（前言）

当前，国际形势风云变幻，金融、科技等领域成为大国博弈的焦点，加之数字技术持续迭代并广泛应用，国家金融网络安全治理面临重大挑战。网络安全一直是国家安全的核心组成部分，特别是在金融行业，金融机构拥有大量的敏感数据，包括个人信息、交易记录、财务报告等，这些数据的安全直接关系到消费者的利益和金融市场的稳定，因此金融行业在网络安全建设领域一直是领头羊。然而随着金融行业数字化改革的深化，网络安全挑战不断增加，新技术的应用、数据流转加速、金融交易/服务的拓展、信息系统迭代频率提升、第三方合作的深入、业务全球化的扩张、以及合规政策趋紧等因素，都对金融行业的网络安全提出了更高的要求。

本文通过对国内金融行业网络安全市场情况及现状进行分析，类比和重点分析和学习日本金融网络安全治理实践及建设经验，并结合政府需要、行业需求、企业期盼对金融行业网络安全未来发展提出建议，仅供参考。

一、金融行业网络安全需求旺盛，整体规模呈增长趋势

CS Radar商业分析平台数据显示，2023年中国金融行业网络安全市场规模为91.94亿元人民币，同比下降12%，近五年首次出现负增长。即使如此，整体上金融行业的网络安全需求持续增长，市场采购项目数量仍处于上升趋势。同时行业预计2024年中国金融行业网络安全市场的规模预计达到99.97亿元，较2023年增长约8.7%。

但随着金融行业市场的日益成熟和网络安全建设的逐步完善，金融机构在经济承压的环境下，对网络安全的投入变得更加审慎，因此增速逐年下降。其中，2023 年第一季度的项目数量增速为负，是最近四年的首次季度性负增长，2023年项目数量在第四季度的带动下实现了整体增长。

二、金融行业各类机构积极投入网络安全版块，重点各有侧重

随着数字化改革不断加深，漏洞管理、数据的安全使用、社工攻击、软件供应链攻击、业务逻辑安全风险是金融机构面临的五大主要安全难题。

为了应对以上难题，金融行业的安全体系建设对实战应对能力的要求不断增强，但合规性依然是其核心驱动力。以国有商业银行、股份制银行和个别头部保险公司为代表的头部金融机构，安全合规建设相对完目前安全建设的重点根据自身情况各有侧重，其中数据安全和安全运营是关注最多的两个领域；小规模的各类金融机构，合规仍是主题，常态化的实网攻防演习和攻防演练也促进了他们对场景化安全能力的需求。

从安全体系建设的方式来看，大规模金融机构的投入大、能力强，更倾向于自研或联合开发；小规模金融机构的安全投入有限,会更灵活地通过购买产品及服务的方式补足安全能力短板。

作为金融行业的从业者来说，积极布局和投入网络安全是进入下一个快速发展期的必要条件，同时政府也需要对这一趋势发展提供良好的保障机制、法律法规、做法指引、监管手段等方面进行引导，我们需要思考。

三、典型案例分析：日本金融网络安全治理

作为数字技术先进国家，日本自21世纪初以来不断强化网络安全建设，逐步完善战略布局。近年来，随着日本加速推动数字化转型，人工智能、云计算等先进技术与金融业务深度融合，金融系统遭受的网络攻击明显增多。面对挑战，日本高度重视金融网络安全治理，在制度建设和政策实践方面取得了显著成效，其相关经验值得借鉴。

1、重视金融网络安全监管：定期评估，分类实施动态监管

金融厅定期检查评估金融机构的网络安全建设，监管重点及方式根据行业、业务规模进行调整。例如，全年严格动态监管敏感度高、拥有全球经营网络的三大银行，督促其及时引进国际先进技术与理念；适度监管敏感度低的金融机构，着重提升其自律能力，为其开发针对性的网络安全自评估工具；根据更易受到的网络攻击类型调整检查项目；支持逐步推广零信任网络安全架构等。为提升金融网络安全监管工作质量，金融厅积极进行共性风险摸底，定期评估监管效果及制定改进方案。

