第25届金融展于7月27日至7月30日在北京展览馆与大家再次相见。本届金融展将以“创新驱动 稳健转型 共享金融”为主题，集中展示各类金融机构、金融科技企业的创新发展成果，以及面向企业、“三农”、百姓等推出的普惠金融新服务和金融IT新技术，通过多种形式、多个层次的分享互动，进一步促进金融行业内外的交流与合作，为我国金融业的稳定和可持续发展作出贡献。

　　中国工商银行数据中心（北京）信息科技专家敦宏程出席并发表主旨演讲，以下为演讲全文:

　　敦宏程:各位嘉宾下午好，非常感谢组委会给我们这样的机会，跟大家分享我目前面临的问题和我们的想法。工行一方面要适应经济全球化，和互联网金融结构的大趋势，推动资产布局从坐商到行商转型，渠道布局线上线下迁移，扩大联动和全球一体化发展，另外一方面要介入进市场，继续完善以客户为经营的服务体系，业务产品整合的大零售平台，建设全客户，全市场，全价值链的大资产业务平台，提升客户的服务质量和效率。

　　这是我们传统商业银行转型的一个重要的发展方向，大家可以从这个图上讲，我们工商银行的发展银行是E-ICBC我们的发展方向是一个新的金融的科技公司的理念，所以说除了传统银行所面临的风险我们还面临其他的风险。传统商业银行转型有几个重要的原因，其中一个就是新技术，新技术是我们业务转型的重要的因素，我们判断，新技术的使用对传统银行业的冲击才刚刚开始，现在的冲击我们看重点在支付领域，快捷支付，但是这种冲击是传统化，这还不是致命，这是我的一个判断。当然了新技术的应用也是我们银行重生的一个机遇，也是业务转型的重要的支撑。

　　传统商业银行非常重视风险管理，在现金业务和技术转型的双重压力下，传统的商业银行面临哪些安全挑战我们这里做一些分析。首先是角色的变化，在传统商业银行的模式下，我们银行只是一个资金的提供者或者是金融服务的提供者，但是在转型过程中商业银行提供的模式可能是一个垂直的电商，也可能是一个交易平台，也可能是个技术平台，甚至是一个数据的提供。

　　新的角色扩大了我们的安全责任和边界，给安全管理带来，今天上午还给我们的同志讨论，作为一个APP的软件平台我们该如何审核提交给我们的APP，这是一个新的挑战。我们每年会投产4个大的版本，几乎每个月都有产品上线，如何保证这些产品的安全是一个巨大的问题，然后是新渠道，传统的商业银行以网点为主，我们从1999年建立网上银行以来电子业务快速的增长，目前我们柜台的业务已经下降到接近10%，而智能设备，二维码更新的渠道不断的出现，给我们信息安全管理的重点进行的调整，现在假冒APP、假冒网点的Wi-Fi成为我们防护的重点，这个也有很大的变化。

　　然后是新服务，这个跟前面的角色有关，我们只是地宫了金融的服务，技术的服务、数据的服务，这些服务的安全风险都需要我们重点考虑，比如说我们的社交平台，在社交平台上传输的内容我们就要关注，再比如我们的容易购是

　　一个电商的服务，在这个电商的服务上，我们就要关注薅羊毛，这是我们以前所没有关注的，这是新的业务模式带来的掉占，第二个我想说的就是新的组织结构带来的变化，全球化、综合化的发展是一个巨大的变化，目前已经建立了412家的分支机构，在租赁保险证券投资银行方面都建立了子公司，不同的低于，不同的监管要求、法律法规都是我们面临的实际的问题。

　　2017年我们建立了7大创新实验室，目前一大批跨区合作的团队，这些灵活的组织形式对我们固定组织的安全模式带来了巨大的差异，另外重包重测，研发生态圈这种组织模式传统的模式也面临的严重的责任。第三个我们来谈一下新技术带来的新的挑战，刚才我们提到了新的技术的应用给银行的业务带来了巨大的影响，同时新技术的应用也给我们信息安全管理带来了挑战。首先云的应用已经作为传统银行技术转型重要的方向，传统的机遇大型个的方式已经不能满足发展的要求，前些年是周边的业务，还有我们的核心业务在下降，然后我们下面的选择就是云静态，但是云平台带来的各种不确定性舒服了技术转型的手脚，比如我们对信息安全的担忧使得私有云的建设，但实际上根据我们的需求，行业云、公有云是我们今后的，一定是我们今后的发展方向。

　　但是在云的使用过程中面临的按照问题是我们必须解决的问题，不是我们用了私有云就可以规避这个问题，第二个是开元软件的使用，这是我们现阶段面临的风险，我们在宣传软件设备都会选择最可靠、最成熟，我们供应商能对软件产品的安全负责，我们已经没有选择的余地了，我们只能使用被充分验证的软件，2015年我们容易购首次引用Struts2，基本上把它每一个组建都做了一个认真的分析，保证组建没有问题，这样才使用了它的架构，但是我们知道今年爆发了一个大的漏洞，对我们造成了很大的影响，为了保证业务。还有提到了API，原来的程序都在我们当中，可以保证我们的系统的安全可靠，后来我们有了APP，我们的程序可能会在一个不安全的环境，我们就使用了软件的加固来保证我们产品的安全，今后我们会推出工行的APP，我们这些小的模块会嵌入在小的软件，如何在这个环境下保证APP不会被滥用成为一个很大的问题。

　　第四个我想说的是新的威胁带来的新的挑战，我从2005年开始做信息安全，我们是面临了很多这样的黑客的事件，但是我们之前的真正的对手通常都是单个的犯罪分子，现在我们的对手非常强大，根据外部的报道，目前黑色产业链的从业者有了几十万，而我们的安全团队才几十个，存在着严重的力量不对称。

