作者：張漫游  來(lái)源：中國(guó)經(jīng)營(yíng)網(wǎng)

在“數(shù)據(jù)要素×”戰(zhàn)略深入推進(jìn)背景下，近期，國(guó)家金融監(jiān)督管理總局印發(fā)《銀行業(yè)保險(xiǎn)業(yè)數(shù)字金融高質(zhì)量發(fā)展實(shí)施方案》（以下簡(jiǎn)稱《實(shí)施方案》），以“數(shù)字技術(shù)與數(shù)據(jù)要素雙輪驅(qū)動(dòng)”為核心，明確33項(xiàng)工作任務(wù)，將風(fēng)險(xiǎn)防控與數(shù)據(jù)安全列為關(guān)鍵內(nèi)容。

《實(shí)施方案》中提到“統(tǒng)籌高質(zhì)量發(fā)展和高水平安全，牢牢守住不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)底線”的總體要求，并提出“構(gòu)建安全可信的數(shù)據(jù)生態(tài)”“加強(qiáng)數(shù)據(jù)安全保護(hù)”“提高網(wǎng)絡(luò)安全韌性”等具體工作任務(wù)。

對(duì)此，《中國(guó)經(jīng)營(yíng)報(bào)》記者采訪了由中國(guó)人民銀行牽頭組建的權(quán)威電子認(rèn)證機(jī)構(gòu)中金金融認(rèn)證中心有限公司（CFCA），圍繞數(shù)字金融面臨的安全挑戰(zhàn)與體系重構(gòu)路徑展開深入解讀。

數(shù)字化轉(zhuǎn)型深水區(qū) 傳統(tǒng)安全防護(hù)體系面臨挑戰(zhàn)

隨著“數(shù)據(jù)要素×”戰(zhàn)略落地，金融業(yè)務(wù)數(shù)字化已從“表層流程線上化”邁入“核心架構(gòu)重構(gòu)”階段，傳統(tǒng)安全防護(hù)體系的結(jié)構(gòu)性短板全面暴露。

CFCA智能網(wǎng)絡(luò)安全部副總經(jīng)理王飛宇總結(jié)道，從風(fēng)險(xiǎn)治理角度來(lái)看，銀行業(yè)保險(xiǎn)業(yè)正面臨四大系統(tǒng)性安全挑戰(zhàn)。首先，資產(chǎn)全域感知缺失與安全治理脫節(jié)的戰(zhàn)略短板。如今，金融機(jī)構(gòu)IT資產(chǎn)規(guī)模已達(dá)萬(wàn)級(jí)甚至十萬(wàn)級(jí)，且分散于多平臺(tái)、多領(lǐng)域，形成大量“資產(chǎn)盲區(qū)”和“數(shù)據(jù)孤島”，缺乏統(tǒng)一的“安全管理全景視圖”，導(dǎo)致管理要求難以穿透至技術(shù)流，形成“運(yùn)營(yíng)操作與管理目標(biāo)脫節(jié)”的治理困境。這與《實(shí)施方案》要求的“構(gòu)建安全可信的數(shù)據(jù)生態(tài)”“實(shí)現(xiàn)監(jiān)管穿透式管理”存在顯著差距，無(wú)法滿足數(shù)字金融時(shí)代“全資產(chǎn)可視、全流程可控”的安全底線要求。

其次，威脅情報(bào)效能不足與實(shí)戰(zhàn)防御薄弱的能力瓶頸。王飛宇指出，行業(yè)日均海量告警因情報(bào)質(zhì)量低、驗(yàn)證工具缺位而消耗大量安全人力，且普遍缺乏“數(shù)字藍(lán)軍”持續(xù)驗(yàn)證機(jī)制，平均檢測(cè)與響應(yīng)時(shí)間遠(yuǎn)超安全基準(zhǔn)，在面對(duì)高級(jí)持續(xù)性威脅（APT）及供應(yīng)鏈投毒、AI驅(qū)動(dòng)式攻擊等新型風(fēng)險(xiǎn)時(shí)顯得被動(dòng)乏力。

再次，技術(shù)創(chuàng)新應(yīng)用與安全能力迭代發(fā)展失衡。王飛宇談到，星空人工智能、開源組件等技術(shù)的廣泛應(yīng)用，在提升效率的同時(shí)也引入了算法偏見、模型投毒等新型風(fēng)險(xiǎn)。傳統(tǒng)依賴人工的經(jīng)驗(yàn)式運(yùn)營(yíng)，難以形成閉環(huán)治理與自我進(jìn)化能力，無(wú)法匹配業(yè)務(wù)創(chuàng)新的動(dòng)態(tài)風(fēng)險(xiǎn)，與《實(shí)施方案》“提升星空人工智能技術(shù)安全應(yīng)用能力”“建設(shè)智能風(fēng)控體系”的要求存在明顯落差。

最后，數(shù)據(jù)要素安全流動(dòng)與合規(guī)治理滯后的監(jiān)管挑戰(zhàn)。數(shù)據(jù)跨機(jī)構(gòu)、跨場(chǎng)景流轉(zhuǎn)加速，但部分機(jī)構(gòu)在分類分級(jí)、隱私計(jì)算應(yīng)用等方面存在不足，疊加《中華人民共和國(guó)數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等多重合規(guī)壓力，傳統(tǒng)人工合規(guī)模式已難以滿足“可追溯、可審計(jì)”的穿透式監(jiān)管要求。

從“單點(diǎn)防御”到“體系化智能運(yùn)營(yíng)”

面對(duì)復(fù)合型挑戰(zhàn)，王飛宇強(qiáng)調(diào)，金融機(jī)構(gòu)必須轉(zhuǎn)向構(gòu)建具備“全資產(chǎn)感知、情報(bào)驅(qū)動(dòng)、實(shí)戰(zhàn)驗(yàn)證”能力的數(shù)智化安全運(yùn)營(yíng)體系。

