问

从早期的电脑管家到后来的腾讯手管，再到腾讯安全与腾讯云合并后的种种新发展，像零信任、NDR、云原生这些新技术也都融入了，腾讯安全确实成长为中大型安全厂商了，您是一路的见证者。今天我们聚焦金融安全这个话题，毕竟金融行业是安全公司的必争之地，这里面利益大，风险也高，是黑客攻击的重点对象，腾讯安全在这方面成绩突出。所以先给我们讲讲，以往金融行业安全态势和如今相比，主要有哪些不同呢？

答

嗯，金融行业在数字化进程中一直处于前沿位置。现在大家都能感受到，无论是银行、保险还是证券业务，通过线上应用都能轻松办理，这背后是金融行业积极的数字化转型，为其提供了坚实的系统支撑，而这也让安全态势发生了不少变化。以前，金融安全可能更多关注传统的网络防护、数据存储安全等方面，而如今随着数字化深入，像移动支付安全、云端数据安全、智能风控以及新技术应用下的安全漏洞防范等，都成为了新的关注点，安全威胁的复杂性和多样性大大增加了。

问

金融安全领域，目前这种发展态势，是不是更多是由刚需来推动，而非政策合规呢？

答

其实金融行业数字化一直走在前沿，安全重要性极高，监管要求也多。刚需促使行业不断提升安全防护水平，而监管则确保了行业发展的规范性和稳定性，这两者是相辅相成的关系，很难说只是由刚需推动，而是在刚需与监管的共同作用下，推动着金融安全不断发展和完善。

问

所以是合规加刚需共同推动金融安全发展？

答

对，合规加刚需在金融行业走在最靠前。正因为有这样的追求和要求，他们对系统建设的安全要求也水涨船高。整个金融行业除数字化领先外，对安全的要求、理解以及安全从业人员的水平，在各行业中都是佼佼者。就像毅哥提到的，金融行业的数据和资产价值高，这对安全及从业者提出了更高要求。其实金融行业一直都是高标准、高要求、高水位地在发展，并非从以前到现在有突然的变化，而是持续保持这种领先姿态。

问

您刚提到数据泄露和遭遇勒索恶意攻击是感知最明显的两个问题，那这两个问题深层次反映出的建设、防护等方面存在哪些问题？

答

从深层次来看，在建设方面，部分金融机构前期可能规划不够完善，比如网络架构搭建没充分考虑到应对复杂攻击的能力，系统的兼容性、扩展性不足等。在防护方面，一是安全技术更新不及时，难以抵御新型勒索手段及数据窃取方式；二是人员安全意识培养欠缺，内部管理存在漏洞，容易被外部利用；还有就是应急响应机制不完善，一旦出现问题，难以及时、有效地遏制影响，恢复业务正常运转。

问

金融行业大的业务系统会采用上百家甚至几百家安全厂商的产品，管理起来是个大问题，听说腾讯安全有个 4+N 的解法，能介绍下 4+N 具体代表什么吗？

答

4+N 是我们腾讯安全的同事一起提炼总结出的产品和方案体系。前面的 4 是指四道防线，用来保障基础设施类的安全。具体来说，一是数据安全，包括数据重要性的分类分级以及对异常访问的防护等；二是主机安全，在 CVM 或容器等计算环境下，要处理好弱口令的提醒、阻断和拦截，以及已知和未知漏洞的防护等；三是 Web 应用防火墙安全，除了传统的网站、H5 防护，还要对小程序等新兴 Web 形态进行保护；四是网络防火墙，将网络访问控制转换为云端虚拟化的解决方案，对云端场景下的 VPC 及相关通路进行访问控制。这 4 道防线为业务系统提供一个安全的环境。后面的 N 则是针对各个行业不同业务场景，提供个性化或场景化的解决方案，以提质增效。

