欢迎您访问欢迎来到沄森网,沄森智能旗下资讯平台!今天是:2026年07月09日 星期四 农历:丙午(马)年-五月-廿五
您现在的位置是:首页 > AI

数智化时代,如何筑牢金融行业安全防线

创始人2026-07-09 13:28:40
  主 持 人:《金融时报》记者 杨致远  访谈嘉宾:中国光大银行金融科技部副总经理 牟健君  中国民生银行信息科技部副总经理 袁春光  近日,中国人民银行、金融监管总局、中国证监会、国家外汇管理局四部门联合发布《金融业网络安全管理办法(征

  主 持 人:《金融时报》记者 杨致远

  访谈嘉宾:中国光大银行金融科技部副总经理 牟健君

  中国民生银行信息科技部副总经理 袁春光

  近日,中国人民银行、金融监管总局、中国证监会、国家外汇管理局四部门联合发布《金融业网络安全管理办法(征求意见稿)》。在金融数字化转型进程中,金融服务对网络的依赖日益加深,金融网络彼此互联互通、紧密交织。网络运行维护复杂度高、供应链安全保障涉及面广、有组织高强度网络攻击时有发生、新兴技术与业务融合应用紧密等风险叠加共振,潜在威胁到金融稳定和金融安全。在此背景下,防范网络安全风险向金融风险演变变得尤为重要。围绕如何筑牢金融行业安全防线,为银行业实现高质量发展提供安全保障等话题,《金融时报》记者近日邀请两位来自银行金融科技条线的专家——中国光大银行金融科技部副总经理牟健君和中国民生银行信息科技部副总经理袁春光,分享所在银行的探索实践和成果,并从行业发展角度提出思考和建议。

  《金融时报》记者:“十四五”规划和“十五五”规划纲要都对网络安全保护进行了专项部署,两位对此有何看法?

  牟健君:在两轮五年规划中,对网络安全保护进行专项部署,是立足总体国家安全观作出的重大战略安排。金融业是国民经济血脉、国家关键信息基础设施,做好金融网络安全,既是政治任务,更是民生担当。

  从政治性来讲,当下网络空间已是大国博弈、地缘对抗主战场。金融网络安全是守住不发生系统性金融风险底线的政治工作,必须对标法律法规及监管要求,压实政治责任,筑牢安全防线。从人民性来讲,即践行金融为民,守护群众钱袋子。光大银行始终坚持把人民性融入安全工作,依托风控体系拦截涉诈交易、减少群众财产损失,从严管控客户金融信息,兼顾服务便民与安全合规,把国家安全部署转化为护民安民实效。

  展望“十五五”,规划纲要明确强调要坚持统筹发展和安全。光大银行将着力建设与数字化、智能化发展相匹配的安全防护体系,既要有底线思维,守住风险的红线,也要保持开放创新的态度,全力支持业务创新的脚步。

  袁春光:党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,将其确立为国家战略。“十四五”规划专节部署“加强网络安全保护”,“十五五”规划纲要进一步强调“提升网络安全保障能力”,体现了党中央对网络安全形势的准确研判。

  金融行业是国家关键信息基础设施的重点领域。金融安全直接关系国家经济安全、社会民生稳定和社会公共利益。近年来,中国人民银行、国家金融监督管理总局密集出台一系列制度规范,从顶层设计、治理体系、安全防护、应急处置等维度提出系统性要求,为金融机构筑牢安全防线提供了明确指引。

  民生银行作为系统重要性银行,高度重视网络安全工作,始终深刻把握金融工作的政治性、人民性:一是落实监管要求的刚性底线,严格执行国家法律法规和监管规定,确保合规经营。二是践行"以客为尊"理念的核心要义,切实保护客户信息安全和财产安全,维护消费者合法权益。三是把网络安全作为数智化转型的基石工程,以高水平网络安全保障高质量发展,构建长期竞争优势。

  展望“十五五”,民生银行高度重视网络安全工作,将网络安全置于战略优先位置,系统性统筹推进网络安全保障体系建设,确保各项要求落地见效,为服务国家战略、护航实体经济、保障客户权益提供坚实可靠的安全支撑。

  《金融时报》记者:网络安全防御体系的建设不只是信息科技部门的任务,与银行各个业务领域、各分支附属机构等都密切相关,如何理解并保障网络安全防御体系建设的有效落地?

