文 / 中国人民银行荆门市分行 高博

网络安全对于金融业的稳定和可持续发展至关重要，然而，随着信息技术的快速发展和金融业数字化转型步伐的不断加快，金融服务提质增效的同时，也面临一些风险、挑战及问题，金融业网络安全问题不容忽视。为此，本文以某地级市金融机构为研究对象，通过对19家金融机构网络安全现状调查分析，梳理基层金融网络安全存在的主要问题，提出对策及建议，旨在提高基层金融业网络安全保障水平，维护金融市场的稳定和健康发展。

主要问题

1.交叉重复监管

调查发现，某市金融机构网络安全工作被本地网信办、公安局、金监局、人民银行等单位或部门监管，接受多家监管机构的网络安全管理检查、督导等。日常工作中，主要完成重要时期（重要节日及会议期间）网络安全保障工作、重大事项或突发应急事件报告、各项网络安全管理工作的落实等相关工作。其中，在网络安全各类风险隐患排查、重保期间网络安全保障、重大事项或突发应急事件报告、金融机构科技工作评级等方面存在交叉、重复监管问题。

2.制度有待完善

调查发现，我国虽颁布了《中华人民共和国网络安全法》等网络安全法律法规，但在金融领域尚未制定、颁布金融网络安全专项法律法规，存在制度缺失等问题。此外，《金融标准化“十四五”发展规划》指出，“十四五”期间要“加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设”。从中不难看出，与金融网络安全相关的金融科技、安全防护、风险评估和排查、关键信息基础设施、核心技术安全可控等领域的标准化工作均有所欠缺，金融网络安全标准体系建设还有较长的路要走。

3.关键网络设施老化

调查发现，19家金融机构路由器、交换机、路由交换一体机、UPS等关键网络基础设施超期服役（使用时间超过6年）的有13家，占比为68.4%。其中，使用超过10年的有6家，最长使用时间达16年。有5家金融机构存在路由器、交换机、防火墙等关键网络设备超期服役设备数量占比达100%。关键网络基础设施老化可能引发各类风险，比如：设备性能不断下降，可能导致网络延迟增加，影响金融交易的速度和准确性。安全漏洞增加、防御能力降低，易受攻击的设备可能被黑客入侵，导致信息泄密等风险，为此，关键网络基础设施老化问题不容忽视。

4.自主芯片设备软硬件不匹配

调查发现，19家金融机构中尚未采购自主芯片设备的金融机构有5家，其余14家金融机构按照相关要求推广自主芯片设备。但发现主要存在两个方面的问题。一是推广、应用率不高。有5家金融机构尚未采购自主芯片设备，推广应用率为0。在采购自主芯片设备的14家金融机构中，推广应用率最高的仅为10%左右，最低为0.7%。二是自主芯片设备与现有部分软硬件兼容性问题。比如：自主芯片设备对扫描仪、打印机兼容性不高；无法访问基于IE浏览器的业务系统，部分业务系统需要安装浏览器相关插件，但在自主芯片设备上目前无法安装，导致无法访问现有部分业务系统；部分业务系统需要Flash支持，但目前自主芯片设备无法支持，导致部分业务系统在自主芯片设备上无法正常运行。金融系统的设备需要与各种软件和系统进行兼容，以实现数据的传输和处理，但由于自主芯片设备与各种软件及系统兼容性问题本身尚属于一个难题，使得目前金融系统自主芯片设备在推广应用过程中面临着无法访问系统等方面的障碍，亟待解决。

5.人员素质及能力不足

调查发现，19家金融机构中有2家金融机构没有配备专职网络安全管理人员。在配备专职网络安全管理人员的17家单位中有5家金融机构专职人员配备较少，大部分工作由兼职人员完成，兼职人员尤其是非计算机专业兼职人员专业能力欠缺，不能有效应对突发的网络安全风险，不能很好胜任网络信息安全管理工作，网络安全管理工作堪忧。此外，经调查，19家金融机构有10家金融机构普遍反映网络安全管理人员素质及能力不足问题，对科技工作特别是网络安全领域的管理带来巨大的工作压力，网络安全管理工作效果受到一定的影响，此问题亟待解决。