问

那 4+N 里的 N 在金融行业具体是什么呢？

答

N 就是针对不同行业的专项方案。金融行业里，像风控、金融借贷和零信任总体解决方案，零信任还有垂直开发的安全方案等都是我们的优势。在攻防演练中，我们为金融行业提供整套方案，事前找薄弱点治理，事中用产品防线发现和阻断风险，还负责日志存储检索，方便分析。总之，N 包含为金融业务提质增效、助力攻防演练提安全水位以及通用方案在金融行业的特色应用等几类。

问

腾讯安全进入金融行业服务多年，在您看来，金融领域要把安全做好，面临的最大挑战有哪些呢？

答

刚才提到整个金融行业，其系统和数据等价值较高，这就导致一方面大家对其安全关注度高，另一方面也始终是攻防对手着重关注的领域。具体来说，像数据安全与隐私保护方面，金融涉及大量敏感信息，数字化进程又让数据使用更复杂，泄露风险大增；网络攻击与防范上，面临多种复杂隐蔽的攻击手段，机构得不断提升防护技术；还有合规与监管要求严格且持续更新，要投入不少资源确保合规；内部安全管理也不能忽视，内部人员可能引发安全事故；新技术应用同样带来新风险，其安全机制不完善，机构需要创新安全管理模式。

问

咱们刚才提到说4道防线里最核心的第一道防线就是数据，您怎么看这方面？

答

因为数据太重要了，不光我们看得紧，那些搞攻防的对手对这种最有价值的部分也是盯得最紧的，就像老话说的 “怕惦记” 嘛，它始终被惦记着。从行业从业者角度看，潜在攻击多，应对攻击的能力相对其他行业就弱些，挑战自然大很多。而对于腾讯以及其他安全厂商去服务这个行业来说，挑战也不小，毕竟有很多创业公司，金融往往是他们起初重点想涉足的行业，竞争和应对安全问题的压力都摆在那。

问

我们了解到业内几乎所有厂商都把金融当作要攻克的最重要行业，您怎么看？

答

我的理解是，金融行业确实面临诸多威胁呀，所以需要有更好的技术、产品以及服务去应对这些威胁，这样才能在这个备受关注且竞争激烈的领域，保障金融安全，让金融业务稳定、健康地开展下去。

问

鉴于金融行业客户预算相对充裕，且需求颇为多样，您认为这一现象会对安全行业产生何种影响？

答

对，这样就给了创业者或者创新者更多机会，能从某个角度切入进去。但我想说的是，作为安全厂商去服务金融行业，它的要求和标准会高很多。得自身能力足够强，产品要切实能解决客户的问题，服务也得跟得上才行。所以对于安全厂商来说，挑战就在于在这个行业里得有硬核实力，这样才能在竞争中立足，真正满足金融行业的高要求。

问

在数据安全领域各有擅长，腾讯安全与其他安全公司服务金融客户时优劣势如何？甲方采购又该怎么选择？

答

腾讯的优势在于拥有核心产品和海量数据资产，像微信、QQ 平台业务多样，内部安全实践丰富，沉淀出的产品体系和架构理念很有价值。而其他小公司可能在细分领域钻研深、响应快、服务灵活。甲方采购时，要明确核心安全需求，考察公司在金融行业的案例，看产品功能是否适配、服务响应是否及时、后续维护是否到位，权衡后做出决策。

问

您刚说的算是甲方的建设经验，那这方面具体怎么体现咱们的优势？

答

在像数据安全这么广阔场景里，各厂商在不同垂直方向有积累。就网络安全这块，腾讯从做 QQ 起算有 20 年安全积累了，不过真正做ToB服务行业客户是近五六年才开始的。而国内不少安全厂商服务行业客户都有十几二十年了，他们在经验积累方面，像数据安全等垂直领域也挺深厚，但咱们优势就是，帮甲方更好搭建安全体系，且依托大平台资源持续优化服务。