2、提升网络攻防演习质量：网络安全评估+模拟攻击+实战演练

鼓励金融机构采用“威胁主导渗透测试”（TLPT）等高水平的网络安全评估方法，根据威胁情报及实际系统环境模拟攻击场景，从而检测网络安全系统对外部冲击的响应能力。2019年9月，日本金融行业信息系统中心（FISC）发布了相关指南，为其有效应用TLPT提供框架性指导。同时自2016年起，日本金融厅在每年10月左右组织大规模的跨行业金融机构网络安全实战演练，以提升金融领域整体网络安全保障能力。

3、促进信息共享：建立健全多层次、跨机构的金融网络安全信息共享机制

日本2014年成立了金融信息共享与分析中心（FISAC），旨在促进金融机构之间共享网络攻击威胁信息及技术漏洞信息并共商应对办法。2023年3月，日本发布《网络攻击危害信息的共享与发布指南》，通过问答形式引导受网络攻击的组织共享相关信息。另外，日本通过提供多元化共享范式、视情况允许数据匿名化及延迟发布、责任豁免等多种方式，尽力消除相关组织对共享过程中承担法律风险及名誉损失等的担忧，促进信息共享及时、畅通。

4、重视人才培养：重视网络安全人才的体系化、国际化培养

2021年4月，日本经济产业省发布《网络安全体系建设和人力资源保障指南》，为企业等部门健全网络安全风险管理体系及加强相关人才培养提供指导。日本金融厅要求金融机构持续加强网络安全人才队伍建设，制定及落实人才培养计划，完善激励与评价机制；重视提升管理层网络安全意识，定期开展内部培训及跨部门交流；尽量保障各部门均配备专职网络安全人员，在人员短缺情况下支持其在各部门定期轮岗。五是加强国际合作。针对跨国金融网络犯罪日益严重的趋势，日本金融监管部门通过双边及多边机制，在信息共享、政策协调、实战演习、标准制定等领域加强金融网络安全国际合作。

四、金融行业网络安全发展建议

近年来我国高度重视网络安全治理，国家层面陆续出台了《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》等法律法规及部门规章。金融系统也制定了高起点、高标准的金融网络安全治理规划和行业指引。但目前伴随着技术发展带来的双刃剑，网络安全带来的风险挑战愈加严重，我国金融网络安全治理建设在结合自身实际的同时，也需不断借鉴如日本、欧洲国际先进经验。

1、构建统筹兼顾、分工协作的监管体制。当前我国金融领域网络信息安全主要受国家网信办、公安部、工信部、“一行一总局一会”等部门多维度的监督管理。为了平衡合力监管与分业监管优势，各部门应明确职能分工，既要避免监管重叠也要防止监管真空，确保金融网络不留监管死角。

2、提升金融系统的主动防御能力。相关政府机构和金融监管部门常态化组织金融系统开展大规模跨行业网络攻防演习，不断丰富业务连续性演练场景。成立网络安全应急工作小组，指导金融机构组建应急管理团队、制定应急预案、提高应急处置能力。通过设立专项经费、指导创建产学研联合实验室等，加速推进零信任、人工智能、量子信息技术等网络安全技术布局与应用。

3、促进金融网络安全信息共享。健全金融网络安全信息共享的政策体系，促进金融机构与国家安全机构、监管部门、金融同业、外部安全厂商等不同层次机构建立威胁情报共享机制。强化措施提升信息共享工作质效，如完善高质量、多维度、全覆盖的金融业网络态势感知与信息共享平台建设，消除信息孤岛；提供多元化共享范式、赋予信息共享主体适当责任豁免，促进信息共享安全畅通。同时应重视国际金融网络安全信息共享合作，尝试与“一带一路”共建国家合作搭建相关数据库及信息资源共享平台，增强信息沟通与对话。