首页 / 行业

数字化转型是当下金融行业的主要趋势和发展方向

2023-06-08 00:00:00

近年来，随着数字化的深入，主要银行正在加快核心系统的升级，以实现在线服务，提高运营效率和用户体验。然而，不可忽视的是，数字化也进一步增加了数据和资本等关键要素的风险敞口，使网络边界更加模糊，传统的安全系统更加紧张。如何在复杂的安全环境中保持数字银行的安全底线，以确保信息安全系统“防得住，防得全”，正成为每家银行在数字化转型过程中的重要课题。

网上商业银行近日发布了《数字银行信用深度防御白皮书》，系统阐述了数字银行信息系统面临的主要网络威胁，首次提出“可信的深度防御”数字安全理念及详细实施路径。

白皮书指出，数字化转型是当前金融业的主要趋势和发展方向。在银行业，数字化转型意味着金融服务在线、服务场景和形式多样化、开放交流范围增加、数据密度增加、效率和体验升级。然而，不可忽视的是，数字化不仅带来了效率的显著提高，而且不可避免地带来了信息安全的挑战，主要包括以下三个方面：

1.扩大风险敞口和影响范围，增加安全事件的可能性。金融服务的在线、场景和复杂性将不可避免地导致银行信息系统暴露的攻击面显著增加，黑客将发现和利用越来越多的漏洞，成功攻击的概率也将增加。

2.将提高安全威胁水平。由于金融业务与资本有关，在越来越多的金融服务数字化后，攻击成功的潜在回报将会增加。攻击者也更愿意投入更多的攻击成本，因此数字化转型面临的安全威胁水平提高。

3.安全与效率之间的矛盾将更加突出。数字化转型带来了金融机构服务形式和技术形式的变化。最初依赖网络隔离技术和管理体系约束的机制可能无法继续适应，可能无法满足业务发展的效率需求和服务体验需求。因此，如何在处理高级安全威胁的同时考虑效率和服务体验也是金融业务数字化转型中不可忽视的挑战。

安全行业提出了一些新的思路和探索，包括可信计算、安全平行切面和零信任。《白皮书》提出的可信深度防御系统是一种新的安全防御系统架构，以密码学为基础，以可信芯片为信任根，以可信软件为核心，对互联网开放应用服务，确保应用运行所依赖的资源，在启动和运行过程中行为可预测可信。

其中，可信计算是一种新的计算模式，可以在实施业务计算的同时进行主动免疫保护，使攻击者无法利用存在的缺陷和漏洞非法操作系统；深度防御的概念来自战争，建立计算部件+保护部件的多重安全系统结构，通过可信的安全管理中心和多层次的安全接触实现全过程控制，避免单点防御措施失败造成的风险事件，最终实现攻击者“进不去，拿不到，看不懂，改不了，瘫不成，赖不掉”保护效果。

可信纵深防御系统的整体结构包括四个核心部分：

基于硬件可信芯片构建信任根

基于硬件可信芯片BZW06-33和密码学方法控制物理机的启动参数和启动程序，提供静态和动态信任链验证机制，确保硬件芯片、启动参数和系统OS等等都是安全可信的。同时，基于硬件可信芯片构建信任链，将信任关系从基础设施层层传递到应用层和网络层，最终形成完整的信任链，支持数字银行信息系统和数字资产的可信控制。

构建基于安全切面的可信战略控制点

基于数字银行IT架构分析、选择或设计可信策略控制点，实现风险场景的数据内部和可信控制。在可信策略控制点的部署中，充分利用安全平行部分提供的原始安全控制点能力，实现安全控制与业务应用的整合和解耦，即安全可以深化业务逻辑，不再是插件安全；业务在线具有默认安全能力，实现跨维检测、响应和保护；同时，安全能力可编程、可扩展，与业务独立演变。

基于信任链的安全可信防御产品或能力

可信战略控制点是数字银行实施可信控制依赖的关键能力，如何确保可信战略控制点的安全至关重要。如果实施可信控制依赖的能力本身是不安全的，业务信息系统的可信控制将无法保证，这些能力本身也可能引入新的安全风险。因此，在可信战略控制点的建设中，需要充分利用硬件可信芯片提供的可信存储和密码技术，构建完整的信任链，将整个信任机制从硬件可信芯片传递到基础设施层、应用层和网络层，确保可信战略控制点的安全，为数字银行业务信息系统和数字资产的可信控制提供基本能力支持。

基于可信控制中心实施可信控制

可信控制中心是可信深度防御系统的大脑中心，负责可信策略的生成、配置发布、事件报告和行为审计，为整个可信深度防御系统的运行提供安全稳定的保障能力。可信控制中心由可信战略控制、可信战略描述、安全保障、稳定保障等系统或模块组成。

综上所述，可信深度防御系统的整体结构以硬件可信芯片为信任根，以可信策略控制点为可信软件基础，基于基础设施层、应用层、网络层、移动终端层建立可信策略控制点，设计实施多层深度可信防护策略，覆盖业务应用、信息系统和服务全环节，形成完整的可信深度防御系统，有效应对数字银行面临的先进和未知威胁。

行业趋势数字化能力控制金融服务