���� 每(mei)經記者|陳(chen)植 每(mei)經編輯|張益銘
金融(rong)行業信創(chuang)推(tui)進正進入加速(su)期(qi)。
近日,騰訊金(jin)融(rong)云副總(zong)經理王豐輝接受每日經濟新聞記者專訪時表示,在(zai)先期推(tui)進(jin)辦公系(xi)統(tong)(tong)、渠(qu)道系(xi)統(tong)(tong)的(de)自(zi)主創(chuang)新改(gai)造后�����,越(yue)來越(yue)多(duo)國內金(jin)融(rong)機(ji)(ji)構(gou)正將賬戶系(xi)統(tong)(tong)、交易系(xi)統(tong)(tong)等核心系(xi)統(tong)(tong)進(jin)行信創(chuang)遷(qian)移。“融(r����ong)合創(chuang)新的(de)幾(ji)年來,國內金(jin)融(rong)機(ji)(ji)構(gou)的(de)信心正在(zai)日益(yi)增強(qiang),他們(men)真(zhen)正升級(ji)使用之后,發現國產(chan)不(bu)僅是‘可(ke)用’的(de),而且是越(yue)來越(yue)‘好用’的(de)。”
在(zai)他(ta)看來,隨著金(jin)融(rong)行業信(xin)創的(de)持續推進,國內金(jin)融(rong)機構也需日益關(guan)注金(jin)融(rong)的(de)數字安全(quan)挑戰(zhan)。尤其是當前APT(高(gao)級長期威脅)攻擊成(cheng)為網絡空間社會(h�������ui)影響最(zui)廣、防御難(nan)度最(zui)高(gao)的(de)突出風險源,嚴重威脅金(jin)融(rong)機構的(de)正常運(yun)轉與基(ji)礎設施安全(quan)。
“在原(yuan)先APT攻(gong)(gong)擊沒有(you)那么多(duo)的(de)情況(kuang)下(xia),金融機(ji)(ji)構(gou)(gou)更多(duo)關注流程與(yu)節(jie)點(dian)是(shi)否部署安(an)全(quan)產(chan)品,但隨著(zhu)APT攻(gong)(gong)擊日益多(duo)元化(hua)且隱蔽化(hua),金融機(ji)(ji)構(gou)(gou)在安(an)全(quan)攻(gong)(gong)防演練中,也需(xu)要擺脫以往的(de)被動防御(yu)模式(shi),實現以結果導向的(de)積(ji)極主(zhu)動防御(yu)策(ce)略(lve)與(yu)安(an)全(quan)應(ying)急響(xiang)應(ying)的(de)快(kuai)(kuai)速化(hua)、常態化(hua)。”王豐輝指出。在這種趨勢下�����(xia),金�������融機(ji)(ji)構(gou)(gou)需(xu)將信創推(tui)進與(yu)金融安(an)全(quan)保護緊密關聯(lian),構(gou)(gou)建涵蓋早期預防、持續(xu)檢測(ce)、快(kuai)(kuai)速響(xiang)應(ying)“三位一(yi)體(ti)”的(de)金融安(an)全(quan)防火墻。
騰訊金(jin)融云副總經理 王豐(feng)輝 受訪者供圖
大型金融機構帶頭,中小金融機構緊隨
NBD:能否介紹當前金融領域的信創發展進程?
