技術變革視角下的金融安全：新挑戰、新路徑、新常態

文/陳鋒

編輯/子夜

古希臘神話裡的西西弗斯，每天會辛辛苦苦推石頭上山，第二天石頭又會落下來，但需要把它再推上去，如此週而復始。

網路安全產業鏈條裡的任何一環、每個角色，某種程度上也在經歷著這個過程：

從雲端計算到AI到大模型，全行業數字化轉型持續深入的過程中，每一輪的技術變革中，“矛”與“盾”的持續對抗，在形式、態勢上，都在變化。

對身處其中的每個行業裡的每家公司而言，安全建設都沒有終點，需要西西弗斯式的堅守。

聚焦到當下來看，伴隨著AI大模型加速落地到各行各業，其高效泛化內容生成的特點，也會讓駭客以更低的門檻和成本，發動更密集的攻擊，防守方則需要更縝密的邏輯關聯、更精確的溯源能力，等等。比如AIGC的迅猛發展衍生出來的AI欺詐、AI仿冒等問題，也成了很多企業新的痛點。

這一背景下，企業在AI時代，該如何更好地應對不斷變化的安全挑戰？

金融行業在安全建設上的趨勢、挑戰、實踐、路徑和思考，尤為值得探討——金融行業一邊是走在數字化變革最前沿的領域，另一邊也是對安全風險容忍度最低、對安全合規要求最高的行業。

12月6日，騰訊雲舉辦了2024首屆騰訊雲金融安全峰會，參會嘉賓包括了數字金融機構、商業銀行、資管機構等企業安全技術的負責人，多方共同探討了不同業務場景下的金融安全建設實踐。

在這次峰會上，連線Insight注意到，隨著技術的不斷變革，金融行業的安全挑戰，呈現出了不同的態勢，在金融行業的安全建設上，以騰訊為代表的網際網路廠商，也沉澱出了一些新思考，並加速探索企業安全建設新路徑。

1、從攻防演練新態勢，看金融行業的安全挑戰

過去數年，金融行業面臨著相對更高的安全風險。

一方面，金融行業離“錢”更近，更敏感，也就更容易被不法分子“盯上”；

另一方面，由於業務場景更多、個體或單位使用金融服務的頻率更高、資料資源更豐富，此前大資料、雲端計算等技術加速產業數字化轉型時，金融行業也走在前列。包括數字化營銷、個性化推薦與精準服務、風控模型的建立與完善、資源的整合及利用等等，都離不開大資料和雲端計算。

這一過程中，更大規模的組織上雲、資料上雲、業務上雲，乃至供應鏈上雲，其實也滋生了新的安全挑戰。

原因在於，在全行業數字化轉型時，新技術的出現總有兩面性。

一面是技術的賦能作用，它讓效率更高、讓成本更低、也讓安全水位更高；另一面則是，在不法分子的手裡，這些技術又會成為他們豐富、強化攻擊手段與方式的工具。

尤其是在當下，金融行業正處在新一輪技術推動數字化縱深的週期中——雲端計算從1.0階段的金融資訊化、2.0階段的網際網路金融、金融科技，過渡到3.0階段的金融與科技的深度融合後，如今正加速邁向4.0階段，數字金融。

這背後，雲原生生態的不斷擴大、AI技術的加速變革和應用，一定程度上拓寬了持續數字化的想象力，但同時也在加劇金融安全風險。

來看兩個實際的案例。

今年1月，香港某跨國公司的財務員工，被騙子利用Deepfake換臉技術冒充公司CEO進行視訊會議後，被詐騙了2500萬美元；今年5月，某跨國貿易公司的一名職員，收到仿冒為英國總公司CFO的WhatsApp資訊，期間深偽技術生成的“假上司”指示這名職員將近400萬港元轉款至一個本地賬戶。

2024首屆騰訊雲金融安全峰會上，騰訊安全副總裁、玄武實驗室負責人於暘也從技術視角出發，進一步解析了當前金融行業面臨的攻防對抗態勢變化。

騰訊安全副總裁、玄武實驗室負責人於暘

他認為，透過迂迴攻擊、曲線攻擊繞過企業現有防禦網路，或透過供應鏈通路、資料託管、許可權委託等單點上形成突破口，進而威脅到企業數字資產，是近年來攻防演練呈現出的新“脆弱點”。

此外，在攻擊工具上，也有新變化。

“一開始大家用一些開源工具免費工具，一般來說這些工具都是單兵工具，就是‘步槍’‘手槍’。這些年一來是每個攻擊隊都開始開發工具，二來是這些工具也在轉向平臺化、協作化，變成‘航空母艦’了。而且隨著平臺化水平的提高，可以很大程度上提高整個攻擊隊的水平。”於暘如此說道。

