数字化进程中,新消费科技企业作为用户、资金与服务的关键纽带,其数字、应用和业务安全日益重要。虽然传统安全措施仍关键,但面对复杂威胁已不足够。这些企业需关注动态数据和敏捷应用安全,构建适应变化的安全生态系统,以保护企业、用户并支持业务发展。
刘志诚
乐信集团信息安全中心总监
OWASP广东区域负责人
网安加社区特聘专家
2019年加入乐信集团,专注于企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。
刘志诚寄语:
数字化新时代,科技企业不再是封闭的系统,它与合作伙伴、供应链、第三方监管机构以及用户之间构成了复杂的生态系统。在该生态系统中,安全责任超越了企业边界,企业须与各方协同合作,共同构建全面的安全新生态。
习近平总书记提出,“发展新质生产力是推动高质量发展的内在要求和重要着力点”。对于身处数字化转型浪潮下的各行业企业而言,把握住生产力发展的方向,才能在新一轮产业变革浪潮下占得先机。作为一家国内领先的新消费数字科技服务商,乐信集团近年来不断以变求新,在AI技术的驱动下,以数据要素驱动新质生产力,通过积极践行来夯实新消费赛道,并助力普惠金融高质量发展。
落地AI大模型场景
夯实新消费赛道核心竞争力
夯实新消费赛道核心竞争力
随着数字化转型的金融“深水区”,企业在安全方面所面临的挑战也愈发多元化与复杂化,如从单纯的网络防护延展至全方位的数据安全、业务流程安全以及应用开发安全等领域,让企业在强化安全屏障方面的形势愈发紧迫。过去的一年里,以ChatGPT为主导的生成式AI大模型强势崛起,国内科创领域企业纷纷布局新赛道并积极探索新领域。
作为国内领先的数字金融平台,乐信集团以技术创新勇立于新消费潮头。在强化数据安全的同时,乐信集团积极拓展业务安全领域,重视应用安全,除基础的网络安全、系统安全和办公安全之外,也自建了业务系统的安全保障。
新消费科技赛道对于安全的需求往往超越了传统网络安全的范畴,尤其注重个人信息保护以及数据安全在整个企业价值链中的作用。作为该赛道的“领航者”,乐信集团身处生态中,其安全工作不仅要确保企业自身的安全,还必须延伸至合作伙伴、供应链、第三方监管以及用户等多个超出企业边界的领域,因此与时俱进并引入新兴技术来提供全方位的安全解决方案,才能确保整个生态系统的安全稳定。
基于以上背景,乐信集团围绕金融业务持续布局AI,同时落地更多AI大模型场景,以风险、创新双轮驱动战略夯实新消费赛道竞争力。
通过金融专属数据预训练、业务数据精调,乐信集团加速了AI大模型在公司的落地应用。经过几个季度的不断打磨,目前已经取得一系列实践成果。去年,乐信集团通过金融专属数据预训练、业务数据精调,其自研大模型LexinGPT并对外亮相,目前LexinGPT已融入乐信集团业务全流程。
业务交互方面,目前乐信集团已经在电销、客服、催收等主要业务流程中全面落地AI大模型;生产力提升方面,AI大模型在研发代码辅助、设计创意生成、数据分析等场景中广泛应用,通过技术让运营效率翻倍。
在此过程中,担任乐信集团CSO的刘志诚,自2019年底加入以来,始终帮助企业致力于以新技术驱动新质生产力,为乐信集团的整体安全部署及企业在新消费领域稳健发展担当“安全守门人”。
PDCA循环策略
为新消费安全保驾护航
为新消费安全保驾护航
刘志诚认为,新技术的涌现及企业业务需求的变化,让当前企业安全负责人(CISO)所面临的难点和挑战也发生了变化。具体来说,主要包括三个方面:
环境变化与不确定性:在当前乌卡时代(VUCA,不稳定、不确定、复杂、模糊)中,全球经济形势、中美科技对抗等因素导致安全环境日趋复杂,企业可能面临预算削减、解决方案受限等现实挑战,如何在这种环境下有效地管理和应对安全风险是一个重要问题。
沟通难题与共识形成:安全领域具有较强的专业性,安全负责人需要有能力以企业通用语言与高层管理人员和社会公众进行有效沟通,降低安全沟通成本,形成安全共识,并获取必要的资源和支持。
技术环境与安全目标的演进:随着技术环境的快速变迁和安全目标的变化,若仍然固守传统方法论、工具和产品服务,将无法全面、体系化地应对数字化时代的安全问题,例如仅关注基础安全如网络安全、系统安全等,而忽视了业务数据安全和应用安全,这是目前安全负责人所面临的又一大挑战。
面对以上挑战,乐信集团持续推进安全体系的自动化和系统化建设,积极利用新技术新工具来提高安全防护的效率和精准度,打造统一的安全体系,将网络、系统、业务、数据以及研发安全融为一体,构筑起一座全方位、智能化的安全堡垒。
过去的几年里,乐信集团在数字安全实践方面主要经历了四个阶段:
