大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险,提出了更高要求;其次,随着事件型漏洞和高危零日漏洞威胁的持续走高,网络攻击的种类、规模和方式也不断增加,隐蔽性更强的APT攻击成为常态;其三,金融数据涉及大量个人信息和资金等内容,数字化转型不断提升数据价值,金融业务的复杂性使得数据安全保护体系的建设难度不断加大;最后,金融行业的业务创新不断加速,各金融机构与第三方机构的连接越来越多,同时中小金融机构大量的依靠科技外包来获得快速发展,风险的传导范围和信息科技外包风险不断加大,需要重点关注。
从国内金融行业网络安全发展趋势来看,受信息泄露事件和《数据安全法》、《个人信息保护法》等法规颁布的双重影响,数据安全和个人隐私保护将成为未来建设的重点。
《白皮书》显示,从金融机构未来三年的网络安全主要投入领域来看,数据安全排第一。与此同时,金融行业对于网络安全服务需求持续增加,网络安全运营化和零信任架构也受到了普遍的关注,投入会持续上升。金融行业信息技术应用创新正在加速推动,为网络安全的基础性问题解决提供了新的契机;同时,随着5G在金融领域的商业化应用,将产生新的基于场景应用的网络威胁,带来新的安全挑战,为金融网络安全带来新的研究课题。
针对金融行业面临的新的风险和挑战,结合目前存在的问题,《白皮书》建议,金融机构从以下六个方面着手,快速提升网络安全综合防护能力:一是以人为本,采取多种方式加强网络安全意识培训和宣贯,提升全员网络安全风险防范意识;二是以合规能力建设为基础,全面贯彻落实“三化六防”防护体系新思想;三是创新思路,统筹推进网络安全顶层规划工作;四是加强个人金融信息保护,逐步建设全要素的数据安全治理体系;五是加强人、工具协同,首先通过XDR解决方案的快速落地形成完整的威胁检测防御能力,其次建设安全中台,实现从被动响应到主动运营的转变,形成体系化的安全运营能力;六是注重网络安全人才培养,同时加强与专业机构的合作,持续提升网络安全人员的专业技能。
中国银行保险报网讯【记者 苏洁】
12月18日,由《中国银行保险报》主办,华为、腾讯云、平安产险、妙健康、亚信安全、天润融通协办的2020中国保险业信息技术年会在琼举行。会上,由《中国银行保险报》组织编写、亚信网络安全产业技术研究院提供智力支持的《金融行业网络安全白皮书(2020年)》(以下简称《白皮书》)同步发布。亚信安全高级副总裁刘东红对《白皮书》进行了解读。
《白皮书》显示,由于大型金融机构和中小型金融机构的信息化水平差距较大,网络安全防护技术体系的建设情况也参差不齐。大型金融机构普遍构建了纵深的安全防御体系,中小金融机构则缺乏顶层的体系化设计,以单点被动防御为主,整体安全防护能力较差。在网络安全投入上,国内金融行业网络安全投入比例只占营收的0.1%,与国外同行0.4%的平均水平有较大差距。
另外,在金融行业网络安全关键技术应用上,端点安全以防病毒和准入为主要防护手段,基本已全面部署,但EDR等主动威胁检测能力尚不具备;云安全和云平台基本采取同步规划建设的方式,防护现状较好,但也有部分中小金融机构存在云平台裸奔的情况;数据安全防护技术应用以数据脱敏、数据加密等成熟技术的场景化应用为主,尚未形成体系化的数据安全防护能力;态势感知和安全中台的建设已经成为行业热点,且人行推进的金融业态势感知与信息共享平台大大加速了这一进程,但由于多品牌安全产品联动实现有一定困难,因此部分机构建设效果未达到预期;在身份安全管理建设方面,中小金融机构和大型金融机构有明显差距,还有较大的提升空间;另外,威胁情报的应用也备受关注,其应用场景呈现多样化特征。
《白皮书》总结认为,随着国内外网络安全复杂、严峻形势的演变,我国金融行业网络安全形势日趋严峻,面临诸多新的风险和挑战:首先,金融科技创新大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险,提出了更高要求;其次,随着事件型漏洞和高危零日漏洞威胁的持续走高,网络攻击的种类、规模和方式也不断增加,隐蔽性更强的APT攻击成为常态;其三,金融数据涉及大量个人信息和资金等内容,数字化转型不断提升数据价值,金融业务的复杂性使得数据安全保护体系的建设难度不断加大;最后,金融行业的业务创新不断加速,各金融机构与第三方机构的连接越来越多,同时中小金融机构大量的依靠科技外包来获得快速发展,风险的传导范围和信息科技外包风险不断加大,需要重点关注。
从国内金融行业网络安全发展趋势来看,受信息泄露事件和《数据安全法》、《个人信息保护法》等法规颁布的双重影响,数据安全和个人隐私保护将成为未来建设的重点。
《白皮书》显示,从金融机构未来三年的网络安全主要投入领域来看,数据安全排第一。与此同时,金融行业对于网络安全服务需求持续增加,网络安全运营化和零信任架构也受到了普遍的关注,投入会持续上升。金融行业信息技术应用创新正在加速推动,为网络安全的基础性问题解决提供了新的契机;同时,随着5G在金融领域的商业化应用,将产生新的基于场景应用的网络威胁,带来新的安全挑战,为金融网络安全带来新的研究课题。
针对金融行业面临的新的风险和挑战,结合目前存在的问题,《白皮书》建议,金融机构从以下六个方面着手,快速提升网络安全综合防护能力:一是以人为本,采取多种方式加强网络安全意识培训和宣贯,提升全员网络安全风险防范意识;二是以合规能力建设为基础,全面贯彻落实“三化六防”防护体系新思想;三是创新思路,统筹推进网络安全顶层规划工作;四是加强个人金融信息保护,逐步建设全要素的数据安全治理体系;五是加强人、工具协同,首先通过XDR解决方案的快速落地形成完整的威胁检测防御能力,其次建设安全中台,实现从被动响应到主动运营的转变,形成体系化的安全运营能力;六是注重网络安全人才培养,同时加强与专业机构的合作,持续提升网络安全人员的专业技能。
