我國金融業(yè)信息安全體系建設策略

張 堃，于英民，左 佳

(1.中國軟件與技術(shù)服務股份有限公司，北京 100081；2.國泰君安證券股份有限公司，北京 100032)

0 引言

2018年4月21日，習近平總書記在全國網(wǎng)絡安全和信息化工作會議上發(fā)表重要講話，從黨長期執(zhí)政和國家長治久安的戰(zhàn)略高度，闡明了維護網(wǎng)絡安全的重要性和實踐要求，強調(diào)了核心技術(shù)是國之重器，大國重器必須掌握在自己手里。

作為經(jīng)濟發(fā)展的命脈和社會運行的神經(jīng)中樞，金融業(yè)在國民經(jīng)濟中處于牽一發(fā)而動全身的核心地位。金融業(yè)具有業(yè)務分散、數(shù)據(jù)量大、對風險防控和運行效率要求高等特點，加之金融業(yè)屬于信息服務屬性產(chǎn)業(yè)，其對信息技術(shù)的依賴程度要遠高于其他行業(yè)。因此，金融業(yè)應體系化推進信息安全體系的建設工程。

1 金融業(yè)在信息安全領(lǐng)域面臨的問題

習近平總書記指出：安全是發(fā)展的前提，發(fā)展是安全的保障?？傮w來看，金融業(yè)高度重視信息技術(shù)發(fā)展應用過程中存在的網(wǎng)絡安全問題，積極適應互聯(lián)網(wǎng)時代對金融網(wǎng)絡安全的新需求。但是，作為網(wǎng)絡攻擊的首要目標，我國金融關(guān)鍵信息基礎(chǔ)設施極易遭受攻擊；同時，由于如操作系統(tǒng)、數(shù)據(jù)庫、存儲等核心軟、硬件的國產(chǎn)化率較低，我國金融業(yè)在安全可靠、供應保障方面一直處于被動局面，面臨的網(wǎng)絡安全風險和數(shù)據(jù)安全風險日益突出。網(wǎng)絡安全風險指通過尋找更新、更具侵入性的攻擊方法，威脅金融業(yè)網(wǎng)絡安全；數(shù)據(jù)安全風險指通過非法手段獲取金融業(yè)運營和組織管理數(shù)據(jù)、賬戶數(shù)據(jù)、交易數(shù)據(jù)、投資融通數(shù)據(jù)等信息資產(chǎn)。

對我國而言，現(xiàn)階段金融業(yè)關(guān)鍵信息基礎(chǔ)設施所依賴的軟、硬件核心技術(shù)大部分依賴國外廠商供應，在技術(shù)上普遍采用封閉的系統(tǒng)，有很多排他性的內(nèi)嵌軟件，可能存在“漏洞”、“后門”等安全隱患；同時，過度依賴國外廠商的軟、硬件，一方面導致了使用及維護成本過高，另一方面易導致行業(yè)壟斷，一旦再次形成類似美國制裁中興的局面，我國金融業(yè)關(guān)鍵信息基礎(chǔ)設施將受制于人，甚至面臨“斷供”風險，造成的損失不可估量。

如何在充分利用新一代信息技術(shù)便捷性、高效性開展業(yè)務的同時，向核心業(yè)務領(lǐng)域壓茬推進以基礎(chǔ)軟、硬件為重點方向的技術(shù)，堅決防范重大風險和安全事件，成為金融業(yè)發(fā)展亟待解決的問題。

2 金融業(yè)信息安全的目標任務

金融業(yè)信息安全關(guān)乎國家金融安全和經(jīng)濟安全，必須要以實現(xiàn)關(guān)鍵信息基礎(chǔ)設施“改造+升級”為目標任務。改造的本質(zhì)是體系改造，體系改造應突出需求導向和問題導向，逐步完成用安全可靠的技術(shù)體系改造現(xiàn)有技術(shù)體系，用安全可靠的基礎(chǔ)軟、硬件產(chǎn)品改造現(xiàn)有基礎(chǔ)軟、硬件產(chǎn)品。升級的核心是能力提升，通過從軟件入手，到軟、硬一體過渡的路徑，確立CPU+OS的技術(shù)路線，重點突破，迭代發(fā)展，穩(wěn)步推進全要素改造、全應用覆蓋、全網(wǎng)絡融合，逐步建立完整生態(tài)環(huán)境。

此外，雖然現(xiàn)階段研發(fā)的基礎(chǔ)軟、硬件產(chǎn)品在性能上距主流產(chǎn)品還存在一定差距，但已達到“可用”并正向“好用”發(fā)展。因此，在“改造+升級”過程中，應革新思路，將從單純追求峰值性能轉(zhuǎn)變?yōu)樽⒅鼐C合應用效能，避免性能過剩造成資源浪費，突出面向生態(tài)建設的換道發(fā)展。

