【51CTO.com原創(chuàng)稿件】為了加強網(wǎng)絡安全標準體系的建設，《中華人民共和國網(wǎng)絡安全法》(以下簡稱：《網(wǎng)絡安全法》)于2017年6月1日正式實施。該法案的實施在保障網(wǎng)絡安全，保護公民、法人和其他組織的合法權益的同時，也對各行各業(yè)的IT安全提出了更高的要求。

以金融行業(yè)為例，《網(wǎng)絡安全法》中明確指出銀行業(yè)及金融機構不僅是網(wǎng)絡服務的提供者，也是關鍵信息基礎設施的運營者，一方面，突出了金融行業(yè)的戰(zhàn)略地位和價值;另一方面，也明確了銀行業(yè)及金融機構做好自身網(wǎng)絡安全工作的義務和責任。金融行業(yè)需要依據(jù)《網(wǎng)絡安全法》的法律要求進行落地實施，有效地提高金融行業(yè)整體的網(wǎng)絡安全保護水平。

《網(wǎng)絡安全法》已經(jīng)正式實施，該法案究竟對金融IT安全帶來了怎樣的影響?帶著這一疑問，51CTO記者在近日舉行的2017C3安全峰會上采訪了廣東銀信金融服務中心副總裁周丹。

[[196939]]

廣東銀信金融服務中心副總裁周丹

《網(wǎng)絡安全法》的出現(xiàn)改變了什么?

《網(wǎng)絡安全法》的出現(xiàn)改變了什么?周丹表示，《網(wǎng)絡安全法》的出現(xiàn)帶來了三個方面的改變：在安全措施方面，在《網(wǎng)絡安全法》出現(xiàn)之前，企業(yè)引用的規(guī)范都是信息系統(tǒng)等級保護指導，是指導性的很寬泛的規(guī)范。而現(xiàn)在，是法律上的規(guī)范。在保護內(nèi)容方面，以前等保系統(tǒng)保護的網(wǎng)絡層面和系統(tǒng)層面，但現(xiàn)在《網(wǎng)絡安全法》的第四章專門針對網(wǎng)絡的信息安全進行了規(guī)范，它從系統(tǒng)和網(wǎng)絡層面轉(zhuǎn)換到了內(nèi)容層面。保護的范圍和難度都大幅度增加。在對違規(guī)的處罰方面，以前違規(guī)了會受到警告和整改。但是現(xiàn)在，就要進行罰款追責，甚至對主要責任人，進行追責。所以，違規(guī)的成本在大幅度提高。

綜上所述，《網(wǎng)絡安全法》改變最大的就是我國對網(wǎng)絡風險的容忍度降低了，對包括金融在內(nèi)的各個行業(yè)提出了更高的要求。

金融行業(yè)的IT將面臨五大轉(zhuǎn)變

周丹向記者表示，面對《網(wǎng)絡安全法》的高要求，今后，金融行業(yè)的IT將會面臨以下五大方向的轉(zhuǎn)變。

第一個轉(zhuǎn)變：從低投入轉(zhuǎn)向高投入。雖然相較于很多行業(yè)來說金融行業(yè)在安全上的投入一直處于較高的水平，但是《網(wǎng)絡安全法》的到來將會迫使其在安全上的投入更高。因為以前網(wǎng)絡安全問題出現(xiàn)后，主要追究技術人員的責任，但是現(xiàn)在法律規(guī)定要對主要負責人追責，這樣會間接的清除一些IT安全預算上的而障礙，從而促使安全的投入增加。

第二個轉(zhuǎn)變：從單點防護轉(zhuǎn)向體系防護。目前，金融行業(yè)的IT安全防護主要以單點防護為主，防火墻、防毒軟件、漏洞掃描器等安全產(chǎn)品形成了防御孤島，各自為戰(zhàn)，無法實現(xiàn)無縫有效協(xié)同。為了要更好的響應《網(wǎng)絡安全法》的要求，提高防護能力，金融行業(yè)需要從單點防護轉(zhuǎn)向體系防護，需要做到從信息安全的角度，從頂層設計開始把制度體系、組織體系以及技術體系建立起來，通過安全態(tài)勢感知平臺來整合網(wǎng)絡安全，應用安全，開發(fā)安全，數(shù)據(jù)安全，云安全等各方面的防護能力，從而實現(xiàn)更好的防護效果。

