2019中国金融科技产业峰会丨嘉实远见周明昊：金融科技下的安全管理与挑战

第二个，考虑安全运营中安全告警增长实在太迅速了，证券基金公司安全人员一般都不够，要做大量安全告警就必须有安全数据平台。我们不用把所有数据先都收集上来，先把一种或者几种场景吃透，然后逐步完善，数据一上来太多，可能也消化不了。前期包括分析平台建设、基础数据准备、安全攻击专家建模，前期有不少准备工作，这段时间是看不到产出的。逐步地对入侵事件能够做到可视化，甚至把数据歪斜事件加到你的链条里来，领导看到你的安全数据分析能看到东西了。最终做成具备风险实时监测能力和展示安全事件对业务的影响，我这个服务器出问题了到底影响的是哪个业务、接下来还可能影响哪个业务，安全对业务的影响是什么样的，这是安全告警未来一个很重要的关注点。

接下来讲讲IT战略对来的挑战：

金融下的安全管理与挑战。什么是金融科技？很多公司对金融科技的理解都有区别，但是相同点是金融科技发展带来IT部门地位提高、重要性提高。原来安全是IT里面相对后台的岗位，IT在金融公司里的地位其实不高的，但是现在高盛IT部门都超过三分之一了，IT驱动业务一定是金融科技发展带来的一个重要成果。IT金融科技驱动业务的话，企业内部会有这方面的战略要求。

比如嘉实目前的金融科技认为有两个重要因素，一个是一体化、大中台；另外一个是数据驱动，数据驱动带来价值。一体化举个例子，就像我们原来都是手工定制系统，完全根据业务方需求去做系统。接下来我们不做系统了，我们是一个工厂，生产模块，把标准化模块放在这里，要用的时候能够很快速拼起来，给业务一个试错的能力。业务发现原来一个系统建设半年，上了以后发现业务做不起来，这段时间都白瞎了。嘉实的金融科技做成后我很快把你的系统能拼起来，给你业务，你可以去尝试和试错，但是你拼的前提是我给你中台做得比较完善了，业务只需要考虑前端逻辑就可以了。

在这两个战略思想指导下安全怎么做？我觉得挑战是比较多的：

第一，大中台结构下安全设计。大中台内部访问性质跟以前不一样。中台间的组件相互很密切，一个中台可能支撑不同的业务，一个业务风险和另外一个业务隔离开，但是一个中台有横向扩展的可能性。另外是纵向上会发现，到底谁来做安全校验、谁来做参数过滤。原来我们同意后台做，现在可能又变成中台做，但是中台和前面的对接上可能又会有不一致的地方。这是我认为大中台的架构下安全的设计要重新考虑，要根据中台的模块去找一些关键点，在关键点上重点布防，比如认证模块、比如内部通信消息总线上，这几个地方安全上都需要做额外评估。

数据驱动带来的问题在于，我们要数据驱动，那数据一定是广泛流通的、是高效使用的。数据高效使用又会和你的保密管理之间存在天然的冲突，你数据一旦流动起来的话，数据到底流到哪里、哪一级数据在哪块达到什么验证，能够梳理清楚的公司非常少。在数据驱动下，安全的数据公司，有些公司有首席数据官，GDPR的实践是首席安全官和首席数据官要共同做数据治理。我的思考是，数据部门主要负责数据在公司内部该给谁不该给谁，安全部门主要管的是数据不应该被外部攻击和获取掉，过程中要彼此协同，这也是一个很大的挑战。

挑战也带来一些发展：

1、云计算。为什么现在安全方案非常多，每家方案都需要自己定制，因为我们的基础架构并不标准化，随着云计算发展业务上云以后，会带来基础架构标准化。

2、量子加密。为什么不上云？随着量子加密发展，未来金融机构不怕数据被别人窃听的情况下，给上云创造技术条件。

3、人工智能。以前大家说人工智能发展会不会把程序员取代了，有可能取代程序员，但是一定取代不了安全管理员，也一定需要安全人员看着人工智能，防止人工智能被黑。

我最近看了一些量子加密资料，我们现在之所以能够从事IT这个行业主要因为发明了图灵机。德国二战做了英格玛密码机，这是近代史上最强的密码机，它有10万多种的密钥组合，本质也是把字母做相应的变换，但它有个转子可以让每个字母变换都不一样，当时认为人不能破解，图灵就做了图灵机把这个暴力破解了。大家说算法不行，要做密钥的保护，后来香农在数据上证明了无法破解的加密方式，它认为满足一次一密、随机密钥、明密等长就能够被破解。

量子通信在这个事情上优势很大，一是利用量子纠缠原理，提前把粒子分发给对方，自己也留一颗，通过粒子状态变化去做信息传递。本质上内容是不需要传输的，因为需要传的只是纠错码，粒子变化是随机的，信息跟粒子变化没有办法对应，需要纠错码去对应。它一次性解决两个问题，一个是随机密钥，一个是明密等长。另外，量子通信会带来一个很有意思的事情，就是什么情况下比无法破解的加密更强，是在无法被窃听的通信，什么时候比无法窃听更强？你被窃听了你自己能发现，量子通信能够做到你自己能发现，而窃听者发现不了你窃听他，如果在军事领域可以用这个方式误导对方。量子通信能够做到放在云上的数据被别人窃听了以后你自己能够发现，这就是一个很可靠的方式了。

在金融科技趋势发展之下，保守的IT战略是不吃香的，能发展得好的IT部门的领导一般都是有些激进的，有些是跟着新趋势走的。在这个过程中IT的绩效、公司目标就像一个攀爬珠峰的过程，它要面对很多未知，要用新技术把自己带上更高的山峰去走艰难的路。安全在这个过程中的作用，不是保姆是保镖，甚至是登山过程中的向导。我们提前去看科技发展中会有哪些坑，我们提前把这些坑在地图上标出来，我们让IT领导感觉到在这个过程中我们跟他一个目标，是保证他的战略顺利实施的一个必要条件。

一般说到DevOps，大家想到的是运维和开发，但是DevOps有三要素，第三个要素是质量控制，安全是技术发展中非常重要保障的一环。安全不能老提问题，提问题遭人烦，提问题时一定要把解决方案也提出来，拿安全经验提升IT整体管理水平的上升。

谢谢大家！

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!