吴云坤：金融信创安全的挑战与应对

当今世界百年未有之大变局正在加速演进，大国博弈与科技革命相互交织，全球多地正在发生的局部冲突中的网络战表明，过去小规模网络攻防模式，逐渐被高强度网络对抗取代，国家级攻防对抗有成为常态的趋势。近期发生的黎巴嫩寻呼机、对讲机爆炸事件等表明，当前全球网络安全形势严峻、供应链安全非常重要，加快建设自主可控、安全高效的金融基础设施体系势在必行，金融信创建设发展刻不容缓。

党的二十届三中全会提出“国家安全是中国式现代化行稳致远的重要基础。必须全面贯彻总体国家安全观，完善维护国家安全体制机制，实现高质量发展和高水平安全良性互动，切实保障国家长治久安。”《中共中央关于进一步全面深化改革 推进中国式现代化的决定》指出“建设安全高效的金融基础设施”。金融信创的自主可控和安全建设是金融基础设施安全的重要组成部分，事关国家安全建设全局，因此要从思想上和行动上高度重视，进一步加强党的领导，深入贯彻落实好党和国家的各项相关政策要求。

金融信创的自主可控和安全建设，需要不断细化相关的落地技战术。金融关键基础设施的自主可控和安全可靠建设，时间紧任务重，面临诸多困难和挑战。从实战角度来看，基于内生安全理念，运用系统工程方法论进行金融信创安全建设和发展，同时建立检测鉴定体系，保障信创相关技术产品真实有效，是以实战为导向，应对相关系统安全问题的关键。

在监管部门的推动下，制定信创软件的行业规范和安全可靠行业标准；指导开展严格的安全可靠性、兼容性测试和有效性验证；对供应链进行重点检测，给出综合度量和客观评价，是为金融机构选型提供依据，降低金融机构试错成本的关键。

金融信创安全能力构建是一个复杂系统，需要用系统工程方法进行体系化构建。这个构建过程需要金融监管部门、金融机构、安全企业等多方相互协同，相互支撑，共建金融关键基础设施自主可控、安全高效。

金融信创涉及技术栈的转换。新旧技术栈之间存在兼容性问题，需要投入大量资源进行适配和测试。安全产业对于金融行业而言，也被认为是应用系统，因此也需要适配相对应的新技术栈，符合架构评审的要求。比如要满足操作系统、中间件、数据库的各项适配要求，有的金融机构还有开发框架的要求，适配和测试有大量的兼容、协同和磨合问题。

尽管目前我国金融科技取得了显著进展，但部分关键技术仍与国际先进水平存在差距，需要持续推动技术创新，追赶并超越国际先进水平。信创技术产品在性能、稳定性等可用性方面需要进一步提升，满足金融业务高并发、低延迟的需求，做好金融机构业务连续性方面的全面技术保障工作。

奇安信发布的《2024中国软件供应链安全分析报告》显示，七成国产软件存在超危漏洞。信创不意味着安全、信创更需要安全。近年来，各相关监管机构出台了多项网络安全和数据安全相关的管理办法和规定，特别是对金融基础设施及相关信息系统安全提出了更加严格的要求。信创安全合规是一个系统工程，需要用系统工程方法体系化构建面向金融信创环境的安全防护体系，以应对来自各方的安全威胁，满足监管要求。

和过去几年相比，金融机构对于自主创新产品的接受度已经有了显著提升。但金融行业对产品的稳定性、安全性要求高、监管严，需要不断完善长效的高质量产品甄选机制。建议设立“动态白名单”机制，筛选出技术成熟、安全可靠的产品与服务名录，并对上榜产品进行定期检查，确保它们持续符合质量要求；同时，鼓励引导企业加大创新研发投入，不断提高产品与服务的质量，强化金融基础设施的自主可控与安全稳定。

信创技术产品需要在实际应用中更新迭代才能逐步走向成熟。金融安全事关重大，直接在实际业务环境中进行替代，试错成本高，安全隐患大，行业内外的紧密合作至关重要。建议网安行业加快与金融行业的共研共创步伐，通过联合实验室共同攻关金融安全的关键核心技术，持续增强国产技术产品的创新性和满足度。在创新成果落地之前，先在真实的业务场景里进行应用和验证，确保国产技术产品的可用性与安全性，共同推动金融信创安全发展的新局面。

金融数据具有规模大、价值高、集中化、影响大的特点，是网络攻击者眼中的高价值目标。例如，金融机构容易遭到勒索攻击。近年来，海外金融机构遭勒索，数据被加密、被泄露的事件屡屡发生，对一些国家的金融机构正常运行造成严重影响。充分吸取海外相关案例经验教训，建议在金融安全信创发展过程中同步构建与金融基础设施相适配的数据流通安全合规体系。一方面，加强金融数据资源的安全保护，实现防泄漏、防勒索、防违规；另一方面，确保金融数据要素流通全过程的合法、合规，促进数据高效流通。