2019中国金融科技产业峰会丨金融业网络信息安全分论坛之圆桌论坛

2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上举行了圆桌论坛。

圆桌论坛主持人：中国信通院云大所金融科技部技术总监许一骏。

嘉宾：

安信证券股份有限公司 安全总监李维春；

上海工业控制安全创新科技有限公司蒲戈光；

上海观安信息技术股份有限公司CTO胡绍勇；

天融信科集团金融行业安全专家、技术总监肖松。

论坛主持（许一骏）：请各位先介绍一下自己做什么工作、从事哪些领域吧。

肖松：大家好，很高兴有机会参加论坛，我叫肖松，金融行业从业快20年。

李维春：我是来自安信证券的李维春，向各位专家同事多请教。

胡绍勇：我来自观安信息的胡绍勇。

蒲戈光：我是上海工业控制安全创新科技有限公司的蒲戈光。

论坛主持（许一骏）：我们准备了几个问题，首先是关于个人信息泄露的情况。各位可以介绍一下自己面对这种情况可以怎么去应对这样一些挑战。

李维春：以前在科技行业里信息泄露的情况没有那么敏感，我一进金融行业确实遇到您所提到的疑似客户信息泄露的情况发生，我们也进行了调查，也跟同行做了交流。确实这个事挺重要的，全国上下呼声很高，我们在推进和解决遇到了一些困惑。我的基本观点是“治乱象，重点”，下手要快狠准。

大家都说重视，但是事到临头时，除非这件事特别大，否则找不到对口的单位和部门来帮助你解决问题。虽然很重视个人信息安全保护，但是我个人感觉有九龙治水的现象，各部门都在管，但好像管得都不是特别有成效。个人建议有一个有效协调机制，出了事知道找谁帮助解决问题。

第二，企业自身要负相关责任。我建议分两头，一头是以往咱们确实对数据保护不够重视，企业自身有缺漏，过去的帐想办法清掉。另外，后面如果再有新的帐，要下狠手，办一批大案要案。有些企业领导如果数据保护不得力，应该把他撸掉，要快狠准、要有效，不能好像大家都在干，但总干得不疼不痒的。

蒲戈光：刚才提到两个问题，一个是个人信息保护，另外一个是企业信息泄露的安全防护。刚才安信证券的李总监侧重了个人信息保护。

我觉得两个问题不太一样，个人信息保护，工信部、网信办今年都是针对APP的，APP里有过量采集的个人信息，这是个采集的渠道，为什么有这种情况？因为之前国家法律法规没有明确的要求什么该采、什么不该采，有一个条款说只要用户允许就可以了，但是用户是个弱势群体，用这些APP就相当于被动接受了霸王条款。另外，九龙治水是个真实情况，各个部门比较重视、都在管，但是目前没有统一管的渠道，也没有明确的文。

如果说下重手，前一段时间能够看到开展爬虫整顿风暴行动后，对涉及爬虫的公司影响比较大，征信和爬虫的企业立马业务就停止了。这说明是有办法能做一些管理的，只不过现在从法律法规和监管的渠道、管理渠道还没有定下明确的文。这是个人信息采集渠道，采完以后的保护主要在企业这边。现在是智能化时代，数据必须做交换才有价值，在交换或者使用过程中有很多泄露的渠道和点，这里面如果企业自身对它的数据没有做好梳理，或者对他数据交换的边界没有摸清的话，采取的很多安全手段也很难起到原来预期的效果。

像我们传统的网络安全一样，不摸清家底，再多防火墙都有不知道的主机暴露在公网上。所以第一步是先把数据清理或者数据摸清，针对边界做巩固的手段，前面的白皮书提到脱敏或者加密等手段。从多种手段一步步先把数据资产摸清之后，逐步针对边界做些管控，对企业来说至少是一个行之有效的技术上的手段。从管理上像刚才提到的，从监管的要求明确责任，立好法规以后企业自身就会重视，将这些措施落实地位。

胡绍勇：我觉得国家对数字资产不够重视，没有把数据资产跟个人有实验的资产同等重要，在立法上没有跟进。

要解决的话有三个渠道：

第一，行业定标准，哪些资产不能去碰。

第二，需要有中间检测机构专门检测这些APP。现在很多APP很流氓，如果不给权限的话它就不让我安装，这个就没有其他选择余地。

第三，立法要跟进。这个资产不仅仅是我们手机上的泄露，包括任何电脑上产生的数字要有一个边界，到底哪些是我的、哪些是别人的。举个例子，现在这么多摄像头，摄像头拍我们的时候，我们都说有肖像权，拍进去之后我应该在我的公共设备上存多久、去销毁它还是永久存？这些边界都没有确定，造成很混乱，这还是要从法律法规层面去。

肖松：我们在安全防护过程中也有些体会，数据防泄露这块是最直接或者最快捷的。现在我们在北京这几年做了很多这方面的项目，从用户来看，他们更迫切的是在互联网出口、办公网、生产网、内网之间数据泄露，重点检测泄露的敏感信息是一方面。另外一个途径是在生产网到办公网或者生产网到测试网数据，那是我们需要把生产的数据脱敏后放到测试网进行使用，这是最直接的方式。

另外，我们也思考了一个问题，我们对数据的理解不仅光是事后审计、事中检测，还是要往事前去努力。包括前期对用户基于身份的管控，包括加密、防篡改，等等这些都是我们在体系内需要考虑的。

论坛主持（许一骏）：现在人工智能、大数据等技术不断影响网络安全的防护，带来影响一些和变化。各位可以谈谈在过程中，这些技术与你们的工作有哪些结合？它怎么影响网络安全防护？未来在网络安全防护呈现哪些特点和趋势？和我们简单分享及总结一下。

肖松：金融科技这几年发展特别快，，它对金融业务在创新过程中发挥很大作用，但是金融科技带来一些安全隐患，这点我们也需要重视。

业务侧重在差异化竞争优势，扬长避短，信息安全建设防护这块更多考虑的是木桶效应。业务发展、安全防护这件事本身就是矛盾的，也有统一的地方。我们在思考，怎样使金融科技在服务或者支持促进业务的过程中，在安全这块做更多的努力。

刚才主持人提到未来安全往哪个方向走。云计算、大数据、人工智能、区块链这些金融科技之间是关联的，云计算基础是重要核心资源，比如分布式处理技术，包括区块链会用到很多共性的东西。对于金融科技来讲，安全产品目前也在逐步把金融科技最新科技成果能够应用到安全设备里。最典型的是我们推出的态势感知，但是现在需要基于大数据再融入人工智能、AI元素，进一步往安全角度发展。

我们也在考虑金融与科技之间，国家、行业都在谈金融科技发展，一个很大的方向是安全可控，安全可控是我们在金融科技和安全防护“金融科技+安全”的一个重要背景。

论坛主持（许一骏）：李总从用户来谈一谈。

李维春：我觉得主要是三个方向：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!