2020年7月8日,由計世傳媒集團(tuán)《新金融世界》舉辦的第三屆線上會議“金融科技論道臺”成功舉辦。本屆金融科技論道臺的主題是“等保2.0與數(shù)據(jù)安全”,會議同時在線觀看人數(shù)204人,涵蓋了76家金融機(jī)構(gòu),銀行26家,保險22家,證券28家。來自中國銀行、中國銀河證券、泰康在線、IBM、瑞數(shù)信息、Veritas、中企通信、Gigamon技盟的八位嘉賓在論壇上聚焦新基建下的金融信息安全,就等保2.0與數(shù)據(jù)安全的內(nèi)容進(jìn)行了經(jīng)驗分享。
《新金融世界》總編諶力擔(dān)任本次線上論壇的主持人,他指出:“隨著云計算、人工智能、5G、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)在金融機(jī)構(gòu)大規(guī)模應(yīng)用,對金融機(jī)構(gòu)的信息安全也帶來了新挑戰(zhàn)和未知領(lǐng)域。而國家等級保護(hù)2.0的出臺,對信息安全有了一個更高層面、更全面維度的要求。”
中國銀行總行軟件開發(fā)中心主任工程師劉述忠
這些年,中國銀行持續(xù)加大金融科技投入力度,加強(qiáng)金融與新技術(shù)的融合,發(fā)力新技術(shù)安全風(fēng)險防控研究。在新技術(shù)安全應(yīng)用研究方面, 不僅僅是對現(xiàn)有的風(fēng)險進(jìn)行處理,也對新技術(shù)引入所可能涉及的風(fēng)險也開展了研究,甚至聯(lián)合多家高校共同成立了金融信息安全聯(lián)合實驗室進(jìn)行課題研究。 中國銀行總行軟件開發(fā)中心主任工程師劉述忠發(fā)表了題為《等級保護(hù)2.0在金融機(jī)構(gòu)的落地實踐》的演講。他告訴現(xiàn)場嘉賓:“金融機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型,意味著產(chǎn)品服務(wù)以移動化、開放化形式貼近客戶,以全球化為方向持續(xù)拓展業(yè)務(wù)。這個過程中會面臨六大挑戰(zhàn),分別是:日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢、不斷攀升的網(wǎng)絡(luò)安全漏洞、新技術(shù)引入新型風(fēng)險與隱患、不容忽視的人員安全、越來越嚴(yán)格的外部監(jiān)管和內(nèi)部實施保障難以落地。” 中國銀行在新規(guī)定出來以后,迅速做了逐條對標(biāo),這個工作很耗時,但是做完后讓中國銀行迅速“摸清了家底”,并基于此建立了網(wǎng)絡(luò)安全的“合規(guī)準(zhǔn)繩”。同時根據(jù)新的要求,進(jìn)一步改進(jìn)完善了等級保護(hù)的五項工作:定級、備案、測評、整改和自查。并且讓工作實現(xiàn)了兩個全覆蓋:范圍覆蓋總行和全轄36家一級分行;保護(hù)對象覆蓋網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、云計算平臺、大數(shù)據(jù)、移動應(yīng)用等。
IBM大中華區(qū)信息安全技術(shù)總監(jiān)高爽
IBM長期聚焦安全領(lǐng)域,在今年上半年發(fā)布了《安全威脅指數(shù)情報》,重點(diǎn)闡述了數(shù)十年來犯罪技術(shù)經(jīng)歷了怎樣的演變,并指出在此期間網(wǎng)絡(luò)犯罪技術(shù)非法訪問了數(shù)百億條企業(yè)記錄和個人記錄,并利用了數(shù)十萬個軟件缺陷。
IBM大中華區(qū)信息安全技術(shù)總監(jiān)高爽發(fā)表了題為《等保2.0時代 保險行業(yè)信息安全挑戰(zhàn)及實踐》的演講。
在他看來,信息泄露、業(yè)務(wù)欺詐是物聯(lián)網(wǎng)金融最關(guān)注的風(fēng)險,而導(dǎo)致安全問題的因素主要有五大方面,分別是:投入不足、人員缺乏、安全意識薄弱、制度流程不規(guī)范、安全需求不明確。同時,大數(shù)據(jù)和威脅情報技術(shù)是比較受關(guān)注的信息安全技術(shù)。
