上传时间:2024/10/29 来源:消防股份
2023年7月20日,中国光大银行党委委员、副行长杨兵兵出席了第七届金融科技与金融安全大会,并发表了《数字化的经济时代下的金融安全》的主题演讲。杨兵兵副行长提出,数字化的经济的发展具有三大特征,分别是相互连通、数据为主以及人工智能。在这三大特征的影响下,数字化的经济时代的金融安全也演变出了五类新风险,包括运营安全风险、信息安全风险、数据安全风险、模型安全风险和场景安全风险。杨兵兵副行长强调,针对数字化的经济时代的金融安全风险,需要构建新的安全治理体系,基于统一权威的领导机制、全面统筹的大安全理念和科学辩证的系统思维三项原则,着力打造统一、全局的安全治理架构。为实施该策略,他提出了五个具体方法:第一,建立全面组织体系,将安全问题纳入全面风险管理体系;第二,建立分层风控体系,明确三道防线责任制;第三,建立互补技术体系,防止“防护真空”;第四,建立安全文化体系,确保各方形成共识;第五,建立科学人才体系,培养复合型和专家人才。以上提出的三大原则、五个方法将形成一个框架性的体系安排,为应对数字化的经济时代新的金融安全挑战提供有效策略支撑。
非常高兴能借今天这样的平台和大家伙儿一起来分享我们作为一家商业银行,对数字化的经济时代金融安全所做的一些思考。
光大银行连续三年支持“番钛客”比赛,每一年大赛都聚焦一个主题,从第一年面向传统功能性的应用、第二年围绕场景金融合作,到今年的金融安全,大赛主题不断深入,本届主题非常契合我们论坛的主题,在这里我想跟大家伙儿一起来分享数字化的经济时代金融安全所发生的主要变化以及怎么来面对这些变化两个方面的主要内容。
第一个方面,在数字化的经济时代,我们的金融安全发生了很大变化,关于这一点,刚才发言的领导和专家都有谈及,我将从一名金融机构从业者的视角,来看这些变化的关键点、影响程度以及应当采取的措施,特别是在管理框架上,该怎么样在当前形势下做好金融安全防护。
我们认为当前数字化的经济时代具有三个感受最直接的特征:第一是相互连通,人与人、人与物、物与物都在相连,正如辩证唯物主义谈到世界是普遍联系的,但是一旦普遍联系了,安全边界就变得模糊了,任何事物都是具有两面性的,当一面具有极端性优势的时候,另外一面的极端性劣势或者问题也会凸显,安全边界的模糊便是其中之一。
第二是数据成为关键生产要素,数据的作用毋庸置疑,大家现在都能深刻感受到我们在所有场合几乎都会谈到数据,无论决策、运营、营销、风控,都在使用数据,数据安全和数据质量,都会带来问题。
第三是刚才很多专家都谈到的人工智能,人工智能确实能给我们大家带来新的生产力,但是我们今天仍处在“弱智时代”,即弱人工智能普遍应用时代,未来将逐步走向强AI时代,即使是“弱智时代”,如果它的算法有问题、基础数据有问题、基础设施出现问题,我们一切自动化、人工智能运营的整个体系会发生什么样的变化呢?
数字经济时代相互连通、数据为主、人工智能这三大特征,将给我们大家带来运营安全、信息安全、数据安全、模型安全、场景安全五个方面的安全影响。我们传统的信用风险、操作风险、市场风险一直都存在,数字化的经济时代也没什么改变,只不过因为我今天提到的这五类安全,会使传统的信用风险、操作风险、市场风险加速叠加,而且因为这五个方面的安全边界模糊,也会使得传统风险的边界和传播速度发生变化。
一是运营的安全,目前有两个趋势给我们传统的运营安全带来了新的挑战,一个是分布式、另一个是全栈。我们经过若干年的积累,无论是机器设备还是系统运行都形成了大集中,为满足这个时代的发展要求我们在推行分布式,分布式的好处肯定很多,但是带来的问题也不少,比如我们自己建设的一套系统,原来是两台主机在运行,现在至少要600台服务器来支撑,这两台主机的占地面积和系统管理跟600台服务器的管理会有啥不一样的区别,大家可想而知。全栈是把我们底层的网络、存储、CPU、中间件,再到应用系统各个层面的构件都放在一起,统一用软件进行定义和管理,这样做的好处是在分布的基础上又再次形成新的集中,而且是软硬件的集中,是基础应用系统和业务应用系统的集中,这一定是高效率的,但是事物都有两面性,如果出现集中性问题要怎么来面对和解决?
