2019中国金融科技产业峰会丨金融业网络信息安全分论坛之圆桌论坛

第一，大数据。金融行业、券商对于数据的整合、分析、应用，一定是未来的重中之重。很多金融企业做科技转型都做技术中台、能力中台、业务中台，一定跑不了数据中台，涉及到数据的存储、传递、应用、分享，数据在使用中会产生价值的，这个过程会给安全带来极大的挑战，而且这个问题一定是长期存在的，怎么让它更安全。

第二，中台的出现以及新技术的应用。比如我开发过程中要用DevOps，这些过程中容器云、微服务架构的引入，会颠覆原有的IT技术架构，IT技术架构变了，安全架构也会变。

基于前两点，我设想的趋势是这样，安全不再基于传统的以隔离为典型控制的访问控制措施，有可能安全会把各种模块、各种职能做成一个服务，把你的服务和你的业务系统、和你的工作流程去整合。比如我的身份验证可能就是个服务，比如我的数据脱敏就是个服务，每一个环节做成一个服务，把服务嵌到我的系统，这样可以让我的系统和安全去做些融合，这是我前面想到的两个点。

第三，未来AI的对抗有可能在金融行业里矛盾会比较突出。有两个例子可以说明这个问题，一个是前一阶段闹得沸沸扬扬的事，第二个是英国出了一个案例，有一家诈骗公司模仿老板给财务打电话，然后转了几百万。这个事就提醒我，我现在开会都不需要到现场，都是远程的，远程这些信息一定会遇到AI的挑战，我怎么知道是真的？类似的场景可能还会存在。我们需要加强在AI上攻防的研究，更多是基于场景的研究，后面可以提倡对于金融或者对于某些行业AI场景应用的研究，做攻防。你知道它有哪些研究技术，做有效的防御。而且这个领域一定是攻击者领先于防御者，把这个工作做到前面，安全工作才可以起到更好的防护的效果，这是我的一些设想。

蒲戈光：简单从乙方视角说一下，之前跟一些金融客户也沟通了，新技术给安全带来的变化。前面有嘉宾提到，现在不光是金融行业，其他企业也是一样，安全团队的人才比较少、缺口根据大。同时，目前很多看到业务和安全是有所冲突的，安全工作比较难做，看不到成绩到底体现在哪里，出了事的责任又全是安全的。

我觉得两者应该互相碰撞和结合，从零信任和从自身架构，更多是偏理念上的变化，它把理念变化之后安全架构做颠覆或者重新设计。比如零信任可以从传统的IP和端口的访问控制，转入到从身份API动态信任，并且随时验证，这样强化安全无边界，但实际上它是把安全融入到整个业务流程里去了。

从我的角度看来有几点：

第一，解决安全甲方乙方存在这样的问题。解决安全的现状，从安全攻防实战出发，不管是安全木头理论还是持续对抗，从实战角度发现当前的短板。另外，锻炼安全团队，从实战里培养企业内部应急机制、处置机制及各部门协调。

第二，安全不能和业务对立。像前一段时间《阿里巴巴中台战略思考与架构实战》的这本书也提到，它的技术中台从2007年就开始建设。但是为什么一几年之后才逐步建得比较好？一开始是业务部门比较强势的，中台在建设过程中是夹缝中求生存的，和安全有点像。如果将安全做好，安全能力、安全自身也要中台化，把它所有的安全能力向服务化、业务部门等提供能力，和业务最好融入到一起。这样一个是提升安全的价值，也能够为业务进行服务。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!