2019中国金融科技产业峰会丨金融业网络信息安全分论坛之圆桌论坛

第一，大数据。金融行业、券商对于数据的整合、分析、应用，一定是未来的重中之重。很多金融企业做科技转型都做技术中台、能力中台、业务中台，一定跑不了数据中台，涉及到数据的存储、传递、应用、分享，数据在使用中会产生价值的，这个过程会给安全带来极大的挑战，而且这个问题一定是长期存在的，怎么让它更安全。

第二，中台的出现以及新技术的应用。比如我开发过程中要用DevOps，这些过程中容器云、微服务架构的引入，会颠覆原有的IT技术架构，IT技术架构变了，安全架构也会变。

基于前两点，我设想的趋势是这样，安全不再基于传统的以隔离为典型控制的访问控制措施，有可能安全会把各种模块、各种职能做成一个服务，把你的服务和你的业务系统、和你的工作流程去整合。比如我的身份验证可能就是个服务，比如我的数据脱敏就是个服务，每一个环节做成一个服务，把服务嵌到我的系统，这样可以让我的系统和安全去做些融合，这是我前面想到的两个点。

第三，未来AI的对抗有可能在金融行业里矛盾会比较突出。有两个例子可以说明这个问题，一个是前一阶段闹得沸沸扬扬的事，第二个是英国出了一个案例，有一家诈骗公司模仿老板给财务打电话，然后转了几百万。这个事就提醒我，我现在开会都不需要到现场，都是远程的，远程这些信息一定会遇到AI的挑战，我怎么知道是真的？类似的场景可能还会存在。我们需要加强在AI上攻防的研究，更多是基于场景的研究，后面可以提倡对于金融或者对于某些行业AI场景应用的研究，做攻防。你知道它有哪些研究技术，做有效的防御。而且这个领域一定是攻击者领先于防御者，把这个工作做到前面，安全工作才可以起到更好的防护的效果，这是我的一些设想。

蒲戈光：简单从乙方视角说一下，之前跟一些金融客户也沟通了，新技术给安全带来的变化。前面有嘉宾提到，现在不光是金融行业，其他企业也是一样，安全团队的人才比较少、缺口根据大。同时，目前很多看到业务和安全是有所冲突的，安全工作比较难做，看不到成绩到底体现在哪里，出了事的责任又全是安全的。

我觉得两者应该互相碰撞和结合，从零信任和从自身架构，更多是偏理念上的变化，它把理念变化之后安全架构做颠覆或者重新设计。比如零信任可以从传统的IP和端口的访问控制，转入到从身份API动态信任，并且随时验证，这样强化安全无边界，但实际上它是把安全融入到整个业务流程里去了。

从我的角度看来有几点：

第一，解决安全甲方乙方存在这样的问题。解决安全的现状，从安全攻防实战出发，不管是安全木头理论还是持续对抗，从实战角度发现当前的短板。另外，锻炼安全团队，从实战里培养企业内部应急机制、处置机制及各部门协调。

第二，安全不能和业务对立。像前一段时间《阿里巴巴中台战略思考与架构实战》的这本书也提到，它的技术中台从2007年就开始建设。但是为什么一几年之后才逐步建得比较好？一开始是业务部门比较强势的，中台在建设过程中是夹缝中求生存的，和安全有点像。如果将安全做好，安全能力、安全自身也要中台化，把它所有的安全能力向服务化、业务部门等提供能力，和业务最好融入到一起。这样一个是提升安全的价值，也能够为业务进行服务。

现在安全的行商和国家政策对安全是个利好，因为会要求大家来重视安全。既然有这个明确要求之后，也让大家能够看到如果出现安全事故或者造成什么损失，安全能够帮助业务挽回一些业务上的损失，或者加大业务的客户群，能对业务带来帮助，从安全上也往中台化方向发展。

另外，AI。现在很多安全产品说人工智能，但是目前在我们看来还处于起步阶段，图像识别、人脸识别或者语音识别比较成熟。安全比较复杂、比较难，我们更强调机器AI+人工专家智慧结合，也结合当前的像RPA这种流程自动化技术，把我们专家的经验固化下来或者沉淀下来，利用专家的经验解决当前安全团队人手不足，无法应对比如重保安全事件的处置。另外，将这些经验和技术结合起来之后能够应对新的威胁。云计算、大数据这些新技术肯定带来IT技术的变化，技术发展是一直在迭代的过程，从理念上先做些变化之后，安全工作才比较容易开展或者更有价值。

胡绍勇：科技金融对金融行业未来会有促进，也会有反面作用，比如量子计算它对未来金融行业影响很大，未来密码系统破解以后怎么发展新的密码？从AI角度来看也有促进作用，比如现在目前大家都在做情感支撑，能够用AI技术看你到底是否很紧张，但是可能通过肉眼看不出来，这些东西可以帮助银行，比如拣的银行卡去柜台取钱，他很紧张就能够探测出来。所以技术在行业中，正面、反面的作用都会有。

论坛主持（许一骏）：胡总是做工控安全，等保2.0新增了专门针对工控安全的要求。从我个人理解，工控安全可能比较难做，它都是为此微小的器件，不好像传统的搭一堆WAF或者搭一堆硬件东西去维护它的安全。

请问从工控安全来说，怎么做可以保证它的安全？或者怎么进一步提升安全？另外，你们有没有在金融行业有你们自己相关的研究和防御的建议或产品？

胡绍勇：工业安全是我们最早开始做的一个方向，也是我为什么参加这个会议。大家觉得工厂不会对外联网，安全隐患应该会很少，但实际上并不是，有些安全隐患是尽管内网本身是通的，如果人为因素带来病毒到工厂内部，这时候就很危险。

只有出过事情的工厂才会求助安全厂商去解决问题，如果没有出问题，它都很自信满满，觉得不会有什么问题。这可能是慢慢转变的过程，一方面要出行标，像新等保出来之后规定业务场景，比如规定物联网一定要做等保。

另外，我们研发软件安全技术，完全可以延伸到金融行业，比如金融行业可以买一些安全工具，在其他行业也会一样。所以我们就研发了一款工具，相当于要做自主可控，因为在军队里很多业务不能去买国外的产品，所以我们在这方面推进研发。

论坛主持（许一骏）：金融行业网络安全跟其他行业有没有区别？网络架构等有没有明显区别？或者它的特点是什么？

蒲戈光：金融行业肯定有它的特点：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!