问

如今金融行业云上业务居多，腾讯在这方面的核心战略布局以及解决场景化问题的举措是怎样的呢？

答

在金融行业服务上，有公有云部署和专有云（TCE）转化两种形态。基于监管与业务需求，形成多样格局。云原生产品体系聚焦公有云金融专区与 TCE 场景，部署解决方案，并延伸至自身环境，协同 NDR、零信任等方案应对部分问题。鉴于业务系统复杂，需行业伙伴协作，腾讯重点做好接口工作，如用云原生产品纳管各类环境，联通各方设备，助力客户整合资源，提升安全与运营效能。

问

腾讯为金融行业提供的云原生安全解决方案，能给客户营造较好运行生态，不过这里面不光腾讯参与，您觉得目前做到了什么程度？

答

营造良好生态确实是我们努力的方向，目前还处于比较早期阶段，离真正达成理想的生态还有一段路要走，后续还需要不断完善、协同更多伙伴，持续投入精力去把这个生态建设得更加成熟、完善。

问

NDR 作为新一代安全检测技术，其核心价值是什么？在金融行业情况又如何？

答

做 NDR 是基于我们整体的安全布局考虑。从云安全角度，我们有云厂商优势，而 NDR 虽可在云上部署，更多是进入客户的 ITC 环境。其核心价值在于精准检测网络异常行为与潜在威胁，像识别恶意攻击、异常访问等。在金融行业，面对复杂的网络环境和高价值的数据资产，NDR 能够有效增强安全防护能力，通过实时监测与分析，快速响应风险，为金融业务稳定运行保驾护航，降低安全事件带来的损失。

问

您刚讲了做这个的缘由、优势以及技术实现方式等，那它在金融行业具体是怎么落地的?除了您提到的在四大行、城商行的情况，还有别的方面吗？

答

在金融行业落地方面，除了在四大行里至少有两家已较大范围部署实施，城商行达到 70% 的渗透率外，在股份制银行等其他金融机构也在逐步推进落地应用呢。我们会根据不同金融机构的业务特点、网络架构、安全需求去定制化方案，比如针对那些交易频繁、对实时性要求极高的业务场景，就通过优化流量旁路镜像、异步阻断等技术，保障在不影响业务正常运行的同时，高效检测并阻断风险，切实为金融业务安全保驾护航。

问

您刚提到有比较成功的案例，能详细讲讲具体情况吗？

答

就拿 2021 年前后与那家国有的大行合作来说吧，当时是我们初期推广这个产品，虽说初期工程上偶尔会出现些小问题，但从安全效果来看，已经挺不错了，算是一个良好的起点。每年到了攻防演练集中期的时候，这家行作为客户，活跃度是最高的，即便预算紧张，在这方面的投入也能保证。在这期间，我们的产品凭借技术优势，高效检测并阻断了不少潜在的安全威胁，切实保障了银行的业务安全，在行业内也算是有一定知晓度的成功案例了，不少从业者应该都有所耳闻。

问

随着攻防演练周期拉长成常态化，产品有针对平时、战时不同场景做相应调整吗，比如像平战结合之类的情况？

答

刚开始推出时，是类实时监测和实时阻断的方案，对情报能力要求较高，主要针对攻防演练集中式场景。但攻防演练规则和形态一直在变，产品也在迭代演进，往把战时、平时拉到相似情况的方向发展。比如现在有分散在不同时间段的情况，而过往调查海外安全事件发现，回溯历史数据很重要，但客户投入成本有限，存储历史数据较难。所以过去一年多，我们投入前沿技术研究应用，推出安全湖搭配 NDR 的形态，它在数据存储的压缩比、检索速度方面表现出色，能在成本可控下实现长时间关键数据存储，便于回溯历史、应对可疑事件。今年演练周期变长到两个月，客户实践的效果很不错。

问

在金融行业推进零信任改造实践时，遇到了哪些困难呢？

答

金融行业推进零信任改造困难不少。一方面，零信任的侵入性较强，很难像 NDR 那样做到让用户弱感知，其会对原办公接入等模式带来较大改变。另一方面，金融行业自身系统繁杂、业务多样，要进行适配调整极为棘手。再者，员工习惯了以往模式，对新的准入、授权机制等还需时间去适应。诸多因素交织，使得零信任在这一关键行业的改造推进面临重重挑战，工程量和难度都比较大。

