金融行业网络安全技术与建设趋势展望分析

数据安全将成为金融行业中长期建设任务。

1.安全技术发展趋势

Gen AI 引领网络安全与数据安全新范式

Gen AI（生成式人工智能）与传统的网络安全窄域人工智能技术（基于机器学习和深度学习的小 模型技术）相比，具有更强的知识学习和逻辑推理能力，可跨领域处理多种复杂任务，并通过强大的 自然语言交互能力可以实现更广泛的场景应用。Gen AI 对整体网络安全产业的影响无疑是巨大的， 未来或将在产品结构、技术创新、商业模式等多个方面重塑产业格局。从目前实际情况来看，Gen AI 在网络安全领域已经完成了多种应用场景的技术落地，并显示了初步成效。在辅助网络安全防护方面， 利用 Gen AI 技术可以提高威胁检测的准确率，更为全面的实现对恶意软件、攻击流量、钓鱼邮件等 网络威胁的判定；在辅助网络安全运营方面，通过 Gen AI 实现智能运营助手、威胁分析、攻击溯源、 自动化处置等能力，降低网络安全事件检测与响应的时间，提升安全运营效率；在辅助数据安全方面， 可以利用 Gen AI 强大的内容理解能力，达成更为自动化、高效的敏感数据识别和数据分类分级效果。

金融作为数据密集型行业，是网络攻击的主要目标，其具有高度的网络安全需求，通过 Gen AI 技术的加持，金融行业可以不断提升自身实战化对抗的能力，有力应对未来更加严峻的网络安全威胁， 并在数据安全治理和个人隐私保护方面实现进一步的突破。当然，随着 Gen AI 在网络安全与数据安 全领域的应用逐渐广泛，我们也必须正视其可能带来的新挑战和新风险。例如，Gen AI 技术的安全 性和稳定性问题、数据隐私保护难题以及技术滥用风险等，都需要加以审慎对待。因此，金融机构在 应用 Gen AI 技术时，必须充分评估这些风险，并制定相应的安全策略和措施，确保金融行业的网络 安全与数据安全得到坚实的保障。

网络安全度量和安全有效性验证成为业界瞩目的新焦点

网络安全度量是用于评估和量化网络安全性能的一种工具，核心是安全有效性验证。可以提供有 关网络安全性能、安全措施有效性、风险防御能力和安全投资回报率等方面的定量信息，例如漏洞数量和严重性、事件平均检测和响应时间、合规性满足程度、用户异常行为、安全防护措施有效性等， 这些定量信息与传统网络安全指标不同，它可以推动企业网络安全的决策。网络安全度量包括安全成 熟度评估、实战化、自动化的网络安全防护能力验证、红队/蓝队评估、用户行为分析、安全培训和 意识测评等多种方法，利用自动化攻击手段，结合丰富的漏洞库、规则库、情报库等知识库，量化评 估边界防护、主机防护、邮件防护等各类防护设备策略设置、规则配置和防护能力，定位防御失效问 题、发现网络和系统存在的重大风险、输出针对性防护指导意见，帮助用户单位掌握防御能力现状。 企业可以根据自身实际情况和需求选择单独或组合使用这些度量方法。随着金融业务数字化程度不 断深入，金融机构面临的网络安全威胁也日趋复杂多样。如何精准评估网络安全状况，及时发现并应 对潜在风险，已成为金融行业亟待解决的难题。网络安全度量凭借科学的方法和手段，通过有效性、 实时性、可用性等全面监测检查组织单位内安全防护措施状况，为金融机构提供了全面、客观、量化 的安全评估。它不仅能清晰展现全局安全视图，为金融机构提供风险预警，更有助于其制定精准有效 的安全策略，从而提升安全防护的整体水位。

未来，网络安全度量的发展将更加聚焦于数据驱动、标准化和跨平台协同。随着大数据、人工智 能等技术的突飞猛进，网络安全度量将越来越依赖于对海量安全数据的深度挖掘与分析，以实现对安 全风险的精准感知和预测。同时，随着网络安全法规的不断完善和行业标准的日益统一，网络安全度 量将更加注重标准化和规范化，确保安全评估的准确性和公正性。此外，随着云计算、物联网等技术 的广泛应用，网络安全度量将更加注重跨平台、跨领域的协同与整合。通过构建更加全面、高效的安 全防护体系，网络安全度量将为金融机构提供更加全面、精准的安全保障，确保其在数字化转型的过 程中保持安全和稳定。

