金融機構上雲勢在必行，肖力給出未來新安全體系六大定律

在3月24日舉辦的2020金融安全峰會上，阿裡巴巴副總裁、阿裡雲安全事業部總經理肖力指出：“未來金融機構安全體系建設需要從原來重合規轉變到合規與實戰雙驅動，業務發展與安全效果并重、雲上與雲下雙驅動。”

據媒體報道顯示，2019年，網絡安全給全球帶來的經濟損失高達2.5萬億美元。同時，《中國數字金融反欺詐全景報告（2019）》也顯示，目前各類金融場景中的欺詐行為已超過100種，包括套現、網絡貸款詐騙、刷單、中介代辦、電信詐騙、薅羊毛等。

随着金融機構逐漸上雲，未來所有金融機構都可以基于雲安全能力建構高等級安全體系。

肖力指出，基于雲原生安全優勢，未來新安全體系建設将遵循六大定律。

01系統預設原生安全

移動時代，IOS和安卓作業系統制定了很好的安全基線，PC時代外挂式安全成為過去時。雲也是在做作業系統，會将安全内置在所有雲産品中，比如伺服器内置安全晶片做到可信，雲産品政策遵循最小權限原則，網絡清洗、排程能力内嵌在系統中等等。系統原生安全将有效提升企業安全能力。

02身份管理成企業安全新邊界

随着企業業務場景和辦公場景多元化，傳統安全邊界被打破，身份将成為企業安全新邊界。在以統一的身份認證管理為中心的新安全體系下，企業可以做到對員工賬号權限的一鍵管理、特權賬号的實時管控等，確定在正确的條件、正确的時間，讓正确的使用者擷取對企業内正确資産的通路權。

03威脅檢測和響應全局化

在新安全體系下，資料智能化将會驅動威脅檢測和響應向全局化發展，打通系統、網絡、身份和應用等日志，改變原來單點做威脅檢測和響應的方式，從全局角度洞察威脅，并做到實時檢測。同時新安全體系下，防禦能力相對于檢測更為關鍵，企業需要一鍵止血的能力。

04業務安全成為企業新的基礎風險域

業務安全越來越多的成為企業的基礎風險域，而不是特有風險域。數字化轉型過程中，金融企業在使用者注冊、登陸、營銷推廣等環節都可能出現業務風險問題，涉及到很多技術風險域，直接決定了企業的基礎安全水位。

05借助DevSecOps将安全工作前置

安全重在追本溯源。應用上的漏洞一般是在開發流程中産生的，修複漏洞隻是事後響應，根源是在開發流程中降低漏洞的産生，避免潛在安全風險。對于金融機構而言，供應鍊複雜，借助DevSecOps建立自身的安全開發流程，可以從根本上解決潛在安全風險。

06常态化驗證提升真實攻防水位

常态化驗證理念應貫穿到企業安全體系的每個領域。安全合規定期做審計，而安全是動态變化的，企業的數百個控制點、安全基線也在不斷變化，隻依靠合規審計不能保障安全，隻有通過常态化的持續驗證才能及時找出問題所在，及時修複，確定安全措施的有效性，在面對突發安全事件時應對自如。

未來，所有金融各機構都會在雲上，都将基于雲安全建構自身安全體系。阿裡雲也希望将自身在雲上的最佳安全實踐賦能給雲上每個使用者。

肖力最後表示，“未來企業安全體系一定會往更統一、更集約化的趨勢發展。我們希望将雲端全局威脅情報等高等級安全能力賦能給雲上每一個客戶，讓客戶不僅在公共雲，而且在專有雲和本地也能享受到雲端的高等級安全能力，實作普惠安全。”