2022年8月27日，由数世咨询、CIO时代联合主办，新基建创新研究院作为智库支持的第二届数字安全大会在京召开。本届数字大会的主题为“人机合智”，意指人类智能与人工智能的结合，才能做好安全防御，才是数字安全的未来。
 
中国农业银行科技与产品管理局信息安全与风险管理处处长何启翱在8月27日的“人主机辅”分论坛上发表题为《金融数字转型下安全建设思考》的主题演讲。以下是演讲实录：
 
谢谢数世咨询，谢谢CIO时代！
 
数字化转型下的安全建设这个题目很大，我主要把自己思考的一些大的方向进行分享：
 
01数字化转型大潮
 
推动社会进步的主要量两股力量，一是能源革命，二是信息革命。当前，全世界都面临数字化转型的一个关键点，核心就是大数据和人工智能。
 
数字化转型是不可能避而不谈的话题，我国数字化战略确定，从2018年提出的“一个中心+三个着力点”，到2020年10月“数字中国”概念提出，再到2021年3月，十四五规划通过数字化发展的4项关键任务和数字经济体系框架提出。
 
关于数字化转型的概念，行业内比较认可的是，2012年IBM商学院提出的，以用户为核心，以改善用户体验为直接体现，以数据和数据技术作为核心驱动，融合内外部资源，推动企业在组织、流程、业务模式和员工能力等层面进行重构，实现企业商业模式的升级和再造。
 
数字化转型技术方面，我认为目前支持数字化转型的技术底蕴充足，但是技术应用方面不足。
 
从银行视角来看，数字化转型是不得不讲的一个课题，现在国外的银行都把数字化转型作为下一步的发展战略，这是一个大的趋势，国内也是这样。未来五年农行就提三个关键词，第一个是服务三农，第二个是绿色金融，第三个是数字化转型。 从金融视角来看，我们认为数字化转型是符合IBM的数字化转型概念的。金融机构数字化转型有以下典型特征：
第一，以客户体验为导向，一定要让客户有感知。第二，以数字技术为核心驱动。第三，业务和系统的全面开放和融合，这是最大的特征。第四，最终目的是实现产业结构的升级和转型。党校学习班里有一个课题总结为“无重构非转型，无体验非升级”12个字，意思就是用户如果没有因为重构带来新的体验，那么转型就是失败的。
 
02数字经济大潮下的安全挑战
 
金融方面在数字化转型的模式下面临的网络安全的挑战，可以给我们下一步做金融安全领域规划提供一个思考契机。 第一个是安全边界的模糊，业务架构开放和内外资源融合，挑战传统的边界防护安全防护体系。
列举一些数据，农行从80年代就开始做信息化，到今天已经40年了，目前我们有170万实体设备资产，有920万硬件系统。近三年为了推动农行数字化转型，我们做了大量的场景金融数字化转型，给关联方合作客户建了13万个系统，这些系统有的部署在行内，有的部署在行外，所以只是简单的打开一个农行APP，后面就跟着13万个不确定的资产，这些资产有的在我们的保护范围内，有的不在我们的保护范围之内。原来的安全边界已经模糊了，甚至没有边界。
 
第二个是身份认证的挑战，融合生态模式，全面线上化的用户关系复杂，线上场景给用户身份认证带来挑战。
数字化转型中很多用户感知从原来的短信密码到现在的指纹识别、声纹识别、人脸识别以及openID等技术。但是从我们的系统到外面的服务，从外面的系统跳转到我们的服务，是否有重复攻击，是否每一次都对身份进行认证是第二个挑战。

第三个是模型风险，人工智能模型和规则的不透明和未知性。
选择的样本会决定模型规则，模型训练会带来大量的模糊风险。2021年9月1号人行给银行业提出一个要求，任何银行APP做转账时不能使用人脸识别作为身份认证，因为人脸识别都是可以通过模型训练进行匹配的，存在被攻击的风险。
 
03应对的思路
 
银行的网络安全在头部金融企业中是做的比较领先的，下一步的发展方向主要有四个方面：
 
第一，全面的资产管理能力。法律是以安全为责任的，网络安全法要求关机系统第一责任人是网络安全负责人，对所有的安全主管来说，最重要的是理清自己的资产。  
我们是安全资产的使用方而不是管理方，我们的资产从简单的硬件设备、路由器、网线，到数据库、开发方向、开源组件再到各个程序模块，要理清这些资产需要整个IT环境的配合。大企业有自己的安全IT团队，还有外协的团队，要理清资产，未来就需要构建细粒度分级分类的企业级SCMDB，我认为在SCMDB过程中，边界不是模糊的。
 
第二，更灵活的安全标准体系。我们行有自己的安全基线，把资产进行分级分类，比如我们把行内的100万终端分为26类，根据业务场景的不同，制定了25条不同的场域，配备不同的数据库，加密数据、加密通道是有规定的。制作模板，然后把相应的工具按配置的模板进行管控要求。
 
第三，可定制化输出的安全能力。目前，大企业完全可以做到安全的自动化、集约化，但是安全即服务仅仅是口头的，未来的服务是要分层的，无论是对自己的能力还是对于未来的能力。
 
从安防体系升级成为安全能力工厂，典型特征改变：首先，基础安全能力是要靠标准进行集成。其次是安全工具规则集的智能化，我们现在面临的场景和威胁都是智能化的，就只能以模型治模型。最后，应用安全的自动化管控，依托项目过程管理的SDL工具以及应用安全的自动化监测工具。
 
第四，与业务融合的安全分析能力。 业界已经形成了零信任基本的技术架构，解决了智能化ACL访问控制问题，将来会把一系列的理念与零信任技术架构相结合，产生深度的身份认证。
 
这就是我今天分享的内容。



第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。