2023西湖论剑·金融行业网络安全论坛--筑牢金融安全屏障

　　5月8日下午，2023西湖论剑·数字安全大会金融行业网络安全论坛召开，北京国家金融科技认证中心副总经理唐辉，安恒信息副总裁徐锐，中国建设银行股份有限公司安全专家王晖，平安银行股份有限公司数据安全负责人王尧，国家信息技术安全研究中心曹岳，财通证劵金融科技研发部副总经理温智超，国泰君安证券股份有限公司网络安全架构师陈凯辉，中国人保科技高级经理郭斌，北京国家金融科技认证中心数据安全专家于柳婍，深圳联软科技股份有限公司金融行业安全专家周楠，安恒信息资深解决方案专家岳衍先生等嘉宾出席本次论坛。

　　随着信息技术的快速发展，网络空间与现实世界深度融合，数字技术重塑全球经济的结构，成为改变全球竞争格局的关键力量。金融行业作为数字经济发展的重要驱动力和数字中国建设的重要动能，在数字化方面取得了巨大的成就。与此同时，黑客攻击、勒索软件、信息泄露等安全事件频发，对于金融数字化的发展造成严重威胁，金融数字安全防范工作已经成为了金融数字化转型不可忽视的重要命题，也是不发生系统性金融风险的安全屏障。在此背景下，探索金融数字安全的防护之道也就具备了尤为重要的意义。

　　共商数字金融的安全防护之道

　　唐辉在致辞中强调，国金认证作为金融网络安全“守卫者”，始终致力于协助金融机构防范网络安全风险。他指出，未来认证中心将依托金融网络安全实验室，并联合各机构共建金融网络安全防护机制体系，提高金融机构网络安全的保障能力。同时加大核心技术的研发力度，强化关键基础设施的防护能力，提升预警水平，共同为金融网络安全的巨轮行稳致远保驾护航。

　　徐锐在致辞中表示，安全运营中心的建设是金融行业应对风险、满足合规、增强实战能力的有效手段。金融行业安全运营中心的建设，不仅应具备大数据、SOAR、危险建模等技术，还应整合组织人员机制流程的建设，以实战攻防为目标，实现人机协同、面向实战、持续成长，对不同数据在不同应用场景下实施不同类型的防护措施。

　　在主题演讲环节，王晖分享了SBOM增强供应链安全管控应用实践。她指出，供应链整体的安全是技术发展过程中的必然挑战，通过运动战完全解决它是不太可靠的，建议通过SBOM等方式进行数据的标准化、自动化和精细化的管理，进行持续化的安全建设，构建持续的安全机制，并进行深度安全实践探索。

　　王尧带来了数据安全建设实践的分享，他表示，安全有三种模式，第一是保安式的安全，守在关键的节点对于数据进行管理，第二是保姆式的安全，将数据安全所有责任和能力建设全部囊括在内，第三是保镖式的安全，即选择重要的数据、重要的场景进行优化的保护。平安银行通过综合考虑，选择保镖式的安全模式，确定组织架构，对于数据资产进行分类分级，进行数据风险分析，并针对主要场景拟定细化的数据安全防护策略。

　　曹岳表示，金融行业以前的安全更多是专注于基础设施的安全，安全重点在于保障基础设施。而随着数字化转型的深入，数据层和业务层面临的威胁越来越大。此外，监管政策也对金融行业的网络安全提出了严格要求。在此背景下，网络安全不仅上移到数据层与业务层，也左移到研发源头的安全治理，这带来了巨大的工作量，意味着安全本身也要进行数字化转型。

　　陈凯晖分享了网络攻防演练实战，他指出，网络攻防是一个持续对抗的过程，既是人与人的对抗，也是技术的对抗，甚至是理念的对抗，需要我们不断的探索。其中，Web应用、VPN以及邮箱是三个必争的高地，需要强化对于这几个领域的网络防护，提升整体网络安全水平。

　　郭斌强调，外部环境、新技术应用和企业发展需要等多个维度的因素，对传统的安全运营带来诸多挑战，同时也进一步催生了数字化安全运营的概念：除了技术、流程、人员的有机结合，还被赋予了数字化、智能化、自动化等更多内涵。面对快速迭代的攻击手段和日益武器化攻击工具，安全运营体系需要变得更积极、更智能、更迅速。另一方面，安全运营和研发、运维、业务流程的高度交融，以及企业安全需求的个性化差异，使得安全运营平台的底座化成为必然选择。

　　于柳婍带来了金融数据治理一体化解决方案的分享，并着重对金融数据分类分级和金融数据安全保护服务进行了讲解。她指出，金融数据治理一体化方案从标准的制定到贯标执行，以培训、评估、检测、认证为服务手段，从数据治理和平台工具两个方向，为金融机构提供数据领域一站式服务，通过制度流程建设、数据能力建设以及数据管理人才，助力金融机构实现数据要素的价值提升。

　　岳衍分享了安恒信息在金融行业的一线实战经验，他指出，安恒信息面向金融行业提供了安全运营方案，能够与金融机构实现提前对接，实现数据、资产的收集，方案还提供了安全数据中台与安全能力中台，实现安全态势感知以及安全模块的联动和统一策略下放。安恒信息还能够通过安全运营中心提供平台、流程、运营团队这三大要素的支撑，助力用户完善安全运营。

　　周楠表示，无界办公安全体系建设，帮助企业建立无边界终端办公环境，既有效收敛互联网攻击暴露面，保障用户在内外网混合办公环境下均可以高效安全的访问企业资源，同时加强终端及数据安全建设，通过终端安全技术管理手段，增强终端安全检测和威胁分析能力，最终打造全面覆盖企业端到端的零信任安全场景。

　　数据在不同主体之间的联通会带来数据合规问题，以隐私计算技术来保证数据在联通过程的安全成为金融企业的普遍需求：隐私计算能够由具备通用计算能力的硬件提供可信执行环境，对使用中的数据提供安全保护、化解数据的安全隐患，从而助力打通多源数据，推动数据要素高效流通。

　　本次论坛上，财通证券金融科技研发部副总经理温智超、安恒信息副总裁徐锐共同发布 “财通证券2023数据应用创新大赛”。

　　据介绍，本次大赛以安恒数据安全岛隐私计算平台为技术支撑平台，方案采用数据要素全生命周期加密、区块链、隐私计算、BDTee(大数据可信执行环境）、数字验签和全业务流程追踪审计技术，提供了一整套数据市场安全保障能力，实现共享数据的所有权和使用权分离，确保原始数据的“可用不可见、可用不可取”，保障数据共享交换过程的可靠、可控和可溯。

　　随着实体经济发展重心转向数字化实体经济，金融科技创新，大量采用新技术，实现业务创新的同时，也给网络安全带来更多隐性风险。随着事件型漏洞和高危漏洞威胁的持续走高，网络攻击的种类、规模和方式不断增加。数字化转型不断提升数据价值，金融业务的复杂性使得数据安全保护体系的建设难度不断加大。金融机构与第三方机构的连接越来越多，导致风险的传导范围和信息科技外包风险也不断加大。

　　在金融网络安全实验室的大力支持下，安恒信息作为实验室首批成员单位，由安恒信息副总裁徐锐和安恒信息资深解决方案专家岳衍，在本次论坛上率先发布了《金融行业解决方案蓝皮书》。