身份管理与访问控制平台化筑牢金融安全新屏障

云计算、物联网、移动 APP 的广泛应用导致现代企业网络边界模糊泛化，依赖于固定边界的传 统防御模式已经变得不够安全和可靠，因此，构建新的、以业务为中心、以身份为边界的企业安全架 构变得越来越重要，这有助于企业实施更精细化的访问控制策略，减少潜在攻击面和内部威胁，实现 更为灵活、自适应的网络安全防御体系，驱动身份优先机制演变并在企业数字化转型过程中提供安全 支撑。

零信任、ZTNA、SASE 等技术的应用，便是将身份作为访问控制和安全决策的基础，并强调通过 有效的身份管理和监控来增强安全性，但在实际落地和改造的过程中通常面临不同业务系统间存在 数据孤岛现象，导致身份信息整合不完整、访问控制粒度不细致等问题，极大程度上限制了新技术的 应用和发展，因此，将多个身份管理与访问控制的功能集成到一个统一的平台上，便于集中管理和自 动化处理与身份相关的任务，将成为企业安全体系升级过程中的重要工作。

身份管理与访问控制平台化可以为企业最终向身份优先机制转变提供必要的技术和工具支撑，包 括在一个中心化系统中管理企业所有用户的身份和权限、实现基于角色的访问控制 RBAC 或基于属性的访问控制 ABAC、简化身份相关的流程并降低运维成本等。在数字化转型大背景下，相信身份管理 与访问控制平台化将在金融行业呈现更明显的发展趋势，并在网络安全、数据安全、业务安全等多方 面发挥更加关键的作用。

攻击面管理成为提升主动防御能力的新方向

攻击面管理技术受到广泛关注并非偶然，这是网络安全攻防对抗技术升级过程中的必然趋势。随 着金融行业数字化和云化进程持续加速，金融机构暴露的网络攻击面正不断扩大，传统基于静态、被 动的安全防护手段已经难以应对日益复杂多变的网络安全威胁。攻击面管理作为一种主动性防御技 术，以其独特的视角和管理策略，将成为护航金融行业网络安全的重要手段。与传统风险评估技术相 比，攻击面管理的主要特点是立足于攻击者视角，以黑客思维来发现、分析和评估企业内外部资产， 以发现真实存在、可被利用的暴露面、攻击向量和风险。攻击面管理的目的是帮助防御者发现自己的 盲区，并合理排定防御工作的优先级，以此来推动企业防御体系的不断优化。在攻击面管理技术应用 中，目前主要分为面向企业内部资产的网络资产攻击面管理 CAASM 产品和面向企业互联网/外部资 产的外部攻击面管理 EASM 产品。 2022 年末发布的关键信息基础设施安全保护要求中，提出了主动防御和收敛暴露面的明确要求， 金融行业作为重要的关基单位也势必会加强相关方面的投入，目前在一些头部金融机构已经开始采 购攻击面管理相关产品和服务（以外部攻击面管理产品 EASM 居多），相信未来随着政策影响不断深 入，攻击面管理技术在金融行业的应用将进一步扩大。

入侵与攻击模拟 BAS 技术标定金融网络安全新高度

BAS 是指通过自动化主动验证的方式，利用攻击者的战术、技术和程序来模拟杀伤链的不同阶 段，持续测试和验证现有安全防御体系有效性的一种技术，包括验证各安全设备是否正常工作、设备 上安全策略与配置是否生效、检测/防护手段是否按预期运行等。BAS 为金融机构提供了一种实战化 的安全验证方式，能够精准识别安全防御体系的缺陷，进而实现防御策略的优化和增强。相较于传统 的经验型防御手段，BAS 验证的方式更有针对性和实战性，可以有效应帮助金融机构应对复杂多变的 网络攻击。同时，区别于传统防御视角，BAS 要求对攻击原理，攻击手段，攻击方式，攻击工具，以 及各类漏洞利用都有深入的研究和积累。不仅需要有较强的攻击技术能力和攻防实战积累，更关键的 是要求具备丰富的安全运营经验和实践的赋能。BAS 技术以其前瞻性的以攻促防理念，正逐步获得金 融机构的广泛认可，同时从网络安全成熟度和安全投入来看，金融行业非常适合 BAS 类技术的应用， 未来也将成为从 BAS 技术中获益的高价值客户群体。

