2023年10月的中央金融工作会议,首次提出了“加快建设金融强国”的目标。2024年1月16日,中共中央总书记、国家主席、中央军委主席习近平在省部级主要领导干部推动金融高质量发展专题研讨班开班式上指出:中国特色金融发展之路既遵循现代金融发展的客观规律,更具有适合我国国情的鲜明特色,与西方金融模式有本质区别。
中央金融工作会议强调,要加快建设金融强国,全面加强金融监管,完善金融体制,优化金融服务,防范化解风险,坚定不移走中国特色金融发展之路,推动我国金融高质量发展,为以中国式现代化全面推进强国建设、民族复兴伟业提供有力支撑。
金融安全直接影响国家安全,是国家安全重要组成部分.进入数字经济时代,随着金融管理的全面信息化、数字货币和数字化支付结算的普及,金融信息安全已经成为金融安全的一项核心内容。随着5G应用到来,全球各国金融信息安全面临新的形势,各国应该根据最新的情况,做出新的战略规划和制定新的措施;更有必要在经济全球化的今天基于互利共赢的原则打破国界开展业务协作,以保障数字经济时代的金融信息安全。
1 金融安全是国家安全的重要组成部分
2019年2月22日,中共中央政治局就完善金融服务、防范金融风险举行第13次集体学习。中共中央总书记习近平在主持学习时强调,金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,金融制度是经济社会发展中重要的基础性制度。要深化对国际国内金融形势的认识,正确把握金融本质,深化金融供给侧结构性改革,平衡好稳增长和防风险的关系,精准有效处置重点领域风险,深化金融改革开放,增强金融服务实体经济能力,坚决打好防范化解包括金融风险在内的重大风险攻坚战,要为实体经济服务,满足经济社会发展和人民群众需要,推动我国金融业健康发展。
金融信息安全是根据金融系统的实际应用需求,将现有的数字签名、密钥管理、身份认证、访问控制、数据完整性控制、应用安全协议和事务处理等信息安全技术运用到金融信息系统安全管理过程中,并能在系统运行过程中不断发现、纠正系统暴露的安全问题。
金融信息安全关系到金融机构的生存和经营的成败,在数字经济时代,随着金融管理的全面信息化、数字货币和数字化支付、移动支付、结算的普及,金融信息安全已经成为金融安全的一项核心内容。
2 数字经济时代,金融信息安全国家战略面临新的挑战
金融信息安全在历经网络建设、大数据、网络安全基础设施建设、移动互联网应用和智能化应用等阶段,已进入了信息安全体系化管理的新阶段,亟待建立一套完整的金融信息安全保障体系,防范和化解安全风险,统一安全问题处理规范和流程,增强金融系统的信息安全整体防范能力,以保证金融机构的信息系统平稳运行及各项业务的持续展开。
2.1技术的发展产生了新的便利性和安全漏洞
当今世界经济,计算机和网络与商业经济特别是电子商务和货币支付的深度结合和变化,已经进入数字经济时代.全球的经济贸易结构已经发生明显变化,互联网对传统商业经济的影响和作用,使得传统的金融信息安全战略,已经无法跟随其前进的步伐,滞后于日益飞速发展的数字经济,从而对国家的信息安全和金融安全产生了威胁和漏洞,不从国家层面上进行战略系统调整,将可能对一个国家的金融安全带来巨大损失。
随着互联网、大数据、云计算、人工智能等新兴技术与金融领域的深入结合,银行、保险、互联网金融公司等都在科技领域进行积极转型升级。区块链、大数据、云计算的广泛发展与应用,给人们带来了便捷经济同时也给不法人员创造了机会,信息泄漏风险不断变大。据统计,2018年共发生2216起的信息泄漏事件中金融数据泄露就占据了15%的比例,数量很大.显然,金融信息安全已经影响了全球金融稳定,带来新的挑战。
数字经济是融合性经济,将在未来经济发展中比重越来越高,但同时也要警惕新技术带来的安全性隐患风险.由于现代高科技在数字经济的作用,也使得科技应用例如大数据、云计算、人工智能、区块链成为数字经济的推力之际也带来风险,例如人工智能的换脸术就会给不法人员可乘之机.当前的计算机和移动网络安全、平台安全、信息和数据安全是直接的应用安全风险,潜藏着各种隐患,一旦风险发生,不仅是用户利益受损,也给金融行业带来巨大损失,引发的连锁效应会破坏整个行业,带来系统性的金融风险,必须高度重视.需要把技术的领先、稳定性作为基础,然后与数据链接、场景应用、行为活动及视频现场监控管理等连接起来,形成一个闭环的防卫体系.随着5G的应用,网络速度运行加快,也给应用操作提出了更高要求,因为一旦操作失误,将难以挽回,后果也不堪设想。
数字经济下新业态丰富、市场主体众多,具有跨界融合等特点,给传统金融监管体系带来新的挑战.新兴技术快速应用也引发新的安全风险,信息安全就显得尤为重要,没有信息安全的保驾护航,数字经济发展将受到损害和难以顺利前进。
2.2 国家之间的技术经济竞争与合作,使得金融信息安全面临新挑战
