脆弱性是個相對概念，諸多產品的設計本意是為了追求便利性，例如，早期的可讀寫設備，本意是為了便利，但是卻給病毒傳播可乘之機。在金融科技時代，這種現象變得越來越普遍，例如，移動計算的發展，在增加了便利性的同時，由于其可移動性，導致一旦丟失，便可能造成不可挽回的損失。同時，互聯網公司和金融機構對風險的接受程度不同，一般而言，技術公司對便利性的追求更激進，在金融科技的發展過程中，要尤其注意。

　　（三）對供應商/第三方的依賴變得更加嚴重

　　金融科技創新行為可能會導致金融機構對供應商/ 第三方變得更加依賴，例如，采用云計算會導致金融機構對信息系統及其數據失去控制力。在金融信息化時代，金融機構即使采用外包服務等手段，第三方機構一般不能影響其主營業務。但是在金融科技時代，以互聯網金融為例，其中的獲客途徑和業務處理等都依賴于互聯網得以實現，這種深度融合的模式可能會為金融機構帶來不可預知的風險。

　?。ㄋ模?a href="http://www.steamlinelogistics.com/search/result.shtml?siteID=123&query=數據安全" target="_blank" title="數據安全" class="hotLink" >數據安全和隱私保護的壓力加劇

　　隨著金融和科技的深度融合，數據和隱私泄露發生的可能性和嚴重性都隨之加劇，例如，在數據挖掘技術不成熟之前，從海量非格式化數據中得到有效信息并不容易，但是在大數據時代，任何看似不相關的數據，都可能泄露組織機密或個人隱私。此外，根據風險評估理論，由于數據變得越來越有價值，因此數據成為網絡犯罪行為中買賣的重要目標。

　　二、已有“最佳實踐”存在的問題

　　對現存問題的解決一般存在兩種途徑，第一種嚴格按照科學、技術與工程的逐步推進，例如，密碼學，起源于數學中的數論，其算法都存在形式完備的證明，然后利用計算機技術實現，最后實現產品化/ 工程化的過程。但是，不是所有的問題都存在這樣定義良好的范式，這就導致了解決問題的第二種途徑，即依靠經驗。例如，信息安全就是一個非常寬泛的概念，很難通過證明得出某信息系統的安全性。因此，解決信息安全問題一般都是依據實踐總結出來的經驗。

　　在這其中，James Backhouse 所領導的團隊在1993年開發的“實用規則（A Code of Practice）”應用最廣，即后來成為國際標準的ISO/IEC27002。形如ISO/IEC27002 這樣的實踐集在管理學中常被稱作“最佳實踐”，當然，沒有絕對的“最佳”，這只是局限于認識水平上的相對概念，因此常被加引號使用。以此為基礎，現在發展成為包含了60 個標準的ISO/IEC27K標準族，該標準族也深刻地影響了其他信息安全標準體系的設計。

　　信息安全等級保護和信息安全管理體系（ISO/IEC27K 標準族）可以認為是國內組織在部署信息安全時最常見的兩種“最佳實踐”，但是在金融領域具體應用時，尤其是金融科技時代，仍然存在待改進的地方。

　　（一）與金融網絡安全相關的幾個標準介紹

　　在ISO/IEC27K 標準族中最基本的兩個標準是ISO/IEC27001 和ISO/IEC27002，其中ISO/IEC27002 是實踐集，ISO/IEC27001 則描述了一個方法論。兩者都可以應用于所有類型的組織，并不專門針對某一類型。ISO/IEC TR 27015 是關于金融服務信息安全管理的指南，可以認為是ISO/IEC27002 的金融行業應用版本。除此之外，ISO/TC 68/SC2 還發布過ISO/TR13569:2005，專門從金融服務的視角討論其中的信息安全。

　　GB/T22239-2008 給出了信息系統安全等級保護的基本要求，相當于用不同的分類方式描述了另一種“最佳實踐”，與其相關的標準還有定級指南、測評指南和實施指南等。等級保護的相關標準被修改為金融行業的行業標準，但主要用于指導實施（JR/T 0071-2012）和測評（JR/T 0072-2012 和JR/T 0073-2012），其中并不包含基本要求。

