2019（第二屆）中國金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業網絡信息安全”分論壇上，中國信息通信研究院云計算與大數據研究所金融科技部郜咨詢顧問唐明環帶來了《金融業網絡安全白皮書（2019）》解讀。

在座各位都是金融領域、安全領域的專家，我有說得不太正確的地方，歡迎大家批評指正。

首先，背景：習近平總書記提出金融是現代經濟的核心，金融安全是國家安全的重要組成部分，總結起來就是：金融特別重要，金融信息安全、網絡安全特別重要。同時，我們可以看到近年來金融業網絡攻擊事件頻繁，網上隨便可以搜到很多金融行業受到攻擊的案例，2016年孟加拉央行受到APT攻擊，2018年荷蘭三大銀行受到DDoS攻擊，今年7月份美國第三大信用卡發行商遭受人為攻擊，這些事件中都可以看出金融業網絡安全遭受嚴峻的考驗。我們該如何應對金融業產生的網絡安全問題？這是我們白皮書重點研究的內容。

白皮書大綱分成四個部分：金融業網絡安全總體形勢、創新技術典型應用、風險挑戰、安全保障策略。

一、金融業網絡安全的總體形勢

白皮書里分析四個形勢：

1、    科技創新推動金融行業變革。金融行業正在從以資金驅動業務向以科技驅動業務轉變。主要表現在以下四方面：

第一，  支付模式的變化。隨著互聯網模式的興起，第三方支付應運而生且發展迅猛。

第二，  存款融資模式變化。網絡融資模式逐漸興起，線下業務逐步轉化為線上業務。

第三，  業務渠道轉化，從互聯網金融到物聯網金融的轉變。

第四，價值載體從有形貨幣到無形貨幣轉變。

2、新興技術正在與網絡安全技術加速融合。包括現在的人工智能技術、云計算技術等，這些技術和我們之前的網絡安全態勢感知、威脅情報等技術在融合。這部分后面有詳細的介紹。

3、金融業網絡安全形勢愈加嚴重。前面提到金融網絡攻擊的風險，金融業是數據集中的行業，所以它大數據風險也很嚴重。現在金融行業應用了很多新技術，隨著技術依賴，風險也相伴而生。

4、金融業網絡安全工作受到很大重視，包括我們的網絡安全等級保護法，和國務院辦公廳發布的一系列指導意見，國家本身對金融行業重視程度在逐步加深。二是我們網絡安全人才隊伍持續加強，包括我們頒發一系列網絡安全隊伍建設的文件，金融行業在各地開展網絡安全攻防實戰演練，金融網絡安全產業生態在進一步加深。

二、金融行業網絡安全創新技術和典型應用

我們將金融業網絡安全分成兩部分：第一，新技術賦能金融業網絡安全，第二，金融業應用一些新技術，這些新技術自身的安全問題，需要通過它自身的技術做規避。

（一）新技術賦能金融業網絡安全

一個是數據安全技術，里面第一點是智能數據防泄露，采用深層內容分析技術，對數據資產進行細粒度安全管控，包括存儲敏感數據防泄露、終端敏感數據防泄露、網絡數據防泄露。

智能數據唾沫，香港服務器，通過對敏感數據進行處理，隱藏它的隱私信息為數據安全提供保障，分為靜態和動態兩種，典型應用有生產周期共享、開發數據準備以及實時數據獲取。

二是下一代網絡安全。一是異常行為分析，通過分析發現潛在的威脅，典型應用有規范生產運維人員操作、VPN連接異常分析、準入登陸控制等等。網絡安全態勢感知是在大規模網絡環境中對能夠引起網絡態勢變化的主要安全進行獲取、理解、顯示，對它最近趨勢進行預測，從而提前做些決策和行動，保障它的安全。典型的應用場景包括全網安全數據集中管理、網絡安全高級威脅檢測、網絡安全運營。

三是網絡安全威脅誘捕。包括各種網絡服務、數據庫、應用等等把這個威脅誘捕過來引到沙盒里進一步防御，包括隔離、取證等等。

剛才說的是應用新技術賦能網絡安全。

（二）新技術自身的安全

第一，人工智能安全。人工智能在金融領域應用最為顯著的風險是數據泄露的風險，我們針對人工智能安全技術總結以下幾點：一是基于隱私機器學習技術，二是減少數據需求的技術，三是數據偏見檢測技術，四是針對AI數據的攻擊防御技術。

第二，大數據。我們也關注現在比較火熱的這幾項技術，有認證技術、數據安全技術、安全服務技術。

第三，云計算。針對云計算安全技術有微隔離技術、云公共負載保護平臺等幾項。

三、金融業網絡安全面臨的風險和挑戰