亚洲永久免费/亚洲大片在线观看/91综合网/国产精品长腿丝袜第一页

每日經(jīng)濟新聞
要聞

每經(jīng)網(wǎng)首頁 > 要聞 > 正文

對話騰訊金融云副總經(jīng)理王豐輝:金融核心系統(tǒng)融合創(chuàng)新加速推進 構(gòu)建全棧安全體系應(yīng)對新型攻擊

每日經(jīng)濟新聞 2024-12-12 19:23:11

王豐輝表示,中國金融行業(yè)信創(chuàng)推進已進入加速期,金融機構(gòu)正逐步將核心系統(tǒng)如賬戶和交易系統(tǒng)進行信創(chuàng)遷移。隨著這一進程的發(fā)展,金融機構(gòu)對國產(chǎn)系統(tǒng)的信心增強,認(rèn)為國產(chǎn)系統(tǒng)不僅可用,而且越來越“好用”。大型金融機構(gòu)在信創(chuàng)進程中起到了引領(lǐng)作用,中小金融機構(gòu)隨后跟進,兩者在面臨安全風(fēng)險及應(yīng)對策略上各有側(cè)重。大型金融機構(gòu)注重頂層設(shè)計與全棧安全,而中小金融機構(gòu)則更關(guān)注關(guān)鍵場景的安全問題解決。

每經(jīng)記者 陳植    每經(jīng)編輯 張益銘

金融行業(yè)信創(chuàng)推進正進入加速期。

近日,騰訊金融云副總經(jīng)理王豐輝接受每日經(jīng)濟新聞記者專訪時表示,在先期推進辦公系統(tǒng)、渠道系統(tǒng)的自主創(chuàng)新改造后,越來越多國內(nèi)金融機構(gòu)正將賬戶系統(tǒng)、交易系統(tǒng)等核心系統(tǒng)進行信創(chuàng)遷移。“融合創(chuàng)新的幾年來,國內(nèi)金融機構(gòu)的信心正在日益增強,他們真正升級使用之后,發(fā)現(xiàn)國產(chǎn)不僅是‘可用’的,而且是越來越‘好用’的。”

在他看來,隨著金融行業(yè)信創(chuàng)的持續(xù)推進,國內(nèi)金融機構(gòu)也需日益關(guān)注金融的數(shù)字安全挑戰(zhàn)。尤其是當(dāng)前APT(高級長期威脅)攻擊成為網(wǎng)絡(luò)空間社會影響最廣、防御難度最高的突出風(fēng)險源,嚴(yán)重威脅金融機構(gòu)的正常運轉(zhuǎn)與基礎(chǔ)設(shè)施安全。

“在原先APT攻擊沒有那么多的情況下,金融機構(gòu)更多關(guān)注流程與節(jié)點是否部署安全產(chǎn)品,但隨著APT攻擊日益多元化且隱蔽化,金融機構(gòu)在安全攻防演練中,也需要擺脫以往的被動防御模式,實現(xiàn)以結(jié)果導(dǎo)向的積極主動防御策略與安全應(yīng)急響應(yīng)的快速化、常態(tài)化。”王豐輝指出。在這種趨勢下,金融機構(gòu)需將信創(chuàng)推進與金融安全保護緊密關(guān)聯(lián),構(gòu)建涵蓋早期預(yù)防、持續(xù)檢測、快速響應(yīng)“三位一體”的金融安全防火墻。

騰訊金融云副總經(jīng)理 王豐輝 受訪者供圖

大型金融機構(gòu)帶頭,中小金融機構(gòu)緊隨

NBD:能否介紹當(dāng)前金融領(lǐng)域的信創(chuàng)發(fā)展進程?

