財(cái)聯(lián)社12月8日訊（記者郭子碩）隨著國(guó)內(nèi)數(shù)字化進(jìn)程加速，數(shù)字經(jīng)濟(jì)已成為國(guó)內(nèi)經(jīng)濟(jì)發(fā)展的核心驅(qū)動(dòng)力之一。然而，在金融數(shù)字業(yè)務(wù)創(chuàng)新拓展、服務(wù)效能提升的同時(shí)，安全風(fēng)險(xiǎn)亦呈升級(jí)態(tài)勢(shì)，金融機(jī)構(gòu)的數(shù)字安全面臨新的考驗(yàn)。

騰訊云副總裁胡利明在本周的2024騰訊云金融安全峰會(huì)中介紹，數(shù)字安全已經(jīng)越來(lái)越成為數(shù)字金融的底座工程，面對(duì)高危漏洞、復(fù)雜攻擊、數(shù)據(jù)泄露甚至勒索問(wèn)題等多重挑戰(zhàn)，需要政府、科技企業(yè)、金融機(jī)構(gòu)共同參與，形成合力，共同構(gòu)建金融行業(yè)的數(shù)字安全屏障。

當(dāng)前，金融行業(yè)的數(shù)字安全建設(shè)處于什么階段，如何構(gòu)建穩(wěn)固的安全體系？對(duì)此，騰訊金融云副總經(jīng)理王豐輝、騰訊安全副總經(jīng)理李濱以及騰訊安全副總經(jīng)理聶森就此接受了包括財(cái)聯(lián)社記者在內(nèi)的媒體采訪，各方將共同探討金融數(shù)字化轉(zhuǎn)型中的安全應(yīng)對(duì)之策，為金融行業(yè)安全穩(wěn)定發(fā)展探尋方向。

金融機(jī)構(gòu)安全建設(shè)應(yīng)考慮“全棧”

“金融用戶(hù)數(shù)量持續(xù)攀升，大量支付數(shù)據(jù)、個(gè)人身份信息及交易記錄等持續(xù)產(chǎn)生，這些高價(jià)值的數(shù)據(jù)資產(chǎn)容易引發(fā)黑灰產(chǎn)覬覦，安全建設(shè)面臨前所未有的新挑戰(zhàn)?！敝袊?guó)信通院云計(jì)算與大數(shù)據(jù)研究所所長(zhǎng)何寶宏指出。

李濱與聶森進(jìn)一步表示，當(dāng)前黑灰產(chǎn)利用大模型、人工智能技術(shù)偽造信息，對(duì)金融機(jī)構(gòu)風(fēng)控與業(yè)務(wù)系統(tǒng)發(fā)動(dòng)攻擊的趨勢(shì)顯著上升。同時(shí)，攻擊者借助供應(yīng)鏈渠道滲透的現(xiàn)象愈發(fā)常見(jiàn)，釣魚(yú)攻擊等傳統(tǒng)手段亦難以防范，這些均成為金融機(jī)構(gòu)安全防護(hù)的棘手難題。

“信息技術(shù)自主創(chuàng)新發(fā)展過(guò)程中的軟件供應(yīng)鏈安全，已成為年內(nèi)監(jiān)管重點(diǎn)關(guān)注領(lǐng)域，如攻防演練中提及的安全左移與可信組件源等關(guān)鍵問(wèn)題?！蓖踟S輝進(jìn)一步解釋?zhuān)瑯I(yè)務(wù)代碼中若開(kāi)源組件比例較高，一旦爆發(fā)漏洞影響將很大。另一方面，金融機(jī)構(gòu)使用外包與第三方軟件越多，也越可能存在安全漏洞引入風(fēng)險(xiǎn)，包括落實(shí)包括實(shí)時(shí)掃描、規(guī)范確立與貫徹等問(wèn)題。

王豐輝指出，依據(jù) “木桶原理”，金融機(jī)構(gòu)安全水平取決于最短的安全短板，且自主創(chuàng)新過(guò)程中的安全并非單點(diǎn)問(wèn)題，而是涵蓋芯片、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)等多領(lǐng)域的全棧性挑戰(zhàn)。

在金融機(jī)構(gòu)實(shí)踐上看，全棧層面的挑戰(zhàn)也意味著更高的融合、銜接難度。李濱認(rèn)為，由于安全涉及社會(huì)運(yùn)營(yíng)管理中所有的業(yè)務(wù)系統(tǒng)和基礎(chǔ)設(shè)施，維度分散且復(fù)雜度高，不同技術(shù)間的連接和融合也存在阻礙。