近几年,美国和中国签署的税收方面的FATCA协议、中国与OECD国家之间签署的税收CRS协议,要求国家之间相互提供金融机构之间的对方国家居民的金融账户信息,这对金融信息的安全提出了新的标准。华为等中国高新技术公司在国际上遭受大规模打压,甚至可能不允许华为等公司使用跨国货币电信支付系统(SWIFT),对中国的金融机构信息系统安全运行和各类客户信息安全等提出了新的挑战,如何破解货币、金融服务、客户信息等的安全性面临的攻击,成为了一个巨大的新课题。
3 2018年全球部分金融信息泄露事件
1)汇丰银行美国分部发生非授权访问和数据泄露
2018年10月,黑客在没有获得授权访问情况下,攻击了汇丰银行在线账户.汇丰银行(美国)通知客户10月4—14日期间,银行在线账户被攻击,发生了数据泄露.泄露的信息包括:客户全名、电子邮件地址、电话号码、邮寄地址、出生日期、账号、收款人账户信息、账户类型、账户余额、交易历史记录以及可用的账单历史记录。汇丰银行的美国子公司暂停了在线账户访问以防止数据被滥用的风险.数据泄露后,汇丰银行加强了个人网上银行的认证流程,增加了安全保障。
2)澳大利亚联邦银行遗失1200万条用户银行数据
根据外媒报道,2018年5年,澳大利亚第一大商业银行澳大利亚联邦银行(CBA)证实,其分包商Fuji-Xerox丢失了包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储设备,其中至少包含1200万名用户的银行交易数据.银行立即委托毕马威(KPMG)公司进行了独立调查,以了解具体情况并通知了澳大利亚信息专员办公室(OAIC).毕马威(KPMG)公司在调查后发现存储设备很有可能已被处置,很难寻回,损失难以挽回.可以看到一旦存储设备被损坏,在没有备份的情况下,损失难以弥补。
3)3名乌克兰黑客攻击上百家美国企业窃取1500万张信用卡记录
2018年8月,3名Carbanak组织的乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕.该团伙在过去利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据,总共从6500多个销售点终端盗取了超1500万张信用卡记录.他们常用手法主要是通过恶意感染和攻击软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC(美证券交易委员会)投诉文件而展开的。
4)SunTrust银行150万客户信息泄露
2018年4月,一名从美国SunTrust银行离职的人员,通过与他人合作成功盗窃了公司的客户联系人名单之后,超过150万名客户的个人信息可能已经因此遭到泄露,名单包含的客户个人信息包括客户的姓名、电话号码、地址以及一部分账户余额。出于对客户负责,SunTrust银行主动通知了约150万名客户。
5)智利1.4万信用卡资料被黑客组织盗取
2018年7月,根据智利政府公布的消息,智利约1.4万张信用卡的资料被攻击者盗取并将这些资料公布在社交媒体上。据报道,在这起案件中,黑客公布了信用卡卡号、有效期限及安全码,受攻击影响的银行包括丰业银行(Scotiabank)、桑坦德银行(Santander)、伊塔乌银行(Itau)和智利银行(Banco de Chile),这些银行已通知客户遭到入侵的事.智利政府的银行监管机构表示,这起袭击行动是黑客组织“影子经纪人”(Shadow Brokers)展开的,该组织因入侵美国国家安全局(NSA)而闻名。
可以看出,当前全球很多国家缺乏对金融信息安全泄露事件统一的金融监管标准和对接协作机制,有关可以参考依据的法律文件同样欠缺.一旦发生信息泄露事件,经常处于被动地位.对违法犯罪者惩罚不够,使得他们在高收益低风险面前敢于冒险,助长了黑客对金融系统的攻击.其次,科技力量不足以应对突发事件.另外内部管理失位,操作人员信息安全培训重视程度和管理不够,风险防控意识较差,也导致了内部员工监守自盗或失密泄密等危险行为。
4 进一步健全国家金融信息安全体系
国家战略是战略体系中最高层次的战略.是为实现国家总目标而制定的总体性战略概括,指导国家各个领域的总方略。金融信息安全国家战略,是一个国家金融领域的重要内容,也是核心组成部分。
4.1重新认识数字经济时代金融信息安全参与各方的职责
我们首先要再次认清今天的新时代和经济形态的变化.伴随第三轮经济全球化,数字经济开始逐渐成为经济形态主角,以比特币为代表的虚拟加密数字货币进入经济生活,产生了重大影响.未来数字货币在区块链技术更加稳定成熟之后,将会成为全球合法流通的发行币种。
数字经济是以数据为核心要素,牵引和作用一系列传统经济要素在新科技技术的应用下,而产生的新经济形态.此前,金融机构以其特殊性一直占有高价值的国家级保密数据和用户隐私资料,像国家贸易和外汇、银行业的客户信息、存取款数据、资金流动和进出信息数据,每一个都关系国计民生,直接关系到金融安全。
对国家而言,金融领导部门、监管部门、金融业务机构,包括银行、证券、保险、信托、基金及从事金融业有关的金融中介机构,共同组成了一个国家金融体系,成为国家核心力量和经济的重要组成部分,直接影响了国家的经济发展.
