顾云苏：互联网金融会面临大量安全挑战

　　“第十二届中国国际金融论坛”于2015年10月22日-23日在上海召开。上图为神舟通用数据技术有限公司总经理顾云苏。(图片来源：新浪财经)

　　新浪财经讯 “第十二届中国国际金融论坛”于2015年10月22日-23日在上海召开。神舟通用数据技术有限公司总经理顾云苏出席并演讲。

　　以下为演讲实录：

　　顾云苏：大家下午好，今天演讲的主题信息安全互联网+时代信息安全问题。

　　第一，互联网+时代的信息安全。互联网+金融的安全挑战比较多，手段多，收益高。怎么说？以前搞数据库，搞数据安全，经常讲的一句话，数据很有价值，数据是核心价值，但是再有价值，也要变现。现在数据不再是数据，而是真金白银。金融大数据集中导致的安全挑战非常多，对黑客来说，单次攻击的收益被大大放大了。

　　第二个海量数据的汇集过程有多个环节，云化导致，更加容易窃取。

　　第三个手段的不断更新，移动互联网的发展在带来方便的同时也强化了风险，用户账号的失窃导致的撞库攻击。

　　第四，金融大数据分析和挖掘带来的信息安全挑战。分析库中也存在着精准的企业信息和个人信息。分析和挖掘的结果数据可以推理出精准的信息。在金融这个领域里面，需要在用户端有很多的手段，而手机恰好是一个比较薄弱的环节。

　　大数据大家都知道，很流行撞库，大家账号密码非常多，一撞都可以撞到一起。在这个时代安全问题非常严重。我们也可以看到数据挖掘，大数据分析，  虽然这一块没有产生特别实际的案例，在这个过程产生了很多的分析库，大家觉得这个东西不是很重要，但是存在了很多个人的信息，企业信息。

　　第二个分析和挖掘的结果是可以进行推理。在互联网金融时代会面临大量安全挑战，以前也搞IT系统，安全问题，但是没有现在这么恐怖，这么严重。我们互联网+讲的开放，平等，合作，分享。军队搞安全怎么搞？我不让你知道，你不管我的技术是什么样的，这样就很安全。在互联网+金融不能干这种事情，你一分享，协作问题就来了。这个是为什么？开放和分享大家都是这样讲，如果不识趣去说分享还讲权限，安全的边，这些事情一下子跟时代格格不入。

　　第二个问题信息系统需后的飞速发展和技术手段不足。互联网时代的快速构建要求。大数据类的开元平台框架基本上对信息安全的考虑为空白，各类开元平台更易于受到攻击。更加糟糕的是技术手段非常不足，我老搞数据，我知道大数据框架下，一说大数据不懂的人也知道，时髦一点是BUG。做数据库的时候，我们的产品有大量的标准，大量测试的方案，包括生物认证。

　　所以你去问一个设计人员，这个东西跟安全有什么关系，他们告诉你不考虑这个问题。所以大数据类的开原平台框架基本上对信息安全的考虑为空白。各类开源平台更易于受到攻击，大数据时代安全挑战，互联网+金融安全挑战非常大。

　　我以前画过一张图，一个信息面临大量安全威胁，这些安全威胁在过去还是可以解决，但是大数据以后，整个问题全部要重新考虑。互联网+金融时代的数据安全是非常大的问题，也是非常麻烦的问题。这个怎么解决呢？我其实也没有太好解决，我们做产品，我们也有一些手段，一些技术，只能说是刚刚开始的。

　　8月份我去东北参加圈子一个会议。安全圈子提出了很多手段和防护的措施，对我有所启发。但是总体来说，安全圈子的人不是特别考虑大数据安全，他们更多信息系统本身的安全。这两块有一定的联系，也有一些差距。在源头能不能减少安全漏洞，加强技术分析。如果搞可信分析的人，他会告诉你怎么搞可信计算，这一块讲的有点高大上，但是我觉得在设计源头可以考虑这个问题，尤其金融+下面，这个还是很重要的事情。