他進一步介紹，這些平臺也可以透過引入自動化技術，乃至AI技術、大模型技術，來進一步提高攻擊效率。

與此同時，中國信通院雲端計算與大資料研究所所長何寶宏提到，近些年，金融雲的安全威脅也在加劇，集中體現為兩大挑戰。

第一個挑戰是，隨著數字金融使用者的持續增加，雲端金融風險在持續攀升。

第二個挑戰則是，高價值資產頻遭資料洩露和勒索軟體攻擊，暴露出金融機構在資料安全、系統安全和隱私保護等方面尚存在短板。

比如今年10月，某家網際網路金融機構，大量使用者通訊錄資訊被洩露，包括聯絡人姓名、號碼等等；今年1月，某家金融公司遭遇網路攻擊，導致130萬客戶資料洩露，等等。

不難發現，當下金融行業的安全形勢，在變得日益嚴峻。

對金融機構而言，資料流轉的加速、業務關聯性的加深、系統規模的擴大和迭代頻率的提升、日益複雜的訪問主體、場景和行為、金融業務的邊界拓展，等等，幾乎每一個環節，都存在潛在的安全隱患。

2、化被動為主動、從單點到立體，金融安全“1”比“0”更關鍵

上述背景下，金融行業的安全建設，到底該怎麼做？

面對當前無孔不入的安全挑戰，金融行業的安全建設，需要的是更立體式的防禦機制，而不是單點式去發現問題、解決問題，也需要更主動性的安全建設理念，而不是“等問題出現再解決”。

今年11月27日，中國人民銀行等七部門聯合印發了《推動數字金融高質量發展行動方案》，其中提到，到2027年底，要基本建成與數字經濟發展高度適應的金融體系。

在這背後，金融雲安全體系，是保障金融服務安全性、支撐數字金融生態繁榮與發展的底層支撐。

對雲廠商和安全廠商而言，安全產品如何與雲平臺實現緊密結合，實現真正的雲原生安全、一體化安全，正是金融雲安全體系持續最佳化和升級的一個關鍵。

結合這幾點，在這次峰會上，連線Insight觀察到，騰訊在金融領域的安全實踐，提供了一個思路。

簡單拆解，騰訊雲和騰訊安全的實踐，可以從兩個層面來看：

一方面，是保障雲平臺本身的安全穩固，為金融行業提供高效的一體化安全供給。

騰訊安全副總裁、雲鼎實驗室負責人董志強表示，基於騰訊雲平臺過去多年在合規建設、安全防護、安全運營等方面的經驗，騰訊雲將自身安全建設的經驗沉澱成了一套新理念——高安全等級架構。

騰訊安全副總裁、雲鼎實驗室負責人董志強

這也是騰訊雲安全建設的思路和目標。“我們希望，透過更高安全等級架構這樣的思路，倡導所有團隊能夠為了這樣的目標去努力。”董志強如此說道。

他進一步介紹，企業要想達成高等級的安全架構，需要具有可信的底層、原生的能力、智慧的安全運營水平，以及出廠的預設安全。

基於此，騰訊雲自下而上，為雲業務自身和租戶安全，都構建起了縱深防禦的體系，沉澱出了一套具備可複製性的、雲原生的高安全等級架構，透過伺服器硬體安全最佳化、可信計算技術與供應鏈安全保證雲基礎設施安全等多重機制，來保障雲基礎設施的一體化安全。

另一方面，則是在產品維度，騰訊安全整合構建了“4+N”體系，為所有私有云、公有云、混合雲等不同業務形態客戶提供全面的產品供給。騰訊安全副總裁方斌介紹，騰訊安全的獨特優勢，是在情報能力的基礎上，基於四道防線逐級增加防禦節點，再進一步擴充套件到N個業務外延，實現基礎安全和業務安全的同步提升。

騰訊安全副總裁方斌

其中，“4”指的是“資料安全、主機安全、Web應用防火牆、雲防火牆”這四道防線，指向的是通用安全，希望解決的是企業面臨的在批次攻擊、合規、安全運營、複雜攻擊等方面的問題；

“N”指向的則是場景化安全，面向不同行業提供針對性更強的特色化解決方案。比如面向金融行業，騰訊安全提出了“防AI仿冒可信身份解決方案”“金融反電詐解決方案”“金融風控大模型”“零信任網路訪問”“安全資料湖”“小程式閘道器”等等場景化解決方案。