  牟健君:在顶层设计方面,光大银行建立了一套从决策到执行、从前线到监督的完整架构。在决策层面,成立网络安全和信息化领导小组,由党委书记担任组长,分管金融科技的党委委员担任副组长。在执行层面,建立了三道防线:金融科技部及各业务部门、分支机构是第一道防线;风险管理部及法律合规部是第二道防线;审计部是第三道防线。同时,在金融科技部统筹安全的基础上,于研发、运维、测试、数据等领域设立专门安全团队,真正做到专业分工、全链条覆盖。

  在制度建设上, 光大银行建立了一套覆盖“政策—管理办法—操作细则—技术标准”四个层级的制度体系,形成纵向到底、横向到边的制度网络,覆盖网络安全、信息安全、数据安全、个人信息保护等重点领域。

  在人才培养上,光大银行坚持在实战中摔打、在专业上认证、在意识上筑基。一是以战代练、以赛促训。依托攻防实验室,建立了常态化的红蓝对抗机制,在实战中磨砺队伍。二是专业认证、持证上岗。面向分行及子公司信息安全技术岗位,建立岗位认证体系。三是全员覆盖、筑牢防线。每年面向全体员工开展信息安全意识培训,营造全行学安全、懂安全、用安全的浓厚氛围。

  袁春光:第一,强化顶层推动,构建全行“一盘棋”的组织领导体系。民生银行持续强化网络安全顶层设计,将网络安全深度融入全行整体战略规划。民生银行建立了党委网络安全工作责任制,成立由党委书记任组长的网络安全工作领导小组,统一组织领导网络安全保障和重大事件处置工作,确保全行网络安全工作目标一致、步调协同、执行有力。

  第二,夯实管理根基,健全集团一体化网络安全管理体系。民生银行以“四个统一”为目标——统一安全规划,统一制度规范,统一监督管理,统一技术基线,系统性的构建管理机制、管理机构、合规管理、专项治理、安全考核、意识培训六大解决方案,建立覆盖总分行、各附属机构的集团一体化网络安全管理体系,实现标准一致、执行一贯、管控一体。

  第三,强化资源保障,筑牢可持续的能力建设支撑。在资金保障方面,民生银行建立了网络安全领域专项科技预算机制,明确投入比例不低于年度科技预算的5%,为安全能力建设提供稳定、可预期的资源支撑。在人才建设方面,构建“全员普及+专业精进”双轨培养体系:面向全员,开展年度网络安全培训,持续提升安全意识;面向安全团队,强化技术认证、网络攻防演练等实战化培养,锻造高水平网络安全人才队伍。

  《金融时报》记者:当前AI技术日新月异,从银行科技安全的角度,面向“十五五”,两位观察到哪些新的风险趋势?银行业如何应对?

  牟健君:AI是“十五五”时期金融安全最大的风险变量,它从底层重构了攻防博弈逻辑,带来三重颠覆性冲击。

  第一是攻击维度的全面爆炸。AI具备高效代码审计、逆向破解、批量漏洞挖掘能力,能够快速捕捉开源、供应链中的隐性漏洞,让零日攻击从偶然事件变成常态化威胁,攻击的速度、广度、精准度实现跨越式提升,行业传统纵深防御体系面临全方位考验。

  第二是信任体系的彻底颠覆。传统诈骗、仿冒攻击受制于成本,难以兼顾高逼真度和规模化。但AI可极低成本生成逼真语音、视频、文案,定制化伪造账号、客服信息、领导指令,彻底打破“眼见为实”的信任基础,让用户端、企业端的传统信任校验机制全面失效,易引发客户诈骗类风险大幅攀升。

  第三是内生AI运行风险凸显。银行落地的高权限AI智能体,具备自主决策、工具调用、生态交互能力,在快速赋能业务和科技发展的同时,也伴随着新型攻击手段衍生、攻击暴露面扩展等一系列新型威胁,需在“十五五”期间高度重视。

  袁春光:2026年以来,全球通用大模型技术加速迭代,AI对金融网络安全格局的冲击是结构性、颠覆性的,主要体现在两大核心变化。

  第一,AI赋能攻击全面升级,攻防不对等态势持续加剧。以Mythos、Claude Code Security为代表的新型大模型,具备超强的漏洞挖掘、代码审计、渗透攻击能力,可快速发现大量高危零日漏洞,将漏洞武器化周期从传统“周级”压缩至“小时级”,攻击成本大幅降低、效率指数级提升。原本需要顶尖黑客团队耗时数周完成的攻击,现在通过AI工具即可快速实现。

  第二,金融AI规模化应用催生全新内生风险。当前,全行业智能客服、信贷风控、智能营销等AI场景全面落地,但大模型的提示词漏洞、智能体自主交互等问题,带来了凭证泄露、权限滥用、供应链安全、违规输出等新型风险。这类风险区别于传统网络攻击,具有隐蔽性强、扩散快、难预判的特点,传统安全防御体系完全无法覆盖,成为数智化转型的新型安全短板。

  《金融时报》记者:今年是“十五五”开局之年,展望“十五五”,光大银行和民生银行在金融网络安全方面有着怎样的规划?又将如何持续护航业务平稳健康发展?

