一、《网络安全法》将对商业银行的健康发展产生深远意义
当前互联网已渗入到经济的各个领域,2015年国家大力推行“互联网+”战略,更加快了互联网与各行业的深入融合。与此同时,互联网安全威胁持续升级。从国际上看,网络空间已经成为各个国家继领土、军事、政治、经济之后的第五个战场,各国不断加强国家网络安全防护体系建设,维护国家网络空间主权;从国内来看,近年来互联网网络犯罪,尤其是网络攻击、网络诈骗呈多发态势。
商业银行大力推动“互联网+金融”的发展,推动业务不断从线下向线上迁移。由于银行保存着大量金融和客户信息,也成为了不法分子的主要攻击目标之一,面临着严峻的互联网安全威胁。今年以来,不法分子针对银行的攻击行为突出、趋利性明显,多起专门针对银行的高级持续性威胁攻击事件(APT攻击)陆续被披露,其中以孟加拉央行遭受黑客入侵导致巨额资金被窃事件较为典型,同时以盗取和诈骗银行客户资金、买卖个人敏感信息为目的的地下黑色产业链也日具规模,精准网络诈骗行为猖獗,商业银行的经营环境面临着严峻的外部安全挑战。
2014年习近平总书记在中央网络安全和信息化领导小组较早次会议上指出“没有网络安全就没有国家安全”,体现了我国领导人保护网络安全、建设网络强国、维护国家利益的决心。在此背景下,《中华人民共和国网络安全法》于2016年11月7日正式出台。该法案的出台对我国互联网安全管理具有重大意义,是我国网络安全法律法规体系建设的一个重要里程碑,为我国网络安全工作提供了法律依据。
从商业银行的角度来看,该法案将强化互联网监管力度,规范网络空间秩序,为商业银行互联网金融业务发展营造良好的环境。较早,该法案的制定从法律层面上把网络安全工作提高到了国家安全战略,无论是从国家、还是企业层面将大大提升对网络安全工作的重视程度;第二,该法案从机构层面制定了网络运营者必须要遵守的法律准则,明确了参与网络运营的互联网企业、金融企业等网络运营者应当履行的责任和义务,为商业银行依法开展互联网日常运营提供法律依据;第三,该法案明确严禁网络诈骗、倒卖个人信息等不法行为,并明确了个人在使用网络信息、参与网络活动中应当遵守的“法律红线”,为打击地下黑色产业链、净化网络空间提供了法律支撑;第四,该法案明确关键信息基础设施重点安全保护要求,为商业银行加强自身的关键信息基础设施保护提供法律指导;第五,该法案明确了国家层面建立网络安全监测预警和信息通报制度,统筹加强各类网络安全事件和风险的监测、通报,有利于协同联动国家力量共同处置互联网安全风险,弥补商业银行自身安全防护可能存在的不足。
二、商业银行贯彻和落实《网络安全法》的措施与建议
此次《网络安全法》的制定和颁布,对于商业银行来说是一次优化和完善整体安全防护体系的机会,是提升银行安全防护能力的有力保障。《网络安全法》颁布后将对商业银行的各项经营活动,尤其是互联网金融业务产生积极的深远影响,商业银行应高度重视,积极贯彻和学习,做好落实工作。
一是组织方面,严格按照法案要求确定网络安全管理负责人,涉及关键信息基础设施运营的机构还要依法设置专门安全管理机构和安全管理负责人。
二是制度和规范体系方面,积极开展法案的解读和学习,做好法案在商业银行落地的分析和解读,同时要做好差距分析,对于尚未符合法案要求的内容及时做好跟踪整改。
三是管理层面,通过建立安全事件应急和响应、通报等安全风险全流程闭环管理机制,强化安全风险的管理。
四是技术层面,商业银行除了持续加强对传统攻击的防范和应对,做好网络边界防御、应用安全防护、终端安全防护等边界防护工作外,还应持续加强安全风险事中监控和处置,加快安全风险态势感知平台的建设,通过将大数据技术和信息安全技术充分结合,将海量数据集中进行关联和实时分析,识别潜在风险活动,由被动防护转变为主动防护。
五是要加大法案的宣传,一方面要加大银行内部从管理层到基层员工全方位的宣传和培训,加深银行各层级对该法案的认识、理解和支持,另一方面要加大对客户的安全意识教育,加强客户安全意识交易的提升,同时通过向客户宣传《网络安全法》,帮助银行树立依法经营的良好形象。(中国工商银行信息科技部)