圖源騰訊安全官方微信公眾號

目前，騰訊雲金融安全這套“4+N”體系，正加速在金融行業落地。

比如，某具有百年曆史的某集團旗下的證券公司，透過安全體檢和這四道安全防線，搭建起了安全有效、平臺+戰略結合的縱深防護體系，提升了安全運營水平。

據騰訊雲介紹，重保期間，雲防火牆、WAF幫助客戶攔截了超過1900萬次攻擊。

與此同時，期間這四道防線幫助客戶發現了1977個漏洞，阻止了2萬餘次漏洞利用，同時有1190次高危命令執行透過主機安全得到了阻斷。

再比如，某資管公司在中國大陸30個省、自治區、直轄市擁有200多個證券營業部，在人員、組織眾多、多分支接入等複雜的網路場景下，遇到了在遠端辦公上的安全和效率挑戰。

在和騰訊安全的合作中，這家資管公司採用了騰訊安全的零信任iOA全功能模組，保障了員工在內網辦公或遠端辦公場景下的安全性、辦公效率和使用體驗。

其中，騰訊安全重點以iOA防毒管控模組，實現了對國外Symantec這一終端安全軟體的替換，安全合規資料作為零信任訪問引擎的決策資料來源，全面動態來判斷訪問的可信狀態，以一個客戶端軟體，解決了之前多個客戶端才能達到的安全防護。

結合上述幾點，不難發現，騰訊做安全，其實正是在依託雲的能力進行安全建設，由此來保障安全產品與雲平臺實現緊密結合。

而無論是面向金融行業安全建設的思考和路徑，還是產品或解決方案，都源自騰訊自身的實踐——

從早些年QQ時代為了保護使用者自主研發出首個反病毒引擎TAV，到後來在更多的“自我測試”中積累下來天幕（網路入侵防護）、御界（高階威脅檢測）、東風（溯源反制）等產品，再到如今AI、大模型技術浪潮下的最新安全探索，在網路安全這件事上，騰訊已經積累了超過20年的經驗。

3、金融安全新常態：合作才能帶來更大共贏

2022年7月2日，美國邁阿密一家叫Kaseya的網路軟體公司，遭遇了一群自稱“REvil”的俄羅斯駭客發起的攻擊，對方利用Kaseya的VSA軟體中的幾個漏洞來傳輸勒索軟體。

短短三天時間後，應用這一軟體的100多萬臺電腦受到感染，瑞典最大的連鎖超市之一Coop，因供應商Visma被攻擊，導致其在全球的近800家門店，不得不暫停營業。

這是全球範圍內迄今為止發生的最大的一次供應鏈攻擊事件。

從這起案例不難發現，現如今網路安全的建設早已牽一髮而動全身，圍繞網安建設，沒有一家企業應該心存僥倖。

聚焦到金融行業來看，數字金融時代的安全體系建設，其實也並非一家或幾家科技企業、一家或幾家金融機構就能推動實現的。

當前態勢下，安全廠商與金融機構，尤其是大規模金融機構的關係，亟待升級。原因在於，他們之間的合作，並非一個簡單的產品交付和服務交付的過程。

比如騰訊安全副總經理、雲鼎實驗室專家李濱向連線Insight表示，越大的金融機構，在做資料融合、做安全連結時，可能越容易碰上棘手的難題。

一方面，金融機構存在大量的存量系統、資料，安全廠商在輔助他們做安全建設時，這些系統一來不能簡單地廢除掉，二來基於這些老的資產、舊的系統，在技術和新系統之間從銜接到接入時也存在難度。

另一方面，金融安全建設，涉及到幾乎所有的業務系統、基礎設施，維度高度分散，複雜度高，給技術連線和融合也帶來了難題。

如何更好地應對這些挑戰？一個解法是，安全廠商和金融機構，需要跳出過去單一的“甲乙方”的視角，而是溝通前置、連結做深、風險共擔、安全共建。

某種程度上，這也反映了騰訊在安全能力建設上的理念。

騰訊金融雲副總經理王豐輝向連線Insight表示，對大的金融機構而言，他們本身有比較龐大的安全團隊，有安全專家，也會去做各種頂層的設計、架構的設計，甚至在專業性上不一定弱於安全廠商，但安全廠商還是需要和金融機構有關於安全建設的交流和探討。

因為視角不一樣。

“金融機構的視角里，他們更多會聚焦到做自己的業務，在騰訊的視角里，我們會做安全產品、服務..……大家實際上是一個共建的過程，在互動中一起迭代和進步，這也是我們能夠和他們取得共識的一個點。”王豐輝進一步表示。

長遠來看，騰訊在安全建設上的這一理念，有望加速成為行業共識。

騰訊雲副總裁胡利明

“我們認為，安全能力體系的建設，包括生態的建設是一個系統性的工程，需要政府、科技企業、金融機構的共同參與，形成合力，共同應對金融數字安全的挑戰。”騰訊雲副總裁胡利明如此說道。