• 移動端
    訪問手機端
    官微
    訪問官微

    搜索
    取消
    溫馨提示:
    敬愛的用戶,您的瀏覽器版本過低,會導致頁面瀏覽異常,建議您升級瀏覽器版本或更換其他瀏覽器打開。

    專訪|網商銀行首席信息安全官張園超:可信縱深防御,用“免疫”思維創新數字銀行安全體系建設

    王煊 來源:中國電子銀行網 2023-08-17 10:23:25 網商銀行 思維創新 原創
    王煊     來源:中國電子銀行網     2023-08-17 10:23:25

    核心提示近日,網商銀行首席信息安全官張園超接受中國電子銀行網專訪,分享了網商銀行關于網絡安全體系建設的思考和實踐。

    新一輪科技浪潮崛起,為數字經濟發展提供了充沛動能,金融業積極擁抱趨勢并直面挑戰,數字化轉型戰略穩步推進。在這一深刻的變革進程中,中國電子銀行網發起“數字金融訪談”活動,與行業同仁探尋數字金融航路的星辰大海。

    隨著社會數字化、網絡化、智能化程度的提升,新一代信息技術在社會活動中被大規模應用,帶來了巨大的發展機遇,同時也給網絡安全和數據安全帶來新的風險。隨著數字經濟的不斷發展,網絡信息安全越來越受到重視。

    近日,網商銀行首席信息安全官張園超接受中國電子銀行網專訪,分享了網商銀行關于網絡安全體系建設的思考和實踐。

    建立健全可信數字銀行安全免疫體系

    隨著銀行數字化轉型進程的不斷推進,近年來各家商業銀行都在持續加大科技投入。在張園超看來,銀行業的數字化轉型不僅僅是工作效率和服務質量的提升,還包括銀行業務的數字化決策、數字化經營、數字化管理分析等多方面。

    然而隨著銀行數字化程度加深,所有的運營服務線上化以后,網絡安全的接觸面和復雜度也隨之上升,隨之而來的是安全威脅等級提升、安全與效率的矛盾更加突出等問題。

    金融行業屬于強監管行業,服務千家萬戶、千行百業,所以金融行業對網絡技術的安全性、穩定性、高可用性的要求很高。如何在復雜的安全環境下守住數字銀行安全底線,確保信息安全系統“防得住,防得全”正在成為每一家銀行在數字化轉型過程中的重要課題。

    作為原生態的互聯網銀行,網商銀行所有的服務從一開始就是在線提供的。為了在保護網絡安全和數據安全的基礎上讓業務高效開展,網商銀行構建了可信數字銀行安全免疫體系。

    據張園超介紹,可信數字銀行安全免疫體系是基于可信計算3.0為理論基礎,以縱深防御的技術理念和安全切面的技術框架為基礎構建起來的可信縱深防御安全體系。相較于傳統的防御思路是對過去發生過風險進行有效防御手段,可信數字銀行安全免疫體系還可應對未知風險和不可控網絡安全方面的風險防御。就像人體的免疫細胞一樣,人體默認能夠防御一些未知的細菌和病毒,當受到細菌病毒的攻擊時,只要免疫系統沒有被攻破,沒有被繞過,人體是能夠感知和識別外來細胞,然后發出警報,并著手排除掉,“免疫”就是這個意思。

    同時,在整體防御體系的基礎上構建了一套“體檢系統”,通過對企業自身所面臨的網絡威脅進行模擬攻擊,并抽象出威脅路徑,再根據威脅路徑進行實戰檢驗,對已知攻擊的防御建設情況進行有效性驗證,對未知攻擊情況進行分析計算,看企業目前的防御所對應的威脅程度,從而找出系統的漏洞和短板,不斷優化完善自身的安全體系建設。

    精細化管控確保數據安全

    在數字經濟時代,數據已是一種重要的生產要素,與之相關的金融數據安全治理成為金融科技創新發展的重要課題。

    張園超認為,在當前數字化轉型中,數據作為一種生產要素,其價值在不斷提升,與之帶來的數據安全方面以盜取數據為目的威脅也在同步上升。在業務實踐中,網絡安全和數據安全是密切相關的,其中的一個重要威脅就是數據泄露。對于數據密集型的銀行業來說,如何保護有效保護數據安全,是非常重要的問題。

    結合數據安全保護的實踐經驗,網商銀行在數據安全管理上一方面是從組織角度建立自上而下的數據安全責任制,按照《網絡安全法》《數據安全法》相關法律規定,把數據安全責任制落實下來,包括有相應的管理委員會,能夠驅動這些安全措施的落地。在管理實踐中,數據使用權限和安全責任實行責任制原則,各部門團隊要共同推進安全機制能力建設。

    另一方面是從技術能力上也需要做到數據使用的安全可信,按照“最小、必要”的訪問原則來做數據訪問控制,使用授權、采集授權等相關環節要精細化管理,一是防外部入侵導致數據篡改泄露;二是防止數據的超范圍使用,避免數據濫用,做到數據使用可信。

    本地化和垂直領域訓練是大模型落地應用的前提

    今年以來,隨著ChatGPT的大火,通用人工智能大模型的產業落地,成為千行百業關注的問題。

    張園超認為,作為金融機構在積極擁抱新技術的同時始終秉承發展和安全并重的原則下去評估它帶來的安全風險和機遇。

    在他看來,類似ChatGPT一類的人工智能對銀行業數字化轉型帶來了新的機會和挑戰。一方面,它帶來了工作效率的大幅提升,服務體驗的智能化,特別是人機交互體驗方面帶來很大的改善和更多的可能性。但張園超同時也提醒行業“我們必須關注到AIGC輸出內容的真實性、準確性等相關安全風險問題,要對生成的內容進行判斷,以免給用戶帶來誤導”。

    張園超指出,任何新技術從出現到成熟落地都需要經歷一定的周期。成熟之前,需要進一步探索和實踐,想要更好地應用這些新技術和大模型,目前需要做兩方面的準備工作:

    一是大模型的數據安全。因為人工智能在使用過程中與數據緊密相關,從安全風險的角度,必須確保在使用過程中數據安全不泄露。

    二是這些大模型需要進行垂直領域的訓練。目前,市面上的通用模型都是基于公開信息運行的,不是針對某個領域的垂直模型,銀行業想要充分利用這些大模型,必須進行專業垂直的訓練。比如對銀行業務是什么邏輯,銀行相關數據累積等等。當然,這些訓練也有一定的挑戰,比如“算力”的承載力,“芯片”的成本等。

    責任編輯:陳愛

    免責聲明:

    中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。

    為你推薦

    猜你喜歡

    收藏成功

    確定
    国产亚洲校园有声小说_欧美精品AAAAAAAAA片_国产视热频国只有精品_国产精品经典三级一区