　　第一 在系统设计源头上避免引入安全问题，减少系统安全漏洞，在数据量大大加强的情况下对原油系统进行技术分析。

　　第二高安全手段在大数据环境中增强，采用强认证，强制访问控制，强审计。

　　第四数据安全机制与云环境，操作系统，网络，应用系统的安全机制要进一步融合，整体考虑数据安全问题。

　　第五高性能技术保证，在保证安全性的前提下，依靠精心的结构和算法设计，提高系统的运行效率。

　　第六用大数据的方法设计新的防御受，采用大数据分析挖掘的技术手段，识别和定义新的攻击模式。

　　第六对大数据分析数据泄露的可能性等等推理控制而且，提高计算复杂度。在分析过程中，分析出很多的信息，一个信息是不会泄露个人的隐私，但是增加到一定的程度后，我可以完全推理出你的信息，就可以把所有细的信息可以算出来，搞大数据的人都说没有隐私的问题，但是你拿到某些数据之后，就可以推理出很多的信息。

　　这个是前阵子基于遇云环境下大数据安全隔离威胁及应付。在这张表都可以看到，你怎么去解决它，这个是比较形式化的。我们基于数据标签的安全隔离系统框架，无论这个数据在云环境集群多少次，使用标记服务对数据因为全程标记，在用户处部署一个系统的内核级信息流程追踪组件。追踪所有在租户实例内进程和文件之间的信息流，在特权域中设计数据和网络隔离模块用于追踪与阻断。

　　针对一些可疑操作，我们也专门做了一些案例。相当于把一些操作判断为可疑，当然是数据挖掘方式在发现。我们把他作为一种隔离确定去执行。  设计隔离和操作执行模块统一处理用户读写操作，通过这些操作可以解决一些安全的问题。其他的问题就不多讲了。

　　我们国家有安全标准，像GBT20273四级安全等级，全主可体强制防暑降温控制，多种认证方式支持。我们标准组讨论了好几天，现在技术手段并没有成熟，所以写一些比较虚的。比如说像三权分离，推理的应用。最后一条互联网金融安全人才的培养，我们现在的人才非常匮乏，现在的情况是 什么，懂安全的人不懂大数据，懂大数据的人不懂安全。我国目前大数据方面的人才仍然很缺乏。大量的人员主要是使用国外开源体系，应结合国内厂商的方案，无法理解核心技术。

　　最后一部分在额个时代有什么机会。前两部分说完，我觉得机会已经出来。如果一个事情干的非常好，这个世界就没有什么机会。第一条金融信息安全是国家信息安全核心组成部分。在后斯诺登时代，银行金融业国产化还会更为深入和广泛地推进将为国内厂商带来更多发展空间，我们面临的挑战也非常多。

　　我们一直是搞数据库，我们是航天科技集团下面一个企业，网上有我们很多介绍，大家可以搜一下。2009年以后我加了大数据的方向。 这个是我们公司发展历程，大家在网上也可以查到，我就不多讲了。我给自己定义一句话，我们一直是玩数据，到底玩什么？我画了一张图，内涵很清楚，可能有一些不是在大数据里呆，我简单说一下。这个是大数据一个处理环节。

　　大数据是什么东西？最下面是云计算支撑平台，因为数据太拉，一定要云环境才能算的过来。你得把各种各样的数据从务系统，甚至从个人电脑取出来，然后归整化。第二个数据存储，你得找一个地方存出来。在2012年大数据概念有人提，但是没有人去做，因为存储成本体高了，所以存那么多。

　　第三块是数据分析和挖掘，这个是最重要一块，从数据里面把价值找出来，就是叫做数据挖掘  ，数据分析，最后一快是数据展现，比如说报表展现，在这里面我们做了一部分，我们主要做了两块东西，一这个数据仓库数据存5个PB的数据，这个结构化的数据，运行中是比较大的一个。还有挖掘引擎，要从这堆数据里面找到价值，从里面找出消费人群的特性。还有很多的东西，从公安里面找出可疑的人。

　　最后我们还做了一些展现。这个在大数据环境下面做的事情。最后讲一下在建行某省云平台系统，这个是大数据方案的测试，当时测试结果比原来国外平台提高了大概一百多倍，这一块触动还是比较快的。上线是环境为10台4度128GB，2014年8月正式迁移，2014年底已完成全部数据迁移。

　　谢谢各位聆听！

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

海量资讯、精准解读，尽在新浪财经APP

责任编辑：梁斌 SF055