2025年3月21日,在北京软协金融科技专业委员会、《中国信息安全》杂志社、中国国家创新与发展战略研究会数字治理中心的大力支持下,由金科创新社主办的“2025金融网络与数据安全创新论坛(上海站)”于上海成功召开,会议以“ 夯实安全基础 激活发展动能”为主题,来自上海、江苏、浙江等地银行、保险、证券、基金等金融机构及科技企业的网络和数据安全领域的领导、专家出席了会议。

传统SaaS服务在数据保护和机构间信任方面存在挑战,尤其是在合同比对等金融业务中,数据隐私和安全问题尤为突出。为此,浦发银行提出了基于TEE技术的金融SaaS服务框架,通过安全容器技术、TEE服务器、区块链系统等,构建了一个可信的计算环境,确保数据在传输、存储和计算过程中的机密性和完整性。上海浦东发展银行科技发展部创新实验室副处长郭林海在“基于可信执行环境的SaaS服务隐私安全技术创新与实现”主题演讲中,从“金融服务框架、技术创新、典型应用场景”等方面详细介绍了浦发银行在SaaS服务中如何利用可信执行环境(TEE)技术提升隐私安全保护的创新实践。在演讲的最后,郭林海总结了项目业务价值以及应用成果:结合数据要素价值,可信安全容器以及可信计算能力可以在云计算环境下保障数据安全性,同时保证计算结果的正确性和可信度。为数据流转以及更多的参与到社会生产经营中提供更加安全可信的计算环境,促进数据有效的共享和交易。浦发银行参与了多项技术标准和研究报告的制定编写,助力打造行业通用解决方案。

AI技术的引入改变了网络攻防的博弈方式,催化了常态化博弈的战略演进。新华三安全产品线研发总裁、首席技术官韩小平以“主动安全 智御未来--人工智能驱动下的网络攻防对抗新范式”为题,探讨了人工智能(AI)在网络攻防对抗中的应用及其对未来网络安全格局的影响。他指出,AI的加持使得攻击方在时间、成本和人力上占据了更大优势,进一步加剧了“攻强守弱”的局面。为应对这一挑战,守方需尽快适应从烈度到范式的态势转变,以AI对抗AI,构建主动安全防御体系,通过灵犀大模型赋能安全智能体,推动“运营提效、情报生产、以攻促防、引擎升级、场景赋能、智能监测、网安融合、灵犀卫士、数据安全、人才培养”十大能力升级,实现防御体系智能化跃迁。展望未来,韩小平表示,AI攻防博弈将驱动防御体系三大主动进化方向:一是动态策略迭代,利用AI对抗模拟打破静态规则,实时优化防御策略,匹配网络威胁变化;二是智能诱捕溯源,构建定制化“平行空间”诱使攻击者暴露技战术,精准锁定攻击源头;三是认知欺骗反制,通过模拟真实交互(如钓鱼邮件应答)、伪装可信实体,瓦解攻击链并完成溯源取证。

在数字化转型浪潮中,金融业务已全面拥抱互联网,实现了高效协同与创新突破。然而,互联网的“双刃剑”效应也带来了前所未有的安全挑战:钓鱼攻击频发、新型威胁层出不穷、传统防护手段失效等。如何在保障业务发展的同时筑牢安全防线?中国太平洋保险(集团)信息安全部负责人李俊斌分享了中国太保集团“业务·安全双轮驱动”的一体化上网实践。据介绍,中国太保提出了一体化安全上网体系,涵盖“管、控、防、联、动”五个方面:一是全面“管”理:通过统一流程规范,确保策略调整兼顾业务需求和安全要求,避免业务中断或安全事件;二是精细“控”制:采用“黑名单+白名单”策略,结合业务需求动态优化白名单,针对特定人群(如电销人员、内勤人员)设计个性化策略,保障业务需求的同时控制安全风险;三是严格“防”护,通过全栈安全防护措施,如双因素认证、黑白名单配置、审计日志等,确保上网安全基线优化;四是高效“联”动:通过多平台联动,提升安全配置生效速度和联动处置效率;五是持续“动”态:通过策略优化和精细运营,确保安全体系持续改进。在演讲的最后,李俊斌提出“让安全成为业务加速器”的愿景,并表示,业务与安全不是单选题,而是必须同步驱动的双轮。让我们以体系化、精细化、智能化为方向,共同筑牢数字时代的“安全长城”。

