技术变革视角下的金融安全：新挑战、新路径、新常态

文/陈锋

编辑/子夜

古希腊神话里的西西弗斯，每天会辛辛苦苦推石头上山，第二天石头又会落下来，但需要把它再推上去，如此周而复始。

网络安全产业链条里的任何一环、每个角色，某种程度上也在经历着这个过程：

从云计算到AI到大模型，全行业数字化转型持续深入的过程中，每一轮的技术变革中，“矛”与“盾”的持续对抗，在形式、态势上，都在变化。

对身处其中的每个行业里的每家公司而言，安全建设都没有终点，需要西西弗斯式的坚守。

聚焦到当下来看，伴随着AI大模型加速落地到各行各业，其高效泛化内容生成的特点，也会让黑客以更低的门槛和成本，发动更密集的攻击，防守方则需要更缜密的逻辑关联、更精确的溯源能力，等等。比如AIGC的迅猛发展衍生出来的AI欺诈、AI仿冒等问题，也成了很多企业新的痛点。

这一背景下，企业在AI时代，该如何更好地应对不断变化的安全挑战？

金融行业在安全建设上的趋势、挑战、实践、路径和思考，尤为值得探讨——金融行业一边是走在数字化变革最前沿的领域，另一边也是对安全风险容忍度最低、对安全合规要求最高的行业。

12月6日，腾讯云举办了2024首届腾讯云金融安全峰会，参会嘉宾包括了数字金融机构、商业银行、资管机构等企业安全技术的负责人，多方共同探讨了不同业务场景下的金融安全建设实践。

在这次峰会上，连线Insight注意到，随着技术的不断变革，金融行业的安全挑战，呈现出了不同的态势，在金融行业的安全建设上，以腾讯为代表的互联网厂商，也沉淀出了一些新思考，并加速探索企业安全建设新路径。

1、从攻防演练新态势，看金融行业的安全挑战

过去数年，金融行业面临着相对更高的安全风险。

一方面，金融行业离“钱”更近，更敏感，也就更容易被不法分子“盯上”；

另一方面，由于业务场景更多、个体或单位使用金融服务的频率更高、数据资源更丰富，此前大数据、云计算等技术加速产业数字化转型时，金融行业也走在前列。包括数字化营销、个性化推荐与精准服务、风控模型的建立与完善、资源的整合及利用等等，都离不开大数据和云计算。

这一过程中，更大规模的组织上云、数据上云、业务上云，乃至供应链上云，其实也滋生了新的安全挑战。

原因在于，在全行业数字化转型时，新技术的出现总有两面性。

一面是技术的赋能作用，它让效率更高、让成本更低、也让安全水位更高；另一面则是，在不法分子的手里，这些技术又会成为他们丰富、强化攻击手段与方式的工具。

尤其是在当下，金融行业正处在新一轮技术推动数字化纵深的周期中——云计算从1.0阶段的金融信息化、2.0阶段的互联网金融、金融科技，过渡到3.0阶段的金融与科技的深度融合后，如今正加速迈向4.0阶段，数字金融。

这背后，云原生生态的不断扩大、AI技术的加速变革和应用，一定程度上拓宽了持续数字化的想象力，但同时也在加剧金融安全风险。

来看两个实际的案例。

今年1月，香港某跨国公司的财务员工，被骗子利用Deepfake换脸技术冒充公司CEO进行视频会议后，被诈骗了2500万美元；今年5月，某跨国贸易公司的一名职员，收到仿冒为英国总公司CFO的WhatsApp信息，期间深伪技术生成的“假上司”指示这名职员将近400万港元转款至一个本地账户。

2024首届腾讯云金融安全峰会上，腾讯安全副总裁、玄武实验室负责人于旸也从技术视角出发，进一步解析了当前金融行业面临的攻防对抗态势变化。

腾讯安全副总裁、玄武实验室负责人于旸

他认为，通过迂回攻击、曲线攻击绕过企业现有防御网络，或通过供应链通路、数据托管、权限委托等单点上形成突破口，进而威胁到企业数字资产，是近年来攻防演练呈现出的新“脆弱点”。

此外，在攻击工具上，也有新变化。

“一开始大家用一些开源工具免费工具，一般来说这些工具都是单兵工具，就是‘步枪’‘手枪’。这些年一来是每个攻击队都开始开发工具，二来是这些工具也在转向平台化、协作化，变成‘航空母舰’了。而且随着平台化水平的提高，可以很大程度上提高整个攻击队的水平。”于旸如此说道。