　　嚴格意義上講，以上標準都是針對信息安全的，并沒有聚焦于網絡安全（cybersecurity），因此需要討論其適宜性。

　?。ǘ男畔踩骄W絡安全的轉變

　　從通信安全、計算機安全和網絡安全（networksecurity）等詞匯到信息安全是認識上的一個飛躍，這使得定義從“關注重點從物理網絡轉到所承載的信息”，而從信息安全的定義擴展至現在經常討論的網絡空間安全（cyberspace security），則是研究對象的轉移，這時候開始關注整個虛擬的網絡空間，例如，兩個人在微博上惡言相向，這不涉及信息安全問題，但是屬于網路空間安全的范疇。需要指出的是，漢語中將“網絡空間安全”縮略為“網絡安全（cybersecurity）”存在一定的歧義，需要根據語境區別是哪一種網絡安全。

　　在金融科技時代，應該考慮到這種轉變，因為金融業不僅在自然空間是真實存在的，在網絡空間中也是不可或缺的行業，這兩種空間的相互滲透不可避免，例如，比特幣開始只存在于網絡空間中，用來購買游戲裝備等虛擬物品，現在也可以兌換現實中的貨幣。金融機構在其中的中介作用也開始顯現，拋開平臺安全，這并不是金融信息安全的關注重點。因此，金融信息安全也應該過渡到強調金融網絡安全。

　　（三）關于現有標準適宜性和普適性的問題

　　由于標準的發布周期較長，許多機構為了避開繁雜的周期，保持適宜性，會主動選擇報告的形式，例如，最早的ISO/IEC27002 版本。

　　為了解決適宜性問題，對于出現的新技術，ISO/IEC27K 標準族一般會在原先架構上進行補充，例如，ISO/IEC27032:2012 網絡空間安全、ISO/IEC27017:2015/ ITU-TX.1631 云服務安全、ISO/IEC27018:2014 公有云的隱私保護和ISO/IEC27036-4:2016 供應鏈角度的云服務安全等都是新增標準。

　　GB/T22239-2008 系列關于等級保護的標準則改版為“網絡安全等級保護”，對特定的新技術增加了安全擴展要求，例如待發布的GB/T22239 包括了云計算安全、移動互聯安全、物聯網安全、工業控制安全和大數據安全等。

　　“最佳實踐”一旦成為標準并發布，需要在一定時間段內保持一致。而且為了追求普適性，“最佳實踐”一般會被抽象為“基線要求”，ISO/IEC27K 標準族雖然也發布有ISO/IEC TR 27015 等細分領域的標準，但對于中小銀行的應用契合度仍然存在一定的問題。那么，如何確保其適宜性？在信息安全實踐中，這很大程度上取決于采納組織和咨詢公司的理解，正如ISO/IEC27001:2005 引言中所述，“用戶負責對其進行正確的應用”。

　　三、提升金融網絡安全的對策與建議

　　綜上所述，存在兩個重要趨勢：第一、在金融主營業務方面，金融與科技開始深度融合，進入金融科技時代；第二、在大環境方面，信息安全開始過渡到網絡空間安全，在網絡空間中，安全的范疇變得更大，不僅僅圍繞“信息”為中心。

　　針對這兩種趨勢，在戰略層次，我們提出如下對策和建議。

　　（一）開發契合度更高的“最佳實踐”，并使之成為行業標準或團體標準

　　正如IT 技術的“便利性”和“安全性”存在一定的矛盾，標準的“普適性”和“適宜性”也存在一定的矛盾，成為標準后的“最佳實踐”也不例外。對于如何提高標準與組織之間契合度，積極開發行業標準尤其是團體標準是解決的路徑之一。

