2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,嘉实远见信息安全科技专家周明昊分享了《金融科技下的安全管理与挑战》。
在准备题目时花了不少时间,我看到的议程前一位嘉宾的主题是安全运营实践,一定是干货满满的题目,那我就讲一些工作中遇到的实际问题、思路以及未来发展趋势。
嘉实远见科技是嘉实基金全资科技子公司,基本是嘉实基金的IT部门独立运作起来。我们负责嘉实的安全管理,嘉实是一个中等规模的金融机构,有1000多名员工,3000多个IP,100多个系统,IT的压力是比较大的。对于券商而言,我们人员可能不算多,但在基金公司里还算规模比较大的,后面我们会聊一下遇到哪些方面的挑战。
先说下外部的情况,大家对安全很关注,但关注在技术怎样、金融机构受攻击了。日内瓦世界经济组织论坛每年讨论世界大事,恐怖袭击、粮食危机、自然气候变化等大问题,我们看看网络安全现在排到什么地位?还是比较靠前的。在可能性上,网络安全已经排到第三位了,在严重性影响利益上,排第一是大规模杀伤武器,第二是极端天气,网络安全排在第六,排在食物安全之前。现在很多人饿着肚子,但网络安全的影响已经排在这个之前了,甚至排在大规模疾病传播之前。所以在世界范围内,目前网络安全提到非常高的政治上的高度。
接下来看看我们面临的外部对手是什么样的,我展示了三张图:第一个图是暴力团体黑社会,想到的是超价、勒索、收保护费;第二个图是非法捕鱼,日本一家寿司店海鲜饭200日元,相当于人民币30块钱,为什么那么便宜?因为它没有捕鱼许可证,非法捕鱼;第三个图片是卖珍珠奶茶。这三个事情都是日本黑社会变化情况,从暴力团体发展成擦边球生意,再到后面珍珠奶茶完全合法,做着表面合法的生意,非常难打击。
我们面临的安全黑产可以类比上面三图的变化看,过去是网络勒索,这很明显是违法事件;后面变成贩卖用户数据,可以包装打着各种旗号,说运营商大数据帮助精准获客,其实是把很多数据拿出来卖;再到后面薅羊毛,这个事不一定说是违法,是灰色的事情。跟我们的对抗中,黑产越来越看起来合法化了,它自身的行为也越来越隐蔽了。我们发现现在是安全很难做的时代,因为我们信息系统越来越复杂,很多新技术、新科技一直在发展,安全要适应这些技术的变化,外部威胁也没有变小。虽然法律越来越严格、网络安全打击越来越严格,但是网络安全犯罪事件数量已经基本排在第一大类了,行为也越来越隐蔽了,目前安全可能是最难的一段时间。
既然提了问题,再说下相关的思考:
为什么安全这么难做?很大程度在于我们的安全风险,我们做了一些措施减缓风险以后发现减缓程度很难量化。我们看到的结果是什么?去年出事了,今年没出事,这是有或者无的区别,但是很难说今年没出事是运气好而没出事还是安全做到99%了。
另外,安全上前期很多工作是铺垫工作、水下工程,真正要表现出来产生结果的是很难量化的一部分。大家知道开车上路需要考驾照、买交强险,出了事故保险公司给你赔,未来我们企业会不会有类似于交强险?保险公司对你的安全状态做评估,安全做得少的保费低一些,差的保费高一些,钱必须交,出了问题这部分钱用来做赔偿。会不会有骗保?这部分钱很大程度上不是赔给企业,是赔给受害的用户,从你机构网站上泄露出去的用户的信息,甚至是交的罚款。这样安全绩效更容易体现出来,安全投入500万,保费降了300万,这800万就是我的成绩。当然,这是我的想法。
另外,安全成果很依赖于组织内部的配合。安全往往是发现问题的一个部门,但是解决问题、漏洞修复、打补丁、修改口令甚至员工安全意识培训,员工能不能照着你说的去做,很大程度上取决于你组织内部资源跟你能否有效配合。你达到这个目标就需要融入整个IT部门的绩效目标。IT部门的绩效如果有安全的成份在里面,如果你跟IT部门的领导是相同的考核、相同的绩效,在安全这部分来看,安全的事情就比较容易推很多。