现代金融信息安全必须对金融体系每一个组成部分,都要严格筹划设计、制定防御及反制战略战术,包括信息安全的技术及设备、管理制度。
各个国家金融领导部门是国家金融信息安全战略的制定者,要在符合各国战略基础上不断优化和完善国家金融信息安全战略.应该及时关注研究全球最新的金融安全形势和事件,针对本国的金融安全及时调整战略和政策.在地球村时代,必须在工作程序的基础上尽可能地提高效率,增强快速反应能力,以应对难以预料的金融信息安全风险.综合很多事件,很多是在效率低下不能及时更新完善造成的安全问题,对于不同制度的国家来讲,这也是一个问题和挑战,有的只是因为程序繁琐、拖延和滞后,带来了金融信息安全风险.这需要每个国家的金融领导部门重新认识和讨论未来的国家级战略的调整与提高反应速度和风险快速处置能力。
金融监管部门作为第一线的各个国家金融管理业务机构,是国家金融战略的执行者,以战术为主,面临的是时刻可能会突发的信息泄露和安全事件.尽管各国监管部门都出台了很多详细严格的制度,但依然出现了信息安全问题.原因在于科技和风险难以完全防范;制度执行难以完全到位;看不见的攻击更是难以应对;信息安全观念淡薄缺乏对信息安全的深入理解和认知;工作人员的专业行能力缺乏;意外事件难以控制和防范,例如最简单的就是发错邮件地址,就可能带来信息泄露.监管体系和模式不适应当前形势,导致滞后引发信息安全威胁等。
银行、证券、保险、信托、基金及从事金融业有关的金融中介机构、互联网金融单位,是直接面对客户的业务单位,是信息安全风险的终端.各个国家的金融机构都制定了完备的信息安全措施,应用了新的软硬件设备,但是因为各种原因,依然无法防范攻击和泄露.除了黑客的恶意攻击,制度管理和措施滞后,人员警惕性防范意识不强,也是造成信息安全风险的因素.特别是以互联网金融为代表的现代金融业务机构,因为涉及到线下的用户利益,威胁更为巨大。
4.2 中国国家金融信息安全体系概况和完善建议
中国现有的国家金融信息安全体系可以概括为4点:
1)加强金融信息保密工作
首先,通过教育培训,使广大员工认识到,金融保密工作是关系到国家安全和利益的大事,彻底摒弃“无密可保”、“有密难保”、“保密无用”的错误思想.其次加强保密管理.建立健全保密管理机构、人员和岗责体系,实施规范化管理.第三,提高加密技术水平,鼓励创新。
2)完善金融信息标准体系
金融信息标准化体系是推动我国金融IT技术发展的关键,是金融信息应用成熟的主要标识之一.要逐步建立金融行业系统的互操作性、安全性和应用平台的一致性及对技术应用成熟的评估.要加强我国金融信息基础设施公共环境的建设.这样做的好处是,技术和应用的标准化不仅能灵活的满足银行不同时点的应用需求,减少系统冗余,节省资源,同时还可以降低系统的复杂性和管理难度,简化操作,并能在市场突变时快速应对,提升银行IT应用的前瞻性和主动性。
构筑信息安全服务的坚强后盾
20世纪80年代以前,金融信息安全主要任务是加密、签名和访问控制,以防御为主阻挡攻击者.目前,建立容错容灾、快速恢复、不间断服务的能力,成为当前网络安全的主要工作任务,另外,数据灾备系统的自动恢复能力和远程网络服务能力和管控也日益重要。
3)培养金融信息专业人才
目前我国金融从业人员达到硕士以上学历的不足1%,很多金融机构的科技人员是纯IT背景,不懂金融.而金融IT人才需要掌握3个方面的知识,包括金融经济与管理方面的基础知识、信息化方面的知识、具体金融业务知识,如风险管理等.但是,这类复合型高端人才非常缺少。
4.3重点解决好互联网金融、移动金融信息安全和数字货币问题
互联网金融(ITFIN)就是互联网技术和金融功能的有机结合,依托大数据和云计算在开放的互联网平台上形成金融业态及其服务体系.
