天博·体育【回顾】2024金融网络与数据安全创新研讨会（华北站）成功召开2024年3月15日，由金科创新社（鑫知）主办的“2024金融网络与数据安全创新研讨会暨第二届金融安全管理人年会（华北站）”于北京成功召开。会议以“ 筑牢安全防线 护航高质量发展”为主题，来自国内银行、保险、证券、基金等金融机构及科技企业的网络和数据安全领域的领导、专家出席了会议。

　　金融行业作为网络安全等级保护制度和关键信息基础设施安全保护条例实施的重点行业，面临日益严峻的网络和数据安全挑战：一方面传统安全风险仍然突出：病毒木马传播，安全漏洞和攻击事件与日俱增，数据泄露层出不穷；另一方面，业务云化及以云原生为代表的新技术的应用，导致应用安全复杂性进一步增加，数据安全问题凸显，安全防护挑战加剧。创新安全基础架构，构建完善的网络安全组织与制度管理体制，建设自主可控、纵深防御的安全保障体系成为金融科技建设的重要课题。

　　资深网络安全专家袁慧萍女士分享了“银行网络信息系统等级保护相关实践”，认真梳理了国家等级保护系列重要政策标准，详细介绍了等级保护的目标、框架、标准体系。再从“行业层面、监管层面、实施流程、实施效果”等方面分享了等级保护落地情况；针对云平台等级保护建设实践。最后提出推进等级保护落地的相关建议，为各金融机构提供了重要参考。

　　Forrester认为，API因其不可或缺性导致将安全重点从应用程序转到API本身，由于API驱动了如此多的网络事件天博·体育，企业应将API安全视为主动防御的一部分。“由于API在设计架构上的特殊性，它们无法通过传统的应用安全工具进行有效的保护，并且API具备业务功能和安全双重属性，其安全属性又横跨身份、网络、数据、应用、业务安全，使得API安全综合性和复杂性很高。现在及未来，API安全并不是单一产品（技术）可解决的，目前业内通过组织+制度+技术体系去保障，搭建API全生命周期的安全部署，进行持续化安全运营。”安胜华信金融行业安全技术顾问王增燕表示，并从“建设背景、技术方案、行业实践”三方面分享了“金融API安全一体化建设实践”。

　　近年来视频会议已经成为金融企业日常沟通和合作不可或缺的重要方式，随之而来的安全风险也不容忽视。如何开一场安全稳定高效的云会议，成为金融企业数字化转型中的重中之重。腾讯会议解决方案架构师熊东升在主题演讲中，针对会议前、会议中、会议后可能出现的安全风险，提出“腾讯会议整体安全保障体系”解决方案。据介绍，腾讯会议的安全由外部合规管理、内部基础防护、业务安全体系、情报监测体系和应急响应机制5部分共同构成，具有“混合云部署、AI加持、可充分利用传统会议设备、将会议服务融入现有业务流程”等突出能力特色。

　　数据显示，2023年已披露漏洞数量达到26447个，比 2022 年披露的漏洞总数多了1500多个，其中超过 50% 的高风险漏洞被威胁行为者和勒索软件组织利用，25% 的高风险 CVE 在发布当天被利用。勒索攻击已成为主要安全威胁。瑞数信息高级安全顾问姜路腾基于对“勒索攻击的发展趋势及传统技术在数据勒索保护中面临的不足”的分析，提出“准备（健康体检、数据留存）、阻止（阻断漏洞利用、异常行为识别和阻断）、检测（勒索行为检测、文件和数据库健康检测）、恢复（及时发现勒索时间点、数据分钟级恢复）”反勒索核心思路，并以“构建应用全栈防护 确保业务可持续性”为题，详细介绍了瑞数信息应用反勒索解决方案和关键技术。

　　“在证券行业，研运一体化DevOps赋能数字化转型，使得需求管理、构建、测试、发布软件更加敏捷、频繁。传统的安全管理，无法满足敏捷开发的需求。传统安全管控在应对行业、国家的安全合规和技术规范要求上，普遍处于被动应对层面。缺乏持续和灵活的合规应对能力，解决合规问题的人力成本和时间成本在持续推高，缺乏主动发现漏洞、修复漏洞的能力。因此，将安全理念左移，在软件应用的生命周期早期就引入安全措施，成为当前最有效的安全管理措施。”中信建投证券信息技术部总监、网络与安全组负责人张建军表示。在主题为“DevOps敏捷开发过程中的安全实践”演讲中，他从“从监管政策背景、DevSecOps体系建设、关键技术、落地场景”等方面介绍了中信建投证券在开发安全方面的探索和实践。

　　《中国人民银行业务领域数据安全管理办法》对“安全责任、分类分级、安全建设”进行了明确的要求。对于数据的使用，如何做到“不仅要看得到，还要管得了”？火山引擎数据安全专家刘海洋以“如何破局金融业数据使用安全之困”为题，针对金融行业在“数据库审计系统、基于应用自身记录日志、分类分级工具天博·体育、API审计系统”方面的数据安全管理难题，提出“审计能力覆盖数据使用的全链路，在数据使用过程中采取安全措施，实现防泄露和防滥用”的解决思路，并详细介绍了“基于AOP技术实现数据使用监测与管控”的技术方案和实践经验，分析了基于AOP技术为金融行业带来的“分类分级落地、管理与技术实现联动、增强敏感数据的识别能力、审计信息统一管理、免改造”六方面直接价值。

　　随着以ChatGPT为代表的生成式人工智能的爆发式发展，针对大语言模型的研究和应用成为金融科技领域的热点话题。在安全领域，大模型能做些什么？阳光保险集团信息安全部副总经理张斌在“数智时代保险信息安全思考和实践”主题演讲中，基于对行业趋势的分析，分享了安全GPT在保险行业的落地探索和未来展望。张斌指出，相较于以往的AI，大语音模型具有“通用模型+垂直领域模型、通用智能、边际成本降低”等显著优势，检测大模型能够赋能未知威胁检测，运营大模型推动安全运营生产力跃升。安全垂直领域的大模型主要包括：威胁检测大模型、安全运营大模型、数据分类分级大模型、访问控制大模型、代码安全大模型、用户安全助手，未来安全大模型的能力将逐步向“条件自动化、高度自动化、完全自动化”演进天博·体育。

　　“2024金融网络与数据安全创新研讨会暨第二届金融安全管理人年会”聚焦金融行业网络安全和数据安全的风险与挑战，分享金融安全建设的真知灼见和创新实践。昆仑银行信息科技部安全管理室副主任郭亮主持了华北站会议，华东站和华南站将分别于3月22日、29日在上海和深圳召开。