文 | 北京大学计算机学院教授、元宇宙技术研究所所长、网络与信息安全实验室主任 陈钟
数字技术与金融业态的深度融合,催生了移动支付、智能风控、区块链金融及数字货币等一系列新型服务模式。这些创新不仅显著提升了金融服务的运营效率,也增强了其普惠性。然而,金融创新在带来便利的同时,也使网络安全形势日益严峻,金融体系面临重大经济损失和系统性冲击的风险。现实中,攻击者通过网络窃取金融资产、利用勒索病毒侵扰核心交易系统等事件频发。同时,网络犯罪组织乃至国家级威胁行为体均将金融产业作为重点攻击对象,使金融领域一旦遭受入侵或破坏带来的直接经济损失及影响显著高于其他行业。根据IBM发布的《2024年数据泄露成本报告》,金融行业每起数据泄露的平均成本达到608万美元,高出全球平均水平22%。
在数字时代,金融网络安全已超越单一技术范畴,成为关乎国家金融安全、社会稳定与经济韧性的系统工程。面对数字金融的快速发展,迫切需要一批既懂金融业务、又具备网络安全技术与合规安全管理能力的复合型人才。只有这样,才能在日益复杂的威胁环境中有效识别风险、化解危机、筑牢安全防线。
一、人才之要:数字金融安全防线的核心支撑
进入数字时代,数字金融已经深度融入电子商务、移动支付、数字货币、智能合约及人工智能驱动风控等广泛应用生态。与此同时,攻击面持续扩大、风险形态发生深刻结构性变化,对安全人才的要求从“会安装设备、会检查日志”的基础操作,提升为具备“在业务层面理解风险、在技术层面设计防护、在合规层面保证可审计”的复合能力。
一是数字金融的服务触点从传统金融有限的网点、柜台扩展到亿万终端、第三方平台与云端微服务,导致攻击面呈现爆炸式增长。近年来,针对金融应用层、应用程序编程接口(API)及第三方供应链的攻击事件显著增加,正反映出这一趋势。面对规模化、多样化的攻击面,安全人才不仅需掌握底层网络与主机防护技术,还要深刻理解业务流程、数据流向和模型决策路径,才能进行有效的针对性防护设计。
二是金融创新模式与前沿技术的快速应用进一步加剧了安全复杂性。随着金融即服务(FaaS)、去中心化金融(DeFi)、数字货币、隐私计算、安全多方计算、智能合约及人工智能驱动风控等新技术的落地,这些金融创新也带来了隐私保护、算法安全、合约漏洞等新型安全风险。面对高复杂、强耦合的技术体系,金融网络安全人才必须具备跨学科的复合型能力,既要深入理解金融业务逻辑与风险传导机制,也需掌握分布式系统安全、密码学、智能合约审计及人工智能安全等关键技术,从而在动态变化的金融生态中,构建并维护可持续、可靠的安全防护体系。
三是金融安全不仅关乎技术,也受到日益严格复杂的监管环境约束。法律法规、监管指引、审计要求以及行业标准相互交织,使得金融机构在制定安全方案时,不仅要确保技术防护有效,还必须满足合规审查与审计验证的要求。这种双重约束对安全策略制定、系统架构设计和操作执行提出了更高标准。目前,既懂合规政策与监管机制,又具备网络安全防护实践能力的复合型人才仍处于严重短缺状态。
二、现实之困:金融网络安全人才培养的多重挑战
安全需求的升级凸显了当前金融网络安全人才培养的短板,亟须从教育、科技、人才协同发展的角度入手,破解现实困境,应对多重挑战。
(一)安全人才供给不足与结构失衡
随着数字时代的到来,网络安全岗位需求快速增长,而人才供给却明显滞后。多份行业报告显示,全球网络安全人才缺口持续扩大,我国的情况尤为严峻。当前,我国网络安全方向本科毕业生年均规模约为1.5万人,与日益增长的人才需求相比,缺口仍十分突出。随着金融业数字化、智能化进程的深入,银行、保险、证券等金融主体都在部署新一代信息系统,扩展新型金融业务,由此带来更为庞大的网络安全人才需求。然而,当前符合行业需要的人才供给明显不足,已成为制约金融安全能力提升的重要瓶颈。
金融网络安全人才短缺不仅表现在“数量不足”,还体现在“技能不匹配”上。现有从业人员多具备基础安全运维或信息系统管理背景,但随着金融行业数字化转型深入,迫切需要复合型、交叉型安全人才,他们既要掌握网络安全底层技术,又要理解金融业务逻辑和监管导向,还要懂得分布式金融、安全多方计算等前沿技术。但现阶段人才培训体系能够提供给金融行业的人才质量与行业转型的要求之间存在明显差距。正如工业和信息化部教育与考试中心等单位发布的《AI时代网络安全产业人才发展报告(2025)》指出,当前复合型、高端人才培养滞后,金融等行业急需加快人才培养以匹配快速演进的技术发展与合规监管要求。
(二)教育培训课程与产业需求脱节