中国互联网金融发展历程要远短于美欧等发达经济体。在互联网金融发展的过程中,国内互联网金融呈现出多种多样的业务模式和运行机制。黑客侵袭、病毒木马攻击、系统漏洞、假冒诈骗网站、垃圾诈骗短信等诸多威胁,都使互联网金融面临信息安全风险.很多国内P2P平台因为黑客攻击造成了系统瘫痪,管理的数据被恶意被篡改,产生了巨大损失甚至导致企业倒闭。黑客经常会利用用户的客户端账户和密码传统的认证方式,使用病毒或者链接非法网站进行攻击.很多用户被窃取个人账户密码、发送垃圾邮件、信息和利用用户的简易口令密码设置传播诈骗信息和垃圾广告获得利益.由于很多不法组织将服务器设置在海外,增加了监管和查处难度。
2016年8月24日,中国银监会会同四部委发布《网络借贷信息中介机构业务活动管理暂行办法》,对网贷平台定位、从业机构不能触碰的13条“红线”以及资金存管等方面做了具体要求,加强监管。
移动金融充分实现了便利性,但信息安全问题并没有引起足够的重视,移动应用开发者团队大多资源有限,缺少自身安全保护能力,很容易被盗版或注入病毒;还有安卓加密技术研发投入过大,成本过高,也致使移动终端出现各种安全问题不断。需要政府监管部门、司法机关、市场和第三方安全服务商充分合作才能解决。
目前,市场上各种虚拟币盛行,如比特币等,严重侵蚀国家货币发行主权,也为各种金融诈骗、洗钱犯罪等大开了方便之门.尽快利用技术手段推出国家主权数字货币是对金融安全包括金融信息安全的重要保障。
5金融信息安全国家战略的调整建议
当今世界,已经进入大众化信息安全时代.信息安全的责任主体已经不仅是政府和金融体系机构,而是包括了所以参与数字经济的关联者。信息安全边界已经渗入到了数字经济领域,成为数字经济的关键系统。为此,各国有必要调整战略,完善定位,制定措施,以最大限度保障金融信息安全。
1)紧随时代变化,及时更新和完善战略规划
现代金融体系的基础是从西方建立完善起来的。在经济全球化的大背景下,现代金融体系已成为现代市场经济的核心和经济社会发展基础.随着数字经济时代和第3轮经济全球化,传统的金融体系已经不适应新的时代,必须及时更新、完善国家金融战略,特别是要重视制定金融信息安全的新战略。在跨越了时空没有边界的第五空间,金融信息安全变得脆弱,伴随着新技术,漏洞不断增加.没有全新的国家战略,将使恶意攻击变得更加容易,一个国家的金融安全常常难以应对一个有高超技术的黑客.没有最强,只有更强。
2)制定更为全面详尽的法律,加快对数据资产确权,健全监管
建议针对金融信息安全新形势,调查研究制定新的完善的法律和制度,建立全新的金融信息安全法律体系,并制定金融信息安全和金融科技行业的准入标准和国家标准,最大限度完善法律法规,对各个机构获取的居民和企业的客户信息、交易行为等数据资产进行确权,防止侵犯客户权益,减少灰色地带,健全监管.根据各国不同的监管体系,建立包括中央银行、国家银行、证券、保险在内的国家协作监管体系。
3)加强金融机构培训和用户教育、保护用户权益
制定制度,定期对金融机构的关键岗位人员进行专业培训和考试,建立专业检查检测队伍,进行全天候安全检查,严厉处罚金融泄密责任人,并制定严格的制度防范金融内部人员以泄露信息进行牟利。设立专门人员和机构,对用户进行信息安全教育,完善消费者的权益法律制度,加强信用建设和信息披露制度,建立顺畅和快捷的用户投诉渠道,对用户进行保护。
4)全面检查、更新金融体系软硬件设备
提高相关系统的安全等级。金融机构要定期对系统进行升级进行日常演练,综合运用软硬件科学技术,在演练中尽可能多发现问题和隐患,制定解决方案。要全面检查检测硬件设备和更新升级软件,包括应用软件、存储、客户端等.开发高度自主产权的核心技术,最大限度保障金融信息安全。
5)未雨绸缪,设立信息安全预警分析机制