问

那当时零信任热起来具体是因为业务形态发生了怎样的改变？

答

疫情期间大家都居家办公，规模小的单位借助 QQ、微信等能应付办公场景，但有一定规模且涉及生产环节的单位就不同了。以往控制好主要边界和进入路径，安全问题相对可控，可居家办公使边界消失了，传统安全管控方式难以起效，零信任打破传统以边界为核心的防护思路，能更好适应这种无边界的业务形态，所以那时就热了起来。

问

除了刚刚提到的这些情况，在金融行业推进零信任落地，还有哪些比较关键的因素？

答

一方面，要让员工充分理解零信任的理念和操作方式，提升他们的接受度与配合度，毕竟这改变了以往习惯的办公模式。另一方面，得确保与金融行业既有的各类业务系统、安全机制深度兼容，避免出现冲突和衔接不畅的问题。而且，持续的安全监测和优化也很重要，要根据实际使用中反馈的情况，不断完善零信任体系，保障其稳定且高效地为金融业务服务。

问

所以关于零信任即VPN替代的说法并不正确

答

可能只在某个场景才可以这么说。

问

腾讯安全采取了哪些策略来实现零信任在金融行业落地？

答

腾讯安全会与客户寻找良好契机，使产品部署更便捷，结合客户场景，将零信任落地与客户内部的升级改造相结合，解决产品必须应对的场景问题。

问

是不是可以理解零信任需要跟客户共建，而不是乙方单方面做出让客户直接用呢？

答

没错，尤其在早期新事物刚出现时，得经历一定阶段去明确它的样子。在过往过程中，我们沉淀了共性化的内容。对于中型及以下企业，现有的标准化解决方案就能适用；而对于大型企业比较特殊，我们更希望通过标准产品加上接口开放的方式，既能满足只需标准产品的客户，也能让标准产品不满足的客户借助接口与自身平台、业务相结合来适配零信任。

问

在您看来，腾讯安全若要在金融行业继续深耕，在技术方向或创新计划方面有哪些打算，比如大模型这块会如何应用呢？

答

我们在 AI 应用方面本就有较多实践，像金融风控里就运用了大量 AI 技术。如今大模型发展起来了，我们尝试借助其降低产品使用门槛及对从业人员的要求，让专家能把精力投入更关键之处。另外，在 “4+N” 方面，会用大模型技术优化、进化 “4” 里传统网络安全部分，解决诸如告警多、事件关联成功率低等难题，也让 “N” 涉及的金融风控、反诈等领域效果更好，解决以往解决不了的场景和问题，进而重塑、进化我们的思想体系，帮甲方客户节约运营成本，比如减少对庞大安全团队的依赖等。

问

对于甲方客户来说，借助这些新技术实现小团队解决问题后，可以节约很多运营成本。

答

我们希望把节省下来的资源投入到更有价值的地方，像让安全专家去钻研更深入、更前沿的新技术相关事务等。

问

除了大模型这块，在未来腾讯安全的战略上还有哪些其他方面的考量？

答

我们会沿着既定路线继续前行，同时进一步加深对行业的理解，关注行业问题的解决以及未来趋势发展，看看我们现有的产品和服务能否跟得上需求，是否需要推出新的产品和服务来解决相关问题。这次针对金融行业开会提到的 “4+N” 这个概念及大框架，目前在金融领域利用得挺好，未来可以将其复制到其他行业中去，先在金融这个重要领域把样板打好，之后再向其他行业拓展。

问

好的好的，非常感谢方斌总今天给我们普及了这么多金融安全相关的专业知识。同时也作为行业老兵，给了我们很多行业的建议。我们期待腾讯安全未来会越来越好，感谢方斌总！

答

谢谢主持人、谢谢各位网友！