浅谈等保与金融行业-等保测评

金融信息安全风险案例

大数据、云计算和人工智能等新兴技术已逐渐广泛应用于金 融领域。金融技术的发展正在迅速重塑 金 融业的生态和数字水平，但也给金 融领域的信息安全带来了严峻的挑战。

(1) 金 融科技将传统金 融业务流程数字化，直接导致金融数据传输渠道增加。一些非金融企业借助互联网工具提供金 融服务，增加了行业合规和信息安全风险；

（2） 在金 融技术的支持下，金融业的交易规模和频率呈几何级数增长。近年来，通过网络渠道在证 券、基金、保险等领域的销售规模有超过传统柜台的趋势，监管体系在复杂的网络交易面前面临着巨大的挑战；

（3） 金 融技术的应用催生了互联网金融、大数据信贷风险控制等新的金 融服务模式，也为一些公司利用新兴技术非法获取数据带来了巨大的利润空间；

(4) 金 融科技的主流应用场景侧重于提高投资者画像、智能客服、智能运维等金融业务的效率，相对缺乏对信息安全的关注和投入。

近年来，金融信息技术领域的合规风险案例频频发生，遍布互金、银行、证券等不同行业。

从2019年9月开始，M、T许多服务于共同基金行业的大数据信贷风 险控制公司已被警方调查和收集证据。科技公司M例如，该公司的主要业务包括提供大数据风险管理服务，包括精 准营销模式、数据反欺诈、用户肖像、信用评分和智能收集。根据该公司网站的公开数据，截至2018年，数据调用已达到数亿，金融领域有700多个相关合作伙伴，涉及P2P通过数据采集分析、数据挖掘、机器学习等手段，帮助信 贷、银行、保 险等领域提高信 贷风险控制或催收效率。

爬虫技术是指爬取公共网络信息并按照一定的规则自动存储在数据库中，包括M许多第三方大数据风险控制公司获取数据的主要技术方法。数据风险控制公司通过捕获用户的个人和亲友地址簿、身份信息、通信记录、消费记录等数据，整合和标准化，建立信用评分模型和用户形象。金融机构在此基础上对用户进行风险评估。M该公司推出了一款名为同业爬虫的服务产品，在常规爬虫业务的基础上进一步推进。用户在其他信用平台提供登录信息后，可以直接抓取平台的信用和风险控制数据，大大节约了数据采集成本，提高了贷 款效率。类似3分钟快速贷 款等信 贷服务相继推出，部分网上贷 款公司获得不正当利润。《网络安全法》明确规定，必须授权获取用户数据；2019年5月28日，网络信息办公室发布的《数据安全管理办法（征求意见稿）》第15条、第17条明确指出，如果网络运营商以业务为目的收集重要数据或个人敏感信息，应向当地网络信息部门备 案，并明确数据安全负责人，类似的第三方大数据风险控制技术公司显然严重违反上述规定。

由于客户信息安全管理，2018年银行业发生了多起处罚案件。A根据《中华人民共和国银行业监督管理法》第理法》第四十八条第（二）项的规定，因客户信息管理不到位而受到警告。B根据《中华人民共和国银行业监督管理法》第四十六条第(五)项，因客户信息安全管理不到位，被监管机构处以20万元罚款。2019年银行C根据《中华人民共和国银行业监督管理法》、相关内部控制管理和业务审慎经营规则等规定，因未向监管部门报告重要信息系统运行中断事件和信息系统控制存在较大安全漏洞，未实现有效安全控制等违规行为，被监管机构共罚款2000多万元，这是银行系统自2019年放的z高金额。

2018年，证券公司A由于重大信息安全事件，监管机构根据《证 券期货行业信息安全管理办法》第二十四条的有关规定，采取行政监管措施发出警告函，要求证券公司对信息安全相关问题进行全面自查，提高信息安全管理和信息安全事件响应水平。同时，加大系统监测、测试环境、专家资源等信息安全投入，提高系统运行维护保障能力和故障排除能力。2019年，证券公司B由于业务部门将客户自己的计算机连接到业务部门网络，监管机构根据《证券期货行业信息安全管理办法》第五十条的规定，采取监督管理措施向业务部门发出警告信。

四、证 券行业应对措施

证 券业的业务种业务系统。由于业务的复杂性和各种业务的相互关联，信息系统之间的数据共享和交互程度不断提高，运维管理越来越复杂，其安全性和可靠性直接影响到业务的发展。等保2.0系统启动后，几个相关部门，包括中国证券业协会和公安部，组织了许多关于信息安全领域的培训课程或研讨会，要求完善数据控制系统，做好行业信息安全工作。

根据瑞数信息联合FreeBuf根据公开发布的《2018年金 融行业应用安全状况年度报告》统计，90%以上的金融业务已经基于网络空间进行，25%的受访企业表示遇到重大安全事故，1 00%的受访者表示存在安全问题。现阶段严格遵循安全开发流程的金 融企业不超过10%。证券行业自动攻击排名z高的三种类型有:信息爬行、漏洞检测、拖动数据库/冲击数据库。根据《网络安全法》，等保2.根据《证券基金经营机构信息技术管理办法》相关法律法规的要求，我们认为证券行业可以从多个领域做好信息安全保障:

(一) 建立信息安全组织，对全体员工进行信息安全教育培训，在公司内部培养良好的信息安全意识；

（2） 将安全技术投资与业务信息系统的开发和部署放在同样重要的位置。在动态安全技术等领域增加投资，可以有效降低安全风险，这也符合信息安全相关政策的监管导向；

（3） 证券公司应严格遵守《证券基金经营机构信息技术管理办法》第三十四条规定：证券基金经营机构不得收集与服务无关的客户信息，不得非法购买或使用来源不明的数据。证券基金经营机构在收集和使用客户信息前，应当公开收集和使用规则和目的，并征得客户同意，抵制数据灰色生产；

（4） 证券业面临的信息安全形势越来越复杂。建议行业建立信息安全共享机制，共享网络攻击或漏洞信息，降低单一运营机构的网络安全保障成本；

(5) 在数据安全要求较高的领域，尽量通过联合建模取代爬虫技术。联合建模可以在当地情况下建立风险控制模型，保护用户隐私，控制财务风险。这是一种相对合规的做法。

(6) 探索在关键系统中引入可信计算。在系统和应用中添加可信验证，以减少使用未知或篡改的系统/软件受到攻击的可能性；

(7) 改进系统体系结构。传统的集中式体系结构在可靠性和可用性方面存在不足。一旦出现故障，数据可能会丢失，甚至会影响所有用户。分布式体系结构具有天然的优势，可以大大降低故障范围。

证券基金经营机构应充分认识到等保结合行业相关法律法规，不断完善和更新合规控制点，全面提升企业网络安全合规水平，防范合规风险。