以上说到的分布式和全栈,是当前各家金融机构和非金融机构技术转型和新的发展趋势,新技术的诞生和应用将会导致我们面临新的安全问题,也给我们的金融安全带来新的挑战。
二是数据中心的安全。刚才讲到了数字货币,大家现在纸币已经用的很少,包括我们的记账都是在线上。使得我们现在的数据中心就“变成”了金库,甚至比金库还重要,因为金库只是存放钱,没有存放账本,数据中心存放什么?同时存放钱和账本,这是极为关键的一点。我们现在关注金库的安全,大家都很理解、很重视,但是对数据中心呢,又存钱、又存账本,它的安全底线在哪里?这些都是在传统运营安全的基础上,走到如今这样一个数字化的经济时代,技术演进所带来的新问题。
刚才说到信息安全的边界问题,边界的问题源于相互连通,我们所谈的开放金融,带来了安全边界的问题。作为一个商业机构的信息安全总有防守的边界,不可能全网防守,肯定是有防守边界的,尤其现在我们金融机构和很多企业合作的时候,我们可能给企业配置一些设备,甚至帮助建设一些系统。那么这些资产属于谁、谁来负责防守,比如我们建设一个系统给客户使用,是由客户自己防守还是我们代他防守,在双方的合作协议里如何约定,如果出现信息安全问题的时候,我们该怎么来面对安全边界?
三是数据的安全,数据安全问题是数据生命周期全过程的,从诞生开始就有,除了从生命周期看它的安全以外,还有就是数据的标准和数据的质量。因为如果一个质量不好的数据,无论你做的多么安全,它都是会出大问题的。我们都在用数据来说话、用数据来决策、算法用数据来进行验证和生成,我们现在打造“数据安全盾牌”,国家出台数据安全法,监督管理的机构对数据质量提出更高的要求,都是在为提高数据安全做努力。
四是模型的安全,现在金融机构模型被大范围的应用,而且模型也从传统的、早期的专家模型,到回归模型,再到现在我们所说的大模型,模型技术也在逐渐演进。模型的验证、模型的生成条件等等谁来负责?以前出问题往往是一个点上的问题,现在模型一旦上线之后出问题是一个面上的问题,往往会带来系统性的问题。
五是场景的安全,我们现在经常说的两种商业模式,一种是开放金融、另一种是场景金融。开放体现的是状态,场景代表合作方式,我们会进到合作伙伴的场景,或者邀请合作伙伴进到我们的场景。从我们进入场景商业模式的那一刻起,安全已不再仅仅是自己的,而是共同的。如果合作伙伴进入我们的场景,我们的安全防护标准和防护体系,对方要可接受和承担;如果我们要进入合作伙伴的场景,同样我们的安全能力也要满足对方的要求,或者是大家要在同一个安全水平线上,否则安全就很难得到保障。
所以,我们得知这些安全都是系统性风险,我们原来说的系统性风险,经常说对某个行业的信贷风险判断有误,这个行业出现很多不良,这是系统性的;我们给某个地区发放贷款,这个地区经济不好了,也许会出现不良,这是系统性的。但是这些系统性风险,对比上述五个类别的系统性安全不是一个层级的,而且产生风险和损失的效果和效率也不是一个层级的。我们所说的这五类安全风险是在相互连通、数据为主、人工智能三个时代特征所带来的,背后的逻辑以及可能带来的都是系统性风险。
第二个方面,围绕这五类安全风险我们该怎么样应对?这样一些问题是我们这一段时期所面临典型问题,有一些是传统时代就存在的、有一些是这个时代赋予的,还有一些是在这个时代变得更突出。金融安全是国家安全的重要组成部分,党的二十大报告对国家安全进行了专章论述,明白准确地提出“以新安全格局保障新发展格局”。