王豐輝:2019年金融行業(yè)開啟了軟硬件的自主創(chuàng)新,最初是對一些辦公系統(tǒng)開展自主創(chuàng)新改造,因為這也是相對容易的操作,比如OA(辦公自動化)系統(tǒng)既沒有業(yè)務(wù)強相關(guān)性,又沒有高并發(fā),相對而言不會那么復(fù)雜。所以辦公系統(tǒng)等支撐系統(tǒng)是金融領(lǐng)域自主創(chuàng)新的第一步,應(yīng)該說,截止目前,金融機構(gòu)實現(xiàn)辦公系統(tǒng)信創(chuàng)切換的比例已經(jīng)很高了。

在辦公業(yè)務(wù)系統(tǒng)開展信創(chuàng)的同時,金融機構(gòu)也同步推進核心業(yè)務(wù)系統(tǒng)的自主創(chuàng)新改造,對金融機構(gòu)而言,它的核心業(yè)務(wù)系統(tǒng)是最關(guān)鍵的,所以需要分階段、分批次、有節(jié)奏地進行軟硬件自主創(chuàng)新。2022~2023年起,一些銀行開始著手推進核心系統(tǒng)的信創(chuàng),但對于涉及SaaS、PaaS、IaaS層的全棧自主創(chuàng)新改造,金融機構(gòu)會綜合考慮服務(wù)器、數(shù)據(jù)庫、大數(shù)據(jù)、中間件、業(yè)務(wù)系統(tǒng)的性能與穩(wěn)定性可靠性。概括而言,就是它的核心系統(tǒng)能否在信創(chuàng)系統(tǒng)跑起來,跑得好、跑得快。可以說,2024年起國內(nèi)金融行業(yè)進入全面自主創(chuàng)新階段,2025~2026年應(yīng)該是攻堅之年。

此外,金融自主創(chuàng)新的推進,也是分梯隊的。比如最初是大型金融機構(gòu)先嘗試做,將更多業(yè)務(wù)往信創(chuàng)系統(tǒng)遷移,然后中小金融機構(gòu)緊隨其后。因為頭部金融機構(gòu)起到良好的標(biāo)桿與示范作用,比如頭部金融機構(gòu)在軟硬件自主創(chuàng)新過程中,對產(chǎn)品切換設(shè)定了規(guī)劃路徑,包括前些年在服務(wù)器、數(shù)據(jù)庫等產(chǎn)品推進切換,最近一年多則開始在大數(shù)據(jù)等產(chǎn)品方面做遷移。從去年底到現(xiàn)在,我們發(fā)現(xiàn)大數(shù)據(jù)信創(chuàng)項目越來越多,且延展出更多的大數(shù)據(jù)上下游信創(chuàng)項目。

整體而言,我發(fā)現(xiàn)信創(chuàng)一路走下來,金融機構(gòu)越來越有信心,因為他們升級軟硬件后,不僅發(fā)現(xiàn)“可用”,而且“好用”。尤其是一些頭部金融機構(gòu)涉及高并發(fā)、動輒兩地三中心的高可用與災(zāi)備架構(gòu)在信創(chuàng)部署后,已經(jīng)經(jīng)受住了海量業(yè)務(wù)的考驗。

NBD:信創(chuàng)涵蓋服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、大數(shù)據(jù)、中間件、業(yè)務(wù)系統(tǒng)、行政辦公等眾多方面,目前金融機構(gòu)在推進信創(chuàng)過程中面臨的最大挑戰(zhàn)主要是安全全棧,這個挑戰(zhàn)該如何解決?

王豐輝:事實上,傳統(tǒng)非信創(chuàng)環(huán)境遇到的安全問題,在信創(chuàng)環(huán)境都會遇到,并且還會面臨更多挑戰(zhàn)。金融行業(yè)受到嚴(yán)格監(jiān)管,信創(chuàng)實施過程更需要遵循相關(guān)政策和法律法規(guī)。

目前,與信創(chuàng)關(guān)系比較緊密的政策法規(guī)較多。以數(shù)據(jù)安全與隱私保護為例,金融機構(gòu)時時刻刻都要處理大量敏感數(shù)據(jù),包括客戶信息、交易記錄等,因此數(shù)據(jù)可能面臨泄露、篡改或丟失的風(fēng)險。為了解決這個風(fēng)險,騰訊率先對國密算法進行支持,提供覆蓋APP、小程序等全渠道形態(tài)的SDK,騰訊也在積極支持金融機構(gòu)完成國密能力的快速替換升級,提升安全加密的強度和自主可控性。