3 措施建議

針對當前金融業(yè)面臨的信息安全問題，各國紛紛出臺政策應對。2016年，美國金融監(jiān)管部門發(fā)布“網(wǎng)絡安全框架”，討論加強金融信息安全計劃的相關(guān)措施；2017年6月，我國正式實施《中華人民共和國網(wǎng)絡安全法》，強調(diào)金融業(yè)做好信息安全工作的義務和責任；2018年，歐盟出臺《一般數(shù)據(jù)保護條例》，明確從業(yè)務系統(tǒng)運營、信息化架構(gòu)重構(gòu)等方面保護金融信息安全。

為保障金融業(yè)信息安全，維護社會公共利益，確保經(jīng)濟健康發(fā)展，結(jié)合我國信息安全體系發(fā)展現(xiàn)狀，本文建議以“四個結(jié)合”為行動策略，體系化推進金融業(yè)安全水平和保障能力建設。

3.1 核心能力與解決方案相結(jié)合

面對我國在金融信息安全方面的被動局面，建議從政府、廠商兩個層面開展工作，加快安全技術(shù)和產(chǎn)品的研發(fā)和應用，解決過度依賴進口和安全防護弱等問題。在政府層面，產(chǎn)業(yè)及科研主管部門應加強對信息安全關(guān)鍵技術(shù)的研發(fā)支持；同時，出臺引導政策，鼓勵金融企業(yè)分階段、分批次推進相關(guān)工作。在廠商層面，應加強技術(shù)沉淀和推行產(chǎn)業(yè)化發(fā)展，進一步完善從芯片到整機、從基礎(chǔ)軟件到大型系統(tǒng)、從主動防御到聚合服務的體系化網(wǎng)絡安全核心能力，在此基礎(chǔ)上，推動網(wǎng)絡安全核心能力與金融業(yè)深度融合，形成安全可靠的整體解決方案。

3.2 需求引領(lǐng)與能力提升相結(jié)合

長久以來，IOE架構(gòu)憑借穩(wěn)定性、兼容性成為金融業(yè)的標準配置和唯一選擇。隨著互聯(lián)網(wǎng)金融的出現(xiàn)，IOE架構(gòu)已經(jīng)無法滿足金融業(yè)爆發(fā)式增長的計算需求，同時數(shù)據(jù)量的增加導致IOE使用成本的不斷增長。因此，金融業(yè)信息安全改造要在確保網(wǎng)絡安全等能力提升的基礎(chǔ)上，高效地實現(xiàn)開發(fā)過程和使用環(huán)節(jié)中用戶需求與供給能力的充分對接，通過多種類、多層次的需求滿足，促進成果的成熟與產(chǎn)業(yè)化，不斷提升基礎(chǔ)軟、硬件能力，形成需求與應用協(xié)調(diào)統(tǒng)一發(fā)展的格局。

3.3 重點突破與壓茬推進相結(jié)合

實現(xiàn)金融業(yè)信息安全是一項長期工作，加強頂層設計，扎實推進金融業(yè)關(guān)鍵信息基礎(chǔ)設施所依賴的軟、硬件核心技術(shù)的研發(fā)進程，才能確保金融網(wǎng)絡安全和信息化工作的前瞻性、科學性、有效性。同時，分階段實現(xiàn)核心領(lǐng)域信息安全技術(shù)的應用，從模式相對簡單、數(shù)據(jù)量相對較小的業(yè)務入手，以客戶為中心、以效率為優(yōu)先，重點突破，穩(wěn)步實現(xiàn)對全流程、全業(yè)務、全行業(yè)的覆蓋。

3.4 產(chǎn)融聯(lián)動與生態(tài)培育相結(jié)合

廣泛聚合資源，積極構(gòu)建安全可靠的金融信息安全產(chǎn)業(yè)生態(tài)鏈。加強與金融企業(yè)合作，打造產(chǎn)融結(jié)合的產(chǎn)業(yè)生態(tài)管理模式。設立百億級規(guī)模的“金融產(chǎn)業(yè)信息安全引導基金”，廣泛聯(lián)動并重點關(guān)注“互聯(lián)網(wǎng)+”、云計算、大數(shù)據(jù)和人工智能等戰(zhàn)略新興產(chǎn)業(yè)，深化產(chǎn)融聯(lián)動，促進金融業(yè)信息安全產(chǎn)業(yè)的持續(xù)發(fā)展。

4 結(jié)論

隨著移動互聯(lián)、大數(shù)據(jù)、云計算、人工智能等新興數(shù)字化技術(shù)與各業(yè)務的深度融合，金融業(yè)處于新舊思維碰撞、新舊動能轉(zhuǎn)換、新舊力量對比、新舊規(guī)則交替的十字路口，對關(guān)鍵信息基礎(chǔ)設施所依賴的軟、硬件安全性的要求變得更高。以“改造+升級”的思想在金融業(yè)推進相關(guān)工作，逐步完成軟、硬件產(chǎn)品的安全可靠、高效可用勢在必行。