王豐輝:2019年金融行(xing)業(ye)開(kai)啟了(le)軟硬件的(de)(de)自主創(chuang)新,最初是(shi)對一些辦公系統開(kai)展自主創(chuang)新改造,因為這也是(shi)相對容易的(de)(de)操作,比如OA(辦公自動化(hu�������a))系統既沒(mei)有(you)業(ye)務強(qiang)相關性(xing),又沒(mei)有(you)高并發(fa),相對而言(yan)不會那么復雜(za)。所以辦公系統等支撐系統是(shi)金融領域自主創(chuang)新的(de)(de)第一步,應該(gai)說,截止目前(qian),金融機構實現辦公系統信創(chuang)切換的(de)(de)比例已經(jing)很高了(le)。
在(zai)辦公業務(wu)(wu)系(xi)(xi)統(tong)開展信創的(de)(de)同時,金(jin)融(rong)機(ji)構(gou)也同步推進(jin)核(he)(he)心(xin)業務(wu)(wu)系(xi)(xi)統(tong)的(de)(de)自主創新(xin)(xin)(xin)改(gai)造,對(dui)金(jin)融(rong)機(ji)構(gou)而言,它的(de)(de)核(he)(he)心(xin)業務(wu)(wu)系(xi)(xi)統(tong)是(shi)最關鍵的(de)(de),所以需要分(fen)階段、分(fen)批次、有節奏(zou)地(di)進(jin)行軟硬件自主創新(xin)(xin)(xin)。2022~2023年起,一(yi)些(xie)銀行開始(shi)著(zhu)手推進(jin)核(he)(he)心(xin)系(xi)(xi)統(tong)的(de)(de)信創,但對(dui)于涉及SaaS、PaaS、IaaS層的(de)(de)全棧自主創新(xin)(xin)(xin)改(gai)造,金(jin)融(rong)機(ji)構(gou)會綜合考(kao)慮服務(wu)(wu)器(qi)、數(shu)據(ju)庫(ku)、大(da)數(shu)據(ju)、中(zhong)間件、業務(wu)��������(wu)系(xi)(xi)統(tong)的(de)(de)性能與穩定性可靠性。概括(kuo)而言,就是(shi)它的(de)(de)��������核(he)(he)心(xin)系(xi)(xi)統(tong)能否在(zai)信創系(xi)(xi)統(tong)跑起來,跑得好、跑得快。可以說,2024年起國內金(jin)融(rong)行業進(jin)入全面自主創新(xin)(xin)(xin)階段,2025~2026年應(ying)該(gai)是(shi)攻(gong)堅之年。
此外(wai),金(jin)融自(zi)主創(chuang)新的(de)(de)推(tui)進,也(ye)是分梯隊的(de)(de)。比如最初是大(da)型金(jin)融機(ji)構(gou)先嘗試做,將(jiang)更(geng)多(duo)業務往信(xin)(xin)創(chuang)系統�����遷移,然后中(zhong)小金(jin)融機(ji)構(gou)緊隨其后。因為頭部金(jin)融機(ji)構(gou)起(qi)到良好的(de)(de)標桿(gan)與示范作(zuo)用,比如頭部金(jin)融機(ji)構(gou)在軟硬件(jian)自(zi)主創(chuang)新過程中(zhong),對產品(pin)切換設定了規劃路(lu)徑,包(bao)括前(qian)些年在服(fu)務器、數(shu)據(ju)庫等產品(pin)推(tui)進切換,最近一年多(duo)則開始在大(da)數(shu)據(ju)等產品(pin)方面(mian)做遷移。從去年底到現(xian)在,我們發現(xian)大(da)數(shu)據(ju)信(xin)(xin)創(chuang)項目越來越多(duo),且(qie)延(yan)展出更(geng)多(duo)的(de)(de)大(da)數(shu)據(ju)上下游信(xin)�������(xin)創(chuang)項目。
整體而(er)言,我發(fa)現信(xin)(xin)創一路(lu)走下來,金(jin)融(rong)機構(gou)越來越有(you)信(xin)(xin)心,因為他們升級(ji)軟硬(ying)件后,不僅發(fa)現“可用”,而(er)且“好用”。尤其是一些(xie)頭(tou)部(bu)金(jin)融(rong)機構(gou)涉及高并發(fa)、動輒(zhe)兩地三中心的高可用與(yu)災備架構(gou)在信(xin)(xin)創部(bu)署(shu)后,已經(jing)(jing)經(jing)(jing)受住了���海(hai)量業務的考驗。
NBD:信創涵蓋服務器、操作系統、數據庫、大數據、中間件、業務系統、行政辦公等眾多方面,目前金融機構在推進信創過程中面臨的最大挑戰主要是安全全棧,這個挑戰該如何解決?