信創(chuàng)的另一個關(guān)鍵要求是安全可控。在信創(chuàng)的過程,金融機構(gòu)不可避免地會使用開源組件。以往,對于開源組件中的漏洞和風(fēng)險,金融機構(gòu)關(guān)注度比較少,但是,業(yè)務(wù)代碼中開源組件的比例平均可以達(dá)到70-80%,一旦存在未知漏洞爆發(fā),影響就會非常大。此外金融行業(yè)經(jīng)常會使用外包、第三方協(xié)助業(yè)務(wù)開發(fā),如果在這些供應(yīng)鏈環(huán)節(jié)存在安全漏洞,同樣會給核心業(yè)務(wù)系統(tǒng)帶來安全風(fēng)險與損害。

所以,信創(chuàng)過程中的軟件供應(yīng)鏈的安全,成為今年相關(guān)部門重點關(guān)注的方向,在今年的國家級攻防演練過程也被重點關(guān)注。在這種情況下,實現(xiàn)“安全左移”、“可信組件源”就成為非常關(guān)鍵且必要的動作。騰訊科恩實驗室在短時間內(nèi),將騰訊自用的能力平臺進行解決方案封裝,快速賦能給金融行業(yè)用戶,目前多家頭部銀行、資管機構(gòu)已落地這項解決方案,通過騰訊核心技術(shù)建立軟件供應(yīng)鏈安全管控能力。

NBD:你剛提到大型銀行與中小銀行的信創(chuàng)節(jié)奏不一,能否具體介紹信創(chuàng)在不同規(guī)模銀行的落地狀況?

王豐輝:個別大型銀行會先遷移自己的渠道業(yè)務(wù)與外圍業(yè)務(wù),在發(fā)現(xiàn)“沒有問題”后,再考慮遷移信用卡業(yè)務(wù),因為信用卡業(yè)務(wù)在金融機構(gòu)一般是獨立的,最后再逐步遷移核心業(yè)務(wù)與賬戶系統(tǒng),但這也是一個不斷驗證的過程。因為大型金融機構(gòu)的系統(tǒng)太多,有些大型銀行的系統(tǒng)大幾百個,所以這些銀行內(nèi)部也會設(shè)定自己的優(yōu)先級與關(guān)鍵遷移路徑,其實這也是一個逐步的過程。隨著大型銀行在系統(tǒng)遷移過程逐步建立信心,加之遷移效果驗證日益完整,銀行就有底氣將更多業(yè)務(wù)場景遷移到信創(chuàng)系統(tǒng)。

中小銀行的信創(chuàng)狀況也存在差異,比如有些數(shù)字銀行從誕生起,就以云模式搭建核心系統(tǒng),對分布式、云原生的接受度相對較高,也有一些城商行會根據(jù)自己的業(yè)務(wù)特色,先去找一些頭部銀行交流“信創(chuàng)經(jīng)驗”,再根據(jù)前者已驗證的遷移成效進行操作。但整體而言,中小銀行也不再“觀望”,紛紛加快了信創(chuàng)步伐。

信創(chuàng)的安全挑戰(zhàn),不是單點而是全棧

NBD:金融機構(gòu)在信創(chuàng)遷移過程中,都相當(dāng)重視云原生的安全問題。當(dāng)前國內(nèi)金融行業(yè)的云原生安全挑戰(zhàn)有多大?在信創(chuàng)過程中如何更好解決云原生安全挑戰(zhàn)?

王豐輝:關(guān)于云原生的安全挑戰(zhàn),目前正處于一個變革點。

原先,我們對云原生安全挑戰(zhàn)的關(guān)注,主要聚焦在一些基礎(chǔ)設(shè)施的保護,比如主機安全、資源隔離、容器保護、開發(fā)安全等。在這些基礎(chǔ)設(shè)施保護舉措日益齊備后,我們開始更多聚焦一些關(guān)乎金融安全的攻防對抗。比如當(dāng)前APT攻擊成為網(wǎng)絡(luò)空間社會影響最廣、防御難度最高的突出風(fēng)險源。

所謂APT攻擊,是指某個組織對特定對象展開的持續(xù)有效的攻擊活動。攻擊目標(biāo)通常是金融行業(yè)等具有高價值的機構(gòu),主要目的是竊取客戶信息、破壞關(guān)鍵基礎(chǔ)設(shè)施等。

