2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上举行了圆桌论坛。

vbox13102_3L4B7991_165737_small

圆桌论坛主持人:中国信通院云大所金融科技部技术总监许一骏。

嘉宾:

安信证券股份有限公司 安全总监李维春;

上海工业控制安全创新科技有限公司蒲戈光;

上海观安信息技术股份有限公司CTO胡绍勇;

天融信科集团金融行业安全专家、技术总监肖松。

论坛主持(许一骏):请各位先介绍一下自己做什么工作、从事哪些领域吧。

肖松:大家好,很高兴有机会参加论坛,我叫肖松,金融行业从业快20年。

李维春:我是来自安信证券的李维春,向各位专家同事多请教。

胡绍勇:我来自观安信息的胡绍勇。

蒲戈光:我是上海工业控制安全创新科技有限公司的蒲戈光。

论坛主持(许一骏):我们准备了几个问题,首先是关于个人信息泄露的情况。各位可以介绍一下自己面对这种情况可以怎么去应对这样一些挑战。

李维春:以前在科技行业里信息泄露的情况没有那么敏感,我一进金融行业确实遇到您所提到的疑似客户信息泄露的情况发生,我们也进行了调查,也跟同行做了交流。确实这个事挺重要的,全国上下呼声很高,我们在推进和解决遇到了一些困惑。我的基本观点是“治乱象,重点”,下手要快狠准。

大家都说重视,但是事到临头时,除非这件事特别大,否则找不到对口的单位和部门来帮助你解决问题。虽然很重视个人信息安全保护,但是我个人感觉有九龙治水的现象,各部门都在管,但好像管得都不是特别有成效。个人建议有一个有效协调机制,出了事知道找谁帮助解决问题。

第二,企业自身要负相关责任。我建议分两头,一头是以往咱们确实对数据保护不够重视,企业自身有缺漏,过去的帐想办法清掉。另外,后面如果再有新的帐,要下狠手,办一批大案要案。有些企业领导如果数据保护不得力,应该把他撸掉,要快狠准、要有效,不能好像大家都在干,但总干得不疼不痒的。

蒲戈光:刚才提到两个问题,一个是个人信息保护,另外一个是企业信息泄露的安全防护。刚才安信证券的李总监侧重了个人信息保护。

我觉得两个问题不太一样,个人信息保护,工信部、网信办今年都是针对APP的,APP里有过量采集的个人信息,这是个采集的渠道,为什么有这种情况?因为之前国家法律法规没有明确的要求什么该采、什么不该采,有一个条款说只要用户允许就可以了,但是用户是个弱势群体,用这些APP就相当于被动接受了霸王条款。另外,九龙治水是个真实情况,各个部门比较重视、都在管,但是目前没有统一管的渠道,也没有明确的文。

如果说下重手,前一段时间能够看到开展爬虫整顿风暴行动后,对涉及爬虫的公司影响比较大,征信和爬虫的企业立马业务就停止了。这说明是有办法能做一些管理的,只不过现在从法律法规和监管的渠道、管理渠道还没有定下明确的文。这是个人信息采集渠道,采完以后的保护主要在企业这边。现在是智能化时代,数据必须做交换才有价值,在交换或者使用过程中有很多泄露的渠道和点,这里面如果企业自身对它的数据没有做好梳理,或者对他数据交换的边界没有摸清的话,采取的很多安全手段也很难起到原来预期的效果。

像我们传统的网络安全一样,不摸清家底,再多防火墙都有不知道的主机暴露在公网上。所以第一步是先把数据清理或者数据摸清,针对边界做巩固的手段,前面的白皮书提到脱敏或者加密等手段。从多种手段一步步先把数据资产摸清之后,逐步针对边界做些管控,对企业来说至少是一个行之有效的技术上的手段。从管理上像刚才提到的,从监管的要求明确责任,立好法规以后企业自身就会重视,将这些措施落实地位。

胡绍勇:我觉得国家对数字资产不够重视,没有把数据资产跟个人有实验的资产同等重要,在立法上没有跟进。

要解决的话有三个渠道:

第一,行业定标准,哪些资产不能去碰。

第二,需要有中间检测机构专门检测这些APP。现在很多APP很流氓,如果不给权限的话它就不让我安装,这个就没有其他选择余地。

第三,立法要跟进。这个资产不仅仅是我们手机上的泄露,包括任何电脑上产生的数字要有一个边界,到底哪些是我的、哪些是别人的。举个例子,现在这么多摄像头,摄像头拍我们的时候,我们都说有肖像权,拍进去之后我应该在我的公共设备上存多久、去销毁它还是永久存?这些边界都没有确定,造成很混乱,这还是要从法律法规层面去。