　　每次我们的办法都能检测到大量的尝试，而且有些黑客的测试会长达数月。2016年黑客入侵系统，试图窃取9.5亿美元资金，这个事件我们后续做了跟进和研究，根据后面的分析，这个失窃可能是与国际恐怖主义袭击，今年5月份造成广泛影响的我要哭勒索软件跟美国NSV的，通过斜路的20多款软件，有12亿直接影响，而且危害极大，去年我们遭受了三波大规模的勒索邮件的攻击，大部分的邮件，我们拦截的邮件有250万，但是每天仍有数百封这样的邮件，但是我们没有造成任何的影响，一点点影响都没有，主要的原因就是攻击邮件是需要连接互联网才能下载，而我们内网和外网隔离，天生具有免疫力。但是今年这次的攻击不仅携带家用，而且还是不连接互联网才实时的，这着实让我们担心的一阵子，但是我们的纵深工作做的比较到位才没有受到什么影响。

　　第五个方面我想说新的监管带来的影响，首先是网络安全法的实施有了明确的要求，有了法律侧面定性的要求，前提我们也非常注重用户管控和我们关联设施的情况，但是这通常来讲都是自发性的，但是我们现在有了法律法规的要求，我们的工作是不是严格的按照法律的要求落实，这个还是有问号的，这个我们还是进行后续的分析。

　　第二个就是6月份人民银行印发了中国信息行业十三五发展规划，信息技术持续驱动进行创新，金融业以业标准化，信息技术治理要强，因此努力提高金融网络安全水平，客户信息安全的网络措施是我们必须面临的现实挑战，还有就是今年的2、3月份有一个BGLN的银行治理领导网络，在纽约和伦敦召开会议，与会者都是一些传统商业银行的董事和风险管理的高层，他们分享了在监管团队所面临的十几个挑战，重点都已经专项了治理层面，其中一个与会者各级监管机构和行业机构发布了抵触了43个网络框架的要求，这给我们境外的合规管理带来了压力。

　　我分析了我们面临的五个方面的挑战，面对这样的挑战我们该如何应对，我想有5个方面的考虑，第一个措施我想是需要优化总结构，明确责任主题，强化角色分析，首先我们要优化企业类不信息安全治理的架构，这个调整风险治理侧，这是我们建立的内部的体系架构及我们建立了内部的通道机制，然后调整了我们风险零容忍策略，强调我们要重点控制系统的风险，然在客户的安全保护方面，我们强调大额讲安全，小额讲方便。

　　然后在内部管理方面，我们建立了柔性的内部管理机制，将事前的机制调整为事后的审计和处置，平衡创新和管之间的矛盾，我们在高风险领域引入大数据和人工智能的方法，对人和资产实施分等级的管理策略，通过行为分析快速的相应组织，来应对新的外网威胁。

　　第二个措施解决要实施开放共享的外部合作策略，刚才我们提到了我们外部的形式判断就是攻防双方严重的力量，我们现阶段已经不能指望100%的安全，需要我们依靠国家社会的力量，对于我们来讲，也更需主动的参与和广泛的合作，这是我们合作的几个方面。

　　第三个措施就是我们要以新技术来掌握新技术的外网，我们的对手已经应用了新的技术，甚至是人工智能的技术，自动化攻击的技术，我们不改变就无无异于使用长矛，根据我们的检测，有50%的网络访问流量有可能是机器发起的，其中有1/4的流量是存在恶意的，针对这种大规模的攻击，依靠我们个人的风险显然是不够的，必须要有新的机器的控制方法。

　　2012年我们开始接触科大团队，研究量子加密技术行业，目前量子传输技术已经应用在我们最核心的工作当中，目前大数据技术，威胁建技术，终端、服务器、可行计算、高交互，机遇内容的信息，恶意代码的砂箱集群，动态的保护都在我们研究的范围内。

　　第四个方面就是我们要以新的流程来应对新的挑战，这方面我谈两方面的东西，一个是在应对我们有严格的这种安全的检测，但是这种十检测更多的集中在事中，我想我们为了有效应对现阶段的外部威胁，在于强化事中的威胁识别和快速响应处置的董事，我们要前开展威胁情报的收集，通过攻击行为的分析画像实现差异化策略，我们要事后开展攻击溯源分析，通过共享策略积极投身到这里面去。

　　根据我们这些年的观测，工行被作为第一批的攻击对象，然后很快就转移到其他行，基本上消停之后我就不停收到跳槽到其他行的CSO给我打严重，如何应对这个状况。所以我想这种主动的社会治理会对我们整个行业非常有帮助。另一个需要优化的就是我们产品内部的研发流程，之前我们投产的产品都是在上现前进行检测，包括上线之后我们的蓝军会监测，我们的蓝军会每个季度投产前后都会作为这个检测，但是实践证明这个成本太高了，修复的成本太高了，而且随着鼓励创新政策的推出，我们行各个单位研发的积极性都被调动起来，大量的新产品出现，单纯的依靠安全的测试把关已经是无济于事，并且以运维阶段的快速迭代结合，形成完成的链条，后续我们也会引进新技术使我们更加规范。

　　第五个我认为最重要的就是安全核心能力的建设，信息安全实际上是能够对抗，这是刚才叶博士也强调的，2005年我们成立的转职的安全团队，推动了工行银行全集团的信息建设，现阶段我们已经把安全措施做了，我们急需要建立自己的安全，可控安全的能力来支撑我们各个机构应对外网的威胁。谢谢大家。