近年,APT攻擊手法日益多元化與隱蔽化。具體表現(xiàn)在三方面:一是迂回攻擊或曲線攻擊,比如直接攻擊一家大型銀行比較困難,他們就會先從對接的第三方機構(gòu)攻入銀行內(nèi)網(wǎng),由此找到突破口;二是通過海外分支機構(gòu)尋找突破點入侵,尤其是當(dāng)金融機構(gòu)使用一些在安全方面不夠成熟的SaaS或私有云產(chǎn)品(比如辦公軟件、遠(yuǎn)程桌面、中間件等),就會給自身系統(tǒng)引入一些安全風(fēng)險;三是通過供應(yīng)鏈、數(shù)據(jù)托管、權(quán)限委托等方面形成突破口,進而威脅金融行業(yè)的數(shù)字資產(chǎn)。

所以我們必須先假設(shè)自己處于持續(xù)被APT攻擊的態(tài)勢下,再考慮如何做好云原生安全。首先,要做好風(fēng)險的前置發(fā)現(xiàn),從原先的被動防御轉(zhuǎn)向主動的風(fēng)險發(fā)現(xiàn),比如對外暴露的高危端口、高危服務(wù)、弱密碼等常見漏洞進行持續(xù)檢測,保證早于黑客發(fā)現(xiàn)漏洞并及時快速修復(fù);其次,云原生有大量API、服務(wù)暴露在云上面,不管是API,還是數(shù)據(jù),都要做好身份與權(quán)限的保護。目前身份權(quán)限管理缺陷是相當(dāng)常見的攻擊入口,因此金融機構(gòu)需加強云原生安全態(tài)勢的管理,對云上服務(wù)、數(shù)據(jù)訪問權(quán)限與訪問合理性進行持續(xù)監(jiān)控。

隨著金融機構(gòu)業(yè)務(wù)疊加與系統(tǒng)持續(xù)發(fā)展,金融機構(gòu)需對以往的安全機制進行滲透測試與代碼安全缺陷修復(fù),盡管這涉及到使用周期與投入成本問題,但金融機構(gòu)仍需明確安全策略是否做到有效保護,漏洞修補是否真的堵住風(fēng)險,這都需要金融機構(gòu)做好持續(xù)的安全管理。

此外,在上述基礎(chǔ)上,金融機構(gòu)需進行內(nèi)部系統(tǒng)的聯(lián)動,比如主機安全與網(wǎng)絡(luò)安全方面都會收到海量日志,需要進行智能化分析,聯(lián)動到各項運營流程與管控機制,實現(xiàn)對系統(tǒng)安全風(fēng)險做出最快速的響應(yīng),形成智能化的安全云平臺。

因此,只有將早期預(yù)防、持續(xù)檢測、快速響應(yīng)構(gòu)建起來,才是對云原生安全挑戰(zhàn)做出最好的補充。

NBD:隨著金融行業(yè)信創(chuàng)進入加速期,金融機構(gòu)在信創(chuàng)過程中還會遇到哪些金融安全挑戰(zhàn)?該如何妥善解決?

王豐輝:信創(chuàng)的安全挑戰(zhàn),從來不是單點的,而是全棧的。比如服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、大數(shù)據(jù)、中間件、行政辦公等系統(tǒng)在向信創(chuàng)遷移后所遇到各類問題,也是對信創(chuàng)全棧的安全挑戰(zhàn)。

舉個例子,在安全市場都有漏洞庫,且這些漏洞庫是分門別類的,分成不同系統(tǒng)與不同棧。金融機構(gòu)信創(chuàng)系統(tǒng)是否建立完備的漏洞庫,補丁是不是定期打好,這也是一個循序漸進的過程,不是一蹴而就的,需要時間逐步完善的。

目前,金融機構(gòu)也做了很多工作,包括數(shù)據(jù)安全與隱私保護。在國內(nèi),涉及數(shù)據(jù)安全與隱私保護的政策法規(guī)眾多,還有涉及國密算法,金融機構(gòu)核心系統(tǒng)開發(fā),App建設(shè)的政策舉措也不少,因此金融機構(gòu)也需要穩(wěn)步推進信創(chuàng)進程,確保各項業(yè)務(wù)的安全性符合相關(guān)政策法規(guī)。