从发展趋势来看，BAS 正在向着更简化的产品部署、更高的定制和集成能力，以及更精细的验证 报告等方向不断演进。随着云计算、大数据等技术的进步，BAS 将能够更精准地模拟和预测网络威胁， 为金融机构提供更为高效、精准的安全验证服务。同时，BAS 也将进一步简化产品部署流程，使得金 ~ 62 ~ 融机构能够更加便捷地集成和使用该技术。此外，BAS 技术还将不断提升其定制和集成能力，以满足 金融机构多样化的安全需求。通过提供灵活的定制选项，BAS 可以根据不同金融机构的业务特点和安 全需求，进行个性化的安全验证配置。同时，BAS 也将与其他安全技术进行深度融合，实现更为立体 化的安全防护。可以预见，BAS 技术将成为金融行业网络安全验证的主流选择。随着金融行业对网络 安全要求的日益严格，BAS 将在提升金融行业整体安全防护水平方面发挥更加重要的作用。

2.安全建设展望

建设重点从安全产品堆砌向安全运营过渡

随着网络安全法和等级保护制度的日益深化，金融机构的基础安全防线已日趋坚实。然而，网络 安全威胁的演变与复杂化，使传统静态、被动式的防御策略显得力不从心。以往那种以产品堆砌、“护 城河式”模式的安全架构，虽然看似层层设防，但在现代网络攻击面前，其效果已经越来越有限。 当前，金融机构正面临安全理念转型的时期，其安全建设的重点除了持续优化安全防御体系，还 应重视安全运营能力的提升。这一转型不仅是技术进步的体现，更是应对复杂网络环境、提升自身实 际防护能力的关键。安全运营的本质是在于构建一个动态的防御体系，通过持续监控、深入分析、快 速响应和不断优化，形成一个闭环的安全管理循环。要实现这一目标，金融机构必须转变静态防御思 维，积极拥抱动态、主动的安全运营理念，不仅要建立起完善的安全监测与预警系统，实时掌握关键 信息，更要能够灵活应对各种安全挑战，制定出符合自身业务需求和风险预期的安全运营策略。

攻防不对等性导致企业难以实现 100%绝对的安全，因此，企业在构建安全防线时，盲目的建设 防线并不是最优的选择，更好的办法是在安全运营过程中时刻感知威胁与风险，采用更具针对性、动 态的安全策略，并不断加强防御系统的韧性，保证即便发生攻击或系统被攻破，也能够及时发现、阻 断攻击并快速恢复业务。另一方面，对于一些企业来说，很难衡量网络安全投资的回报率（ROI），这 导致它们在网络安全方面只拥有有限的预算和资源，安全运营可以帮助他们将安全技术、安全人员与 安全管理制度进行高效聚合，实现更为主动、快速、贯穿全局的防御能力，帮助企业最大程度提高系 统的安全性，同时实现在有限资源下进行有效管理。金融机构安全运营体系的建设是一个长期而复杂 的过程，需要持续投入和不懈努力。通过构建先进的安全运营体系，金融机构可以不断提升自身安全 防御体系的水平，以更好地应对网络安全挑战。