肖松:我们在安全防护过程中也有些体会,数据防泄露这块是最直接或者最快捷的。现在我们在北京这几年做了很多这方面的项目,从用户来看,他们更迫切的是在互联网出口、办公网、生产网、内网之间数据泄露,重点检测泄露的敏感信息是一方面。另外一个途径是在生产网到办公网或者生产网到测试网数据,那是我们需要把生产的数据脱敏后放到测试网进行使用,这是最直接的方式。

另外,我们也思考了一个问题,我们对数据的理解不仅光是事后审计、事中检测,还是要往事前去努力。包括前期对用户基于身份的管控,包括加密、防篡改,等等这些都是我们在体系内需要考虑的。

论坛主持(许一骏):现在人工智能、大数据等技术不断影响网络安全的防护,带来影响一些和变化。各位可以谈谈在过程中,这些技术与你们的工作有哪些结合?它怎么影响网络安全防护?未来在网络安全防护呈现哪些特点和趋势?和我们简单分享及总结一下。

肖松:金融科技这几年发展特别快,它对金融业务在创新过程中发挥很大作用,但是金融科技带来一些安全隐患,这点我们也需要重视。

业务侧重在差异化竞争优势,扬长避短,信息安全建设防护这块更多考虑的是木桶效应。业务发展、安全防护这件事本身就是矛盾的,也有统一的地方。我们在思考,怎样使金融科技在服务或者支持促进业务的过程中,在安全这块做更多的努力。

刚才主持人提到未来安全往哪个方向走。云计算、大数据、人工智能、区块链这些金融科技之间是关联的,云计算基础是重要核心资源,比如分布式处理技术,包括区块链会用到很多共性的东西。对于金融科技来讲,安全产品目前也在逐步把金融科技最新科技成果能够应用到安全设备里。最典型的是我们推出的态势感知,但是现在需要基于大数据再融入人工智能、AI元素,进一步往安全角度发展。

论坛主持(许一骏):李总从用户来谈一谈。

李维春:我觉得主要是三个方向:

第一,大数据。金融行业、券商对于数据的整合、分析、应用,一定是未来的重中之重。很多金融企业做科技转型都做技术中台、能力中台、业务中台,一定跑不了数据中台,涉及到数据的存储、传递、应用、分享,数据在使用中会产生价值的,这个过程会给安全带来极大的挑战,而且这个问题一定是长期存在的,怎么让它更安全。

第二,中台的出现以及新技术的应用。比如我开发过程中要用DevOps,这些过程中容器云、微服务架构的引入,会颠覆原有的IT技术架构,IT技术架构变了,安全架构也会变。

基于前两点,我设想的趋势是这样,安全不再基于传统的以隔离为典型控制的访问控制措施,有可能安全会把各种模块、各种职能做成一个服务,把你的服务和你的业务系统、和你的工作流程去整合。比如我的身份验证可能就是个服务,比如我的数据脱敏就是个服务,每一个环节做成一个服务,把服务嵌到我的系统,这样可以让我的系统和安全去做些融合,这是我前面想到的两个点。

第三,未来AI的对抗有可能在金融行业里矛盾会比较突出。有两个例子可以说明这个问题,一个是前一阶段闹得沸沸扬扬的事,第二个是英国出了一个案例,有一家诈骗公司模仿老板给财务打电话,然后转了几百万。这个事就提醒我,我现在开会都不需要到现场,都是远程的,远程这些信息一定会遇到AI的挑战,我怎么知道是真的?类似的场景可能还会存在。我们需要加强在AI上攻防的研究,更多是基于场景的研究,后面可以提倡对于金融或者对于某些行业AI场景应用的研究,做攻防。你知道它有哪些研究技术,做有效的防御。而且这个领域一定是攻击者领先于防御者,把这个工作做到前面,安全工作才可以起到更好的防护的效果,这是我的一些设想。

蒲戈光:简单从乙方视角说一下,之前跟一些金融客户也沟通了,新技术给安全带来的变化。前面有嘉宾提到,现在不光是金融行业,其他企业也是一样,安全团队的人才比较少、缺口根据大。同时,目前很多看到业务和安全是有所冲突的,安全工作比较难做,看不到成绩到底体现在哪里,出了事的责任又全是安全的。

我觉得两者应该互相碰撞和结合,从零信任和从自身架构,更多是偏理念上的变化,它把理念变化之后安全架构做颠覆或者重新设计。比如零信任可以从传统的IP和端口的访问控制,转入到从身份API动态信任,并且随时验证,这样强化安全无边界,但实际上它是把安全融入到整个业务流程里去了。

从我的角度看来有几点:

第一,解决安全甲方乙方存在这样的问题。解决安全的现状,从安全攻防实战出发,不管是安全木头理论还是持续对抗,从实战角度发现当前的短板。另外,锻炼安全团队,从实战里培养企业内部应急机制、处置机制及各部门协调。