“救火”阶段:优先解决眼前最紧急的数据风险问题,快速响应和处理突发安全事件,确保企业数据安全。
风险评估与基础构建阶段:进行全面的风险梳理和分级,明确企业面临的风险全貌,确定高、中、低风险等级,并与管理层达成风险接受度共识,依据风险等级依次进行处理,为后续安全工作打下坚实基础。
能力建设阶段:摒弃单纯购买安全产品却不充分利用的做法,注重构建企业自身的核心安全能力。在市场现有产品不能满足需求的情况下,与创新型企业和初创企业合作,共同研发适合新场景的安全解决方案,实现安全能力的内生增长。
安全运营阶段:在基础设施建设和安全能力初步形成的基础上,关注安全策略和措施的实际效果。通过设定度量指标,对安全风险控制程度进行有效性验证,采用PDCA(计划-执行-检查-行动)循环,持续监控和改进安全防护水平,确保安全运营的有效性和可持续性。
在数字安全实践的整个过程,乐信集团不断通过技术创新来迭代和完善,以PDCA循环策略,为新消费安全保驾护航。
助力企业建设完善安全运营体系
构建扎实数据安全免疫力
构建扎实数据安全免疫力
在刘志诚看来,自2019年以来,乐信集团所面对的安全难点和痛点相比此前已经有了显著变化。
相比传统安全关注静态、不可复制的资产安全,如今数据安全、业务安全和应用研发安全已经成为新的焦点。由于数据资产具有动态流转和可复制的特性,这使得原有的安全控制措施难以完全应对,传统的安全厂商提供的解决方案和支持力度也显得不足。
在数据安全方面,由于数据生命周期的安全保障难度增大,乐信集团需要自行规划并结合厂商定制解决方案,以应对安全风险和挑战。而在软件研发层面,随着DevOps和CI/CD等云原生技术和持续交付模式的应用,研发过程中的安全问题变得更加复杂,特别是开源组件的安全和SCA(安全成分分析)带来了新的挑战。
由于企业并非在一个完全孤立的环境中运行,存在“历史遗留”的安全问题,因此解决存量安全风险时需要与研发部门和业务部门密切协作,该过程同样充满挑战。面对这些挑战,乐信集团选择迎难而上,着力解决以保障整体安全水平的提升。
此前,腾讯安全洞悉到客户需求并动态调整产品服务,提出了“数字安全免疫力”的概念。在刘志诚看来,腾讯最新提出的“数字安全免疫力”理念极具创新性,其与之前提到的数字化时代安全难点和挑战也相契合,都重点聚焦数据资产和业务安全。腾讯安全“数字安全免疫力”创新理念包括帮助企业建立完善的安全运营体系,提供有效的安全指标和成熟度评估方法等。通过打造预估风险防范预案,来助力企业轻松应对不断变化的外界安全威胁。
刘志诚认为,在数字化安全领域,腾讯安全提倡的运营能力如同新鲜“血液”一般,是确保安全能力有效运转的关键。传统网络安全方法论关注资产脆弱性、威胁和采取控制措施,而数字安全免疫力则强调对威胁的快速识别、应激响应和对抗能力,即使存在脆弱性也可能通过增强免疫力来减少实际风险的发生,而不是一味依赖修复漏洞或采取事后控制措施。当然,提高数字安全免疫力虽是重要的补充和启发,但并不能完全替代传统安全措施,正如人体健康既要提升免疫力,也需要适时用药和手术治疗。但腾讯安全提出的数字安全免疫力概念有助于行业形成新的共识,并弥补当前在安全策略上的某些不足之处。
共生共建
携手腾讯共探安全防御之道
携手腾讯共探安全防御之道
其实早在去年《2023年威胁情报服务厂商评估报告》发布期间,乐信集团就与腾讯安全深入探讨了如何通过数据驱动、AI 加持来提升运营能力和保护数据资产、业务资产相关议题。
对于乐信集团而言,今年的安全规划着重于实现数据化、智能化、自动化和体系化“四化”目标,其中数据化涉及内外部数据交互和威胁情报的有效整合,智能化则聚焦于如何构建和应用安全大模型以提升运营效率。只有实现数据驱动、智能化和自动化,才能真正构建起覆盖网络安全、系统安全、基础安全、业务安全、数据安全和研发安全等多领域的完整安全体系。因此,与腾讯安全在这些方面有许多可以深入合作的空间。
目前,乐信集团在持续发力AI加速大模型落地的同时,也重点聚焦数字安全领域。此前,乐信集团已自主研发推出了自家的大模型1.0版,且即将推出2.0版。通过内部安全语料库和知识库的建设,乐信集团的AI大模型安全性得到增强,其安全应用能力也随之升级。
下一步,乐信集团也将期待继续携手腾讯安全进一步完善并丰富“免疫力”安全模型,达成业界共识,以促进企业内外部、行业间以及监管机构间交流沟通。同时,也期待腾讯安全可以从构建安全大模型的语料库和安全知识库着手,推出类似“secret Copilot”的产品与服务,乐信集团会积极参与其中并与腾讯安全开展深度合作,共同为推进国内数字安全行业健康发展提供助力。
·END·