2018年11月29-30日， 由比利时诺本集团主办的 “第十四届中国金融科技系列峰会—聚焦金融业网络安全”在上海大华锦绣假日酒店成功举办。 来自银行、证券、保险、基金等公司及优秀供应商企业的百余位代表出席了此次论坛。

本届峰会为行业内专业人士提供了技术交流的平台，不仅有国内外金融、网络安全领域的专家领导带来各自对网络安全发展的见解，更有研究院和优质的解决方案供应商带来实际案例分享，大家共同研究行业内关注的热点话题，同时也为寻求合作的企业搭建桥梁，实现互利共赢，共同促进金融科技行业长远发展。

中国银行信息安全技术高级工程师胡敏以《上兵伐谋——网络安全态势思考》为题发表演讲，从理论层面介绍了网络态势感知相关技术和框架，并和大家探讨了行业对网络态势感知的常见误区。

1988年，Mica R. Endsley提出了态势感知的三级模型。1999年，Tim Bass提出网络态势感知定义，掀起了业界对网络态势应用的研究。2006年。美国国家科技委员会提出了网络空间态势感知能力的概念，他们认为，主要需要实现四个目标，第一是理解并展现IT基础设施状态，第二是识别关键基础设施组件，第三要了解对手的行动，最后是具有判定恶意行为的关键征兆的能力。

胡敏指出，SIEM系统将安全事件管理(SEM与安全信息管理(SIM)结合起来，是大型企业支撑安全运营中心(SOC)的基础。SIEM系统主要被用于追踪和调查以发生的威胁事件，缺少预测结论，因此并不属于态势感知范畴。然而近些年，很多公司将情报技术融合入SIEM，使其具备了一定的预测能力，形成了围绕威胁事件的态势感知闭环流程。

中国银行在2016-2017年完成了态势感知数据模型的研究，在此研究基础上解决如何描述和评价网络安全状况等战略问题，通过研究网络安全态势和网络安全情报，分别从战略和战术层面解决自适应框架预测功能。

东方证券股份有限公司的系统运行总部信息安全总监邬晓磊和大家探讨了《证券期货业企业云桌面安全的探索与应用》，从桌面云的开发需求、桌面云的风险和解决方案、以及应用场景三个方面进行了分享。

针对桌面云系统和网络可用性带来的风险，采用虚拟平台高可用方案和网络互联高可用性方案，从传统架构切换到超融合计算架构，采用分布式存储技术，体现高性能、高可用、弹性扩容、高性价比的优势。网络接入方面采用多点部署vpn接入技术，达到负载均衡的特点。

针对终端行为、恶意代码、文件交换等带来的终端安全风险，采用基于AD域的安全策略，利用企业云盘实现员工内的文件交换，利用NAS空间达到文件备份的效果。此外，无代理安全防护模式有效避免了“防病毒风暴”现象等诸多负面效应。

中国太平洋保险（集团）股份有限公司安全管理专家李俊斌演讲的题目为《太平洋保险网络安全实施路径和方案》，他和大家分享了太平洋保险信息安全建设及运行情况，提出了应对互联网+时代的信息安全举措和思路。

太平洋保险致力于通过三大管理体系（安全管理体系、风险管理体系、内控管理体系）和两项监管标准（保监会信息科技风险监管评价体系、ISO27001/ISO29151）实现内控不留死角、安全风险可控、支持转型创新的管理目标。

互联网+时代，随着大数据、云计算、移动互联、社交应用等蓬勃发展，信息安全也正面临严峻的挑战。庞大和集中的数据量使得数据在采集、传递、存储、使用等环节难以保障，安全平台防御能力也需要与应用服务能力相当。面对亿万级终端用户外网防护需求，安全防护平台提供性能相当的DDoS攻击防护清洗能力和Web应用攻击防护能力，具备追溯数据库访问源及数据库操作行为的能力，最大限度保障云中心业务数据的机密性。

此外，李俊斌和大家分享了新一代“鹰眼”威胁情报平台和蜜罐平台。蜜罐是一种在互联网上运行的包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。“鹰眼”安全情报中心通过收集、分析来自蜜罐的日志信息，能够快速告警和预测网络攻击行为，形成本地威胁情报，通过联动其他安全防护，“鹰眼”平台可迅速隔离阻断这些威胁源。

光大证券股份有限公司信息技术总部董事刘嵩发表了题为《移动证券交易安全》的精彩演讲，和大家分享了证券行业典型风险防护思路以及威胁态势感知建设规划。

刘嵩分享了十大证券行业典型风险领域，包括交易APP动态调试、APP崩溃收集和处理、交易服务端借口泄露、用户信息撞库攻击等， 并提出了相应的防护策略。光大证券威胁态势感知体系架构由事前感知、事中响应、事后溯源三大部分组成。刘嵩指出，威胁态势感知建设需要遵守五大原则，即扩展性原则、全面性原则、兼容性原则、可视化原则和灵活性原则。

