近日，气温逐降，寒潮开始渗透到各角落，不过上海豫园万丽酒店例外。因为，昨日，「FreeBuf 企业安全俱乐部」系列沙龙活动「2020金融安全前沿技术高峰论坛」在这里开启，大咖分享、头脑风暴、热烈沟通贯穿整个活动，使得整个氛围相当“高温”。

本届企业安全俱乐部的主题围绕金融安全，在安全威胁迅速增长的背景下，来自安言、Fortinet、中国金融认证中心（CFCA）、斗象科技、诺亚控股、网商银行、瑞数信息、碳泽科技、太平金科、中国外汇交易中心的安全大牛共聚一堂，探讨近年来金融安全方面的心得、实践经验。

就让我们一起来回顾一下当天的热门看点吧！

没到现场的朋友也不用遗憾，文末为大家送了福利：附上演讲PPT分享链接

金融行业数据新基建安全风险合规挑战与应对

金融新基建是保障金融体系健康运行的“压舱石”。在智慧金融、普惠金融等概念不断地实践中，新一代的信息技术起到积极的推进作用，但同时也带来一些新的合规挑战，如数据、隐私收集等。

作为金融的关键——数据安全应该如何做合规？安言副总经理钱伟峰带来了《金融行业数据新基建安全风险合规挑战与应对》的议题，并分享了相关的经验干货。他从金融企业整体的安全能力出发，从法律法规、行业合规要求、行业标准三个方面简介了合规要求，形成了一定的方法论基础。

针对数据安全相关合规要求，企业可以开展合规分析，识别差距并分析风险。那么，如何制定内部的合规标准？钱伟峰提出，企业构建数据安全的能力是企业合规的重要因素。金融行业数据安全能力建设具体的措施可以从数据安全风险感知能力建设和平台建设两个层面细化探索。

实战解读金融行业攻防演练

近年来，攻防对抗、红蓝军演练等词频繁出现在大众眼前，这些活动，有的来自于企业自发组织，有的来自监管部门统一安排。今年的护网刚刚结束，那些关键活动仍然历历在目，关于金融行业的攻防演练有哪些有意思的点？大会中，斗象科技高级安全专家张志鹏带来了《实战解读金融行业攻防演练》的议题分享，详解了金融攻防思路。

张志鹏提到：金融安全现状是“威胁无处不在”。众所周知，金融行业通常是新型攻击的众矢之的，金融是最懂安全的行业，也是最容易受到攻击的行业。天然的行业属性再加上政策驱动、业务需求、市场驱动等多方面因素，决定了金融做攻防的必要性。

攻防演练是一场实战博弈，需要沉浸式的带入思维。张志鹏从攻击和防守两端分别介绍了具体的方法及思路，包括：攻击者的理论、手段攻击；对抗中的攻击思路、；攻击技巧以及防守的方法。他总结了攻防演练的核心：折腾不是目的，实力才是硬道理。

AI驱动安全运营，助力自动自主防御体系构建

网络威胁往往超出传统安全防御体系的感知范围、处理能力和响应速度。安全从业者应该如何应对呢？针对这个问题，Fortinet华东区技术经理卜婵敏带来了《AI驱动安全运营，助力自动自主防御体系构建》的分享，介绍了将AI驱动的安全运营融合入整个网络，从被动防御向主动判断、及时预警的智能化方向发展，从而实现网络自动、自主防御体系的建设经验。

AI作为一项火热的新兴技术，已经在生活很多场景落地，其与安全又会碰撞出什么样的火花呢？安全分析师成本较高，技能要求较高，人为失误率高等问题导致了目前的安全运营障碍。而AI在安全检测领域有两个优势：一是先进的学习方式更好的发现攻击，减轻人的工作强度；二是降低检测时间，增加工作效率。

卜婵敏具体介绍了AI如何帮助企业更好地做安全运营。通过她展示的AI检测模型可以看出，与传统检测方式相比，AI训练过程中，随着样本的增多，模型会越来越成熟。据介绍，人工智能+人类专业的知识可以减少安全响应的时间。