“随着攻击者越来越专业化,攻击手段向平台化、自动化演变,防守方必须通过持续、深度的风险面管理,才能化被动为主动。”腾讯云安全金融行业专家张华在“构建安全攻防矩阵 增强数字安全免疫力”的主题演讲中,深入探讨了当前数字安全面临的挑战及应对策略。他指出,企业在安全建设中面临四大挑战:防御挑战、运营挑战、云安全挑战和合规挑战。特别是在金融行业,监管要求日益严格,企业需要加强移动应用、供应链等方面的安全管理。张华详细介绍了腾讯云安全的三重驱动模式:情报驱动、数据驱动和攻防驱动,通过构建情报体系、威胁暴露面管理、反入侵与自动化平台等能力,企业可以实现从被动防御向主动防御的转变;随着大模型生成式AI技术的快速发展,大模型自身安全在数据泄露、对抗攻击、模型滥用等多维度面临安全威胁,介绍了腾讯云安全围绕大模型的生命周期,根据不同阶段的风险制定对应安全防护措施,全方位保障大模型数据和应用的安全的大模型安全防御体系;同时AI大模型在安全运营、攻防对抗、自动化渗透、情报分析、漏洞验证修复等“大模型+安全”融合的多维度场景下腾讯云安全的攻击技术和演进趋势,呼吁企业通过构建安全攻防矩阵,结合先进的AI大模型攻防技术研究,增强数字安全免疫力,以应对日益复杂的网络安全威胁。

当前,金融机构面临的外部网络攻击、仿冒网站和APP等风险日益增加。在监管趋严和安全态势严峻的背景下,为应对挑战,民生证券构建了数字资产声誉风险感知平台,旨在通过全链路闭环管理、智能化操作、实时动态分析等手段,提升风险管理的效率和准确性。民生证券信息技术中心数据安全负责人章达隆在“基于态势感知平台的一站式数字资产风险管理实践”主题演讲中,详细介绍了平台的三大建设阶段:框架构建、技术落地和持续迭代。平台通过多源情报聚合、自动化处置工具集成和移动端快速响应,实现了从风险发现、研判、处置到复盘的全流程管理。平台还利用大数据分析结合机器学习技术进行智能URL分析、内容相似度检测、特征文本检测等,提高了风险识别的精准度。章达隆强调了平台在防范化解声誉风险、保障个人信息权益和助力业务发展方面的价值。通过一键处置功能,平台能够快速关停仿冒网站、下架仿冒APP、冻结社交媒体账号等,有效降低了风险传播的影响。展望未来发展方向,章达隆表示,希望通过AI技术对平台进行持续优化和迭代,进一步提升风险管理的智能化水平,为金融机构提供更全面的安全保障。

鄞州银行科技信息部副总经理王旭鹏介绍了鄞州银行基于国产化基础架构的数据安全管控执行平台的建设和实践。首先,从国家法规和行业要求出发,强调了数据安全的重要性,特别是《数据安全法》和《个人信息保护法》等法律法规对数据全生命周期安全保护的要求;其次分析了传统数据运维安全管控模式的弊端,如共用数据库账号、密码分发、权限管控不精细、敏感数据缺乏有效保护等问题,尤其是在数据查询、修改和提取场景中,传统模式存在流程割裂、审计效率低、误操作风险高等挑战。为解决上述问题,鄞州银行提出了基于堡垒机和数据安全管控执行平台的解决方案。该平台通过统一的SQL开发编辑器、精细化的权限管控、动态脱敏、敏感数据发现等功能,实现了对数据查询、修改、提取等操作的全流程管控。平台还支持自动化的SQL审核、风险评估、备份生成等功能,确保数据变更的安全性和规范性。此外,平台与OA系统、云盘等集成,实现了数据提取流程的自动化和数据文件的自动上传,减少了数据泄露风险。王旭鹏表示,通过该平台,鄞州银行实现了数据运维的规范化、自动化和安全化,提升了数据安全防护能力。未来,数据安全管控执行平台在应对复杂数据运维场景中将发挥更加重要的作用,为银行数据安全治理提供更为有力的支持。

2025年是“十四五”规划的收官之年,保障关键信息基础设施、重要网络和数据及供应链安全,树立网络空间大安全理念,整合网络空间防御要素,汇聚网络空间各方力量,构建网络安全协同防御体系,成为全行业发展的重要课题。“2025金融网络与数据安全创新论坛”聚焦数字化转型背景下的金融网络与数据安全实践案例、前沿技术,助力行业应对复杂安全挑战,探索人工智能时代新型安全模式。

在金科创新社官网、微信公众号均可下载论坛资料!