“復(fù)雜的保險業(yè)務(wù)形態(tài),密集的用戶信息,保險業(yè)信息系統(tǒng)和數(shù)據(jù)本身承載著極高的業(yè)務(wù)價值,使其容易成為黑客攻擊的目標(biāo)。因此,除了傳統(tǒng)的、通用的信息安全風(fēng)險外,還存在以下幾點(diǎn)安全挑戰(zhàn):第一,對高級的、未知的威脅檢測。第二,建立時間追溯、調(diào)查機(jī)制。第三,建立快速響應(yīng)和阻斷機(jī)制。第四,關(guān)注新技術(shù)風(fēng)險。第五,關(guān)注內(nèi)部安全風(fēng)險。第六,加強(qiáng)數(shù)據(jù)隱私保護(hù)。第七,關(guān)注應(yīng)用系統(tǒng)漏洞風(fēng)險。”
瑞數(shù)信息技術(shù)(上海)有限公司技術(shù)總監(jiān)關(guān)福君
從創(chuàng)始之初,瑞數(shù)信息就目標(biāo)明確地要“另辟蹊徑”——以Web應(yīng)用為主的主動+動態(tài)防御,識別自動化工具的攻擊。用他們自己的話來講,“瑞數(shù)信息要做的就是,對目前市面上效率漸高、成本漸低地自動化攻擊,進(jìn)行‘釜底抽薪’,把它的效率再打回去,同時還要把它的成本再提上來。”
瑞數(shù)信息技術(shù)(上海)有限公司技術(shù)總監(jiān)關(guān)福君在題為《風(fēng)控前置-動態(tài)防護(hù)金融行業(yè)自動化攻擊威脅》的演講中指出,“動態(tài)防護(hù)金融行業(yè)自動化攻擊威脅,有別于傳統(tǒng)風(fēng)控依賴于規(guī)則和定制的業(yè)務(wù)威脅識別技術(shù),其通過動態(tài)技術(shù)實現(xiàn)對工具和人的識別,防止針對金融客戶的各種自動化攻擊。”
在他看來,動態(tài)技術(shù)可以確保客戶端數(shù)據(jù)采集的精準(zhǔn)性,可以讓風(fēng)控從中后臺走向前臺,有效甄別工具的模擬訪問行為,即在客戶端還沒有訪問到業(yè)務(wù)系統(tǒng)時,識別出是工具訪問還是人訪問,助力金融機(jī)構(gòu)實現(xiàn)風(fēng)控前置,應(yīng)對金融行業(yè)面臨的自動化攻擊威脅。同時,動態(tài)防護(hù)無需修改任何應(yīng)用服務(wù)器代碼或業(yè)務(wù)邏輯,客戶端也無需做任何配置;完全顛覆傳統(tǒng)基于已知特征和規(guī)則的防護(hù)技術(shù)存在的天然缺陷,徹底扭轉(zhuǎn)“攻易守難”的被動格局,可以讓防御變得主動、動態(tài)、實時、高效、簡單。
中國銀河證券網(wǎng)上交易中心主任 王錦炎
作為信息安全的基礎(chǔ),密碼算法和密碼產(chǎn)品的自主可控是確保我國信息安全的重中之重,國產(chǎn)密碼算法的推廣和應(yīng)用已經(jīng)成為我國快速應(yīng)對信息安全威脅的首選措施之一,也是我國從根本上實現(xiàn)信息化產(chǎn)業(yè)完全自主可控的安全基礎(chǔ)。國密改造的核心在于安全體系建設(shè),需要解決如何運(yùn)用國密算法保證交易過程的安全。
中國銀河證券網(wǎng)上交易中心主任 王錦炎帶來了題為《國密算法在證券公司的應(yīng)用與實踐》的演講。他告訴參會嘉賓:“互聯(lián)網(wǎng)證券交易系統(tǒng)國密改造工作是一項較大的、嚴(yán)謹(jǐn)?shù)墓こ蹋婕懊鎻V、銜接性強(qiáng)、實時性高。因此要堅持統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一實施、充分試點(diǎn)的原則,滿足全面應(yīng)用、強(qiáng)化管理、整體推進(jìn)的要求和保證審慎試點(diǎn)、新老并行、業(yè)務(wù)不中斷的堅持。”
在他看來,制定完善的應(yīng)急處置預(yù)案,充分驗證,盡可能把所有情況都考慮到、驗證到、試點(diǎn)到,確保系統(tǒng)在實施國密改造期間和實施改造后安全穩(wěn)定運(yùn)行。在充分測試的前提下,先從邊緣系統(tǒng)開展改造,再到核心系統(tǒng)實施,穩(wěn)步實現(xiàn)行業(yè)和各機(jī)構(gòu)密碼國產(chǎn)化工作目標(biāo)。