加快金融信息化建设:统一的认证和数字识别中心,为各种金融信息活动提供相应规范,进一步提高金融信息标准化管理.日常要建立起应急预警机制,如果遇到信息泄露案件,能够快速反应和处理问题,将损失降低到最低。
6)制定防御与应急预备方案
根据现有的技术和设备情况,制定应急预备方案,保障在紧急停电或者遭受攻击时,最大限度防止损失。金融机构的大数据运行过程在遭受意外攻击时,难以全面控制,要设计各种防御手段,建立多层次多体系的防备和应急预案和灾备和应急体系建设,应急演练常态化,建立第三方评估机制,从而保障金融科技的信息安全。
7)完善智能终端安全防护系统
从源头控制各个节点的安全性访问,统一安装安全信息防护系统,通过对信息攻击行为的识别和防范,保障智能终端中数据存储及传输过程中的安全性,最大限度消除钓鱼、黑客、病毒等恶意攻击。
8)建立各国家的业务协同与合作机制
在经济全球化的今天,很多金融信息安全影响的是各国共同的利益,当然也有利益冲突。在业务领域上,各国有必要建立协作协同机制和协商机制,及时解决金融信息安全出现的各种问题,为建立人类的命运共同体而努力奋斗。
6 中国大力发展数字经济,鼓励金融信息安全产业发展
2019年12月10—12日,中央经济工作会议指出要大力发展数字经济。大数据、人工智能、区块链、金融科技、新零售等新产业、新业态,属于数字经济的范畴。
2008年国际金融危机以来,数字经济在传统经济的低迷中表现出旺盛的生命力,产生了巨大效益。数字经济既为经济增长提供了新动能,又有利于传统产业的转型升级.近年中国的数字经济蓬勃发展.根据中国信息通信研究院的数据显示,2018年,中国数字经济规模已达31。3万亿元,占GDP的比重高达34。8%,对中国GDP增长的贡献率更是超过67。9%.数字经济成为未来经济主要驱动力的趋势,是基于中国高科技迅猛发展和经济向高质量形态转换的基础需要。
中国各大部委和地方政府在数字经济发展方面做了大量动作:首先,央行开展数字货币试点.未来央行数字货币的推出将进一步强化国家主权货币在数字经济时代的地位,更好防范系统性金融风险;其次,部分地方政府成立大数据管理局,推出了金融大数据平台,政府积极推动数据的整合和利用,为数字经济的健康发展打下了良好基础;在区块链上升为国家战略后,密集打击炒币以及“伪区块链”,坚持去伪存真、正本清源,都起到了良好作用。
中国国家互联网信息办公室2018年12月26日公布《金融信息服务管理规定》。规定主要是为了加强金融信息服务内容管理,提高金融信息服务质量,促进金融信息服务健康有序发展,保护自然人、法人和非法人组织的合法权益,维护国家安全和公共利益.在中华人民共和国境内从事金融信息服务,应当遵守该规定.规定要求金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员、建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。同时还规定了其他相关责任和禁止事项,明确了监管部门与责任主体。
因此,要鼓励金融信息安全产业的发展,培育一批具有自主知识产权和技术能力的中国金融信息安全服务企业,并全面走向世界。
今天,我们面对全新的时代,新兴信息技术快速发展与应用,以及金融业和互联网多层次融合发展,未来全球金融信息化程度将越来越高,相应的风险也进一步提升.网络已经进入每个人的生活应用,除国家和金融机构外,大众化信息安全时代使得社会化的企业组织和个人都自然承担了信息安全角色.根据国情和金融信息安全的现实具体情况,制定全新的国家金融信息安全战略,是保证国家金融安全的必要选择。
崔传桢,现任国际战略与安全研究院副院长兼网络数据安全中心主任。主要研究方向:国家新战略、国际安全与国家安全战略、网络空间安全、金融安全、数据安全、产业发展与创新。
官方微信
手机站点