自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

金融机构数字安全规划要点综述

文 | 蔚晨

蔚晨 

某金融科技公司

信息安全专家

摘要

当前，数字经济作为发展最快、创新最活跃、辐射最广的经济活动，正在成为全球经济复苏和增长的重要驱动力， “元宇宙、WEB3.0、碳达峰、碳中和”不断冲刷人们的认知。建设数字中国就是在这样的大背景下，不断落地、不断深入、不断生根发芽长出新的枝蔓。

金融机构数字化转型是数字中国建设的排头兵、先锋队，如何保护金融机构数字化转型过程中的网络及信息安全，保障金融机构业务持续运营，及时化解安全风险是安全团队的核心工作。面对充满不确定性的2022年，本文将从制度体系、技术措施、安全服务、能力创新四个方面提出安全保障建议，帮助安全从者梳理2022安全工作规划，有条不紊地落实各项工作。

概述

金融机构作为建设数字中国大潮中数字化转型的先行者，基于其良好的信息化基础，早早的就开始了数字化转型工作。

图 1数字中国宏观背景

法律法规奠定安全基线。伴随着 “网络安全法”、“数据安全法”、“个人信息保护法”、“关键信息基础设施安全保护条例”等法律法规的发布与落实，根据金融行业安全特点，金融监管机构有针对性地制定并发布了“金融控股公司监督管理试行办法”、“金融消费者权益保护实施办法”、“金融数据安全-数据安全分级指南”、“商业银行应用程序接口安全管理规范” 、“个人金融信息保护技术规范”、“金融数据安全-数据生命周期安全规范”等系列金融行业安全规范、技术指南，为金融机构数字化转型指出了明确的安全基线。

更新战略思路，解决多方矛盾。与此同时，金融机构的网络及信息安全规划工作，必须放到更大的宏观背景中去考察，才能真正的指导未来工作。在数字中国建设大潮中，以往网络及信息安全概念已经不能很好的统合行业内不同领域的共识，必须升维看待这个问题，放到更宏观的背景中去中思考。随着数字化转型持续深入，“数字安全”将逐步整合网络安全、信息安全、数据安全等不同维度，从更宏观的视角来统一不同概念，形成共识。金融机构数字安全将为金融机构看待网络安全、信息安全、数据安全问题，提供统一视角，在各方形成共识的情况，来分析问题解决问题。

下面我将从制度体系、技术措施、安全服务、能力创新四个方面来分析金融机构数字安全规划的要点。

制度体系

我国大部分金融机构通过多年网络安全建设都已经具备了基本的网络安全制度。但这些制度的落实情况如何？制度之间是否存在相互矛盾的现象？是否还存在管理空白？现行制度能否适应未来一段时间数字安全发展形势？这些问题是规划未来一年安全制度体系考虑的要点与重点。

技术措施

根据2021年我国金融行业网络安全发展态势来看，移动应用安全、供应链安全、个人隐私保护、数据防泄漏将是2022年保护的重点。

图 2022年网络安全防护重点

移动应用是金融机构安全管控的薄弱环节。特别是在移动应用采集个人信息过程中，“提前告知、适度采集、适度使用、信息保护”都是金融机构研发与运营需要考虑的关键性问题，保住底线、不踏红线，确保移动应用安全合规。

图 3移动应用是金融机构安全管控的薄弱环节

供应链安全事件一再发生。2021年底的Apache Log4j2漏洞给金融机构再次发出警示。堡垒最容易从内部攻破，一个来自技术架构底层代码的漏洞，将影响整个产品的安全性与可靠性。金融机构的信息系统无疑都使用了大量开源组件，推动安全开发、上线前漏洞检测，坚持运行过程中漏洞扫描与渗透测试，持续关注国家互联网中心安全漏洞通报、及时修复漏洞，减少0day曝光时间，防止由于供应链安全事件导致更大的安全影响。

图 4供应链安全事件一再发生

个人隐私保护逐渐成为数据安全保护的重点领域。金融机构所持的个人信息具有价值密度高、影响范围大等特点，2020年左右金融行业个人隐私泄露事件频发，这里即有管理制度落实不到位，也有技术措施保障不落地的原因。随着企业数字化转型，线上场景将越来越多，金融机构所持的个人信息，更成为其他行业的稀缺资源，如何即保护个人信息安全，又能提高数据资源利用率，发挥数据要素市场价值，是安全人员要考虑的重要问题。

图 5个人隐私保护逐渐成为数据安全保护的重点领域

安全服务

图 6安全服务三面观

金融机构数字安全工作思路转变。在金融机构完成网络安全基础设施建设后，安全从业者的思路要从安全管理者向安全运营者转变。从管理视角出发，安全与业务有很强的对立关系，安全强则业务顺畅弱，业务强安全保障低。但若从安全运营视角出发，安全为业务服务，业务在安全保障下运行。

持续安全运营是安全服务的基础。金融机构安全团队应当从物理安全、通信网络安全、网络边界安全、计算中心安全、安全管理制度、安全管理架构、安全管理人员等视角，以及安全检测、安全事件应对、安全事件追溯审计、系统恢复动态视角，综合建设安全运营能力。具备基础安全防护服务，系统上线前安全检测服务，系统运行过程中安全检测与应急保障服务，以及安全事件审计与应急恢复能力。

安全运营过程降低碳排放。我国提出的碳达峰、碳中和双碳目标，安全人员也要及早考虑到安全服务中来，有意识的减少安全运营过程中的碳排放，及早降低后期减碳压力，为以后的工作埋下伏笔。

能力创新

“创新”将是未来几年大家共同关注的话题，特别是信息技术产业，创新更是讨论的重点。随着金融机构数字化转型的持续深入，数据跨组织机构流转将成为必然，以“可算不可见”为核心的隐私计算，是金融机构持续创新的重点领域。及早布局联邦学习、联邦计算、边缘计算、同态加密、差分隐私、AI安全等安全领域，提高安全运营能力，通过安全赋能业务创新。

综上所述，金融机构开展安全防护当转变思路，从建设数字中国、数字化转型角度出发，用新的哲学观点解决新问题。这个新哲学观点就是“数字安全观”。在新的“数字安全观”思路指导下，金融机构围绕制度体系、技术措施、安全运营、能力创新四个方面，开展安全工作，保障企业数字安全，顺应我国数字中国建设之大势。

诸子笔会 |12月征文合集《总结报告》

刘志诚 蔚晨 王振东 孙琦

杨文斌 赵锐 肖文棣

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在