对策建议

1.统筹行业全局，做好顶层设计

随着数字化转型不断深入，金融网络安全形势更为严峻，金融业网络安全工作任重道远，应从顶层设计入手，厘清国家网信部门、公安部以及各金融业管理部门之间的权责关系，统筹金融业全局，共同做好金融网络信息安全管理工作。比如：组建国家金融网络信息安全管理委员会等专门机构，统筹安排部署金融业网络信息安全管理工作，重点制定金融网络安全管理的战略和政策，协调各方做好金融网络安全管理工作等；组建金融网络安全监管部门等专门监管机构，具体负责对金融机构网络信息安全管理工作的监管与指导，对金融机构网络安全管理工作进行检查和评估，提供网络安全技术支持和指导，协助金融机构处理网络安全事件和威胁等。通过健全组织机构、加强顶层设计，确保网络信息安全管理工作高效运行，杜绝重复监管、交叉监管、监管真空等问题。

2.加强制度建设，完善制度体系

加强金融网络安全监管制度体系建设，从行业全局出发，充分考虑制度建设的系统性和全局性，形成与《中华人民共和国网络安全法》等上位法相衔接、相配套的金融网络安全制度体系。主要包括金融网络安全管理法律法规、制度办法、政策文件等。比如：制定专门针对金融机构的网络安全管理法律法规，明确金融机构在网络信息安全方面的责任与义务，明确金融机构应采取的网络安全保护措施和应对网络安全事件的处理程序及流程，违反金融网络安全规定的罚则等；制定专门的金融网络安全管理实施细则，细化工作内容、步骤及流程等，不断强化金融机构在信息安全管理体系、数据安全、运维安全、终端安全、风险防范、应急管理、重大事项报告等方面的管理。通过健全全面的、专业的金融网络信息安全管理制度体系，加强监管和执法，加强信息共享与合作，进一步确保金融系统的安全及稳定。

3.加强设施建设，增强防控能力

金融网络关键基础设施是支撑金融系统运行的基本要素，其安全、稳定、高效运行对于维护金融系统的安全性、稳定性至关重要。金融机构应建立高可靠性的软硬件关键基础设施，通过降低系统故障、进一步保障金融系统的稳定运行。通过引入先进的硬件设备、优化软件系统，不断提高金融系统的处理速度和响应能力，提高交易的效率与准确性。应加大投入力度，确保关键网络基础设施满足工作需要，在此基础上加强技术研发及创新，推动金融网络关键基础设施升级与更新，整体提升金融系统的安全性、稳定性和效率。此外，加强安防关键基础设施建设及管理。金融系统时刻面临网络安全威胁，为保护金融系统稳定运行以及客户资金安全，金融网络安全风险监测、评估、预警等安防工作一刻都不能放松。

4.推动自主芯片应用，提升自主可控能力

供应方，应不断加大对自主芯片的研发和创新力度，不断提高自主芯片设备的性能、可靠性、兼容性、适配性，并建立稳定的供应链体系，良好的售后服务，并与金融机构建立良好的长期的合作伙伴关系，共同推动自主芯片设备在金融系统中的推广应用；使用方，金融机构在采购自主芯片设备时，应尽可能做好前期调研、评估、测试等准备工作，在严格的采购标准基础上，尽量选用兼容性较好、安全性较高、易用性强等易推广的自主芯片设备，最大程度减少适配问题，最大程度满足金融系统的需求；主管单位，应加大政策支持力度，制定统一、规范的自主芯片设备研发、制造、应用等系列行业标准，鼓励金融系统推广和应用自主芯片设备，并加强对自主芯片设备的监管，组织专家对自主芯片设备进行技术评估，确保其安全性、可靠性以及性能等，积极推动在金融系统中的广泛应用。

5.加强队伍建设，提升履职能力

在部门及岗位设置方面，应结合本单位实际设置网络安全管理部门或岗位，由计算机专业人员从事网络安全管理工作。应至少配置1名专职网络安全管理人员，并配备相应的B角，确保网络安全管理工作正常开展。在人员管理方面，要积极引入科技人才，提高金融业业务数字化水平和安全保障能力，同时要注重培养金融和网络安全等领域复合型人才，尤其是要培养、储备一批具有互联网思维、掌握数字化技能、拥有金融知识和大数据分析能力的复合型人才。此外，做好培训及考核。每年定期开展网络安全相关培训，及时传达最新的网络安全管理要求，组织学习最新的网络安全管理相关制度规范，学习掌握最新的技术及工具，熟悉常见故障、常见问题的解决方法等，不断提升网络安全人员素质及能力。定期开展考核，激励、督促网络安全人员做好网络安全管理工作。

（此文刊发于《金融电子化》2024年5月下半月刊）