　　在現有標準基礎上開發金融網絡安全最佳實踐，并不是簡單地做一個“加強版最佳實踐”或“裁減使用”。

　　首先，應該重新定義金融網絡安全，例如，ISO/IEC27000:2016 定義信息安全強調機密性、完整性和可用性，而ISO/IEC27032:2012 定義網絡空間安全強調的順序則是可用性、完整性和機密性。因為網絡空間是建立在系統和網絡基礎上的社會建構，所以可用性成了重點。金融網絡安全應該根據這個特點重新進行定義。

　　其次，考慮金融科技的特點，新技術不再是“控制域”或者“擴展要求”。從長遠來看，“創新擴散”的趨勢是不可阻擋的。例如，復式記賬與流水賬相比，也實現了相互驗證的分布式記賬，與區塊鏈技術存在一定的共性?；剡^頭看，今天的各種“標配”都是昨天的各種“創新”。團體標準可以考慮放棄一部分普適性，追求更高的契合度和前瞻性。

　　最后，單獨強調一下作為“重災區”的中小金融機構網絡安全。因為之前局限于認識水平，諸多大公司都經歷了“先發展，后治理”的彎路，例如，由于缺乏整體的安全規劃，導致諸多信息系統的安全控制不是從設計階段就開始，缺乏全生命周期的控制，普遍存在的SQL 注入攻擊就是最好的例子。對于國內眾多的中小金融機構而言，由于建立時間晚，信息化程度低，應該根據以上特點，積極利用后發優勢，避免走老路，推進安全先行的金融科技。

　　（二）推進服務機構專業化，逐步形成良好的金融網絡安全業界生態

　　雖然在網絡安全業界存在諸多的服務機構，但是整體而言，由于各種原因，到目前并沒有形成良好的教學相長的互惠生態。例如，大型服務組織對中小金融機構采取的是不分青紅皂白地“傾倒式服務”，與此同時，小型服務組織對大型金融機構而言，卻實際做成了的“人員外包”，即使門當戶對的甲方乙方，也齟齬不斷，很難形成共同成長的依存關系。究其原因，可能有以下幾點。

　　首先，原則上講，專業化是社會分工的必然結果，但是網絡安全是一個龐大的產業，加上是新興行業，因此導致客戶對服務機構的理解存在一定的偏差。與此類比，醫療也是專業化的龐大產業，由于其發展成熟，不找牙醫看心臟病已經成為常識。這樣簡單的邏輯，在網絡安全領域也很難形成共識。這是產業成熟度方面的固有因素。

　　其次，在細分領域精耕細作的網絡安全服務機構較少。細分領域有兩個維度，一種是只提供特定的服務，發揮“工匠精神”，把某一類服務做到極致，例如，風險管理、ISO/IEC27001部署；另一種是深耕某個行業，精通客戶主營業務，成為行業專家，例如，工控網絡安全、金融網絡安全等。對服務機構而言，細分領域的市場相對較小，在競爭壓力下不免會采取四面出擊的策略。

　　最后，一個好的服務（咨詢）機構，應該做到承上啟下。承上啟下也有兩層含義，一是應該具有一定的學術研究能力和較強的轉化能力，能夠盡快地將最新的學術研究成果產品化，例如，本文中提到的James Backhouse 及其團隊就是典范。另一種承上啟下是指由于網絡安全和金融都是強監管行業，企業面臨的合規風險很高，服務機構應該是監管機構的智庫，同時也是客戶的教練。

　　四、小結

　　本文分析了在金融科技的背景下，金融機構所面臨的新的網絡安全風險，同時，也討論了信息安全轉向網絡空間安全的背景下，由于強調的重點不同，導致已有“最佳實踐”（或相關標準）的適宜性方面存在的問題。在此基礎上，提出了我們的觀點，即，一方面應該開發契合度更高的金融網絡安全最佳實踐，并考慮使其成為行業標準或團體標準，這對于中小金融機構而言尤為迫切；另一方面應該加強服務機構的能力建設，促進形成良好的業界生態環境?！　?/p> 人妻精品一区二区三区_好紧好湿好硬国产在线视频_亚洲精品无码mv在线观看_国内激情精品久久久

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