对移动应用来说，来自安全的威胁，如病毒木马、撞库攻击等造成的破坏是最大的，此类攻击发生时，安全人员无法第一时间获知移动应用正在遭受攻击，也无法第一时间提供相应的防护，而移动安全态势感知平台可以实现威胁监控、威胁分析、实时防御、威胁统计、环境监测并生成报告，第一时间发现威胁并提供防御，及时止损。此外，刘嵩以刷单、交易风险、APP非法集成、暴力破解、APP崩溃、数据嗅探等场景为例，分析了态势感知平台威胁的应对策略和对抗路径。

中国金融认证中心上海分公司技术部副总经理马关尔以《新金融趋势下建立金融服务可信环境的探索》为主题，分享了CFCA在可信计算、电子缔约以及电子证据等方面的最新研究成果。

马关尔认为，由新技术引发的新产品和新运营模式，给监管者、货币政策制定者和金融企业带来新挑战和新考验，金融科技的发展加速了金融网络安全形势的变化。面对科技金融新安全风险，CFCA在大数据、可信计算、电子签名技术、电子证据保全和区块链等领域开展了深入的探索和研究，系统地形成了完备的产品和解决方案，可有效提升金融业务的风险防御能力，构建金融服务生态的可信环境。

如何解决身份验证问题，是移动环境下可信计算的一个重要应用，CFCA可提供包括CloudSE、在线快速身份认证 FIDO和SE安全元件在内的多种技术选择。而在柜面业务、移动营销、在线借贷、智慧网点与VTM等无纸化场景下，安全且人性化的电子合同需求日渐升温。CFCA“电子缔约”按照法律法规，依托电子签约系统，融入场景证书，串联整个签约流程，保障交互数据安全与合同真实完整，且缔结电子合约、证据具备法律效力。

第一天下午最精彩的小组讨论题目为：金融企业如何加强网络安全防护体系的建设？该讨论由德勤中国风险咨询总监陈坚主持，苏黎世财产保险（中国）有限公司首席运营官王孟杰、东方证券股份有限公司系统运行总部信息安全总监邬晓磊、浙商证券股份有限公司信息技术运保部总经理助理陶明敏参加了讨论。嘉宾们纷纷结合自身所在单位的经历和经验, 就如何加强金融企业网络安全防护建设等话题展开了深入交流和探讨。

第二天的论坛以上交所技术有限责任公司IT服务和安全部副总监张涛带来的题为《主动防御的应用及易忽略的安全盲区》的精彩演讲拉开帷幕，他和大家探讨了网络信息安全中的主动防御机制应用以及10个容易忽略的安全盲区。

张涛和大家分享了以威胁情报、沙盒、密罐/密网/密邮箱/密数据、应用自我保护RASP、拟态安全等为代表的主动防御机制应用，探讨了其防御特点和适用场景。

张涛指出，10个容易忽略的安全盲区包括地下黑市暗网、基础安全、泛终端安全、编译安全、接口安全、加密流量及检测、隐蔽通信、系统工具、云访问安全代理CASB、取证分析。例如编译安全，大部分企业开发代码已经有动态、静态检测，核心代码人工review，但编译往往是空白。编译容易忽略的地方包括打开了调试开关、家在过多模块和库、未采用最新的编译器等。CASB云访问安全代理具有可视化、合规性、数据安全、威胁防护等价值，能够解决危及到用户账号和日常活动，数据和架构的恶意行为。但在云访问安全代理后可能也带来安全问题，导致影子IT 。

来自江苏银行信息技术部安全负责人王心玉带来了《江苏银行网络安全“攻防组合拳”思路与实践》，从全网监控、动态防护、欺骗防御三个方面分享了江苏银行在网络安全领域的具体举措。

江苏银行于2007年成立，是江苏省内最大的法人银行。江苏银行安全管理团队的工作包括安全生产、安全架构建设与细化、风险监测与快速处置、监管要求落实等。王心玉认为，想要最优化地做好安全保障，需要具备像医生一样的思维模式，勤体检、勤会诊、勤提示风险、勤跟踪最新治疗方案、尽职免责。坚持底线思维、结合业务场景、目标导向、安全与便携平衡。此外，还要合理借助外部资源，理解架构、具备安全集成能力、引入先进安全管理理念和技术。网络安全攻防包括可以通过全网监控快速发现并处置风险，通过全方位感知网络安全态势，通过动态防护防扫描反渗透，利用欺骗防御技术进行精准攻击识别和追踪溯源。

泰康在线财产保险股份有限公司信息技术中心总架构师兼基础平台部总经理程战战演讲的题目为《互联网保险环境下的综合安全体系》，他和大家分享了泰康在线信息安全管理体系和安全实践。