另外,用保险的例子来说,我认为安全问题也是个经济问题,就是你的投入和产出是不是能够匹配上。这涉及到我们对安全可能要做预判,因为我们的预算、精力有限,我们目前看到有那么多技术,要做数据防泄密、要看威胁情报、要代码审计等等,那么多事,一年不可能做得完,我做选择、做决定的时候就意味着我接受了另外一部分风险。
刚刚长江证券陈总说安全有时候像做医生,我非常认同这句话。上医治未病,去医院应该有感受,患者来检查,你跟他说建议你去做胃镜,他说没必要,后来病重了再花大力气去治。我们不希望等病重了再治,希望尽早把IT安全管理状态调好。
我们也要做预判,看哪些方面预先去关注,这个预判看两部分:
一部分是看发展趋势,比如今年有护网了以后,很多安全服务商的入侵检测系统、蜜罐系统和演练系统卖得很好,因为护网系统需要大量提前演练,需要捕获外部攻击,这是外面大趋势。安全有时提前做伏笔,跟公司内部沟通,到时候政策真正下来的时候,你的话语权和在公司内认可度会有一定的上升。
第二点是看自身的风险,安全有点像防守一座城池,我们的优势在于有城防图,知道内部地理情况。攻击者的优势在于它可以无成本的长期的攻击你。我们基于自身情况去做选择,也是利用我们的优势去打对方的弱势。
另外,安全在组织内部需要经常跟大家沟通的两句话:第一,安全和短期效率矛盾,和长期效率一致。未来系统不会因为任何软件而系统挂掉、重做,也不会因为泄露了信息而让业务发展倒退5年、10年。我们跟内部组织沟通时,别看你现在麻烦了,但长期来看是划得来的。有同事反映这个事情给他添加了很大负担,我会从这个角度去说,安全与个体利益一般都是冲突的,但是和公司利益是一致的,保障的是公司管理层、股东、用户的利益。这是我们对安全工作上遇到问题的一些思考。
两个今年年初规划的项目:
第一个,是数据防泄密。随着《网络安全法》、随着行业内对数据分期分类指引的出台,我们觉得数据防泄密如果过去没做,现在是很紧迫的位置,所以今年着重做了建设。前期调研时市面有很多方案,归根结底做数据防泄密是两套方案:第一套,进不来+拿不走+跑不掉,这个方案需要你把从准入到DLP应用权限管理、DLP审计这套要全,准入管好了,但是一台外面的电脑接进来,出问题了;权限管理不做,是纯事后的方案。第二套,“用不了+跑不掉”,国内制造业用得比较多,是加密的思路,你要拿就拿,但是拿走以后文件是加密的,你打不开、用不了,而且有对应的审计。我们选择了前面一种思路,宁可把链条做得长一点,用DLP的方案去做。
第二个,考虑安全运营中安全告警增长实在太迅速了,证券基金公司安全人员一般都不够,要做大量安全告警就必须有安全数据平台。我们不用把所有数据先都收集上来,先把一种或者几种场景吃透,然后逐步完善,数据一上来太多,可能也消化不了。前期包括分析平台建设、基础数据准备、安全攻击专家建模,前期有不少准备工作,这段时间是看不到产出的。逐步地对入侵事件能够做到可视化,甚至把数据歪斜事件加到你的链条里来,领导看到你的安全数据分析能看到东西了。最终做成具备风险实时监测能力和展示安全事件对业务的影响,我这个服务器出问题了到底影响的是哪个业务、接下来还可能影响哪个业务,安全对业务的影响是什么样的,这是安全告警未来一个很重要的关注点。
接下来讲讲IT战略对来的挑战:
金融下的安全管理与挑战。什么是金融科技?很多公司对金融科技的理解都有区别,但是相同点是金融科技发展带来IT部门地位提高、重要性提高。原来安全是IT里面相对后台的岗位,IT在金融公司里的地位其实不高的,但是现在高盛IT部门都超过三分之一了,IT驱动业务一定是金融科技发展带来的一个重要成果。IT金融科技驱动业务的话,企业内部会有这方面的战略要求。
比如嘉实目前的金融科技认为有两个重要因素,一个是一体化、大中台;另外一个是数据驱动,数据驱动带来价值。一体化举个例子,就像我们原来都是手工定制系统,完全根据业务方需求去做系统。接下来我们不做系统了,我们是一个工厂,生产模块,把标准化模块放在这里,要用的时候能够很快速拼起来,给业务一个试错的能力。业务发现原来一个系统建设半年,上了以后发现业务做不起来,这段时间都白瞎了。嘉实的金融科技做成后我很快把你的系统能拼起来,给你业务,你可以去尝试和试错,但是你拼的前提是我给你中台做得比较完善了,业务只需要考虑前端逻辑就可以了。