金融APP检测那些事儿

近年，政府部门不断加强对APP的监管力度。7月，工信部宣布针对APP(移动应用)侵害用户权益行为，将启动专项整治行动，并上线运行APP技术检测平台管理系统。8月底前上线运行全国APP技术检测平台管理系统，计划在12月10日前完成覆盖40万款主流APP检测工作。从隔三岔五的违规APP名单披露新闻可以看出，APP检测至关重要。

中国金融认证中心（CFCA）资深信息安全官宋鑫磊带来《金融APP检测那些事儿》，从金科认证、安全认证、渗透测试等角度，提供了金融APP的建设与检测方法及思路，以及认证时的常见问题。

在金科认证方面，宋鑫磊仔细介绍了客户端安全检查常见的问题及隐私政策常见问题；安全认证，主要分享了客户端个人信息收集使用检测常见问题；APP认证方面，他表示大部分认证问题出现在隐私层面，需要重点关注。宋鑫磊表示在做渗透测试时，要假设黑客无所不能，任何用户的输入都是不可信的。

ESG驱动的客户隐私保护体系建设实践

在GDPR、网络安全法、个人信息安全规范之外，近年来走入人们视线的ESG社会责任体系，也成为驱动客户隐私保护的一支新兴力量。ESG代表环境（Environment）、社会（Social Responsibility）和公司治理（Corporate Governance），是一种关注企业环境、社会、治理绩效而非财务绩效的投资理念和企业评价标准，旨在促进企业形成可持续发展的商业模式。

在MSCI（明晟）针对金融行业的ESG评级指标体系中，隐私和数据安全项是很重要的一项指标。诺亚控股业务安全中心资深总监孔一童带来了《ESG驱动的客户隐私保护体系建设实践》分享，介绍了ESG与客户隐私保护，以及在遵循ISO 29151建设客户隐私保护体系中的实践经验。

在具体的实践方法层面，孔一童从三个方向详解：一是通过ESG官网加强信息披露；二是APP个人信息收集自查和隐私政策更新；三是实施ISO 29151认证。在企业制定标准时，他建议，除了国内的政策标准，也可以参考国外的一些标准，可以更加完善。

构建有效的安全交付体系

技术与市场的瞬息万变，安全的应对思路也要不断更新。显然，针对日渐多元、复杂、主动的网络安全问题，传统的被动应对、事后补救的方式以及不再适用。事前安全防控措施的建立可以更加有效的从源头上保障资产的安全性，提高系统的安全水位，降低系统上线后安全事件发生的概率。

网上银行安全专家卫天介绍如何《构建有效的安全交付体系》。卫天表示在事前防控中，安全交付至关重要。如何做好安全交付，可以从几个层面进行方法指导：首先需要了解需要管控哪些环节和资产，关键的控制点是什么。接下来，需要从应用安全、数据安全、移动安全等方面判断应用是否可以上线。此外，交付从哪里开始，也就是时间点也是值得深究的。

All in One WAAP解决方案在金融应用安全中的应用

传统的安全产品思路主要是单点防御，但随着业务场景的迅速更新、企业对于安全的需求不再是单一的产品即可满足，而是需要整体的解决方案。瑞数信息技术总监吴剑刚带来了《All in One WAAP解决方案在金融应用安全中的应用》的议题，详细介绍了企业Web安全一体化防御建设的新思路。

根据吴剑刚介绍，该解决方案可以与本地、各类云端充分整合，支持WAF、Bots管理、API防护独立或联合部署，提供多层级的联动防御机制，令企业安全地将各类Web业务和应用交付在混合架构中，实现Web安全一体化防御。吴剑刚表示，传统安全只有黑和白，但现在真正的业务安全中不能非黑即白，而是需要根据业务的变化，实现灵活的安全防护。

