王卉彤：做好主动防御安全建设，推进金融数字化转型

2020年12月22日，由数央网、数央公益联合国内众多科技及财经媒体共同主办的2020国际科创节暨全球数字大会将在北京举行，活动主题为：创新引领 数字赋能。

科创节暨数字大会致力于构建一个多元、开放的交流与合作平台。活动以独立演讲、高端对话、成果展示、深度分享等形式全面展示科创成果，传递科创精神，聚焦科技最新发展趋势，以及全球范围内科技新技术、新应用，为助力科技强国贡献力量。

以下是中央财经大学欧美同学会副会长 王卉彤在本次大会上的精彩分享，由云现场整理。

各位嘉宾，大家下午好！非常荣幸能够参加2020国际科创节及全球数字大会，谢谢主办方的邀请，今天我与大家分享的话题是做好主动防御安全建设，推进金融数字化转型，近年来，我们国家的金融机构特别是商业银行在数字化转型方面取得了长足的进步，我们知道金融机构数字化转型，它的核心驱动力离不开大数据、云，金融机构利用大数据系统强大的数据存储与分析能力，实现以客户为中心的精准营销，而私有云使得各类业务系统上下线更加迅捷，公有云则通过形成良好的金融业生态圈，降低获客成本，这些都有效提升了金融服务的效率和质量。

但同时呢，由于金融数字化转型也极大增强了金融业对于信息科技的依赖性，也带来了前所未有的风险，这是因为首先金融机构的大数据系统都是基于开源的代码改造而成的，自身就存在着系统上的缺陷。那么其次，云的推广使得所有的风险放到了一个篮子里，成为了集中风险点。

金融机构数字化转型的重点就要放在安全成熟度从三级过度到四级，我们讲在网络安全2.0时代，网络安全的总体成熟度分为五个级别，第一个级别是初级防护，第二个级别是基础防范，第三个级别是体系化控制，第四个级别是主动性方位，第五个级别是进攻性防御，目前绝大多数金融机构是处在第三个级别，体系化控制级别，在这个级别的金融机构能够基本满足监管的要求以及等级保护的要求，达到安全问题能够得到解决这么一个程度。但是这个远远不能满足金融机构数字化转型的需求，下一步金融机构应该将建设的重点放在过渡四级，我们讲主动性防御可以把它理解为金融机构开始以自身网络安全刚性需求为工作导向，为了达到自身的刚需目标而充分融合技术与管理手段，并能够对安全体系进行量化的控制与绩效评价，最终实现安全主动性防御目标。

我们说做到自动性建设防御，一个以数据安全驱动，另外一个是做好人工智能落地安全防护。第一个关键点，以数据安全驱动，它有三个要点，第一个要点是通过私有云和公有云经济高效数据备份方案，大量的审计工作，保障数据不被破坏。第二个要点通过构建纵深防御的数据安全平台，逐层对系统进行加固，保障数据不被非法访问。第三个要点是利用UEBA工具等对职工的行为进行跟踪判断，保障数据不被合法滥用。

我们讲做好主动性防御建设的第二个关键点，人工智能技术落地方位，在金融机构也是有三个要点：第一个，基于人工智能技术，建立一套自适应安全架构，让态势感知具备分析和响应能力；第二个，依靠人工智能强大的自我学习和分析能力，提前发现隐藏的问题和潜在风险，做出迅速而准确的预测；第三个，提高人工智能对数据本身的反馈结果，为业务安全提供不特别依赖于场景的独特视角。