  牟健君:考虑到AI技术快速迭代带来的不确定性,光大银行“十五五”规划以“强基固本、提质增效、识变应变、筑牢韧性,赋能业务高质量发展”为核心目标,全新构建GDSEC五大安全体系架构,打造适配AI时代的新型安全生态。

  GDSEC架构包含五大核心维度:第一,统筹安全,强化顶层设计与组织机制保障,持续完善全域安全治理体系;第二,数据安全,筑牢金融数据全生命周期防护屏障,守住行业核心生命线;第三,安全的智能,加速AI、智能体技术在安全运营、攻防防护中的落地应用;第四,智能的安全,严控AI内生风险,保障各类智能应用安全可控;第五,全生命周期安全,实现安全管控从开发源头到运维末端的全覆盖。

  围绕五大方向,光大银行细化了20项重点建设任务,从制度规范、技术平台、运营体系全方位升级重塑。力争到“十五五”末,建成“架构更优、闭环更严、智能更强、AI更安全”的全新安全格局,让安全成为业务创新、高质量发展的坚实底座。

  袁春光:民生银行“十五五”规划立足“识变应变、智能升级、全域可控”,安全体系架构的规划设计遵循企业级架构方法论,系统融合国家及监管政策要求、安全技术发展趋势,参考关基保护、等保要求和国际主流网络安全架构,建立了“1+5”的安全体系架构规划,包括一个顶层目标以及三层两维安全能力架构。一个顶层目标是构建“主动治理+智能防御+安全可信”新一代数智化安全体系,实现“主动安全合规治理、AI安全可信、数据安全利用、安全攻防智能升级、零信任安全架构”。三层两维能力架构包括:“数字化安全服务、数字化安全运营、数字基建安全防护”三层数字化安全横向基础能力以及安全治理与智能化安全两个纵向安全能力维度,共计18个安全域,52个企业级安全组件。

  围绕三层两维能力架构规划目标,民生银行细化了九项重点工作任务,聚焦两大核心方向,力争在“十五五”期间全面重塑数智化安全防御体系:

  第一个方向是以AI对抗AI,构建智能化安全防御体系。民生银行持续迭代安全漏洞检测智能体、安全防御智能体两大核心能力,持续提升威胁检出率、压缩攻击时间窗口,扭转AI攻防不对等格局。安全漏洞检测智能体方面完善漏洞智能挖掘、自动验证、闭环修复全流程能力,扩大智能检测覆盖范围。安全防御智能体方面加快AI威胁检测、AI 邮件安全等多项能力落地,搭建多智能体联动防御体系。

  第二个方向是体系化构建AI应用安全防护能力,全面覆盖新形态安全风险。针对大模型和智能体应用带来的新形态安全风险,民生银行从AI应用面临的安全挑战出发,系统性制定AI应用安全管理和安全防护体系规划,从AI应用安全、网络安全、数据安全、内容安全、模型安全、运营安全六个维度,构建体系化、立体化的安全管理和技术防护能力,形成对AI全生命周期、全栈要素的纵深防护格局,切实防范AI技术自身的安全风险,确保AI应用安全可控、规范发展。

  《金融时报》记者:从行业发展角度讲,两位专家对推动加强金融行业网络安全保障能力有哪些建议?

  牟健君:AI时代的金融安全挑战是行业共性难题,无法依靠单一机构独立解决,需要国家、监管、行业、机构四方联动、协同发力。分享两点建议。一是强化供应链安全联防共治。当前开源组件、第三方软件、镜像仓库等供应链风险突出,AI工具可快速挖掘供应链隐性漏洞,供应链投毒风险事件呈现高发状态,给金融基础设施带来一定安全隐患。建议行业搭建统一的安全开源组件引入渠道,筛选经过严格安全检测、无投毒风险的开源组件,由各银行机构从该渠道规范下载使用,从源头破解开源组件治理的行业痛点。同时,建立标准化供应链软件清单及准入评估机制,常态化开展漏洞排查机制和预警,一旦发现安全漏洞,第一时间向全行业发布预警信息,严防风险跨机构、跨领域扩散。

  二是强化AI赋能业务的安全先行原则。当前,银行机构对AI赋能业务的需求日益迫切,但安全风险也越发突出。建议加强行业引导,要求各机构坚守“安全先行”底线,在推进AI与各类业务融合前,必须开展全面的安全评估,防范AI业务应用中的数据泄露、提示注入等安全问题,实现业务创新与安全防护协同发展、良性互动。

  袁春光:补充两点建议。一是深化实战化攻防联动。建议行业常态化组织跨机构攻防演练、风险复盘交流会,打破机构壁垒,共享新型AI攻击样本、漏洞情报、最优防御方案,以集体力量应对迭代式AI攻击威胁,整体提升行业实战防御能力,避免各机构闭门造车、重复踩坑。二是健全人才与科普生态。建议行业搭建统一的人才培养、交流、认证体系,定向补齐人才短板。同时,联动金融媒体、行业机构开展全民金融安全科普,提升用户对AI仿冒诈骗、新型网络风险的识别能力,最终构建“机构设防、行业共治、全民防范”的全域金融安全生态。

所有文章未经授权禁止转载、摘编、复制或建立镜像,违规转载法律必究。

举报邮箱:1002263188@qq.com

相关标签: