在3月24日舉辦的2020金融安全峰會上，阿里巴巴副總裁、阿里雲安全事業部總經理肖力指出：“未來金融機構安全體系建設需要從原來重合規轉變到合規與實戰雙驅動，業務發展與安全效果並重、雲上與雲下雙驅動。”

據媒體報道顯示，2019年，網絡安全給全球帶來的經濟損失高達2.5萬億美元。同時，《中國數字金融反欺詐全景報告（2019）》也顯示，目前各類金融場景中的欺詐行為已超過100種，包括套現、網絡貸款詐騙、刷單、中介代辦、電信詐騙、薅羊毛等。

隨著金融機構逐步上雲，未來所有金融機構都可以基於雲安全能力構建高等級安全體系。

肖力指出，基於雲原生安全優勢，未來新安全體系建設將遵循六大定律。

金句圖.jpg

01系統默認原生安全

移動時代，IOS和安卓操作系統制定了很好的安全基線，PC時代外掛式安全成為過去時。雲也是在做操作系統，會將安全內置在所有云產品中，比如服務器內置安全芯片做到可信，雲產品策略遵循最小權限原則，網絡清洗、調度能力內嵌在系統中等等。系統原生安全將有效提升企業安全能力。

02身份管理成企業安全新邊界

隨著企業業務場景和辦公場景多元化，傳統安全邊界被打破，身份將成為企業安全新邊界。在以統一的身份認證管理為中心的新安全體系下，企業可以做到對員工賬號權限的一鍵管理、特權賬號的實時管控等，確保在正確的條件、正確的時間，讓正確的用戶獲取對企業內正確資產的訪問權。

在新安全體系下，數據智能化將會驅動威脅檢測和響應向全局化發展，打通系統、網絡、身份和應用等日誌，改變原來單點做威脅檢測和響應的方式，從全局角度洞察威脅，並做到實時檢測。同時新安全體系下，防禦能力相對於檢測更為關鍵，企業需要一鍵止血的能力。

業務安全越來越多的成為企業的基礎風險域，而不是特有風險域。數字化轉型過程中，金融企業在用戶註冊、登陸、營銷推廣等環節都可能出現業務風險問題，涉及到很多技術風險域，直接決定了企業的基礎安全水位。

安全重在追本溯源。應用上的漏洞一般是在開發流程中產生的，修復漏洞只是事後響應，根源是在開發流程中降低漏洞的產生，避免潛在安全風險。對於金融機構而言，供應鏈複雜，藉助DevSecOps建立自身的安全開發流程，可以從根本上解決潛在安全風險。

常態化驗證理念應貫穿到企業安全體系的每個領域。安全合規定期做審計，而安全是動態變化的，企業的數百個控制點、安全基線也在不斷變化，只依靠合規審計不能保障安全，只有通過常態化的持續驗證才能及時找出問題所在，及時修復，確保安全措施的有效性，在面對突發安全事件時應對自如。

未來，所有金融各機構都會在雲上，都將基於雲安全構建自身安全體系。阿里雲也希望將自身在雲上的最佳安全實踐賦能給雲上每個用戶。

肖力最後表示，“未來企業安全體系一定會往更統一、更集約化的趨勢發展。我們希望將雲端全局威脅情報等高等級安全能力賦能給雲上每一個客戶，讓客戶不僅在公共雲，而且在專有云和本地也能享受到雲端的高等級安全能力，實現普惠安全。”