目前,高校网络安全课程多聚焦于传统信息安全理论,侧重基础技术与通用防护技能,较少传授金融业务特征、支付系统安全、金融科技应用(如区块链、数字货币与人工智能风控)等与行业密切相关的知识,学生在“金融+安全”知识融合方面普遍不足,导致毕业生虽具备一定理论基础,但在实际金融场景中适配效率不高,短期内难以快速胜任岗位工作。
职业培训与职业资格认证同样存在针对性不足的问题。尽管金融机构和行业协会开展网络安全相关培训,但内容多为内部经验分享或网络技能强化,缺乏连贯、系统的课程设计。现有主流的网络安全类认证多侧重基础网络安全、渗透测试、运维安全等方向,缺乏专门面向金融合规与风险控制、分布式金融与数字货币安全等细分领域的权威认证。市场针对性强的金融网络安全认证体系仍较为欠缺,这削弱了对人才专业能力的准确评价,也影响了人才的高效流动与岗位匹配。
师资力量是制约人才培养质量的另一关键因素。多数安全专业教师具备信息技术背景,却缺乏在金融行业的实践经验,难以在教学中融入真实案例和综合性思维训练。加之教育与产业间存在信息壁垒,涉及分布式金融、智能合约、安全多方计算等技术应用在培训课程中内容更新缓慢,难以跟上金融行业快速发展的实际需求。
(三)实践场景匮乏与实战能力薄弱
网络安全是一门高度对抗性的专业,对于金融网络安全人才而言,理解和应对真实环境中的安全威胁是至关重要的训练环节。然而,当前人才培养普遍缺乏具备真实金融场景特征的实践平台和实战训练机制,尤其缺少面向新型金融业务的模拟场景。受限于资金、设备和数据安全等因素,仅极少数高校搭建了简单的金融系统模拟平台,这些平台在业务高并发、强监管、精细化风险控制等方面与真实金融场景存在较大差距,且鲜少覆盖数字货币交易、分布式金融等新兴业务领域。学生仅通过理论学习和基础实验掌握知识,缺乏应对针对智能合约漏洞攻击、数字货币洗钱等复杂安全场景的实际经验。
高校和产业间的产学研合作虽已启动,但深度仍然有限。部分高校虽与商业银行或金融科技企业签署合作协议,但合作形式多集中于短期实习、专题讲座等浅层互动,真正聚焦于新技术应用场景、安全攻防演练、联合研发和系统级安全测试的合作项目较为缺乏。专业金融级靶场、金融网络攻防实验室等关键训练设施的不足,已成为制约人才实战能力提升的重要因素。目前,多数从业人员在应对高级持续性威胁(APT)、大规模DDoS攻击、智能合约漏洞及数字货币平台安全事件等方面经验不足,且短期内缺乏有效能力提升路径。
(四)技术变革加速下的能力更新困境
在数字化进程全面提速的当下,技术与金融模式的双重变革正以前所未有的速度重塑金融安全格局。云计算、人工智能、区块链、隐私计算等技术持续突破,分布式金融、数字货币、开放银行和智能合约等新金融形态也快速涌现,这不仅重构了金融交易和信任基础,也使安全防线的边界不断外延、复杂化加剧。
一方面,金融技术创新与业务创新交织推进,金融运行体系从集中走向分布、从封闭走向开放,从而导致原有安全范式迅速老化,知识体系更新的压力骤然增大。另一方面,新型金融业务普遍呈现出“快”的特征:技术快速落地、场景快速更替、风险快速扩散,由此带来的算法漏洞、隐私泄露、跨链攻击、合规冲突等新型安全问题也呈现出快速产生、动态演变的复杂局面。然而,传统人才培养模式与企业培训体系在应对这一变化时明显滞后。教材和课程更新缓慢、周期较长,知识迭代速度跟不上技术演进节奏,形成明显的“代际差”。安全从业人员若不能及时理解新业务逻辑、掌握新技术原理,就难以有效响应和应对快速变化的安全挑战。
三、破局之道:多方协同锻造金融网络安全人才
2025年4月,国家数据局发布的《数字中国发展报告(2024年)》指出,我国金融机构正加快开展前瞻性、引领性与高价值的数字金融产品和业务模式创新,数字金融普及率和市场规模均呈现出快速增长态势。随着我国金融数字化的广度和深度不断拓展,金融安全问题也呈现出业务复杂、技术前沿、合规收紧等多维度特征。在此背景下,“数说安全”和《中国信息安全》杂志社联合发布的《2024年中国金融行业网络安全研究报告》认为,为应对金融安全挑战,金融行业需要培养更多的复合型人才,才能有效保障金融系统的安全性。
(一)构建“金融+安全”融合课程体系
高校是金融安全专业人才培养的源头,也是复合知识体系构建的关键环节。长期以来,金融专业与网络安全专业分属不同学科门类,在教学体系中相对独立。高校应加大交叉学科人才培养力度,打破学科壁垒,围绕市场需求构建金融与网络安全深度融合的课程体系。一方面,可在金融科技等相关专业中规划网络安全研究方向,系统设置网络安全、数据隐私、区块链与人工智能等课程;另一方面,可在网络安全及计算机专业中增设金融、能源等重点行业安全方向,增加金融市场、互联网金融、数字货币支付与金融法规等内容的教学与实践,推动教学目标从“传授知识”向“培养理解产业逻辑的安全人才”转型。