泰康在线信息安全管理体系以ISO27001标准体系为基础，不断融合信息安全相关法律（包括网络安全法等）、监管要求以及国家等级保护要求、参考业界领先的开发安全模型，数据保护规范等，并将安全技术作为管理体系的支撑。泰康的信息安全技术框架，是借鉴业界最佳实践和国际、国内信息安全技术标准而制定，为实现集团信息安全总体目标提供技术支撑。而信息安全的纵深防御机制通过部署各类安全技术，从终端到网络进行纵深防护，同时不同网络间进行安全区域的隔离，保障IT运营安全。

程战战指出，互联网保险存在多种入口和场景，风险点多，流程差异大，基于此泰康采取特别防范措施，制定安全监控方案，收集相关监控URL，联合webIDS、WAF共同监控，并建立安全应急处理机制。针对客户信息等企业商业秘密，泰康会自动根据访问的来源和访问数据的类型对敏感信息进行脱敏漂白处理，实施内部权限管理，并通过自动化安全审计平台对内外部异常行为进行预警。

银行卡检测中心高级主管朱京城发表了题为《支付技术安全与监管治理》的主题演讲，分享了条码支付的发展历程、应用模式，探讨了条码支付的风险问题和技术要求。

条码支付在2014年一度因其安全性、标准符合性被监管暂停；2016年7月，中国工商银行在北京正式推出二维码支付产品。得到央行的认可后，条码支付得到了飞速发展，现在已经成为线下支付市场中非常常见的支付模式。

朱京城从技术实体Entity安全、交易过程数据保护、关键技术安全三个方面介绍了条码支付的技术安全要求，并和大家探讨了银办发[2017]242号文《关于加强条码支付安全管理的通知》。242号文是对此前发布的296号文的强有力补充，详细的描述了央行对条码支付业务规范的细节要求，规定了条码支付的各项系数及参数，完善信息泄露风险、易携带恶意代码、信息单向交互、扫码设备安全、静态条码安全等安全风险问题。

中国民生银行高级安全经理陈利分享了《民生银行大数据安全威胁分析应用实践》，和大家探讨了企业安全威胁检测面临的挑战和基于行为分析的安全威胁检测，介绍了民生银行大数据安全威胁分析平台建设架构和应用案例。

陈利认为，银行业安全工作的困境可以概括为数据采集难、检测分析难、安全威胁处置难。以“资产”和“漏洞”为核心的风险评估体系将评估重点放在了漏洞上，相较于漏洞，威胁行为更易于发现和采集，基于行为异常的检测是一种相对优秀的解决方法。

民生银行大数据安全分析平台区别于SIEM的规则关联型技术平台，能够满足高度个性化分析诉求，具有灵活扩展分析能力，开放平台接口，具有实时转换和访问数据的能力，无缝对接三方系统。另外，平台与算法模型相结合，满足多场景、多业务模式，数据化驱动业务和安全事件处置。目前民生银行大数据安全威胁分析应用的范畴非常广泛，在网络攻防、业务安全、内控安全和优化体系四个大的方向上开展具体实践。最后陈利表示，未来大数据安全分析在提升业务融合度、挖掘服务潜力、提升协同合作等方面存在潜力。

德勤中国风险咨询总监阎光演讲的题目为《互联网金融业务趋势与个人信息保护》，和大家分享了2018年中国互联网金融行业发展前景与用户需求分析以及德勤对网络安全法的深入洞察。

2018年，银行业互联网金融借助技术手段实现业务创新，深化应用场景，以客户为中心，从而服务实体经济。随着居民收入增加、消费观念转变以及相关金融产品和服务创新，国内消费信贷市场存在很大提升空间。

用户对互联网消费金融产品的认知度较高且从听说到尝试使用的转化率表现较好。用户在减少银行投入的资金比例时，相对投入更多资金到互联网金融平台，尤其是微信支付和支付宝，吸引大比例的流动资金。消费金融方面，用户的需求和期望重点在还款便利性、移动端操作便捷性以及机构优惠及创新活动。

我国网络安全法与国际最佳实践、其他国家在个人信息保护的法律法规保持了相当高的一致性。阎光指出，金融机构需关注的个人信息安全核心工作包括监控、保护、管理、存取和响应，在个人信息保护方面，要遵循数据保护原则，明确资料当事人权利，建立安全管理。

此外，交通银行、中国农业银行、招商银行、浦发银行、广发银行、兴业银行、上海银行、南京银行、大华银行（中国）有限公司、宁波鄞州农村商业银行股份有限公司、海通证券、兴业证券、中泰证券、东北证券、华宝证券、财通证券、招商信诺人寿保险股份有限公司、中美联泰大都会人寿保险股份有限公司、中国外汇交易中心、上海保险交易所股份有限公司、银联数据服务有限公司等单位的领导及专家作为特邀演讲嘉宾出席了会议。为期两天的峰会在热烈的气氛中圆满结束。