万物互联的时代下，愈加复杂的Web环境、不断增多的应用和层出不穷的攻击类型，都在推动WAF市场的升级和变革，除了Web应用安全防护，DDoS防御、Bots管理、API安全维护都将成为未来WAF评估所注重的核心功能。

再谈金融移动应用安全

随着移动互联业务的增多，移动应用也有了飞速的发展。它们在给人们提供方便快捷的使用体验的同时，也带来很多安全风险，如数据泄露、账号盗取、个人信息和财产丢失等。太平金科高级安全工程师常鹏天分享了《再谈金融移动应用安全》议题，详细地解析移动应用安全的发展以及新一代移动应用安全的细节。

首先，常鹏天介绍了移动应用安全的几项威胁，包括：数据泄露、恶意的应用APP  自身/仿冒、无线网络接入问题、设备丢失、用户身份、账户信息和认证密钥丢失等。而可以影响移动应用安全的因子非常多，包括：终端的多样化如智能手机和电视等普及，还是5G、云计算、远程办公等对生活方式的改变。

随之而来的则是安全技术的发展，常鹏天介绍了全栈的解决方案-沙箱的使用优点，以及实施关切点。最后，他也分析了新一代移动应用安全的思路。

下一代金融安全防御和响应体系

安全情报、大数据智能等概念太火了，但是如何使安全事件成为真正的驱动力，走进运维流程，完成防御策略的设定，这才是企业防御体系建设的难点所在。针对该问题，碳泽科技联合创始人常颢分享了《下一代金融安全防御和响应体系》议题，从自身的实践为防御和响应体系提供了思路。

常颢介绍的下一代安全防御和响应体系，以SOAR为中心，通过灵活的流程编排把安全和运维团队以及现有的技术资源无缝衔接，让安全防御技术知识积累和沉淀在流程中，让各种安全防御和响应系统不再是孤岛，融入更合理的人工决策，实现针对各种安全威胁的快速处理和响应。

其突破了传统漏洞扫描产品的单一局限，资产和漏洞一体化管理和监控，解决国内长期以来对漏洞只“扫”不“管”的局面

安全防护常态化之路

最后的压轴议题是中国外汇交易中心工程运行部总经理助理朱辉带来的《安全防护常态化之路》。

朱辉巧妙地结合今年的疫情与安全发展，非常形象生动地解释了为什么要走常态化之路。他表示，抗击疫情和安全防护还有几分相似：病毒对应漏洞，疫苗对应补丁，人人戴口罩，相当于零信任；每天进小区的体温监测相当于安全监测，有异常的就要及时隔离。最后还对每个个体进行综合性的分析，结合运营商数据，把每个人的威胁程度分析出来。最终，抗击疫情和安全防护最终还要走向一个形态，那就是常态化之路。

紧接着，朱辉具体分享了安全防护常态化之路的方法论：

一是：保持敬畏，永远有不曾见识过的力量。他表示，安全没有一劳永逸，不是说我买了一个新设备，用了一个新技术，就绝对安全了，道高一尺，魔高一丈，这些安全设备，安全技术需要不断地进行配置优化，策略调优。二是合理投入，gartner建议，安全投入占IT总投入的3%-7%，金融行业会在这个水平处于较高的值，平均5%左右。三是从管理层面出发，平衡关系。四是实时求是，做好最基础的工作。资产梳理，漏洞修复，控制访问策略看起来容易，但想做好，都像让一个软件系统没有bug一样难。在这些工作中，一定要有量化思维

通过一整天的分享与思路碰撞，行业大牛分享的精细化内容就像是一顿豪华大餐，让大家“大快朵颐”。值得一提的是，与会人士不仅收获了满满的安全行业干货，同时还结交了很多“志趣相投”的从业者朋友，未来的安全行业探索之旅也将变得更有趣。

以下是现场精彩花絮：

至此, 2020金融安全前沿技术高峰论坛圆满结束，我们下一站见~

福利时间

链接: https://pan.baidu.com/s/1sl8HoEXFZ3CPUanTa8FoBg

提取码: ekeg