王豐輝:事實上,傳(chuan)統(tong)非信(xin)(xin)創環境(jing)遇到(dao)�������的安全問(wen)題,在信(xin)(xin)創環境(jing)都會(hui)遇到(da���o),并且還會(hui)面臨(lin)更(geng)多挑戰。金融(rong)行業受到(dao)嚴格監管,信(xin)(xin)創實施(shi)過(guo)程更(geng)需要遵循(xun)相關(guan)政策和(he)法律法規。
目(mu)前,與信創(chuang)關系比(bi)較緊(jin)密的(de)政策法(fa)規較多。以數據(ju)安(an)(an)全與隱私保護為例,金融(rong)機構時(shi)時(shi)刻刻都要處(chu)理大(da)�������量敏感數據(ju),包括客戶信息、交易記錄等,因此數據(ju)可能(neng)面臨泄(xie)露、篡改或(huo)丟失的(de)風險。為了解決(jue)這個風險,騰(teng)訊率先對國密算法(fa)進行支(zhi)(zhi)持,提供覆蓋APP、小程序等全渠道(dao)形態的(de)SDK,騰(teng)訊也在積極(ji)支(zhi)(zhi)持金融(rong)機構完成國密能(neng)力的(de)快(kuai)速替(ti)換升(sheng)級,提升(sheng)安(an)(an)全加密的(de)強度和自主可控性。
信創(chuang)的(de)另一(yi)個關(guan)鍵要(yao)求是(shi)安全(quan)可控(kong)。在(zai)信創(chuang)的(de)過程,金融(rong)機構不可避免地會使(shi)用開(kai)源(yuan)組(zu)件(jian)。以往(wang),對于開(kai)源(yuan)組(zu)件(jian)中的(de)漏(lou)(lou)洞和風險,金融(rong)機構關(guan)注度比較少(shao),但是(shi),業(ye)務(wu)代碼中開(kai)源(yuan)組(zu)件(jian)的(de)比例平均可以達到70-80%,一(yi)旦存������(cun)在(zai)未知漏(lou)(lou)洞爆發,影響就會非常大。此外(wai)金融(rong)行業(ye)經(jing)常會使(shi)用外(wai)包、第三方協助業(ye)務(wu)開(kai)發,如果在(zai)這些供應鏈環節(jie)存(cun)在(zai)安全(quan)漏(lou)(lou)洞,同樣會給核心業(ye)務(wu)系統(tong)帶來安全(quan)風險與損害。
所以,信創過程中的軟(ruan)件(jian)供(gong)應(ying)(ying)鏈(lian)的安(an)全,成為今年(nian)相關(guan)部門重點關(guan)注(zhu)的方(fang)向,在(zai)今年(nian)的國家級攻防演(yan)練過程也被重點關(guan)注(zhu)。在(zai)這種情(qing)況下,實現“安(an)全左移”、“可(ke)信組件(jian)源(yuan)”就成為非常關(guan)鍵且必(bi)要的動作。騰(teng)訊科恩(en)實驗室在(zai������)短時(shi)間內,將騰(teng)訊自(zi)用的能(neng)力平臺進行解決方(fang)案(an)封�������裝,快速賦能(neng)給金融行業用戶(hu),目前多家頭(tou)部銀行、資管機(ji)構已落地這項解決方(fang)案(an),通過騰(teng)訊核心技術(shu)建立軟(ruan)件(jian)供(gong)應(ying)(ying)鏈(lian)安(an)全管控能(neng)力。
NBD:你剛提到大型銀行與中小銀行的信創節奏不一,能否具體介紹信創在不同規模銀行的落地狀況?
