提高金融网络安全可控能力的操作策略

文/中国人民银行科技司司长 王永红

提高金融网络安全可控能力的操作策略

文/中国人民银行科技司司长 王永红

经多年努力，以国家网络安全保障设施为基础、以金融网络安全谨慎监管框架为指引、以金融机构技术防护为主体的金融网络安全保障体系已基本建立，维护了金融网络安全大局。但和平时期网络安全局面不代表御敌于网络边界之外的真实安全。

提高安全可控能力是建设网络强国核心

1.立足于国家网络安全看待行业网络安全

维护网络空间主权成为国家安全战略核心。网络舆论、网络攻击在多个国家的暴力恐怖活动、颜色革命中充当了颠覆工具。2015 年3 月17 日，美国众议院国土安全委员会主席麦考尔公开承认美国曾对朝鲜发动了网络攻击。没有国家安全，就不存在行业和用户安全。网络安全隐患具有长期隐蔽性、爆发突然性。现在的网络安全要求具备防御外部网络攻击、快速恢复正常秩序的能力。

2. 大力降低网络安全潜在威胁

减少产品后门威胁。技术产品后门相当于设置者潜伏在对方网络空间的“第五纵队”，是动摇国家关键信息基础设施的“蚁穴”；降低单一供应链威胁。这是改变我国面临的安全风险的重要环节。对外依存度高，一旦被切断信息产业供应链，将严重威胁应用行业乃至国家安全。

3. 发挥应用行业的需求导向、用户拉动作用

网络安全可控能力与信息产业发展水平相适应。网络大国是数量要求，核心内容是应用发展水平，主要指标是网络覆盖面、网民数量和网络应用渗透率。网络强国是质量要求，核心内容是安全可控能力，主要指标是规则制定能力、安全保障能力、网络攻击手段；促进创新驱动发展战略。在国际上普遍认可的创新型国家中，科技创新对经济发展的贡献率在70% 以上，研发投入超过国民生产总值GDP 的2%，技术对外依存度低于20%。

建立健全提高网络安全可控能力操作策略

站在行业应用、基层实施的角度，建立正向激励机制，将提高网络安全可控能力的国家战略要求，转化为行业发展内生性动力。管理端对需求端、供给端提出明确要求，推动建立安全可控产业生态圈。

1.将国家战略部署转化为机构发展职责

提出部门规章。将国家意志、人民意愿转化为法律法规，有利于形成各行业和机构行为规范。在立法进程不可控的情况下，可围绕加强国家关键信息基础设施保护推出部门规章，处理好安全可控与自主可控、国产化与对外开放之间的关系；把提高安全可控能力列入行业发展策略。提高网络安全可控能力，在一定时期内将增加投入、转变技术路线、发展减速，“安全与发展”在操作层是一对矛盾。必须形成整个机构的“安全发展动力”。

2.在操作层实施创新驱动发展战略

引导代理商推广安全可控产品。非安全可控产品代理商和安全可控产品厂家“同室操戈”，不利于信息产业发展。管理部门应立足于创新驱动发展战略，引导厂家积极主动推广安全可控的产品，在供给侧形成“安全发展合力”；建立健全国家检测认证体系。结合国家建立网络安全审查制度，依托专业检测机构等建立国家检测认证体系，发布具有可比性的产品检测指标，铺平安全可控产品的推广之路。

（本文摘自“君众科技”网站）