在这两个战略思想指导下安全怎么做?我觉得挑战是比较多的:
第一,大中台结构下安全设计。大中台内部访问性质跟以前不一样。中台间的组件相互很密切,一个中台可能支撑不同的业务,一个业务风险和另外一个业务隔离开,但是一个中台有横向扩展的可能性。另外是纵向上会发现,到底谁来做安全校验、谁来做参数过滤。原来我们同意后台做,现在可能又变成中台做,但是中台和前面的对接上可能又会有不一致的地方。这是我认为大中台的架构下安全的设计要重新考虑,要根据中台的模块去找一些关键点,在关键点上重点布防,比如认证模块、比如内部通信消息总线上,这几个地方安全上都需要做额外评估。
数据驱动带来的问题在于,我们要数据驱动,那数据一定是广泛流通的、是高效使用的。数据高效使用又会和你的保密管理之间存在天然的冲突,你数据一旦流动起来的话,数据到底流到哪里、哪一级数据在哪块达到什么验证,能够梳理清楚的公司非常少。在数据驱动下,安全的数据公司,有些公司有首席数据官,GDPR的实践是首席安全官和首席数据官要共同做数据治理。我的思考是,数据部门主要负责数据在公司内部该给谁不该给谁,安全部门主要管的是数据不应该被外部攻击和获取掉,过程中要彼此协同,这也是一个很大的挑战。
挑战也带来一些发展:
1、云计算。为什么现在安全方案非常多,每家方案都需要自己定制,因为我们的基础架构并不标准化,随着云计算发展业务上云以后,会带来基础架构标准化。
2、量子加密。为什么不上云?随着量子加密发展,未来金融机构不怕数据被别人窃听的情况下,给上云创造技术条件。
3、人工智能。以前大家说人工智能发展会不会把程序员取代了,有可能取代程序员,但是一定取代不了安全管理员,也一定需要安全人员看着人工智能,防止人工智能被黑。
我最近看了一些量子加密资料,我们现在之所以能够从事IT这个行业主要因为发明了图灵机。德国二战做了英格玛密码机,这是近代史上强的密码机,它有10万多种的密钥组合,本质也是把字母做相应的变换,但它有个转子可以让每个字母变换都不一样,当时认为人不能破解,图灵就做了图灵机把这个暴力破解了。大家说算法不行,要做密钥的保护,后来香农在数据上证明了无法破解的加密方式,它认为满足一次一密、随机密钥、明密等长就能够被破解。
量子通信在这个事情上优势很大,一是利用量子纠缠原理,提前把粒子分发给对方,自己也留一颗,通过粒子状态变化去做信息传递。本质上内容是不需要传输的,因为需要传的只是纠错码,粒子变化是随机的,信息跟粒子变化没有办法对应,需要纠错码去对应。它一次性解决两个问题,一个是随机密钥,一个是明密等长。另外,量子通信会带来一个很有意思的事情,就是什么情况下比无法破解的加密更强,是在无法被窃听的通信,什么时候比无法窃听更强?你被窃听了你自己能发现,量子通信能够做到你自己能发现,而窃听者发现不了你窃听他,如果在军事领域可以用这个方式误导对方。量子通信能够做到放在云上的数据被别人窃听了以后你自己能够发现,这就是一个很可靠的方式了。
在金融科技趋势发展之下,保守的IT战略是不吃香的,能发展得好的IT部门的领导一般都是有些激进的,有些是跟着新趋势走的。在这个过程中IT的绩效、公司目标就像一个攀爬珠峰的过程,它要面对很多未知,要用新技术把自己带上更高的山峰去走艰难的路。安全在这个过程中的作用,不是保姆是保镖,甚至是登山过程中的向导。我们提前去看科技发展中会有哪些坑,我们提前把这些坑在地图上标出来,我们让IT领导感觉到在这个过程中我们跟他一个目标,是保证他的战略顺利实施的一个必要条件。
一般说到DevOps,大家想到的是运维和开发,但是DevOps有三要素,第三个要素是质量控制,安全是技术发展中非常重要保障的一环。安全不能老提问题,提问题遭人烦,提问题时一定要把解决方案也提出来,拿安全经验提升IT整体管理水平的上升。
谢谢大家!