近年来，在金融科技发展规划与金融机构数字化转型一系列政策的指导下，金融行业的数智化转型取得显著成效。随着技术的成熟与应用的快速渗透，以大模型为代表的人工智能技术在满足金融业务主要场景需求时表现出独特的价值和潜力，后续的应用趋势将更加广泛而深刻。

为展示和探讨金融数智化的创新成果和发展趋势，分享数智金融应用的新模式、新理念，围绕数智应用的底座、平台、模型、场景等维度的创新理念和科研实践，为各金融机构数据智能产品和解决方案选型过程中在技术趋势、应用方向和典型场景等方面的决策提供有价值的借鉴和参考，北京软件和信息服务业协会金融科技专委会于2025年1月启动“2025金融数据智能解决方案征集”活动。

为确保金融行业的业务系统正常运行，降低业务风险，并为业务发展提供高效的服务支持。本方案从攻击者角度出发，重新定义网络资产，检验资产风险，并自动化地进行外部暴露面的自动化管理和运营。

1.建立攻击面管理平台

实现内外网数字资产的发现数字化管理；利用网络安全攻击面分析技术，优化资产漏洞预警监测机制，落地标准化自动攻击面探测能力，强化风险发现及处置管理能力。

2.ASM+OSINT能力攻击面闭环

攻击面管理平台主要采取网络资产管理（EASM）、漏洞评估（VA）、弱点/漏洞优先级技术（VPT）、开源网络情报（OSINT）技术相结合的方式将企业所暴露在互联网上的主要攻击面全面探测出来进行有效预警及安全处置。

3.自动化资产风险检测

采取人工智能和自动化的手段自动化检测企业内外部攻击面，并进行企业安全防御体系的有效性测试，自动化验证外部攻击和内部威胁的攻击链路及影响。

自动化漏洞检测，辅助验证攻击上下文；

攻击模拟测试，对抗视角评价防御效果；

攻击链路推演，精准预测攻击路径和可能性。

4.漏洞全生命周期管理

攻击面管理平台基于漏洞库对企业整体组织架构成员，进行漏洞监测、漏洞预警、下达处置任务、追踪处置结果等工作，下属公司部署与总部同步的一体化安全运营管理中心，实现落地监测发现、分析研判、情报预警、响应处置形成闭环。

互联网攻击面管理系统实现：

保障客户的互联网信息安全，避免因泄露事件导致服务客户声誉受损；由事后被动处置向事前和事中主动控制转变；满足行业监管部门的相关规范文件要求。

随着金融互联网业务飞速发展，越来越多的业务场景从线下走到线上。金融业务可以通过终端、手机APP、小程序等多种模式进行业务操作。但是，网络安全是动态的而不是静态的。业务系统在提供各种便利同时，金融系统作为被攻击者重点关注的领域，网络攻击与防御双方博弈越来越明显。在攻防博弈过程中，由于攻防双方能力不对等、信息不对称等原因，导致防守方大多数时候处于劣势地位。因此近年来涉及金融系统的各种新的攻击路径、新的攻击方式的事件频繁发生，安全问题非常突出。

究其原因，从空间上，攻击者是以点破面，防御方则需面面俱到，暴露面越广防守难度越大。金融系统的暴露面是指金融机构的信息系统、网络、应用程序等资产中，能够被外部攻击者访问或潜在利用的部分。在当今数字化时代，金融系统面临着复杂多变的网络威胁环境，如黑客攻击、恶意软件入侵、数据泄露等风险。对于金融机构的安全管理者来说很难全面地发现暴露面。

因此，暴露面管理对于金融行业网络安全动态防护至关重要。

1.重构互联网资产指纹

从攻击者角度出发，重新定义网络资产。攻击面管理系统从安全角度出发，对每一个 IP 进行画像，描述每一个 IP 开放的端口及服务、硬件载体以及承载的业务系统等软件成分，更加契合基于安全对资产的实际需求。

2.清晰掌握攻击暴露面资产

攻击面管理系统提供多种部署和资产数据采集方式，完美应对用户复杂且多变的网络环境，支持全端口、全协议的资产扫描，实现网络资产的全面覆盖，让隐形资产无处遁形，不留管理盲点。

3.建立实战场景的资产管理模式

系统将网络资产与企业管理属性进行紧密的结合，按照企业的实际管理需求进行分级和分类，例如：业务系统、组织结构、机房信息等，从而为企业创造更多的管理价值。

4.提高被攻击门槛，有效防止攻击

在资产细粒度清点的基础上，持续、全面透彻地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议，帮助用户及时处理重要安全风险，有效限制攻击者接触系统、发现漏洞和执行恶意代码，从而大大提高系统的攻击门槛。

5.自动、持续的动态风险面监测

系统主动、持续性的监测所有网络资产的安全漏洞、弱口令等，结合资产的重要程度进行风险分析，准确定位最急需处理的风险，帮助企业快速、有效地进行安全防护。

华西证券、民生证券、华西银行。

华西证券客户评价：

华西证券通过落地攻击面管理，模拟攻击者视角进行检查，把所有的暴露出来的风险可能性完整直观的展现在信息安全管理者面前。实现日常安全运营管理、安全检查前的自我审查、攻防演练前的安全预演等场景可视、可控、可预防。

本项目的落地帮助华西证券构建了更加完善、严密的信息安全防护体系，确保了互联网及内网侧各系统的正常、稳定运行，为业务发展提供了强有力的技术支撑。