12月6号，腾讯云首届金融安全峰会在上海成功举办。这是一场“双向奔赴”的会议，一边是多位金融行业的CXO级别的安全一号位，另一边则是以KK、TK为代表的多位腾讯安全实验室及能力线负责人。

据腾讯金融云副总经理王丰辉介绍，之前“金融云”的活动腾讯办过不少，但明确以“金融+安全”，对腾讯云来说还是第一次。因此，这场会议不带货，只聊痛点谈技术，让更多金融行业用户了解腾讯云“金融+安全”的最佳实践积累。

整场会议听下来，加之会议间隙与安全实验室几位老朋友的深入沟通，笔者总结出了腾讯云在“金融+安全”的三个核心特点：

• 以甲方视角提供安全基础设施

• 以整体设计交付体系化安全能力

• 以赋能者身份共建生态价值链

特点1

以甲方视角提供安全基础设施

腾讯不是一家典型安全厂商，腾讯自己就有金融支付牌照，因此腾讯云的金融行业最佳实践，首先来源于解决腾讯自身的痛点问题，这就让腾讯云天然具备了甲方视角。

云作为基础设施，用户首先考虑的就是这朵云是否安全。2023年，腾讯安全提出“数字安全免疫力”模型，在理念上刷新了“安全是生产力”的认知，今年腾讯全球数字生态大会·数字安全专场上，腾讯又首次公开了腾讯云平台自身安全建设框架——高安全等级架构。这次的金融安全峰会，腾讯云总结出现代云安全的十个基本原则：

其中的“假设损失”原则非常符合金融行业特点。

黄奇帆教授说，“金融的三大本质：信用、杠杆、风险”。金融行业天然接受风险的本质性存在。

从安全的角度来说，亦当如此：假设损失，即假定攻击一定会发生。

金融行业天然聚集“钱”与“数据”，潜在的威胁者永远存在。是假设损失还是像鸵鸟一样把头埋在沙子里，不言自明。

因此，在这个原则之下，作为金融行业的基础设施，现代云安全首先要接受风险，在接受风险、假设损失的基础上，重点考虑如何分配有限资源，如何用最优能力保护最有价值的资产。

除了这个原则之外，其他9个原则也同样重要。既然攻击一定会发生，资源又是有限的，那么攻击发生后的自动化、智能化响应，以及全过程的持续验证、多层验证等等原则，也就必不可少了。

对腾讯来说，从支撑自身金融安全需求，到与越来越多金融行业机构合作，这个过程中腾讯云作为基础设施，一直在越来越安全。

特点2

以整体设计交付体系化安全能力

作为整体安全水平较高的行业，金融行业仍然有一些痛点问题存在。

以攻击面管理为例。存在多年的历史系统、存量数据，不能简单废除，在暂时的技术约束限制下，新旧系统之间要想衔接共存，仍存在很多阻碍；加之，安全是一个“复杂巨”工程，碎片化、动态化、定制化特点突出。两者交织叠加，让攻击暴露面始终存在且持续变化。

针对这一需求，有多个能力厂商推出了自己的攻击面管理产品，但仅靠简单堆设备，仍远不足以解决攻击面的问题。

当某个周五晚上又有漏洞爆发时，用户需要的是赶在攻击者之前，第一时间准确知道自己哪些数字资产会受到这一漏洞的影响，如果定位后确认是核心资产，是下线还是打虚拟补丁，是否影响业务连续性，收敛方案是什么，最后给领导的报告怎么写……

因此，几乎所有头部金融行业用户，都会要求安全团队，除了采购商业化产品，还要自研安全工具，制定安全管理规范，演练安全响应流程，也就是说，需要的是体系化的安全运营能力。

除了攻击面收敛这个例子，其他场景亦是如此。

因此，在与甲方共建安全能力的时候，即便是单点产品，也应当具备整体设计思维与视角，把产品放在体系化整体安全能力中来看待。在安全运营团队之上，还要有CIO乃至CEO视角参与。这样的产品交付用户后，才能够补足木桶上最短的板。

这次会上腾讯云的安全治理框架，为安全运营团队所负责的“安全管理与技术域”提供了从CEO到安全管理层的整体设计视角。

为了便于理解这一框架，我们以安全量化指标为例。

据腾讯安全副总经理，云鼎实验室专家李滨介绍，腾讯云的安全量化指标分为三层：

第一层为决策信号指标，即为单个系统制定的量化指标，这样的指标有上百个；

第二层由第一层指标向上汇聚，在时间维度形成板块的趋势性指标，每个板块指标有5-10项。例如研发、运营、供应链等板块的安全趋势，相比上个月是上升还是下降，都会在指标中体现；

第三层即最上层，是安全价值指标，体现安全运营团队的ROI和KPI，除了包含安全也包含经营管理，专门用于向高层汇报。

从腾讯云的安全量化指标可以看出，框架的目的，充分发挥高级别管理层的动能，同时让高级别管理层看到安全的价值。

特点3

以赋能者身份共建生态价值链

在生产制造中，产品的标准化程度越高，边际成本就越低。但与此同时，标准化产品与个性化需求之间一直存在着冲突。

在安全行业，这一冲突更为明显。客观来说，安全能力厂商的产品矩阵与甲方用户的需求之间不可能100%匹配。

解决“冲突”的思路分为两部分：

一是提升标准化产品的能力，更好的满足用户的通用性需求；

二是寻找生态合作伙伴，把个性化需求交给伙伴来完成。

第一点，标准化产品如何提升能力？

爱看武侠小说的都知道，武功的最高境界是无招胜有招。但这个“无招”有前提，就是主人公得有极其深厚的内力。

乔峰在聚贤庄打出的太祖长拳、杨过独臂16年后的玄铁剑法、段誉的北冥神功加上六脉神剑，平平一掌、随意一剑、胡乱一指，都能让敌手难以招架。主人公们除了主角光环，凭借的不是别的，正是极其深厚的内力。

回到安全，威胁情报能力、数据驱动能力、智能化自动化能力等都可以为标准化产品提供深厚内力。

这次会议上，腾讯云安全的4+N产品体系，正是通过威胁情报对标准化产品赋能，解决批量攻击、合规、安全运营等通用的安全场景问题。

据腾讯安全副总经理，科恩实验室专家聂森介绍，腾讯安全威胁情报以赋能者的角色，已经与启明星辰、天融信、锐捷网络等多家厂商的安全产品进行了商业化合作。

说到了合作，这就来到了第二点，合作伙伴如何才能长久合作，共建生态？

生物学上的“生态”有个特点，强调生物体之间的相互依存性，其中有一个核心概念叫生态位，用于描述不同物种如何通过资源分配和行为适应来避免直接竞争。

当两个物种的生态位重叠较少时，它们有更大的机会在同一生态系统中共存；然而，如果两个物种的生态位高度重叠，它们就会陷入激烈的竞争。

由此可以看出，合作伙伴要想长久合作，一定要避免合作伙伴之间的“生态位”重合。

由此，回顾前文总结出的两个特点，腾讯云具备甲方视角，拥有整体设计、体系化能力，能够让管理层看到安全的价值，由此，这个生态不仅能长久继续，还能让威胁情报的提供方（腾讯安全）、消费方（安全厂商）、受益方（甲方用户）等各方串联起来，形成价值链条，持续价值共创。

本文仅代表作者个人观点，不代表数世咨询及任何第三方机构立场

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！