Veritas公司大中華區(qū)技術(shù)銷售與服務(wù)總監(jiān) 顧海巍
新基建是新一代to B信息化的具體建設(shè)綱領(lǐng),而金融新基建是新基建的重要環(huán)節(jié)。一方面,金融業(yè)是新基建的設(shè)施的重要使用者,包括5G、大數(shù)據(jù)、人工智能等新技術(shù)都在與金融行業(yè)進(jìn)行融合。另一方面,金融業(yè)也是新基礎(chǔ)設(shè)施的重要賦能者。
Veritas公司大中華區(qū)技術(shù)銷售與服務(wù)總監(jiān) 顧海巍帶來了題為《API數(shù)據(jù)運(yùn)維框架》的演講。他在演講中指出:“新基建雖然帶來巨大的行業(yè)機(jī)遇,但是機(jī)遇與挑戰(zhàn)并存。數(shù)據(jù)爆炸將會是常態(tài);數(shù)據(jù)監(jiān)管會變得空前嚴(yán)格,運(yùn)維的核心轉(zhuǎn)向數(shù)據(jù);邊緣場景的數(shù)據(jù)運(yùn)維需求會日益突出。為了應(yīng)對這些挑戰(zhàn),需要有一個面向未來、足夠彈性的數(shù)據(jù)運(yùn)維平臺,來應(yīng)對不可預(yù)測的數(shù)據(jù)增長率、不確定的數(shù)據(jù)源和數(shù)據(jù)類型。而在這個平臺下需要一個統(tǒng)一的數(shù)據(jù)運(yùn)維框架,讓數(shù)據(jù)運(yùn)維滿足業(yè)務(wù)敏態(tài)需求,同時也滿足監(jiān)管的需求。”
他認(rèn)為,Veritas成熟的現(xiàn)代化集成式技術(shù)可以解決企業(yè)的數(shù)據(jù)可用性、數(shù)據(jù)保護(hù)和數(shù)據(jù)洞察三大需求。對企業(yè)而言,數(shù)據(jù)洞察解決方案可幫助關(guān)鍵數(shù)據(jù)定位,并通過增加數(shù)據(jù)透明度,進(jìn)一步幫助企業(yè)實現(xiàn)數(shù)據(jù)合規(guī)。
中企通信金融行業(yè)解決方案團(tuán)隊負(fù)責(zé)人萬榮華
當(dāng)前SD-WAN 非常流行,它切實解決了企業(yè)在如今復(fù)雜應(yīng)用環(huán)境下的組網(wǎng)需求。然而安全特性缺失的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)很可能會導(dǎo)致未來的數(shù)據(jù)風(fēng)險甚至需要重復(fù)建設(shè)。
中企通信金融行業(yè)解決方案團(tuán)隊負(fù)責(zé)人萬榮華帶來了題為《金融行業(yè)SD-WAN網(wǎng)絡(luò)解決方案的機(jī)遇和挑戰(zhàn)》的演講。他認(rèn)為:“金融行業(yè)廣域網(wǎng)的特點(diǎn)是混合部署是主流,專線的比例普遍較高,并且是點(diǎn)對多點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu),因此金融行業(yè)建設(shè)SD-WAN時,應(yīng)該注重運(yùn)維的管理,選擇智能運(yùn)維的模式。中企通信在監(jiān)控上可以實現(xiàn)7x24小時響應(yīng)告警,MPLS專線和互聯(lián)網(wǎng)線路。在配置上可以做到客戶只讀,中企通信配置,配置變更可追溯,配置備份,日志備份,版本更新。在排錯上可以實現(xiàn)故障可追溯,中企通信統(tǒng)一窗口。在報告上可以為客戶提供定制化運(yùn)維月報、故障報告,并舉行季度優(yōu)化會議。“
他表示,企業(yè)需要一個完整的SD-WAN服務(wù)過程,基于客戶服務(wù)管理維度的新合作模式,通過中企通信構(gòu)建的綜合服務(wù)能力平臺為基礎(chǔ),根據(jù)多維度評估方式優(yōu)選最佳的廠商合作,實現(xiàn)服務(wù)+技術(shù)深度結(jié)合,形成1+1>2的產(chǎn)品輸出能力,保障客戶需求實現(xiàn)過程閉環(huán)的完整性。