“在構(gòu)建此體系時(shí)，除了宏觀的平臺(tái)與能力建設(shè)，更需關(guān)注數(shù)字金融業(yè)務(wù)安全的本源——可信身份。”CFCA數(shù)字身份安全部助理總經(jīng)理張翼向記者介紹稱，現(xiàn)在常見的數(shù)據(jù)竊取和交易欺詐等攻擊，最終都需通過“身份”這一載體來(lái)完成。因此，防御必須從被動(dòng)檢測(cè)網(wǎng)絡(luò)流量，轉(zhuǎn)向主動(dòng)驗(yàn)證每一個(gè)關(guān)鍵業(yè)務(wù)交互背后的身份與行為。“在CFCA的實(shí)踐中，我們通過打造‘安心驗(yàn)、安心證、安心簽、安心訴’的產(chǎn)品閉環(huán)，將權(quán)威數(shù)字身份核驗(yàn)、具有法律效力的電子認(rèn)證、不可篡改的司法存證等能力，嵌入到業(yè)務(wù)的關(guān)鍵節(jié)點(diǎn)，如登錄、簽約、支付、授權(quán)。這相當(dāng)于在業(yè)務(wù)的每一次身份驗(yàn)證和關(guān)鍵操作處預(yù)設(shè)了基于密碼技術(shù)的‘信任檢查點(diǎn)’，形成主動(dòng)的、內(nèi)生的安全鏈路，從而在業(yè)務(wù)層面有效防控身份冒用、交易抵賴等核心風(fēng)險(xiǎn)。”

在此基礎(chǔ)上，需依托智能化平臺(tái)實(shí)現(xiàn)“全景可視、一體治理”的運(yùn)營(yíng)躍升。 王飛宇建議，金融機(jī)構(gòu)應(yīng)建設(shè)集“全景可視、資產(chǎn)感知、情報(bào)驅(qū)動(dòng)、自動(dòng)驗(yàn)證、合規(guī)閉環(huán)”于一體的智能安全運(yùn)營(yíng)平臺(tái)。該平臺(tái)需通過四大核心能力聯(lián)動(dòng)：一是構(gòu)建全量“金融資產(chǎn)庫(kù)”與高價(jià)值“威脅情報(bào)庫(kù)”，實(shí)現(xiàn)“一圖統(tǒng)攬”，破解感知難題；二是融合“自動(dòng)化驗(yàn)證工具庫(kù)”，利用數(shù)字藍(lán)軍技術(shù)進(jìn)行白盒穿透驗(yàn)證，變被動(dòng)響應(yīng)為主動(dòng)出擊；三是打造“AI智能化底座”，通過安全智能體實(shí)現(xiàn)告警研判、處置編排的自動(dòng)化，驅(qū)動(dòng)安全能力自我進(jìn)化；四是內(nèi)建“合規(guī)治理庫(kù)”，利用知識(shí)圖譜與自然語(yǔ)言處理（NLP）技術(shù)自動(dòng)化拆解監(jiān)管要求，實(shí)現(xiàn)合規(guī)評(píng)估從“人工抽檢”向“系統(tǒng)監(jiān)測(cè)”轉(zhuǎn)型，滿足穿透式核查需求。

安全治理的落地需要標(biāo)準(zhǔn)牽引與技術(shù)執(zhí)行的雙重保障。張翼介紹稱，將治理要求從“戰(zhàn)略文本”轉(zhuǎn)化為“工程實(shí)踐”，離不開標(biāo)準(zhǔn)的技術(shù)語(yǔ)言轉(zhuǎn)化。金融機(jī)構(gòu)在參與行業(yè)標(biāo)準(zhǔn)建設(shè)的過程中，其核心價(jià)值在于將宏觀的“構(gòu)建安全可信的數(shù)據(jù)生態(tài)”“加強(qiáng)數(shù)據(jù)安全保護(hù)”等治理要求，轉(zhuǎn)化為具體的技術(shù)實(shí)現(xiàn)規(guī)范。這為跨機(jī)構(gòu)數(shù)據(jù)共享、跨境業(yè)務(wù)等復(fù)雜場(chǎng)景中的安全操作提供了清晰的技術(shù)實(shí)踐路徑。

在張翼看來(lái)，技術(shù)方案是治理框架的執(zhí)行單元。以個(gè)人金融信息保護(hù)為例，治理框架中“授權(quán)最小化”“過程可審計(jì)”等原則，可以通過集成數(shù)字證書、電子簽名與時(shí)間戳的授權(quán)解決方案來(lái)自動(dòng)化實(shí)現(xiàn)。該方案能確保線上操作的身份真實(shí)、意愿真實(shí)、過程留痕且不可篡改，使每一項(xiàng)合規(guī)要求都轉(zhuǎn)化為可追溯、可驗(yàn)證的技術(shù)證據(jù)。這種將安全治理深度嵌入業(yè)務(wù)流程的模式，是實(shí)現(xiàn)穿透式管理的微觀基石。

繼續(xù)閱讀：

星空人工智能技術(shù)網(wǎng) 倡導(dǎo)尊重與保護(hù)知識(shí)產(chǎn)權(quán)。如發(fā)現(xiàn)本站文章存在版權(quán)等問題，煩請(qǐng)30天內(nèi)提供版權(quán)疑問、身份證明、版權(quán)證明、聯(lián)系方式等發(fā)郵件至1851688011@qq.com我們將及時(shí)溝通與處理。?。?a href="/">首頁(yè) > 數(shù)字經(jīng)濟(jì) » CFCA：筑牢數(shù)字金融安全基座 構(gòu)建智能化防御體系