2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上，中国信息通信研究院云计算与大数据研究所金融科技部郜咨询顾问唐明环带来了《金融业网络安全白皮书（2019）》解读。

在座各位都是金融领域、安全领域的专家，我有说得不太正确的地方，欢迎大家批评指正。

首先，背景：习近平总书记提出金融是现代经济的核心，金融安全是国家安全的重要组成部分，总结起来就是：金融特别重要，金融信息安全、网络安全特别重要。同时，我们可以看到近年来金融业网络攻击事件频繁，网上随便可以搜到很多金融行业受到攻击的案例，2016年孟加拉央行受到APT攻击，2018年荷兰三大银行受到DDoS攻击，今年7月份美国第三大信用卡发行商遭受人为攻击，这些事件中都可以看出金融业网络安全遭受严峻的考验。我们该如何应对金融业产生的网络安全问题？这是我们白皮书重点研究的内容。

白皮书大纲分成四个部分：金融业网络安全总体形势、创新技术典型应用、风险挑战、安全保障策略。

一、金融业网络安全的总体形势

白皮书里分析四个形势：

1、    科技创新推动金融行业变革。金融行业正在从以资金驱动业务向以科技驱动业务转变。主要表现在以下四方面：

第一，  支付模式的变化。随着互联网模式的兴起，第三方支付应运而生且发展迅猛。

第二，  存款融资模式变化。网络融资模式逐渐兴起，线下业务逐步转化为线上业务。

第三，  业务渠道转化，从互联网金融到物联网金融的转变。

第四，价值载体从有形货币到无形货币转变。

2、新兴技术正在与网络安全技术加速融合。包括现在的人工智能技术、云计算技术等，这些技术和我们之前的网络安全态势感知、威胁情报等技术在融合。这部分后面有详细的介绍。

3、金融业网络安全形势愈加严重。前面提到金融网络攻击的风险，金融业是数据集中的行业，所以它大数据风险也很严重。现在金融行业应用了很多新技术，随着技术依赖，风险也相伴而生。

4、金融业网络安全工作受到很大重视，包括我们的网络安全等级保护法，和国务院办公厅发布的一系列指导意见，国家本身对金融行业重视程度在逐步加深。二是我们网络安全人才队伍持续加强，包括我们颁发一系列网络安全队伍建设的文件，金融行业在各地开展网络安全攻防实战演练，金融网络安全产业生态在进一步加深。

二、金融行业网络安全创新技术和典型应用

我们将金融业网络安全分成两部分：第一，新技术赋能金融业网络安全，第二，金融业应用一些新技术，这些新技术自身的安全问题，需要通过它自身的技术做规避。

（一）新技术赋能金融业网络安全

一个是数据安全技术，里面第一点是智能数据防泄露，采用深层内容分析技术，对数据资产进行细粒度安全管控，包括存储敏感数据防泄露、终端敏感数据防泄露、网络数据防泄露。

智能数据唾沫，通过对敏感数据进行处理，隐藏它的隐私信息为数据安全提供保障，分为静态和动态两种，典型应用有生产周期共享、开发数据准备以及实时数据获取。

二是下一代网络安全。一是异常行为分析，通过分析发现潜在的威胁，典型应用有规范生产运维人员操作、VPN连接异常分析、准入登陆控制等等。网络安全态势感知是在大规模网络环境中对能够引起网络态势变化的主要安全进行获取、理解、显示，对它最近趋势进行预测，从而提前做些决策和行动，保障它的安全。典型的应用场景包括全网安全数据集中管理、网络安全高级威胁检测、网络安全运营。

三是网络安全威胁诱捕。包括各种网络服务、数据库、应用等等把这个威胁诱捕过来引到沙盒里进一步防御，包括隔离、取证等等。

刚才说的是应用新技术赋能网络安全。

（二）新技术自身的安全

第一，人工智能安全。人工智能在金融领域应用最为显著的风险是数据泄露的风险，我们针对人工智能安全技术总结以下几点：一是基于隐私机器学习技术，二是减少数据需求的技术，三是数据偏见检测技术，四是针对AI数据的攻击防御技术。

第二，大数据。我们也关注现在比较火热的这几项技术，有认证技术、数据安全技术、安全服务技术。

第三，云计算。针对云计算安全技术有微隔离技术、云公共负载保护平台等几项。

三、金融业网络安全面临的风险和挑战

挑战1：金融业网络安全外部风险持续升级。现在遭受网络攻击和信息泄露事件很多，随着移动支付发展，手机终端安全问题逐渐显现。另外，基础设施软件不可控。

挑战2：金融业务创新对网络安全提出更高的要求，比如金融业务云化、金融业务上云、区块链在金融领域不断得到应用、人工智能不断发展，这些新技术都使网络环境更加复杂，对网络安全提出更高要求。

挑战3：静态安全防御已无法满足金融业网络安全需求。网络安全边界模糊、很多首都无法适用，这也是对网络安全提出的挑战。

挑战4：数据安全和隐私保护难度加大。数据价值不言而喻，处于易泄露、易滥用，金融个人隐私面临着共享与管理、保护与使用的双重特性。

挑战5：金融业网络安全运营体系亟待完善。金融科技所引起的网络化、数据化、智能化对金融网络安全运营既是机遇也是挑战，白皮书分别从技术层面、业务层面、监管层面、人才培养这四个方面对金融业网络安全运营体系分析了面临的挑战。

四、金融业网络安全保障策略和建议

策略1：建立金融业网络安全的创新思路。一是零信任，核心思想是默认情况下不信任网络内部和外部的任何人、任何设备以及任何系统，零信任从2010年提出，发展到现在已经受到了各个单位的很多实践经验。零信任安全架构包括设备和用户代理认证等等。

二是自适应安全架构。包括保护与防御，检测与响应，回溯与取证，识别与预测，这四方面环环相扣形成网络安全保障的坚实的基础。

三是金融AI安全架构。它区别于以前，它是把人工智能因素加了进去，智能化增强防御、检测和响应的能力。

策略2：强化以数据为中心的网络安全建设规划。主要包括五方面：数据安全等级设定、数据操作人员管理、数据安全使用评审、数据使用授权流程、数据共享流程。

策略3：建立以零信任为基础的动态安全防护体系。刚才介绍了零信任的思想，我们提出的建议是建立零信任为基础的安全防御体系。它包括以下几方面：多元化评估、动态访问控制、安全成长。

策略4：建设面向全生命周期的数据防泄露机制。包括三个阶段，第一个阶段是合理梳理、组织构建、制度制定。数据摸底、分级分类、风险识别。第三个阶段是安全防控标准规范。

策略5：打造下一代智能化网络安全运营体系。安全运营是对安全运维的一个继承和发展。运营包含的东西特别多，它是一个比较综合的事情，我们主要是提出以下几方面：第一点，伴随业务上云开展以下这三个大平台建设。第二点，应用DevSecOps理念使安全贯穿业务全生命周期，第三点，通过安全运营增加安全感实现安全价值，建立态势感知平台，建设高阶威胁感知能力。

以上是我对《金融业网络安全白皮书（2019）》的介绍，大家如果想了解详细的内容可以扫描我们这个二维码，关注中国信通院CAICT微信公众号，我们会在公众号把白皮书电子版全文发到里面。白皮书是由各个专家团队一起合作编写的，在此对大家表示感谢。

谢谢大家！