Gigamon技盟中國北區(qū)/西北區(qū)銷售總監(jiān)趙強(qiáng)
Gigamon技盟在處理跨區(qū)域的網(wǎng)絡(luò)安全挑戰(zhàn)、以及部署跨國公司信息運(yùn)轉(zhuǎn)和網(wǎng)絡(luò)布局方面,有著豐富的經(jīng)驗和系統(tǒng)解決方案。技盟的看家本領(lǐng)是幫助企業(yè)在數(shù)字化網(wǎng)絡(luò)基建過程構(gòu)建起敏捷的混合網(wǎng)絡(luò)基礎(chǔ)架構(gòu),在對網(wǎng)絡(luò)流量進(jìn)行有效聚合、轉(zhuǎn)化、分析同時大幅度的控制成本。
Gigamon技盟中國北區(qū)/西北區(qū)銷售總監(jiān)趙強(qiáng)帶來了題為《為企業(yè)安全架構(gòu)賦能——通過技盟流量平臺提升網(wǎng)絡(luò)安全效率》的演講。他表示:“技盟會在混合環(huán)境中提供可視化部署,并將正確的流量提供給需要數(shù)據(jù)包或元數(shù)據(jù),再通過Insight云數(shù)據(jù)倉庫和GigaVUE-OS以及一些安全組件來對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析、監(jiān)視或安全性分析,通過這種可視化與分析結(jié)構(gòu) (VAF) 來對數(shù)據(jù)流進(jìn)行清洗、脫敏、加密和結(jié)構(gòu)化。”
他表示,Gigamon 可視化與分析交換矩陣能將網(wǎng)絡(luò)和安全團(tuán)隊連接到與各自工具接口的通用平臺,該體系結(jié)構(gòu)還能夠隨著組織的發(fā)展進(jìn)行擴(kuò)展,通過網(wǎng)絡(luò)升級實現(xiàn)更高的性能連接,更大限度的網(wǎng)絡(luò)可用性,并加快新安全工具的部署速度。這樣能夠保證技盟的客戶減少網(wǎng)絡(luò)維護(hù)和系統(tǒng)升級的時間,提高工具的工作效率。
泰康在線財產(chǎn)保險股份有限公司基礎(chǔ)平臺部總經(jīng)理程戰(zhàn)戰(zhàn)
金融業(yè)的核心是風(fēng)險管理,通過積累數(shù)據(jù)、完善風(fēng)險管控模型是企業(yè)提升風(fēng)控的有力途徑,從而為用戶提供更多價值和服務(wù),以及持續(xù)盈利的能力。而保險行業(yè)是較早運(yùn)用大數(shù)據(jù)的行業(yè),也是對數(shù)據(jù)極度依賴的行業(yè)。
泰康在線財產(chǎn)保險股份有限公司基礎(chǔ)平臺部總經(jīng)理程戰(zhàn)戰(zhàn)發(fā)表了題為《數(shù)據(jù)安全管理策略與實踐》的演講。他指出:“數(shù)據(jù)安全主要分為四大部分,分別是體系安全、基礎(chǔ)設(shè)施安全、應(yīng)用系統(tǒng)安全和使用過程安全。”
程戰(zhàn)戰(zhàn)告訴參會嘉賓,從體系安全的角度來說,ISO27001是一個比較通用的體系,在體系的指導(dǎo)下,企業(yè)要形成一系列的制度。在制度相關(guān)建設(shè)上,泰康財險主要有以下四條經(jīng)驗:第一,信息安全核心是管理,七分管理三分技術(shù)。第二,法律法規(guī)是基礎(chǔ),信息安全體系是框架,制度是血液,流程是成果。第三,制度應(yīng)該定期審閱,對外適應(yīng)外部法律法規(guī)變化,對外適應(yīng)公司組織結(jié)構(gòu)變化及業(yè)務(wù)形態(tài)變化。第四,強(qiáng)有力的系統(tǒng)支持,是實現(xiàn)制度的手段。而在基礎(chǔ)設(shè)施安全上,針對公有云存儲重要數(shù)據(jù),需考慮資質(zhì)因素、考慮網(wǎng)絡(luò)隔離措施、租戶隔離措施等基礎(chǔ)因素;而私有云存儲重要數(shù)據(jù),需建立完善的備份/恢復(fù)制度,并定期進(jìn)行演練。
京公網(wǎng)安備 11010502049343號
