案例征集 | 金融行业高风险严监管 企业需要怎样的安全保障？

安全419宣布启动《甲方安全建设精品采购指南》案例征集，面向金融、政府、工业、运营商、车联网、医疗、教育七大重点行业，并细化至诸如数据安全、安全运营、应用安全、身份安全、网络及端点安全等具体的应用场景，呈现对口的、经市场验证的一系列优质产品/系统/方案，解决甲方客户在数字化转型过程中采购安全产品及解决方案的选择困难。

我们同步邀约安全企业提报自家的产品和服务，将广泛调研并筛选市场中的优质代表，为业界树立标杆，并最大程度地推介给甲方用户。

扫码报名或点击文末“阅读原文”报名

为了方便甲方用户了解安全形势、明确需求，同时方便安全企业有针对性地进行报名，接下来我们将分别针对七大行业进行供需两端的市场及技术趋势分析。今天，我们走进金融行业。

金融行业将主要面向银行、保险、证券领域，因其作为业内最具代表性的几类机构，组成了金融生态的核心。在金融科技如火如荼发展，以及金融机构数字化转型持续深化的当下，面向用户端，各类金融服务遍地开花，通过海量的营业网点、自助终端，以及网站、APP、小程序、公众号等，让人们可以随时随地享受金融普惠；面向机构内部及供应链，业务运行已形成一个高度开放、灵活架构的生态体系，IT设施云化、网络互通互联、应用云原生化，而人员分布全网、设备遍布各处。在这个生态的运作过程中，面临着复杂且多变的安全风险，堪称各行业之最。

数据资源作为金融业务的底层驱动，不仅涉及个人隐私，还牵扯资金流转，对黑客具有极高的价值，敏感数据被窃取容易引发客户信任危机，导致严重经济损失，是目前金融机构最为棘手的问题之一。除了来自外部的攻击，内部威胁引发的安全事故也在急剧增多。由于数据快速流动、边界日趋模糊、权限管理滞后，员工的失误或恶意行为都极易导致数据被滥用，且发生泄露之后无法追溯，而由于内部人员对机构的系统和流程了解深入，其行为往往比外部攻击更难以防范。

金融机构对于数据的保护，大多依托传统的网络安全框架，主要针对存储数据的电脑终端、数据库等部署防火墙、威胁检测防御、数据防泄漏以及安全审计，形成强效的边界防护，同时针对敏感数据实施加密、脱敏和水印等措施，能够保障单个域内的静态数据和大多数的结构化数据。对于更多的多源异构数据尚未实现完整梳理，以及对于数据跨域跨网的流转过程监测覆盖不全。

因此，金融行业数据安全建设需求比较鲜明，可以分为两大类，一是个人信息保护，合规是最明确的安全建设驱动力，相关统计显示，金融行业网络安全罚单总数的70%都指向违规采集、使用、共享个人信息，甚至有从业人员非法出售用户信息获利。金融机构需要一套技管结合的体系，在流程上帮助机构厘清需要满足哪些政策和标准，将其导向所有业务中涉及用户数据处理的环节，在技术上解决个人信息的识别和动态管控，在组织上提供保障支撑，以满足持续的风险评估，以及安全审查/申报或数据跨境等具体合规要求。

二是数据的安全使用，将涉及更多的业务数据，主要针对数据量大、类型多且急剧变化的特征。数据安全治理理念和数据安全平台建设成为目前的主流解决之道，核心功能体现在以数据分类分级为基础，将数据作为资产进行识别和划分，区分重要程度进行梯度防控，对数据的全生命周期和全流转过程进行精细化跟踪和管理。与此同时，对于用户既有安全建设的复用和整合也是不可缺少的成本考虑因素，并且平台的部署不能影响业务运行和用户体验。