数据安全将成为金融行业中长期建设任务

数据安全是维护金融行业客户信任和机构声誉的基石，它不仅关乎金融机构的长远发展，更直接 关联到客户的隐私权益和资金安全。随着金融业务数字化转型的加速，数据量的激增和数据类型的多 样化为数据安全带来了前所未有的挑战。同时，网络攻击手段的不断翻新和攻击者策略的日益狡猾， 要求我们必须持续提升数据安全防护的能力和水平。因此，数据安全建设已成为金融行业一项长期且 ~ 63 ~ 至关重要的任务。 在推进数据安全建设的过程中，我们应坚持预防为主、综合治理的方针。首要任务是建立和完善 数据安全管理制度，对数据的收集、存储、使用、共享和销毁等各个环节制定严格的安全规范，确保 每一步操作都有法可依、有章可循。此外，技术防护是构建数据安全防线的关键，应积极采用先进的 数据加密技术、访问控制机制和审计手段，打造坚不可摧的技术屏障，防止数据泄露和篡改。同时， 提升从业人员的数据安全意识同样不容忽视。通过定期培训和宣传教育，增强每位员工对数据安全重 要性的认识，营造一个全员参与、共同维护数据安全的良好环境。这不仅能够提高员工的安全防范技 能，还能促进安全文化的内化与实践。

数据安全领域将迎来更多挑战与机遇并存的局面。大数据、云计算、人工智能等前沿技术的应用， 将为我们提供更加智能化和高效的数据安全防护手段。随着法律法规的持续完善，数据安全监管也将 变得更加严格和规范，为金融机构的数据安全提供更加明确的指导和法律保障。因此，金融机构需要 不断创新和完善自身的数据安全体系，积极探索和应用新的防护技术和方法。同时，应加强与同业机 构、安全技术厂商以及监管部门的合作与交流，共同推动金融行业数据安全建设向更高水平发展，为 金融行业的稳健运行和长远发展提供坚实的安全保障。

智能化安全运营平台将成为解锁安全运营发展问题的钥匙

安全运营初期的发展阶段，确实取得了令人瞩目的进展，充分展现了其潜力和价值。然而，在这 样的背景下，我们需要意识到，仍有一些关键问题还没有被解决。首先，人才短缺已经成为制约安全 运营发展的关键因素。尽管先进的技术和产品可以提升安全防护能力，但真正决定安全运营最终效果 的关键仍在于人，然而一些企业中高级安全人才不足，这将直接影响安全运营的效果。同时，不同经 验背景的安全人员对同一安全事件的判断可能存在显著差异，这也无疑增加了安全运营的复杂性和 不确定性。因此，如何培养更多的中高级安全人才、实现人机协同、确保安全运营效果成为安全运营 可持续发展的核心所在；其次，在安全运营过程中面临告警疲劳、误报、漏报等严峻挑战，这些问题 不仅大大降低了安全运营的工作效率，更可能导致关键安全事件的遗漏，对企业造成巨大风险；此外， 我国网安行业长期存在的异构安全生态和低开放性也是企业安全运营过程中面临比较大的挑战。由 于市场上安全产品种类繁多、接口兼容性差，导致安全运营类产品与其他安全产品的联动响应变得异 常困难，这不仅增加了安全运营的复杂性和成本，也会限制安全运营的发展，已经成为当前安全运营 领域亟待解决的关键问题之一。

为了有效应对这些挑战，智能化将成为网络安全运营发展的一个主要方向，并在很大程度上真正 帮助安全行业实现降本增效。例如，针对告警噪声等问题，智能化的安全运营平台通过 AI 技术的加 持，以更科学的研判方法对海量告警事件进行关联分析与合并，在降低告警的数量的同时提升告警的 质量，使得运营人员能够更容易地发现真正有价值、需要关注的安全事件；针对中高级安全人才缺乏 的问题，智能化网络安全运营平台可以结合 AI 技术，将安全运营领域的高级知识和经验固化形成知 ~ 64 ~ 识库。这样一来，安全人员可以更加便捷地获取和应用这些知识，从而提升自己的专业能力。同时， 知识库的建立也使得整体安全经验知识达到了一致的新高度，降低对中高级专家的依赖性，进一步提 升安全运营的效率和可靠性。未来通过 AI 技术持续赋能，我们期待智能化的安全运营能够凭借强大 的数据分析能力，不仅可以发现正在发生的威胁，更能对攻击者的潜在行动进行预测，帮助企业实现 更为积极主动的防御策略，全面提升企业对抗威胁和风险的能力。