企业动态

    近日，中国人民银行、国家发展改革委、工业和信息化部、金融监管总局、中国证监会、国家数据局、国家外汇局等七部门联合印发《推动数字金融高质量发展行动方案》（以下简称《行动方案》）。《行动方案》明确提出，到2027年底，基本建成与数字经济发展高度适应的金融体系。

    《行动方案》重点提出，加强数据和网络安全防护。“指导金融机构严格落实数据保护法律法规和标准规范，完善数据安全管理体系，强化数据安全的商用密码保护，建立健全全流程数据安全管理机制。组织金融机构定期进行数据和网络安全风险评估，识别潜在风险，接入金融行业相关网络安全态势感知平台，推动相关平台互联互通。开展网络安全相关压力测试，提升网络安全防护体系建设水平。搭建证券业数据和网络安全公共服务平台，加强基础、共性安全支撑。”

    合规强驱动，数据安全需治理、技术、运营三管齐下    

    当今世界百年未有之大变局正在加速演进，大国博弈与科技革命相互交织，全球多地正在发生的局部冲突中的网络战表明，过去小规模网络攻防模式，逐渐被高强度网络对抗取代，国家级攻防对抗有成为常态的趋势。近期发生的黎巴嫩寻呼机、对讲机爆炸事件等表明，当前全球网络安全形势严峻，加快建设安全可靠、风险可控的金融基础设施体系势在必行，金融数据和网络安全建设刻不容缓。

    《行动方案》强调了推动金融行业数据安全合规落地的必要性和紧迫性。当前，金融监管等部门等出台了较为详尽的数据安全合规要求，标准较高、要求颗粒度很细。除了《网络安全法》、《数据安全法》、《个人信息保护法》三大上位法之外，2020年2月，中国人民银行正式下发了《个人金融信息保护技术规范》，此后，监管层又相继出台《金融数据安全 数据安全分级指南》、《金融科技创新安全通用规范》、《人工智能算法金融应用评价规范》、《金融数据安全 数据生命周期安全规范》，以及《金融领域科技伦理指引》等等，一系列标准化文件都对金融机构数据安全保护与个人权益保护提出了完备要求，为金融企业数据安全合规建设提供明确指引。

    奇安信安全专家认为，数据安全合规是金融企业的立身之本和经营底线，建议企业采用完整的数据安全治理、数据安全技术、数据安全运营三大体系，形成贴合自身实际需求的整体方案。

    其中在数据安全治理层面，重点是推动数据安全分类分级，制定防护策略。其中包括开展自身的数据资产梳理和盘点，制定分类分级标准，实施分类分级工作，形成数据分类分级清单等。根据数据类型、重要级别、敏感程度等，制定敏感数据资产目录、形成核心数据、重要数据、个人数据等目录或清单。在这个基础上，绘制敏感数据流转视图，洞察敏感数据风险，并开展分级管控和防护策略设计，确保相关产品能力落地。    

    在数据安全技术层面，重点是通过技术手段强化安全能力，抵御数据泄露、勒索攻击等各种内外部威胁。企业需要通过专业产品能力和定制化安全策略，覆盖API访问、数据流转、数据跨境、数据安全全局管理等重点场景。以奇安信的API安全卫士为例，它旨在帮助解决金融企业当前API资产梳理不清、API敏感数据泄露无感知、API漏洞攻击无防护手段、API通信行为无审计等API安全问题。而奇安信数据跨境卫士可以为金融企业开展跨境业务、管理境外分支机构、境外上市、跨境数据流动等场景，提供一整套数据跨境合规流程的技术手段和方法

    在数据安全运营层面，奇安信可以帮助金融客户建立常态化数据安全运营体系以及应急响应体系。从而确保管理得到有效执行、技术得到有效使用，并通过平战结合，持续运营，让数据安全保障贯穿始终。

    强化态势感知能力，推动网络安全从被动迈向主动    

    “聪者听于无声,明者见于未形”，习总书记引用这句古语,强调感知网络安全态势在信息安全领域的重要性。《行动计划》指出，组织金融机构定期进行数据和网络安全风险评估，识别潜在风险，接入金融行业相关网络安全态势感知平台，推动相关平台互联互通。

    针对金融行业数字化转型中多源异构数据的激增，奇安信发布了数据安全态势感知产品（DSPM平台），可以提供全面的数据资产和数据流动可视化、数据安全风险监测、以及数据安全响应处置，并通过多源异构数据分析能力，能够精准识别多种来源的海量日志数据的数据安全和风险事件。进而满足金融客户数据安全合规技术支撑、防范数据泄露等方面的需求。

    图：奇安信发布的AISOC（智能运营态势）

    面对汹涌而来的AI浪潮，奇安信近期对外展示了最新研发的AI驱动安全系列产品，其中包括QAX-GPT安全机器人，以及AI赋能下的AISOC，NDR（天眼）、EDR（天擎）、服务器安全（椒图）等。它们不仅全部融入了奇安信最新的QAX AI安全大模型能力，还可以共同进行分工协作、高效研判，完成安全事件的自动化处置闭环，帮助金融企业在未来AI时代的攻防对抗中立于不败之地。    

    奇安信安全能力已全面覆盖金融客户

    截止目前，奇安信安全能力已全面覆盖银行、证券、保险等金融领域，包括：中央银行、国有商业银行、股份制商业银行、政策性银行、城市商业银行、农村商业银行、农村信用社、外资银行等，以及国内主流的证券机构、保险公司等。同时与金融客户达成了深度网络安全和数据安全合作，涵盖了咨询规划、纵深防御体系、大数据应用态势感知、零信任网络访问、国产化替代信创、安全服务和安全运营等。

    金融业务系统具有规模大、价值高、集中化、影响大的特点，是网络攻击者眼中的高价值目标。事实证明，金融机构更容易遭到勒索攻击、数据加密、数据泄露等安全事件影响。本次《行动计划》的发布，势必将为金融行业的数据与网络安全建设提供顶层指引，进而为推动数字金融高质量发展筑牢安全底座。