此外,隨著信創(chuàng)推進,另一個概念正在興起,就是軟件供應(yīng)鏈安全。關(guān)于供應(yīng)鏈安全,可以從兩個方面理解,一是眾多信創(chuàng)系統(tǒng)與軟件不可避免會使用開源組件,其中漏洞和風(fēng)險有多大?銀行對此關(guān)注度是否足夠高?有些業(yè)務(wù)代碼的開源組件比例比較高,那么漏洞爆發(fā)的負(fù)面沖擊就會很大,所以金融機構(gòu)要圍繞開源組件做好安全管理。

二是金融機構(gòu)使用外包的狀況較多,讓外部機構(gòu)人員來寫代碼,使用銀行各類系統(tǒng)進行業(yè)務(wù)操作,其中會不會存在安全漏洞,這都需要金融機構(gòu)做好相關(guān)的安全防范舉措。

所以,金融機構(gòu)不應(yīng)將信創(chuàng)和非信創(chuàng)的安全挑戰(zhàn)“隔離”,因為安全實質(zhì)是都是“技術(shù)問題”與“棧的問題”,金融機構(gòu)應(yīng)將同業(yè)比較成熟且完備的漏洞庫用起來,逐步建設(shè)完善自己的金融安全體系。

NBD:大型金融機構(gòu)與中小金融機構(gòu)面臨的金融安全風(fēng)險不盡相同?就建立金融安全體系而言,大型金融機構(gòu)與中小金融機構(gòu)的側(cè)重點有哪些差異?

王豐輝:事實上,大型金融機構(gòu)與中小金融機構(gòu)的業(yè)務(wù)規(guī)模、業(yè)務(wù)范圍、科技預(yù)算、安全專家團隊都不一樣,這是一個非常顯性的區(qū)別。這些顯性區(qū)別也就帶來金融安全問題的差異性。

比如大型金融機構(gòu)業(yè)務(wù)多與系統(tǒng)多,耦合就會比較多,于是安全問題也會比較多。舉個例子,比如大型金融機構(gòu)客戶規(guī)模可能達(dá)到數(shù)億,中小金融機構(gòu)客戶規(guī)模僅有數(shù)千萬,那么兩者所面臨的高并發(fā)等問題是不一樣的。我此前做安全技術(shù)研發(fā),在一個服務(wù)界面的安全測試環(huán)節(jié),可能100個人同時使用不會發(fā)現(xiàn)任何問題,但到了數(shù)萬人同時使用,就會出現(xiàn)各種意想不到的軟件問題,這就是業(yè)務(wù)規(guī)模所帶來的安全復(fù)雜性挑戰(zhàn)。

在金融安全預(yù)算投入方面,大型金融機構(gòu)與中小金融機構(gòu)也有差距,大型金融機構(gòu)擁有相對充足的安全專家資源,頂層設(shè)計能力也不錯,但中小金融機構(gòu)缺乏這些資源,對外部機構(gòu)的依賴會比較大。因此,大型金融機構(gòu)在構(gòu)建金融安全方面會更關(guān)注自己的頂層設(shè)計與安全實施策略等,將方方面面補齊。且一家大型金融機構(gòu)的很多業(yè)務(wù)系統(tǒng)都有不同供應(yīng)商,如何將它們協(xié)同起來聚焦一個共同的安全目標(biāo),難度也不小。

相比而言,中小金融機構(gòu)受到科技預(yù)算投入、安全專家數(shù)量的限制,轉(zhuǎn)而會聚焦解決最關(guān)鍵的金融安全問題,比如他們會特別在意特定場景的安全問題解決方案,并嘗試通過這些解決方案解決一系列類似的安全問題。

如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴(yán)禁轉(zhuǎn)載或鏡像,違者必究。

讀者熱線:4008890008

特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。

金融 機構(gòu) 騰訊

歡迎關(guān)注每日經(jīng)濟新聞APP

每經(jīng)經(jīng)濟新聞官方APP

0

0