王豐輝:個(ge)別(bie)大型銀(yin)行(xing)(xing)會先遷(qian)(qian)移自(zi)(zi)己的渠道業(ye)(ye)務(wu)與(yu)外圍業(ye)(ye)務(wu),在發(fa)現“沒有(you)問題”后,再(zai)考慮遷(qian)(qian)移信(xin)(xin)用卡業(ye)(ye)務(wu),因(yin)為信(xin)(xin)用卡業(ye)(ye)務(wu)在金(jin)融(rong)機(ji)(ji)構一般是獨立(li)的,最后再(zai)逐(zhu)步遷(qian)(qian)移核�������心業(ye)(ye)務(wu)與(yu)賬(zhang)戶系(xi)(xi)統(ton������g),但這也(ye)是一個(ge)不斷驗證的過(guo)(guo)程。因(yin)為大型金(jin)融(rong)機(ji)(ji)構的系(xi)(xi)統(tong)太(tai)多(duo),有(you)些大型銀(yin)行(xing)(xing)的系(xi)(xi)統(tong)大幾(ji)百個(ge),所以這些銀(yin)行(xing)(xing)內部也(ye)會設定(ding)自(zi)(zi)己的優先級與(yu)關鍵(jian)遷(qian)(qian)移路徑,其實(shi)這也(ye)是一個(ge)逐(zhu)步的過(guo)(guo)程。隨(sui)著大型銀(yin)行(xing)(xing)在系(xi)(xi)統(tong)遷(qian)(qian)移過(guo)(guo)程逐(zhu)步建立(li)信(xin)(xin)心,加之遷(qian)(qian)移效果驗證日(ri)益完整(zheng),銀(yin)行(xing)(xing)就有(you)底氣將更多(duo)業(ye)(ye)務(wu)場景(jing)遷(qian)(qian)移到(dao)信(xin)(xin)創系(xi)(xi)統(tong)。
中小銀(yin)(yin)行(xing)(xing)的(de)(de)信(xin)創(chuang)狀況也存在(zai)差異(yi),比如有(you)些數(shu)字銀(yin)(yin)行(xing)(xing)從誕(dan)生起,就以云模(mo)式(shi)(shi)搭建核(he)心(xin)系統,對(dui)分(fen)布式(shi)(shi)、云原生�����的(de)(de)接(jie)受度相對(dui)較高,也有(you)一些城商行(xing)(xing)會根據自(zi)己的(de)(de)業務特色,先去找(zhao)一些頭部銀(yin)(yin)行(xing)(xing)交(jiao)流(liu)“信(xin)創(chuang)經(jing)驗”,再根據前者(zhe)已驗證的(de)(de)遷移成效進(jin)行(xing)(xing)操(cao)作。但整體而(er)言,中小銀(yin)(yin)行(xing)(xing)也不再&ldquo��������;觀望”,紛紛加快了信(xin)創(chuang)步(bu)伐。
信創的安全挑戰,不是單點而是全棧
NBD:金融機構在信創遷移過程中,都相當重視云原生的安全問題。當前國內金融行業的云原生安全挑戰有多大?在信創過程中如何更好解決云原生安全挑戰?
王豐輝:關(guan)于(yu)云原生(sheng)的安全挑(tiao)戰,目前��������正處(chu)于(yu)一個變革點(dian)。
原先,我們對云原生安全挑(tiao)戰的(de)關(guan)注,主要聚焦在一些基(ji)礎設施的(de)保(bao)護(hu),比如主機安������全、資源隔(ge)離、容器保(bao)護(hu)、開(kai)發(fa)安全等(deng)。在這些基(ji)礎設施保(bao)護(hu)舉(ju)措日益齊備(bei)后,我們開(kai)始更多聚焦一些關(guan)乎金(jin)融安全的(de)攻(gong)防對抗。比如當前APT攻(���gong)擊成為網絡空間(jian)社會影響最廣、防御(yu)難度最高(gao)的(de)突出風險(xian)源。
所謂(wei)APT攻(gong)擊(ji������),是(shi)(shi)指(zhi)某個組織對特定對象展開的持續有效的攻(gong)擊(ji)活(huo)動。攻(gong)�������擊(ji)目標通常是(shi)(shi)金(jin)融行業等具有高價值的機構,主要目的是(shi)(shi)竊取客(ke)戶(hu)信(xin)息、破(po)壞(huai)關(guan)鍵基礎設施等。