他进一步介绍，这些平台也可以通过引入自动化技术，乃至AI技术、大模型技术，来进一步提高攻击效率。

与此同时，中国信通院云计算与大数据研究所所长何宝宏提到，近些年，金融云的安全威胁也在加剧，集中体现为两大挑战。

第一个挑战是，随着数字金融用户的持续增加，云端金融风险在持续攀升。

第二个挑战则是，高价值资产频遭数据泄露和勒索软件攻击，暴露出金融机构在数据安全、系统安全和隐私保护等方面尚存在短板。

比如今年10月，某家互联网金融机构，大量用户通讯录信息被泄露，包括联系人姓名、号码等等；今年1月，某家金融公司遭遇网络攻击，导致130万客户数据泄露，等等。

不难发现，当下金融行业的安全形势，在变得日益严峻。

对金融机构而言，数据流转的加速、业务关联性的加深、系统规模的扩大和迭代频率的提升、日益复杂的访问主体、场景和行为、金融业务的边界拓展，等等，几乎每一个环节，都存在潜在的安全隐患。

2、化被动为主动、从单点到立体，金融安全“1”比“0”更关键

上述背景下，金融行业的安全建设，到底该怎么做？

面对当前无孔不入的安全挑战，金融行业的安全建设，需要的是更立体式的防御机制，而不是单点式去发现问题、解决问题，也需要更主动性的安全建设理念，而不是“等问题出现再解决”。

今年11月27日，中国人民银行等七部门联合印发了《推动数字金融高质量发展行动方案》，其中提到，到2027年底，要基本建成与数字经济发展高度适应的金融体系。

在这背后，金融云安全体系，是保障金融服务安全性、支撑数字金融生态繁荣与发展的底层支撑。

对云厂商和安全厂商而言，安全产品如何与云平台实现紧密结合，实现真正的云原生安全、一体化安全，正是金融云安全体系持续优化和升级的一个关键。

结合这几点，在这次峰会上，连线Insight观察到，腾讯在金融领域的安全实践，提供了一个思路。

简单拆解，腾讯云和腾讯安全的实践，可以从两个层面来看：

一方面，是保障云平台本身的安全稳固，为金融行业提供高效的一体化安全供给。

腾讯安全副总裁、云鼎实验室负责人董志强表示，基于腾讯云平台过去多年在合规建设、安全防护、安全运营等方面的经验，腾讯云将自身安全建设的经验沉淀成了一套新理念——高安全等级架构。

腾讯安全副总裁、云鼎实验室负责人董志强

这也是腾讯云安全建设的思路和目标。“我们希望，通过更高安全等级架构这样的思路，倡导所有团队能够为了这样的目标去努力。”董志强如此说道。

他进一步介绍，企业要想达成高等级的安全架构，需要具有可信的底层、原生的能力、智能的安全运营水平，以及出厂的默认安全。

基于此，腾讯云自下而上，为云业务自身和租户安全，都构建起了纵深防御的体系，沉淀出了一套具备可复制性的、云原生的高安全等级架构，通过服务器硬件安全优化、可信计算技术与供应链安全保证云基础设施安全等多重机制，来保障云基础设施的一体化安全。

另一方面，则是在产品维度，腾讯安全整合构建了“4+N”体系，为所有私有云、公有云、混合云等不同业务形态客户提供全面的产品供给。腾讯安全副总裁方斌介绍，腾讯安全的独特优势，是在情报能力的基础上，基于四道防线逐级增加防御节点，再进一步扩展到N个业务外延，实现基础安全和业务安全的同步提升。

腾讯安全副总裁方斌

其中，“4”指的是“数据安全、主机安全、Web应用防火墙、云防火墙”这四道防线，指向的是通用安全，希望解决的是企业面临的在批量攻击、合规、安全运营、复杂攻击等方面的问题；

“N”指向的则是场景化安全，面向不同行业提供针对性更强的特色化解决方案。比如面向金融行业，腾讯安全提出了“防AI仿冒可信身份解决方案”“金融反电诈解决方案”“金融风控大模型”“零信任网络访问”“安全数据湖”“小程序网关”等等场景化解决方案。