面对数字化的经济时代金融安全出现的新特点,我们通过在实践中不断摸索和探索,形成“三个原则”、“五个方法”安全管理新举措。
三个原则分别是集中统一和高效权威的领导机制、统筹各领域安全的大安全理念、统筹兼顾和科学辩证的系统思维。
首先是领导机制,在银行整体机构层面,要有一个统一的、强化顶层设计的安全组织;其次是应该有大安全理念,现在独立的安全管理是无法应对新形势下新问题的,以前成立的单点安全组织应该在大安全体系下逐渐重整融合;第三是我们在重视发展问题和安全问题的同时,既要关注自身的安全,更要关注合作伙伴的安全,现在已经很难“独善其身”了,“自扫门前雪”在这个时代已经一去不复返了。
在这三个原则指导下,我们制定推出了五个方法,即建立全面的组织体系、建立分层的风控体系、建立互补的技术体系、建立完善的文化体系、建立科学的人才体系,概览来讲就是是组织、风控、技术、文化和人才五个方面。
一是建立全面的组织体系,组织体系包括三层,第一层是党委层,国家的整体性要求是总体安全,党委一定是负责大安全的领导者。第二层是高级管理层,要把五个方面的安全问题全部纳入全面风险管理体系,进入高级管理层,而不能因为有的安全偏技术就将其排除在外,因为业务风险和技术风险是互相传染的。第三层是执行层,要设置每一类安全对应的跨部门专业小组,比如数据质量或者数据治理工作小组负责数据安全,这样分类分层进行专业安全管理。
二是建立分层的风控体系,银行都是有一道、二道、三道防线的,对于我刚才介绍的五类安全同样适用,我们在内部也做了分工,三道防线就是我们的审计部门,而一道防线、二道防线因各个机构不同可能会出现差异,责任分工也会不一样,但无论怎么分工,只要牢记“人人都是第一道防线,人人都是唯一一道防线,人人都是最后一道防线”这个根本原则,再加上三道防线的分工,风险管理就形成体系了。从组织体系的党委层、高管层到执行层,再到分工层面的一道防线、二道防线、三道防线,就构成了一个从纵到横的矩阵式管理模式。
三是建立互补的技术体系,刚才讲到的这五类安全可大致分为两组:一组安全是运营安全、信息安全、数据安全;另外一组安全是数据安全、模型安全、场景安全,这两组安全不是隔离的,他们是相互交叉在一起的,如果技术防护体系是独立的,那一定会产生真空地带,所以我们要强调所有的领域的安全和技术间的融合,防止防护真空,现在我们遇到的安全问题,真空问题是个更大的问题。
五是建立科学的人才体系,人才最重要的包含技术人才、复合型人才和专家人才三类,我们花了很多力气培养这些人才,包括业务部门和科技部门人员的半年轮岗,让我们的业务同事有对五类安全的意识,同时让科技同事也意识到我们在业务开展过程中,对于这五类安全是怎样的看法,只有这样,才能培养形成真正的技术复合型人才以及各方面的经验融合,我们在推动安全工作的时候才更加有保障。
以上这一些内容比较概括、比较宏观,和我们前面专家讲到的技术是不太一样的。但是,它是从一个商业机构面对当前的金融安全形势,特别是这个时代出现的五类安全问题,我们做的一个框架性的体系安排,通过这种安排希望可以织成一张网,更好的防守住数字时代的金融安全,让我们整个金融都可以高水平质量的发展,更好的服务实体经济、服务民生。
上一篇:一级注册安全工程师简介
Copyright © 2014 贝博体育,西甲合作伙伴贝博,西甲贝博平台 网站地图