近年(nian),APT攻(gong)擊手法日(ri)益(yi)多元化(hua)(hua)與(yu)隱蔽化(hua)(hua)。具體表現在(zai)三方面(mian)(mian):一(yi)是迂回攻(gong)擊或曲線攻(gong)擊,比如直接(jie)攻(go������ng)擊一(yi)家大型(xing)銀行比較困難,他們就會(hui)先從(cong)對接(jie)的第三方機(ji)(ji)構攻(gong)入(ru)銀行內(nei)網,由此找到(dao)突(tu)破口;二(er)是通過海外(wai)分支(zhi)機(ji)(ji)構尋找突(tu)破點(dian)入(ru)侵,尤(you)其是當(dang)金(jin)(jin)融機(ji)(ji)構使用一(yi)些(xie)在(zai)安(an)全方面(mian)(mian)不夠成熟的SaaS或私(si)有云產品(pin)(比如辦公軟(ruan)件(jian)、遠程桌面(mian)(mian)、中間(jian)件(jian)等),就會(hui)給(gei)自身系統(tong)引入(ru)一(yi)些(xie)安(an)全風(fe������ng)險(xian);三是通過供應鏈、數據托管(guan)、權限委托等方面(mian)(mian)形成突(tu)破口,進而威脅(xie)金(jin)(jin)融行業的數字資產。
所以我們必須(xu)先(xian)假(jia)設自己(ji)處于持(chi)續(xu)被APT攻(gong)(gong)擊的(de)(de)(de)態(tai)勢(shi)下,再考慮如何(he)做好云(yun)(yun)原(yuan)生安(an)全(quan)(quan)。首先(xian),要做好風險的(de)(de)(de)前(qian)置發(fa)現,從原(yuan)先(xian)的(de)(de)(de)被動防御(yu)轉向主動的(de)(de)(de)風險發(fa)現,比如對外暴露(lu)的(de)(de)(de)高危端(duan)口、高危服(fu)務(wu)、弱密碼等常(chang)(chang)見漏(lou)洞(dong)進(jin)行(xing)持(chi)續(xu)檢(jian)測,保證早于黑客發(fa)現漏(lou)洞(dong)并及時快速修復;其次(ci),云(yun)(yun)原(yuan)生有大量API、服(fu)務(wu)暴露(lu)在云(yun)(yun)上面(mian),不(bu)管是API,還是數據(ju),都要做好身(shen)份(fen)與權(qu�������an)限(xian)的(de)(de)(de)保護。目前(qian)身(shen)份(fen)權(quan)限(xian)管理(li)缺陷(xian)是相當(dang)常(chang)(chang)見的(de)(de)(de)攻(gong)(gong)擊入口,因此金融機構需加強云(yun)(yun)原(yuan)生安(an)全(quan)(quan)態(tai)勢(shi)的(de)(de)(de)管理(li),對云(yun)(yun)上服(fu)務(wu)、數據(ju)訪(fang)問權(quan)限(xian)與訪(fang)問合(he)理(li)性進(jin)行(xing)持(chi)續(xu)監控。
隨著金融(rong)機(ji)(ji)構(gou)業(ye)務疊加(jia)與(yu)系統(tong)持續(xu)(xu)發展,金融(rong)機(ji)(ji)構(gou)需對以往(wang)的(de)安(an)全機(ji)(ji)制進行滲透測試與(yu)代碼安(an)全缺陷修復,盡管(guan)這涉及(ji)到使用周期與(yu)投入成本問題,但金融(rong)機(ji)(ji)構(gou)仍(reng)需明確安(an)全策略(lve)是(shi)(shi)否做(zuo)到有效保護,漏洞修補(b�����u)是(shi)(shi)否真(zhen)的(de)堵住風險,這都需要金融(rong)�����機(ji)(ji)構(gou)做(zuo)好持續(xu)(xu)的(de)安(an)全管(guan)理(li)。
此(ci)外,在上述(shu)基礎(chu)上,金融機(ji)構需進(jin)行內部系(xi)統(tong)的聯動(dong),比如主(zhu)機(ji)安全(quan)與網絡安全(quan)方面都會收(shou)到海量日志,需要進(jin)行智(zhi)能化分析(xi),聯動(dong)到各項運(yun)營(ying)流程與管控機(ji�����)制(zhi),實現對系(xi)統(tong)安全(quan)風險做出最快速的響應,形(xi������ng)成智(zhi)能化的安全(quan)云平臺。
因此,只(zhi)有將早期預�����防、持(chi)續檢測、快(������kuai)速響(xiang)應構(gou)建起來,才是對云原生安(an)全(quan)挑戰做出最好的補充。
NBD:隨著金融行業信創進入加速期,金融機構在信創過程中還會遇到哪些金融安全挑戰?該如何妥善解決?