“金融機(jī)構(gòu)有大量的存量系統(tǒng)與數(shù)據(jù)，由于各方面的約束和限制，新舊系統(tǒng)在銜接到接入統(tǒng)一的安全體系都會(huì)遇到一系列問(wèn)題，帶來(lái)較大的安全建設(shè)阻礙。這些系統(tǒng)不能簡(jiǎn)單廢除，所以安全架構(gòu)如何保護(hù)、兼容舊系統(tǒng)與老資產(chǎn)成為關(guān)鍵?！崩顬I解釋?zhuān)绞谴笮蜋C(jī)構(gòu)做數(shù)據(jù)融合跟安全鏈接，越難處理系統(tǒng)銜接問(wèn)題，包括兼容性、連通性的問(wèn)題。

在此背景下，金融機(jī)構(gòu)構(gòu)建安全防線的關(guān)注點(diǎn)至關(guān)重要。王豐輝指出，金融機(jī)構(gòu)需對(duì)自身安全資產(chǎn)實(shí)施精準(zhǔn)分類(lèi)分級(jí)管理，深入洞察網(wǎng)絡(luò)邊界薄弱環(huán)節(jié)，強(qiáng)化內(nèi)部人員安全培訓(xùn)。常見(jiàn)的釣魚(yú)郵件也是黑客的慣用手段。當(dāng)外部難以突破時(shí)，黑客往往試圖從內(nèi)部人員入手。金融機(jī)構(gòu)必須全方位查漏補(bǔ)缺，才能切實(shí)筑牢安全壁壘。

金融機(jī)構(gòu)從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)防御

在監(jiān)管要求與行業(yè)自身發(fā)展的雙重驅(qū)動(dòng)下，金融機(jī)構(gòu)安全防護(hù)加速常態(tài)化，“治未病” 理念深入人心。

王豐輝在采訪中透露，從今年的安全演練政策可以看出，監(jiān)管在不斷地迭代和變化，金融機(jī)構(gòu)也從“被動(dòng)防御”演變?yōu)橐燥L(fēng)險(xiǎn)為導(dǎo)向、以結(jié)果為度量的“主動(dòng)防御”策略?；凇凹僭O(shè)損失”原則，假設(shè)攻擊一定發(fā)生，如何把最優(yōu)資源保護(hù)最有價(jià)值資產(chǎn)，以此推演防護(hù)框架和能力的規(guī)劃和建設(shè)。

李濱認(rèn)為，金融機(jī)構(gòu)從被動(dòng)響應(yīng)向主動(dòng)規(guī)劃轉(zhuǎn)型過(guò)程中，企業(yè)建設(shè)需構(gòu)建安全攻防態(tài)勢(shì)與防御體系的成熟度階梯。一方面，綜合檢測(cè)難度、攻擊規(guī)模、黑客攻擊趨勢(shì)等多維度因素，劃分金融機(jī)構(gòu)安全問(wèn)題的等級(jí)；另一方面，甲方及管理者可設(shè)立能力成熟度表，依據(jù)設(shè)備產(chǎn)品、人員水平、安全治理流程等維度評(píng)定等級(jí)。當(dāng)互聯(lián)網(wǎng)攻擊態(tài)勢(shì)低于機(jī)構(gòu)自身防御能力層級(jí)時(shí)，這可以幫助機(jī)構(gòu)判斷、有效過(guò)濾低等級(jí)攻擊。

“從騰訊安全的實(shí)踐經(jīng)驗(yàn)來(lái)看，我們?cè)谂c金融客戶(hù)緊密協(xié)作過(guò)程中，通過(guò)紅藍(lán)對(duì)抗主動(dòng)引入攻擊者進(jìn)行滲透測(cè)試，開(kāi)展攻擊面與暴露面管理工作，將資產(chǎn)梳理至前沿，力求在最早時(shí)間化解潛在攻擊風(fēng)險(xiǎn)。”李濱補(bǔ)充。

聶森進(jìn)一步指出，AI大模型也是金融機(jī)構(gòu)當(dāng)前提升安全能力的核心驅(qū)動(dòng)力，比如處理數(shù)據(jù)的分類(lèi)分級(jí)管控，安全事件的分析和過(guò)濾，威脅情報(bào)的輔助分析，以及在安全事件綜合性方面等幫助很大。