专业培训机构同样肩负着提升从业人员整体能力的重要责任。当前,兼具金融与网络安全双重背景的专业人才供给明显不足。为弥补这一缺口,应鼓励专业培训机构开设以金融安全为核心的职业课程,开发面向金融行业实践应用的培训模块,如互联网金融安全、隐私计算安全等,并进一步完善培训与认证体系。
(二)深化产学研协同培养机制
产学研协同是提升金融网络安全人才供给、增强实践能力、推动技术创新的重要途径。通过将高校的理论知识、行业机构的实践需求与科研单位的前沿技术成果深度融合,不仅能帮助学生加深对真实业务场景的理解,更能使其在毕业前就具备扎实的专业技能与岗位适应力。同时,金融机构也可通过参与培养过程,将最新的风险威胁、攻防技术和监管要求反馈给高校和研究机构,推动教学内容与行业需求同步更新。这种高效协同有助于构建良性的金融安全创新生态,为应对未来数字金融竞争提供坚实的的人才和技术双重保障。
产学研协同培养具体措施可以从以下方面开展:一是共建课程体系、双师课堂、实习实践等方式优化课程体系和教学方法,促进理论知识教学效果提升;二是共建实验室、联合研究中心和实训平台等实体,为学生提供更多贴近真实场景的实践和研究机会,强化金融安全实操能力;三是在金融安全前沿领域设立科研项目,形成“教学—科研—应用”闭环,提升金融企业安全防护能力。
(三)优化人才激励与成长路径
金融安全人才培养不仅依赖教育体系供给,也需要有明确的职业发展路径和有效的激励机制作为支撑。行业协会等相关单位可以在行业生态建设和金融安全人才培养中发挥重要的引导和组织作用,助力营造专业化、制度化的人才培养和成长环境。具体而言,可通以下方式推进:一是规划金融网络安全人才职业发展路径,并与用人单位的职业通道对接,为人才成长提供明确的方向与激励;二是制定金融网络安全从业人员职业能力标准,明确不同层级岗位所需的知识结构与技能要求,引导教育培训机构和企业开展有针对性的人才培训;三是建立符合国际通行标准的职业资质认定机制,完善认证体系,推动金融网络安全从业资质认证,加快高层次人才培养。
在实践型激励方面,可通过组织竞赛、专题论坛、技术演练等活动,营造技术研究氛围、强化实战能力的锻炼与人才发现机制。例如,举办面向金融机构和高校的金融安全攻防演练、数据安全挑战赛或金融创新应用竞赛,不仅能够检验从业人员实战水平,还有助于发掘具有潜力的特殊人才和新兴力量。同时,通过公开展示优秀成果和实践经验,吸引更多专业和非专业人才关注并参与金融安全领域,从而逐步扩大人才储备与行业影响力。
(四)完善政策与国际合作生态
金融安全人才培养体系的构建离不开政策引导与制度支撑。金融主管部门应在国家数字化发展战略框架下,制定具有前瞻性的金融安全人才发展规划,明确目标任务、阶段路径和重点支持方向。可通过设立专项资金、支持高校学科建设计划及职业分类大典更新等措施,系统推动金融安全人才培养机制的完善。同时,可通过开展年度网络安全专家、安全技术能手、网络安全优秀教师等多维度评选表彰活动,树立行业标杆,强化示范效应,营造尊重人才、重视技能、鼓励创新的良好氛围,激励更多人才涌现。
此外,应高度重视并积极推动国际合作。金融安全风险具有全球联动性,加强国际交流合作有助于提升我国在国际金融安全治理体系中的话语权。国际货币基金组织在《2024年全球金融稳定报告》指出:“金融部门的风险敞口很大,严重的网络事件可能导致信心丧失、关键服务中断”“需要培养一支能干的网络安全队伍,以及建立国内和国际信息共享安排。”在此背景下,我国应积极参与国际标准制定与学术交流,推动国内监管机构、高校与全球金融安全组织间的深度合作。通过构建开放、共享、互学的国际合作生态,持续提升我国金融网络安全人才的专业能力与国际竞争力,为金融安全奠定长远基础。
四、结 语
2017年,中央网信办和教育部联合发文开展一流网络安全学院建设示范项目,加快网络安全人才培养。2024年,教育部发布关于高校本科专业设置工作的通知,将金融科技等专业列为重点培育交叉融合的新兴专业。展望未来,在新金融业态快速发展的背景下,复合型人才的稀缺性与重要性越发凸显。筑牢金融安全防线,必须将人才培养置于战略高度,着力打破“高校与行业脱节、理论与实践分离”的壁垒,加快锻造一支既懂传统金融业务又通网络安全新技术,兼具理论素养与实战能力的高素质金融网络安全人才队伍,通过持续巩固数字金融安全,有力护航我国数字经济安全、高质量与可持续发展。
(本文刊登于《中国信息安全》杂志2025年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