金融业务是一场场金钱的交易，欺诈成为令消费者和机构都十分头疼的问题。网络诈骗、网络赌博、网络信贷欺诈、营销欺诈、洗钱等利用互联网与电信运营商对个人、平台实施非法资金侵占的欺诈犯罪频频发生。而且随着全球化发展，我国的金融机构面向东南亚、欧美等地区积极扩展海外业务，系统和业务的跨国运作也带来更严峻的业务风险和合规挑战。

金融机构作为反欺诈的主体，普遍已建有风控体系，通过一系列涉诈风险监测拦截机制，部署业务规则引擎，依靠分析案件提炼涉诈风险特征并生成相应的监测规则，全面落实打防管控各项措施。目前的难点在于，黑灰产生态与犯罪手法快速迭代更新，金融机构由于自身数据量不足、无法细分风险场景并进行建模，对于未知的新型欺诈行为难以招架。

与时俱进的业务安全体系，需要挖掘潜在黑灰产团伙，有效应对新型欺诈。金融机构在选择安全供应商时，将着重考虑风控规则和模型的先进性，比如机器学习能够识别业务规则难以发现的数据模式，并从非结构化数据中提取信息，从而成为业务规则的有效补充；知识图谱可将单点信息转化为相互关联的平面图谱，识别出通过关联关系进行传播扩散的风险，进而发现更多风险关系和节点；隐私计算可在保证各方数据安全的情况下，实现机构数据与外部数据的有效融合与联合建模。调研显示，已有超过80%的银行开始分析数字足迹和生物特征信息等“非传统”数据，同时有约40%的银行将人工智能等新兴分析技术应用于欺诈检测。

承载业务的各种应用系统，随着业务的复杂化和多元化，架构从单体应用发展到分布式，再到如今的云原生。敏捷开发模式对安全流程提出更高要求，金融机构对开源软件的依赖易引发供应链风险，云上环境的开放加大了威胁暴露面。

金融机构需要采取综合措施，包括技术工具的部署、内部文化的建设、组织流程的保障，比如建立DevSecOps体系、采用软件供应链管理、部署云原生安全平台等等。提供相关能力的安全企业，需要注重安全机制与用户业务流程的契合，并解决好传统测试工具的漏报/误报问题，AIGC在其中的加持成为金融机构的关注点；对开源软件的管理，不仅要进行成分分析、建立软件清单和漏洞管理，还需考虑知识产权保护、合规管理、安全审查等；云原生安全不仅是单点防御工具的部署，也在朝着态势管理、一体化平台建设等方向升级。

身份盗窃也是金融行业面临的重大威胁之一，随着在线支付和移动银行业务的普及，黑客通过窃取用户的个人信息和账户，如账号密码、身份证号、社保号、信用卡信息等，伪造身份进行非法操作，给受害者和金融机构带来巨大的损失。

由于角色和权限更新频繁，金融机构需要更精细的身份和访问管理措施。比如零信任架构和传统的IAM体系结合，但在应用层的改造、对现有工作流程的适配上存在落地难度；密码技术在身份认证方面的创新应用展示出巨大价值；与此同时，诸多信创改造项目以金融行业为起点，从身份安全场景切入试点，成为监管机构和金融机构共同关注的重点。

基于以上，我们能感受到金融行业的安全风险遍布丛生，而其作为安全监管最严的行业，经过多年的安全建设，整体已经达到了一定的安全成熟度。如今正是从采购建设走向运营的时期，我们观察到安全运营相关的项目在金融行业非常受重视，安全企业需要帮助金融机构做好资产的统一管理、风险的统一管理、检测和响应的统一规划，引入安全大模型，或搭建安全运营中心/安全大脑等，盘活联动堆叠且异构的安全设备，把安全人员从低效运维中解放，形成一套自动化、智能化的运营体系。

通用方案的大包大揽并不意味着能力满级和覆盖全面，反而会造成选型迷茫和落地困难，拳拳到肉的产品/系统/方案，更能够体现出针对性和应用价值，促进了解和合作意愿达成。因此，各安全企业在报名时，请一定明确客群（即“行业”），以及着重解决的问题（即“应用场景”）。