第三個轉(zhuǎn)變：對新技術的應用。金融IT相對于互聯(lián)網(wǎng)來講，對于新技術的應用比較保守。在安全領域，也同樣是如此。以前金融行業(yè)會采用比較成熟的或者傳統(tǒng)的技術和設備，成本會較低?！毒W(wǎng)絡安全法》的實施提出的高要求，讓金融IT在安全不得不應用云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新IT技術，防范新的安全漏洞，新的威脅和攻擊手段。

第四個轉(zhuǎn)變：信息收集范圍從貪大求全轉(zhuǎn)向有限收集。大數(shù)據(jù)時代，幾乎每個機構都是盡可能多的收集信息，而不管這些信息是否有用，甚至這些信息有的是客戶的高度敏感的隱私信息，比如：手機銀行軟件要求拿到客戶的定位權限，以此獲得客戶位置信息，但是從業(yè)務來說這是完全沒有必要的?，F(xiàn)在《網(wǎng)絡安全法》明確規(guī)定，企業(yè)要公開信息收集和使用的規(guī)則，要明示收集使用的目的方式范圍，要獲得客戶的授權征得同意，如未通過則會違法，面臨懲罰。所以未來金融企業(yè)將注重隱私保護，信息收集范圍從貪大求全，到有限收集。這是必然的趨勢。

第五個轉(zhuǎn)變：從安全消費轉(zhuǎn)向安全運營。到目前為止，金融行業(yè)的IT都是安全的消費者?，F(xiàn)在，《網(wǎng)絡安全法》的出臺抬高了安全成本，導致很多小型金融企業(yè)無法承受安全帶來的挑戰(zhàn)。因為要符合法律的規(guī)范，只能向有能力建設IT安全的機構求助，獲得技術支持，或者利用私有云提供公有服務，讓小型金融企業(yè)和其他行業(yè)的企業(yè)享受到金融的安全服務。

如何應對《網(wǎng)絡安全法》帶來的合規(guī)挑戰(zhàn)?

據(jù)周丹介紹，近年來，廣東省農(nóng)村信用社聯(lián)合社(以下簡稱：廣東農(nóng)信)全面深化改革，加快轉(zhuǎn)型升級，領跑普惠金融，已經(jīng)成為全國農(nóng)信系統(tǒng)的排頭兵和廣東農(nóng)村金融的重要力量。目前，廣東農(nóng)信在全省設有6000多個支行，服務1.7億的用戶，體量很大。為了提升廣東農(nóng)信的IT安全，針對銀行的內(nèi)容和風險問題，廣東農(nóng)信選擇基于數(shù)據(jù)分析來管控，并尋找行業(yè)內(nèi)較為領先的安全廠商合作，根據(jù)自身的情況去制定更符合農(nóng)村金融的安全體系。

“比如說我們跟亞信安全的合作，我們在去年年底簽署了戰(zhàn)略合作協(xié)議。”周丹說。

2016年11月，廣東農(nóng)信選擇與在金融行業(yè)的安全領域有著豐富經(jīng)驗的亞信安全達成了戰(zhàn)略合作。未來，雙方將攜手打造農(nóng)村普惠金融安全管理標桿機構，借助亞信安全威脅態(tài)勢感知平臺，充分發(fā)揮大數(shù)據(jù)網(wǎng)絡威脅治理的能力，為新型金融提供安全服務，為惠民工程提供安全保障。

據(jù)悉，亞信安全的安全解決方案已經(jīng)應用在全國70%以上的銀行，80%以上的券商，還有60%以上的保險公司，在金融行業(yè)的安全防護上有著豐富的經(jīng)驗。亞信安全副總裁劉科表示，亞信安全之所以能夠深受金融行業(yè)用戶的青睞，原因在于：在Gartner的報告中，亞信安全在金融安全領域連續(xù)兩年排在全球第一位，已經(jīng)做到了國際性一流產(chǎn)品的水準。一直以來，亞信安全強調(diào)本地服務，在所有的工行、農(nóng)行、中行等大型銀行都有原廠的駐點工程師7*24小時的響應與服務，甚至針對國外分行，也能提供7*24小時雙語服務，為我國金融企業(yè)外出保駕護航。

目前，廣東農(nóng)信通過與亞信安全深度合作，憑借亞信安全多年的行業(yè)經(jīng)驗和威脅態(tài)勢感知等安全技術，全面提升自身的整體防護能力，構建一套合規(guī)的、完善的網(wǎng)絡安全保護制度，真正應對《網(wǎng)絡安全法》實施提出的高要求，應對不斷變幻的安全風險。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】