新一轮科技浪潮崛起,为数字经济发展提供了充沛动能,金融业积极拥抱趋势并直面挑战,数字化转型战略稳步推进。在这一深刻的变革进程中,中国电子银行网发起“数字金融访谈”活动,与行业同仁探寻数字金融航路的星辰大海。
(相关资料图)
随着社会数字化、网络化、智能化程度的提升,新一代信息技术在社会活动中被大规模应用,带来了巨大的发展机遇,同时也给网络安全和数据安全带来新的风险。随着数字经济的不断发展,网络信息安全越来越受到重视。
近日,网商银行首席信息安全官张园超接受中国电子银行网专访,分享了网商银行关于网络安全体系建设的思考和实践。
建立健全可信数字银行安全免疫体系
随着银行数字化转型进程的不断推进,近年来各家商业银行都在持续加大科技投入。在张园超看来,银行业的数字化转型不仅仅是工作效率和服务质量的提升,还包括银行业务的数字化决策、数字化经营、数字化管理分析等多方面。
然而随着银行数字化程度加深,所有的运营服务线上化以后,网络安全的接触面和复杂度也随之上升,随之而来的是安全威胁等级提升、安全与效率的矛盾更加突出等问题。
金融行业属于强监管行业,服务千家万户、千行百业,所以金融行业对网络技术的安全性、稳定性、高可用性的要求很高。如何在复杂的安全环境下守住数字银行安全底线,确保信息安全系统“防得住,防得全”正在成为每一家银行在数字化转型过程中的重要课题。
作为原生态的互联网银行,网商银行所有的服务从一开始就是在线提供的。为了在保护网络安全和数据安全的基础上让业务高效开展,网商银行构建了可信数字银行安全免疫体系。
据张园超介绍,可信数字银行安全免疫体系是基于可信计算3.0为理论基础,以纵深防御的技术理念和安全切面的技术框架为基础构建起来的可信纵深防御安全体系。相较于传统的防御思路是对过去发生过风险进行有效防御手段,可信数字银行安全免疫体系还可应对未知风险和不可控网络安全方面的风险防御。就像人体的免疫细胞一样,人体默认能够防御一些未知的细菌和病毒,当受到细菌病毒的攻击时,只要免疫系统没有被攻破,没有被绕过,人体是能够感知和识别外来细胞,然后发出警报,并着手排除掉,“免疫”就是这个意思。
同时,在整体防御体系的基础上构建了一套“体检系统”,通过对企业自身所面临的网络威胁进行模拟攻击,并抽象出威胁路径,再根据威胁路径进行实战检验,对已知攻击的防御建设情况进行有效性验证,对未知攻击情况进行分析计算,看企业目前的防御所对应的威胁程度,从而找出系统的漏洞和短板,不断优化完善自身的安全体系建设。
精细化管控确保数据安全
在数字经济时代,数据已是一种重要的生产要素,与之相关的金融数据安全治理成为金融科技创新发展的重要课题。
张园超认为,在当前数字化转型中,数据作为一种生产要素,其价值在不断提升,与之带来的数据安全方面以盗取数据为目的威胁也在同步上升。在业务实践中,网络安全和数据安全是密切相关的,其中的一个重要威胁就是数据泄露。对于数据密集型的银行业来说,如何保护有效保护数据安全,是非常重要的问题。
结合数据安全保护的实践经验,网商银行在数据安全管理上一方面是从组织角度建立自上而下的数据安全责任制,按照《网络安全法》《数据安全法》相关法律规定,把数据安全责任制落实下来,包括有相应的管理委员会,能够驱动这些安全措施的落地。在管理实践中,数据使用权限和安全责任实行责任制原则,各部门团队要共同推进安全机制能力建设。
另一方面是从技术能力上也需要做到数据使用的安全可信,按照“最小、必要”的访问原则来做数据访问控制,使用授权、采集授权等相关环节要精细化管理,一是防外部入侵导致数据篡改泄露;二是防止数据的超范围使用,避免数据滥用,做到数据使用可信。
本地化和垂直领域训练是大模型落地应用的前提
今年以来,随着ChatGPT的大火,通用人工智能大模型的产业落地,成为千行百业关注的问题。
张园超认为,作为金融机构在积极拥抱新技术的同时始终秉承发展和安全并重的原则下去评估它带来的安全风险和机遇。
在他看来,类似ChatGPT一类的人工智能对银行业数字化转型带来了新的机会和挑战。一方面,它带来了工作效率的大幅提升,服务体验的智能化,特别是人机交互体验方面带来很大的改善和更多的可能性。但张园超同时也提醒行业“我们必须关注到AIGC输出内容的真实性、准确性等相关安全风险问题,要对生成的内容进行判断,以免给用户带来误导”。
张园超指出,任何新技术从出现到成熟落地都需要经历一定的周期。成熟之前,需要进一步探索和实践,想要更好地应用这些新技术和大模型,目前需要做两方面的准备工作:
一是大模型的数据安全。因为人工智能在使用过程中与数据紧密相关,从安全风险的角度,必须确保在使用过程中数据安全不泄露。
二是这些大模型需要进行垂直领域的训练。目前,市面上的通用模型都是基于公开信息运行的,不是针对某个领域的垂直模型,银行业想要充分利用这些大模型,必须进行专业垂直的训练。比如对银行业务是什么逻辑,银行相关数据累积等等。当然,这些训练也有一定的挑战,比如“算力”的承载力,“芯片”的成本等。