王豐輝:信(xin)創(chuang)的(de)(de)安全(quan)挑戰,從來不是(shi)單點的(de)(de),而(er)是(shi)全(quan)棧的(de)(de)。比(bi)如服務器、操作系(xi)(xi)統、數據庫、大數據、中(zhong)間(jian)件、行政辦公(gong)等系(xi)(xi)統在向信(xin)創(chuang)遷移后所遇(yu)到各類問題,也是(shi)對(dui)信(xin)創(chuang)全(quan)棧的(de)(de)安全(quan)挑戰��������。
舉個(ge)例(li)子(zi),在(zai)安全市(shi)場都有漏(lou)洞(dong)庫,且這些(xie)漏(lou)洞(dong)庫是(shi)(shi)分門(men)別類的(de),分成(cheng)不同(tong)系(xi)統與不同(tong)棧。金融機(ji)構(gou)信創(chuang)系(xi)統是(shi)(shi)否建立完備的(de)漏(lou)洞(dong)庫,補丁是(shi)(shi)不是(shi)(shi)定期(qi)打好(hao),這也是(shi)(shi)一個(ge)循(xun)序漸進(jin)的(de)過程(cheng),不是(shi)(shi)一蹴(cu)而���就的(de),需要時間逐(zhu)步完善的(de)。
目前,金(jin)融機構也(ye)做(zuo������)了很多(duo)工作,包括(kuo)數(shu)據(ju)安(an)全(quan)與隱(yin)私保護(hu)。在國內,涉及數(shu)據(ju)安(an)全(quan)與隱(yin)私保護(hu)的政策法規(gui)眾多(duo),還有涉及國密算法,金(jin)融機構核(he)心系統開發,App建(jian)設的政策舉措也(ye)不少,因此(ci)金(jin)融機構也(ye)需要穩步推進信創進程,確保各項(xiang)業務的安(an)全(quan)性符合相關政策法規(gui)。
此(ci)外(wai),隨著信創推進,另一個概念正在興(xing)起,就是(shi)軟件(jian)(jian)(jian)供應(ying)鏈安全。關于供應(ying)鏈安全,可以(yi)從兩個方面(mian)理(li)(li)解,一是(shi)眾多(duo)信創系(xi)統與軟件(jian)(jian)(jian)不可避免會(hui)使(shi)用開(kai)源組件(jian)(jian)(jian),其中漏(lou)洞(dong)和風(feng)險有多(duo)大(da)(da)?銀行(xing)對此(ci)關注(zhu)度是(shi)否足夠高(gao)?有些業務代碼的(d������e)開(kai)源組件(jian)(jian)(jian)比例比較高(gao),那么漏(lou)洞(dong)爆(bao)發(fa)的(de)負面(mian)沖擊就會(hui)很大(da)(da),所以(yi)金(jin)融機構(gou)要圍繞開(kai)源組件(jian)(jian)(jian)做好安全管理(li)(li)。
二是金融機構使(shi)用外包的狀況較多,讓外部機構人員(yuan)來寫代碼,使(shi)用銀行各(ge)�����類(lei)系(xi)統進行業務(wu)操作,其中會不會存(cun)在(zai)安全漏洞,這都������需要(yao)金融機構做好(hao)相關的安全防范舉措。
所(suo)以������,金融機構不(bu)應將信創(c��������huang)和非信創(chuang)的安全(quan)挑戰“隔(ge)離”,因為安全(quan)實(shi)質是(shi)(shi)都是(shi)(shi)“技術(shu)問題(ti)”與“棧的問題(ti)”,金融機構應將同業比較成熟且完備的漏(lou)洞庫用起來(lai),逐步建設完善自己(ji)的金融安全(quan)體系。
NBD:大型金融機構與中小金融機構面臨的金融安全風險不盡相同?就建立金融安全體系而言,大型金融機構與中小金融機構的側重點有哪些差異?