图源腾讯安全官方微信公众号

目前，腾讯云金融安全这套“4+N”体系，正加速在金融行业落地。

比如，某具有百年历史的某集团旗下的证券公司，通过安全体检和这四道安全防线，搭建起了安全有效、平台+战略结合的纵深防护体系，提升了安全运营水平。

据腾讯云介绍，重保期间，云防火墙、WAF帮助客户拦截了超过1900万次攻击。

与此同时，期间这四道防线帮助客户发现了1977个漏洞，阻止了2万余次漏洞利用，同时有1190次高危命令执行通过主机安全得到了阻断。

再比如，某资管公司在中国大陆30个省、自治区、直辖市拥有200多个证券营业部，在人员、组织众多、多分支接入等复杂的网络场景下，遇到了在远程办公上的安全和效率挑战。

在和腾讯安全的合作中，这家资管公司采用了腾讯安全的零信任iOA全功能模块，保障了员工在内网办公或远程办公场景下的安全性、办公效率和使用体验。

其中，腾讯安全重点以iOA杀毒管控模块，实现了对国外Symantec这一终端安全软件的替换，安全合规数据作为零信任访问引擎的决策数据源，全面动态来判断访问的可信状态，以一个客户端软件，解决了之前多个客户端才能达到的安全防护。

结合上述几点，不难发现，腾讯做安全，其实正是在依托云的能力进行安全建设，由此来保障安全产品与云平台实现紧密结合。

而无论是面向金融行业安全建设的思考和路径，还是产品或解决方案，都源自腾讯自身的实践——

从早些年QQ时代为了保护用户自主研发出首个反病毒引擎TAV，到后来在更多的“自我测试”中积累下来天幕（网络入侵防护）、御界（高级威胁检测）、东风（溯源反制）等产品，再到如今AI、大模型技术浪潮下的最新安全探索，在网络安全这件事上，腾讯已经积累了超过20年的经验。

3、金融安全新常态：合作才能带来更大共赢

2022年7月2日，美国迈阿密一家叫Kaseya的网络软件公司，遭遇了一群自称“REvil”的俄罗斯黑客发起的攻击，对方利用Kaseya的VSA软件中的几个漏洞来传输勒索软件。

短短三天时间后，应用这一软件的100多万台电脑受到感染，瑞典最大的连锁超市之一Coop，因供应商Visma被攻击，导致其在全球的近800家门店，不得不暂停营业。

这是全球范围内迄今为止发生的最大的一次供应链攻击事件。

从这起案例不难发现，现如今网络安全的建设早已牵一发而动全身，围绕网安建设，没有一家企业应该心存侥幸。

聚焦到金融行业来看，数字金融时代的安全体系建设，其实也并非一家或几家科技企业、一家或几家金融机构就能推动实现的。

当前态势下，安全厂商与金融机构，尤其是大规模金融机构的关系，亟待升级。原因在于，他们之间的合作，并非一个简单的产品交付和服务交付的过程。

比如腾讯安全副总经理、云鼎实验室专家李滨向连线Insight表示，越大的金融机构，在做数据融合、做安全链接时，可能越容易碰上棘手的难题。

一方面，金融机构存在大量的存量系统、数据，安全厂商在辅助他们做安全建设时，这些系统一来不能简单地废除掉，二来基于这些老的资产、旧的系统，在技术和新系统之间从衔接到接入时也存在难度。

另一方面，金融安全建设，涉及到几乎所有的业务系统、基础设施，维度高度分散，复杂度高，给技术连接和融合也带来了难题。

如何更好地应对这些挑战？一个解法是，安全厂商和金融机构，需要跳出过去单一的“甲乙方”的视角，而是沟通前置、链接做深、风险共担、安全共建。

某种程度上，这也反映了腾讯在安全能力建设上的理念。

腾讯金融云副总经理王丰辉向连线Insight表示，对大的金融机构而言，他们本身有比较庞大的安全团队，有安全专家，也会去做各种顶层的设计、架构的设计，甚至在专业性上不一定弱于安全厂商，但安全厂商还是需要和金融机构有关于安全建设的交流和探讨。

因为视角不一样。

“金融机构的视角里，他们更多会聚焦到做自己的业务，在腾讯的视角里，我们会做安全产品、服务..……大家实际上是一个共建的过程，在交互中一起迭代和进步，这也是我们能够和他们取得共识的一个点。”王丰辉进一步表示。

长远来看，腾讯在安全建设上的这一理念，有望加速成为行业共识。

腾讯云副总裁胡利明

“我们认为，安全能力体系的建设，包括生态的建设是一个系统性的工程，需要政府、科技企业、金融机构的共同参与，形成合力，共同应对金融数字安全的挑战。”腾讯云副总裁胡利明如此说道。