第二,安全不能和业务对立。像前一段时间《阿里巴巴中台战略思考与架构实战》的这本书也提到,它的技术中台从2007年就开始建设。但是为什么一几年之后才逐步建得比较好?一开始是业务部门比较强势的,中台在建设过程中是夹缝中求生存的,和安全有点像。如果将安全做好,安全能力、安全自身也要中台化,把它所有的安全能力向服务化、业务部门等提供能力,和业务好融入到一起。这样一个是提升安全的价值,也能够为业务进行服务。

现在安全的行商和国家政策对安全是个利好,因为会要求大家来重视安全。既然有这个明确要求之后,也让大家能够看到如果出现安全事故或者造成什么损失,安全能够帮助业务挽回一些业务上的损失,或者加大业务的客户群,能对业务带来帮助,从安全上也往中台化方向发展。

另外,AI。现在很多安全产品说人工智能,但是目前在我们看来还处于起步阶段,图像识别、人脸识别或者语音识别比较成熟。安全比较复杂、比较难,我们更强调机器AI+人工专家智慧结合,也结合当前的像RPA这种流程自动化技术,把我们专家的经验固化下来或者沉淀下来,利用专家的经验解决当前安全团队人手不足,无法应对比如重保安全事件的处置。另外,将这些经验和技术结合起来之后能够应对新的威胁。云计算、大数据这些新技术肯定带来IT技术的变化,技术发展是一直在迭代的过程,从理念上先做些变化之后,安全工作才比较容易开展或者更有价值。

胡绍勇:科技金融对金融行业未来会有促进,也会有反面作用,比如量子计算它对未来金融行业影响很大,未来密码系统破解以后怎么发展新的密码?从AI角度来看也有促进作用,比如现在目前大家都在做情感支撑,能够用AI技术看你到底是否很紧张,但是可能通过肉眼看不出来,这些东西可以帮助银行,比如拣的银行卡去柜台取钱,他很紧张就能够探测出来。所以技术在行业中,正面、反面的作用都会有。

论坛主持(许一骏):胡总是做工控安全,等保2.0新增了专门针对工控安全的要求。从我个人理解,工控安全可能比较难做,它都是为此微小的器件,不好像传统的搭一堆WAF或者搭一堆硬件东西去维护它的安全。

请问从工控安全来说,怎么做可以保证它的安全?或者怎么进一步提升安全?另外,你们有没有在金融行业有你们自己相关的研究和防御的建议或产品?

胡绍勇:工业安全是我们最早开始做的一个方向,也是我为什么参加这个会议。大家觉得工厂不会对外联网,安全隐患应该会很少,但实际上并不是,有些安全隐患是尽管内网本身是通的,如果人为因素带来病毒到工厂内部,这时候就很危险。

只有出过事情的工厂才会求助安全厂商去解决问题,如果没有出问题,它都很自信满满,觉得不会有什么问题。这可能是慢慢转变的过程,一方面要出行标,像新等保出来之后规定业务场景,比如规定物联网一定要做等保。

另外,我们研发软件安全技术,完全可以延伸到金融行业,比如金融行业可以买一些安全工具,在其他行业也会一样。所以我们就研发了一款工具,相当于要做自主可控,因为在军队里很多业务不能去买国外的产品,所以我们在这方面推进研发。

论坛主持(许一骏):金融行业网络安全跟其他行业有没有区别?网络架构等有没有明显区别?或者它的特点是什么?

蒲戈光:金融行业肯定有它的特点:

第一,金融行业比较务实,需要我们的安全产品真正帮助它解决问题。给客户介绍完以后要评估一下实施效果,产品部署之后解决什么问题,后期运营好不好用等等,这是他们比较关注的一些点。我们各级金融客户非常务实。

第二,金融客户在IT建设相对其他行业领域领先。愿意去尝试新产品、新技术、新理念,只要能够帮助它解决问题。

论坛主持(许一骏):在网络安全防护架构上会有不同吗?

蒲戈光:从大的架构体系来看,它和其他运营商或者电网有些区别,比如电力这些行业比较严格的按照几网隔离,但金融行业的业务需要依托互联网开展,所以它会有些不太一样。

从采取的技术上,目前愿意采取国外的技术,但是之后随着国家对这块整体的政策要求,也会逐步向自主可控的方向进行转移,只是当前还是不太一样。

肖松:谈到金融行业特点,金融行业跟数字和IT结合非常紧密,信息系统安全防护需要我们考虑几方面特性:

第一,对系统要求比较高,尤其在证券行业体现比较深,中断1秒钟、2秒钟就明显感觉不一样了。

第二,从金融安全保护对象来看和其他行业有区别,首先是保障金融客户的帐户资金,这个很敏感。还有一个是用户的金融信息,最近金融行业等保2.0也对这块做了要求,不仅包括个人信息安全,包括大数据扩展。这说明金融行业对于用户的敏感信息是要求比较高的,因为它影响面比较大,老百姓基数比较大,一旦涉及到客户的敏感信息就会影响比较大。