王豐輝:事實上,大型(xing)金(jin)融機構與(yu)中小金(jin)融機構的(de)業務規(gui)模、業務范圍、科技預(yu)算、安全專家團隊都不一樣,這是一個非常(chang)顯(xian)性的(de)區(qu)別。這些顯(xian)性區(qu)別也就帶來金(jin)融安全問題(ti)的(de)差異����性。
比如大(da)型(xing)金(jin)融(rong)機(��������ji)構業務多(duo)(duo)與(yu)系統(tong)多(duo)(duo),耦合(he)就會比較多(duo)(duo),于是(shi)安全(quan)問(wen)題也(ye)會比較多(duo)(duo)。舉個(ge)例子,比如大(da)型(xing)金(jin)融(rong)機(ji)構客(ke)戶規(gui)模(mo)(mo)可能達(da)到數億,中小(xiao)金(jin)融(rong)機(ji)構客(ke)戶規(gui)模(mo)(mo)僅有數千萬(wan)(wan),那么兩者所面臨的(de)高并發(fa)等問(wen)題是(shi)不(bu)一(yi)樣(yang)的(de)。我此前做安全(quan)技(ji)術研發(fa),在一(yi)個(ge)服(fu)務界面的(de)安全(quan)測試(shi)環節,可能100個(ge)人同時使(shi)用(yong)不(bu)會發(fa)現任何問(wen)題,但到了數萬(wan)(wan)人同時使(shi)用(yong),就會出現各(ge)種意想不(bu)到的(de)軟件問(wen)題,這(zhe)就是(shi)業務規(gui)模(mo)(mo)所帶來的(de)安全(quan)復雜性挑戰。
在(zai)金融(rong)(rong)(rong)(rong)(rong)安全預算投入方(fang)面(mian),大(da)型(xing)金融(rong)(rong)(rong)(rong)(rong)機(ji)(ji)構與中(zhong)小(xiao)(xiao)金融(rong)(rong)(rong)(rong)(rong)機(ji)(ji)構也有差距,大(da)型(xing)金融(rong)(rong)(rong)(rong)(rong)機(ji)(ji)構擁有相對充足的(de)安全專家(jia)資源(yuan),頂層(ceng)設(she)計(ji)能力也不錯,但中(zhong)小(xiao)(xiao)金融(rong)(rong)(rong)(rong)(rong)機(ji)(ji)構缺乏這些(xie)資源(yuan),對外部機(ji)(ji)構的(de)依賴會比(bi)較大(da)。因此,大(da)型(xing)金融(rong)(rong)(rong)(rong)(rong)機(ji)(ji)構在(zai)構建金融(rong)(rong)(rong)(rong)(rong)安全方(fang)面(mian)會更關注自己的(de)頂層(ceng)設(she)計(ji)與安全實(shi)施(shi)策略等,將方(fang)方(fang)面(mian)面(mian)補齊。且(qie�����)一家(jia)大(da)型(xing)金融(rong)(rong)(rong)(rong)(rong)機(ji)(ji)構的(de)很(hen)多業務系統都有不同(tong)供應商,如何將它們協同(tong)起來聚焦一個共(gong)同(tong)的(de)安全目標(biao),難(nan)度也不小(xiao)(xiao)。
相比(bi)而言,中(zhong)小金融�������機構受到科技預算投(tou)入、安(an)全專(zhuan)家數量的限制,轉而會聚焦解(jie)決(jue)(jue)最關鍵的金融安(an)全問(wen)題(ti),比(bi)如他們(men)會特(te)別在意特(te)定場景的安(an)全問(wen)題(ti)解(jie)決(jue)(jue)方案(an),并嘗試(shi)通過這些(xie)������解(jie)決(jue)(jue)方案(an)解(jie)決(jue)(jue)一系列類似的安(an)全問(wen)題(ti)。
