财聯社 12 月 8 日訊(記者郭子碩)随着國内數字化進程加速,數字經濟已成爲國内經濟發展的核心驅動力之一。然而,在金融數字業務創新拓展、服務效能提升的同時,安全風險亦呈升級态勢,金融機構的數字安全面臨新的考驗。
騰訊雲副總裁胡利明在本周的 2024 騰訊雲金融安全峰會中介紹,數字安全已經越來越成爲數字金融的底座工程,面對高危漏洞、複雜攻擊、數據洩露甚至勒索問題等多重挑戰,需要政府、科技企業、金融機構共同參與,形成合力,共同構建金融行業的數字安全屏障。
當前,金融行業的數字安全建設處于什麽階段,如何構建穩固的安全體系?對此,騰訊金融雲副總經理王豐輝、騰訊安全副總經理李濱以及騰訊安全副總經理聶森就此接受了包括财聯社記者在内的媒體采訪,各方将共同探讨金融數字化轉型中的安全應對之策,爲金融行業安全穩定發展探尋方向。
金融機構安全建設應考慮 " 全棧 "
" 金融用戶數量持續攀升,大量支付數據、個人身份信息及交易記錄等持續産生,這些高價值的數據資産容易引發黑灰産觊觎,安全建設面臨前所未有的新挑戰。" 中國信通院雲計算與大數據研究所所長何寶宏指出。
李濱與聶森進一步表示,當前黑灰産利用大模型、人工智能技術僞造信息,對金融機構風控與業務系統發動攻擊的趨勢顯著上升。同時,攻擊者借助供應鏈渠道滲透的現象愈發常見,釣魚攻擊等傳統手段亦難以防範,這些均成爲金融機構安全防護的棘手難題。
" 信息技術自主創新發展過程中的軟件供應鏈安全,已成爲年内監管重點關注領域,如攻防演練中提及的安全左移與可信組件源等關鍵問題。" 王豐輝進一步解釋,業務代碼中若開源組件比例較高,一旦爆發漏洞影響将很大。另一方面,金融機構使用外包與第三方軟件越多,也越可能存在安全漏洞引入風險,包括落實包括實時掃描、規範确立與貫徹等問題。
王豐輝指出,依據 " 木桶原理 ",金融機構安全水平取決于最短的安全短闆,且自主創新過程中的安全并非單點問題,而是涵蓋芯片、服務器、操作系統、數據庫等多領域的全棧性挑戰。
在金融機構實踐上看,全棧層面的挑戰也意味着更高的融合、銜接難度。李濱認爲,由于安全涉及社會運營管理中所有的業務系統和基礎設施,維度分散且複雜度高,不同技術間的連接和融合也存在阻礙。
" 金融機構有大量的存量系統與數據,由于各方面的約束和限制,新舊系統在銜接到接入統一的安全體系都會遇到一系列問題,帶來較大的安全建設阻礙。這些系統不能簡單廢除,所以安全架構如何保護、兼容舊系統與老資産成爲關鍵。" 李濱解釋,越是大型機構做數據融合跟安全鏈接,越難處理系統銜接問題,包括兼容性、連通性的問題。
在此背景下,金融機構構建安全防線的關注點至關重要。王豐輝指出,金融機構需對自身安全資産實施精準分類分級管理,深入洞察網絡邊界薄弱環節,強化内部人員安全培訓。常見的釣魚郵件也是黑客的慣用手段。當外部難以突破時,黑客往往試圖從内部人員入手。金融機構必須全方位查漏補缺,才能切實築牢安全壁壘。
金融機構從被動響應轉向主動防禦
在監管要求與行業自身發展的雙重驅動下,金融機構安全防護加速常态化," 治未病 " 理念深入人心。
王豐輝在采訪中透露,從今年的安全演練政策可以看出,監管在不斷地叠代和變化,金融機構也從 " 被動防禦 " 演變爲以風險爲導向、以結果爲度量的 " 主動防禦 " 策略。基于 " 假設損失 " 原則,假設攻擊一定發生,如何把最優資源保護最有價值資産,以此推演防護框架和能力的規劃和建設。
李濱認爲,金融機構從被動響應向主動規劃轉型過程中,企業建設需構建安全攻防态勢與防禦體系的成熟度階梯。一方面,綜合檢測難度、攻擊規模、黑客攻擊趨勢等多維度因素,劃分金融機構安全問題的等級;另一方面,甲方及管理者可設立能力成熟度表,依據設備産品、人員水平、安全治理流程等維度評定等級。當互聯網攻擊态勢低于機構自身防禦能力層級時,這可以幫助機構判斷、有效過濾低等級攻擊。
" 從騰訊安全的實踐經驗來看,我們在與金融客戶緊密協作過程中,通過紅藍對抗主動引入攻擊者進行滲透測試,開展攻擊面與暴露面管理工作,将資産梳理至前沿,力求在最早時間化解潛在攻擊風險。" 李濱補充。
聶森進一步指出,AI 大模型也是金融機構當前提升安全能力的核心驅動力,比如處理數據的分類分級管控,安全事件的分析和過濾,威脅情報的輔助分析,以及在安全事件綜合性方面等幫助很大。