我们可以这样来看,对金融来讲,互联网办公这几张网来讲,它对安全防护的要求是不一样的,或者差异很大。我们数据中心是很重要的防护重点保护对象,金融行业都在走“两地三中心”,这里面对实质性要求确实体现出来了。

我们在防控这块提出了更多挑战,我们给一个大型商业银行做态势感知安全时,体会到这么大容量要对出口容量进行全量采集、全要素感知,这样带来一个问题,需要对“两地三中心”出口的互联网的这些流量进行采集、监测、本地化。再一个,本地的和总体的,形成一个要求,我们需要对分布式的处理架构提出很大挑战,这点我们能够明显感觉到。

论坛主持(许一骏):李总有没有补充的?有过金融行业和其他行业的比较吗?

李维春:金融行业和其他行业在信息安全方面的不同有挺多的。我过去在科技行业有过一些经验,简单总结金融行业:

第一,有钱。我以前在公司里做信息安全,50%的时间是在要人要钱,但我周边的金融行业不用太担心这个问题,可能人员编制紧张一点。

第二,金融行业愿意在网络安全、信息安全方面做创新性尝试,这也是金融行业为什么走在全国不同行业前列的一个重要原因。

第三,金融行业信息安全的重点和其他行业不一样。科技行业如果做得好,它首要是保自己的商业秘密,如果它做到中兴、华为这么大,国家层面上会来自国家层面危机的对抗,这时候它需要攻防对抗,其他中小型企业不会遇到这样的行业。但是金融行业不一样,不仅要做攻防对抗、保证自己的生产不中断,还要维护国家的金融秩序、保护重要数据。

第四,金融行业的业务特点比较习惯用先进技术和理念解决问题。科技行业不需要用太先进的技术手段,管理手段就能够解决掉。

所以这两个侧重点和差别比较大。

论坛主持(许一骏):您后续更希望厂商在哪些方面得到改进?或者更希望得到厂商怎样的服务?

李维春:就我看到的券商行业讲几句。券商未来的发展:

第一个,会做各种能力中台、技术中台。

第二个,如果券商的交易模式、业务模式不变,不管是交易模式快,还是反应速度快。快是券商的一个典型优势,IT、安全都是要为这个目标去服务的,保证既快又安全。这块新技术的引用、新流程的方法,比如DevOps容器微服务这些技术架构的引进对架构有显著变化,安全架构也会带来变化。这时候很多传统的安全厂家如果还是按传统的技术思路来给我们卖东西、卖防火墙,这些可能已经不适用了。建议大家多听听甲方需要什么。

另外,这几年看到金融行业和券商会用一些行业创业公司的产品和技术。我们其实也担心这个公司还能撑多久,但是大家愿意支持它们创新以后,发现它们也可以走得更远,原因就是它们在技术上、在某些点上确实可以有效解决问题的。我个人作为甲方,希望多看一看创业公司的新产品、新技术。

作为同行、服务商、产品技术提供商,大家也可以多比较一下。前一段时间听到同行间恶性竞争的案例,安全行业要互帮互助、守望相助,一起把行业做大做好,尽量避免恶性竞争事件,大家共同学习、共同提高。

论坛主持(许一骏):也感谢各位专家的参与!感谢在座各位来宾的莅临,本次论坛到此结束。

谢谢!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-04-04 11:00:49
国内资讯 数字化转型全面发力 23家券商去年IT投入 合计超200亿元
在证券行业不断加大信息技术投入,数字化转型进入全面加速阶段之际,证券行业信息安全事件却时有发生,暴露出券商在数字化建设方面仍有不足。 <详情>
2023-01-31 11:15:49
云计算 绝地重生,金融科技拉开新战幕
对于金融科技来讲,这是一件好事。它告诉我们,金融科技不再充当玩家们收割流量的工具,而更多地开始发挥构成金融科技的基本元素——金融和科技——本该发挥的功能和作用。 <详情>
2022-11-09 09:17:26
云资讯 工信部:加快推动网络安全和金融服务创新融合发展
网络安全保险是为网络安全风险提供保险保障的新兴险种,已日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。 <详情>
2022-08-10 08:57:00
云计算 守正创新,筑牢金融行业“数字”安全防护体系
数据安全的核心在于保障数据的安全与合法有序流动。数据安全防护技术主要对数据产生、采集、传输、存储、使用、共享、销毁等生命周期各环节进行防护。 <详情>
2022-07-21 13:10:31
大数据 乘金融科技之风 银行探索小微企业融资破局之道
实际上,金融科技的相关技术已经渗透到普惠金融业务的全生命周期当中。 <详情>