2019中国金融科技产业峰会丨嘉实远见周明昊：金融科技下的安全管理与挑战

第二个，考虑安全运营中安全告警增长实在太迅速了，证券基金公司安全人员一般都不够，要做大量安全告警就必须有安全数据平台。我们不用把所有数据先都收集上来，先把一种或者几种场景吃透，然后逐步完善，数据一上来太多，可能也消化不了。前期包括分析平台建设、基础数据准备、安全攻击专家建模，前期有不少准备工作，这段时间是看不到产出的。逐步地对入侵事件能够做到可视化，甚至把数据歪斜事件加到你的链条里来，领导看到你的安全数据分析能看到东西了。最终做成具备风险实时监测能力和展示安全事件对业务的影响，我这个服务器出问题了到底影响的是哪个业务、接下来还可能影响哪个业务，安全对业务的影响是什么样的，这是安全告警未来一个很重要的关注点。

接下来讲讲IT战略对来的挑战：

金融下的安全管理与挑战。什么是金融科技？很多公司对金融科技的理解都有区别，但是相同点是金融科技发展带来IT部门地位提高、重要性提高。原来安全是IT里面相对后台的岗位，IT在金融公司里的地位其实不高的，但是现在高盛IT部门都超过三分之一了，IT驱动业务一定是金融科技发展带来的一个重要成果。IT金融科技驱动业务的话，企业内部会有这方面的战略要求。

比如嘉实目前的金融科技认为有两个重要因素，一个是一体化、大中台；另外一个是数据驱动，数据驱动带来价值。一体化举个例子，就像我们原来都是手工定制系统，完全根据业务方需求去做系统。接下来我们不做系统了，我们是一个工厂，生产模块，把标准化模块放在这里，要用的时候能够很快速拼起来，给业务一个试错的能力。业务发现原来一个系统建设半年，上了以后发现业务做不起来，这段时间都白瞎了。嘉实的金融科技做成后我很快把你的系统能拼起来，给你业务，你可以去尝试和试错，但是你拼的前提是我给你中台做得比较完善了，业务只需要考虑前端逻辑就可以了。

在这两个战略思想指导下安全怎么做？我觉得挑战是比较多的：

第一，大中台结构下安全设计。大中台内部访问性质跟以前不一样。中台间的组件相互很密切，一个中台可能支撑不同的业务，一个业务风险和另外一个业务隔离开，但是一个中台有横向扩展的可能性。另外是纵向上会发现，到底谁来做安全校验、谁来做参数过滤。原来我们同意后台做，现在可能又变成中台做，但是中台和前面的对接上可能又会有不一致的地方。这是我认为大中台的架构下安全的设计要重新考虑，要根据中台的模块去找一些关键点，在关键点上重点布防，比如认证模块、比如内部通信消息总线上，这几个地方安全上都需要做额外评估。

数据驱动带来的问题在于，我们要数据驱动，那数据一定是广泛流通的、是高效使用的。数据高效使用又会和你的保密管理之间存在天然的冲突，你数据一旦流动起来的话，数据到底流到哪里、哪一级数据在哪块达到什么验证，能够梳理清楚的公司非常少。在数据驱动下，安全的数据公司，有些公司有首席数据官，GDPR的实践是首席安全官和首席数据官要共同做数据治理。我的思考是，数据部门主要负责数据在公司内部该给谁不该给谁，安全部门主要管的是数据不应该被外部攻击和获取掉，过程中要彼此协同，这也是一个很大的挑战。

挑战也带来一些发展：

1、云计算。为什么现在安全方案非常多，每家方案都需要自己定制，因为我们的基础架构并不标准化，随着云计算发展业务上云以后，会带来基础架构标准化。

2、量子加密。为什么不上云？随着量子加密发展，未来金融机构不怕数据被别人窃听的情况下，给上云创造技术条件。

3、人工智能。以前大家说人工智能发展会不会把程序员取代了，有可能取代程序员，但是一定取代不了安全管理员，也一定需要安全人员看着人工智能，防止人工智能被黑。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!