光大科技有限公司副总经理向小佳：金控数智化转型及信息安全的方向与重点( 二 ) _经验知识

接下来，我们2022年承担了集团安全的重要任务，也为能化带来了新的安全问题与挑战。安全方面简单来说是“三化”——常态化、体系化、实战化。光大科技承担了光大集团信息安全的重要使命，以安全运营管理为纲促进安防常态化发展。首先是组织方面的改进，加强对各成员企业的监督和管理，制定政策、标准、制度，常态化开展安全需求评审、安全架构评审、安全投产评审、安全事件管理、安全漏洞管理等，推进成员企业的安全监督管理常态化。同时，配备安全管理专职人员，持续对公司网络与安全建设及能力提升进行整体管控，保障人员安全意识的提高，投入更多的资源对自动化互联暴露面进行核查与收敛，形成内部资产发现与监控能力。在全国性的网络攻防演练中，我们也不辱使命地守住了阵地。
在安防体系化方面，每个集团都会有自己的信息化的4A体系，我想每个公司在做自己的信息规划时都会做一个安全体系，一般是账户管理、审计管理等等，但是4A体系远远不够，在4A体系之外还要商家联防联动等等工具的加成，形成整体的六防战略。4A体系授权访问某项核心数据是防君子，对于来说依然很容易侵入，对于还需要一些防控措施，例如流量探针、流量阻断等等。
较后是信息安全的实战化，这些方面我们积累了一些经验，要定期常态化开展攻防实践，这里的工具是我们的爆破木马、注入、演练靶场，是防小人。智能化能给安防指明什么方向？这是大家在埋头向前冲的时候需要静下心来思考的问题，去想想未来5年是不是会有一些新的挑战和威胁。排名个就是数据投毒和样本对抗，随着数智化转型的进展，模型用的越来越多，但是模型中经常会有一些假样本，这可能在目前的安防态势中并不太明显，数据投毒就是污染你的训练集，让机器能按照一些邪恶的想法去执行决策。对抗样本可能要更高级一些，能把A识别成B，比如把张三的脸认成李四的脸，这是精准数据对抗样本，较经典的是取钱的时候用我的脸触达你的账户。该如何应对？大家在人工智能过程中对样本也要进行输入转换和过滤，输入转换包括压缩，输入过滤包括我在输入恶意样本中的触发点，有的时候大家可以看到我在拿人脸取钱时，人脸右下角有一个小方块，这个小方块有可能就是恶意加进去的，让机器以小黑块为主，来取得人脸认证通过的权限。还有模型后门，未来五年模型大量用在人工智能领域，比如信贷的审批中也会用到一些模型，这些风险模型在做决策的时候，通过模型后门在影响信贷决策，本来不该放贷的放了贷，对于模型净化也使型误认为这个人是应该被放贷的，其实资质不到，我们要用新的良好的样本去微调。一些模型中的恶意结构存在，需要用模型检测方法来识别，这个也是未来的一个威胁之一。
第三个隐私泄露风险，光大集团从2018年开始做隐私计算，这科技数据伦理有关。原来大家的数据被公然使用，都没有任何的惩罚，后来世界各国纷纷立法，隐私计算让信息不再泄漏，比如我们和中再的协同联合，让中再的数据和光大的数据产生价值，但是不会泄露双方的数据内容。隐私除了数据泄露还有模型学习，比如某银行的信贷模型被泄露，就会拿来做文章，还有一种比如产权模型盗版也是模型泄露问题，但如果通过隐私计算是能杜绝模型参数被盗用的。
【光大科技有限公司副总经理向小佳：金控数智化转型及信息安全的方向与重点】较后是算法能力，算力的风险我们未来会持续关注的安全问题，因为算法可能会对社会公平正义是一种挑战，简单说就是大数据杀熟。目前在安全领域中提到的并不多，未来随着人工智能越来越进步，随着感知技术的向前推进，可能会产生越来越严重的影响。对金融机构而言要应对这种情况，首先要以服务实体经济普惠百姓民生为己任，这是应对算力伦理的主要初心，让金融科技更有温度。同时监管要出台相关科技伦理制度规则，强化监管合规。企业在应对算***理问题时，要勇于拥抱监管，坚持算法公平。在数字化转型过程中金融机构不应片面追求数字技术的发展速度，不能片面以数量、速度作为单一衡量指标，而是充分考虑到城乡、区域、人群之间的差别，特别是老年人等弱势群体的需求，提供针对性的产品和服务。