數(shù)字經(jīng)濟時代,發(fā)展和安全雙輪驅(qū)動。伴隨著《數(shù)據(jù)安全法》、《個人信息保護法》兩法相繼落地實施,數(shù)據(jù)和信息安全也被提高到前所未有的地位,積極應(yīng)對數(shù)字化風(fēng)險,建設(shè)網(wǎng)絡(luò)安全防線,保障數(shù)字化轉(zhuǎn)型中的安全問題成為各行各業(yè)及相關(guān)部門的工作重點。
為了解數(shù)字化轉(zhuǎn)型下的安全挑戰(zhàn)與應(yīng)對措施,騰訊安全發(fā)起“數(shù)實融合 安全共贏”圓桌討論,本期圓桌邀請到了:中國移動通信集團有限公司信息安全管理與運行中心總經(jīng)理張濱、中國建設(shè)銀行運營數(shù)據(jù)中心副主任常冬冬、潤聯(lián)科技信息安全總經(jīng)理郭勇、騰訊副總裁丁珂。各位專家圍繞信息安全管理指導(dǎo)方針和實操方法論進行討論,分享了運營商、金融機構(gòu)、大型企業(yè)以及安全供應(yīng)商等不同角度的觀點與實踐經(jīng)驗,本期圓桌論壇由北京賽博英杰科技有限公司創(chuàng)始人、董事長譚曉生主持。
精華觀點
中國移動 張濱:
通信行業(yè)承載國計民生的大數(shù)據(jù)資源,
數(shù)據(jù)安全已成為通信行業(yè)
安全監(jiān)管的新焦點
作為電信行業(yè)的領(lǐng)軍企業(yè),中國移動提出了“5G+AICDE”的數(shù)字化轉(zhuǎn)型戰(zhàn)略,將5G與人工智能、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、邊緣計算等技術(shù)深度融合,截至2021年6月,中國移動5G基站已累計開通了50余萬個,覆蓋了全國地市以上城區(qū)、部分縣城及重點區(qū)域,促進了工業(yè)、能源、交通、醫(yī)療、教育等產(chǎn)業(yè)數(shù)字化,助力各行業(yè)實現(xiàn)更大的綜合效益。
通信行業(yè)安全挑戰(zhàn):新技術(shù)、新應(yīng)用帶來的業(yè)務(wù)安全風(fēng)險
隨著數(shù)字化轉(zhuǎn)型戰(zhàn)略的深入,電信行業(yè)在數(shù)字化轉(zhuǎn)型中的基礎(chǔ)性作用不斷增強,也面臨著新的挑戰(zhàn)。中國移動通信集團有限公司信息安全管理與運行中心總經(jīng)理張濱表示,通信行業(yè)的安全風(fēng)險主要表現(xiàn)在5G、云計算、人工智能等新技術(shù)新應(yīng)用,帶來的數(shù)據(jù)保護、通信、用戶權(quán)限控制、終端安全等的安全風(fēng)險,以及在與能源、交通、公共服務(wù)等行業(yè)領(lǐng)域深度融合產(chǎn)生的業(yè)務(wù)安全風(fēng)險。在人工智能方面,算法的可解釋性、信息繭房、深度偽造等安全風(fēng)險日益突出。在云計算方面,寬帶惡意占用、分布式DDoS攻擊、業(yè)務(wù)數(shù)據(jù)泄露、APT攻擊等安全風(fēng)險層出不窮。
中國移動應(yīng)對之策:落實法律要求、強化能力建設(shè)、警惕安全風(fēng)險、提升安服能力
張濱提到,通信行業(yè)承載著國計民生的大數(shù)據(jù)資源,數(shù)據(jù)安全已經(jīng)成為通信行業(yè)安全監(jiān)管的新焦點。面對合規(guī)壓力,中國移動建立了服務(wù)于數(shù)字化轉(zhuǎn)型目標和集團業(yè)務(wù)安全工作的網(wǎng)絡(luò)安全保障體系,主動跟蹤落實網(wǎng)絡(luò)安全國家法律法規(guī)、標準規(guī)范要求,強化集團內(nèi)部安全能力建設(shè),及時分析研判新技術(shù)新業(yè)務(wù)可能帶來的安全風(fēng)險,不斷提升安全服務(wù)能力。同時,中國移動也積極在TC260、CCSA、ISO、ITU-T主導(dǎo)立項標準,推廣企業(yè)研究成果,強化行業(yè)標準的貫標落實,強化標準應(yīng)用,通過“走出去、引進來”,形成行業(yè)創(chuàng)新標桿,為數(shù)字化轉(zhuǎn)型工作保駕護航。
中國建設(shè)銀行 常冬冬:
建立面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全運營體系,
實現(xiàn)安全事件處置的全流程、
自動化、智能化機控和協(xié)同聯(lián)動
銀行業(yè)信息安全挑戰(zhàn):數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊最為突出
隨著銀行數(shù)字化程度的不斷提高,數(shù)字化運營面臨信息安全挑戰(zhàn)同樣十分嚴峻。由于金融機構(gòu)沉淀了海量的個人客戶信息,且數(shù)據(jù)價值非常高,來自數(shù)據(jù)泄露、網(wǎng)絡(luò)安全攻擊的安全風(fēng)險與日俱增。中國建設(shè)銀行運營數(shù)據(jù)中心副主任常冬冬提到,永不離線已經(jīng)成為常態(tài),安全運營成為生命線,金融行業(yè)系統(tǒng)面臨著更大的并發(fā)壓力。
建行信息安全應(yīng)對:構(gòu)建完整數(shù)據(jù)安全保護體系、應(yīng)用先進隱私保護技術(shù)
常冬冬介紹道,為了有效應(yīng)對數(shù)據(jù)化轉(zhuǎn)型下的信息安全挑戰(zhàn),建設(shè)銀行首先構(gòu)建了完善的數(shù)據(jù)安全保護體系、積極應(yīng)用客戶隱私保護新技術(shù),打造安全便捷的數(shù)據(jù)應(yīng)用環(huán)境。其次是建立面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全運營體系,構(gòu)建全行一體化的“網(wǎng)絡(luò)安全智慧運營平臺”,實現(xiàn)安全事件處置的全流程、自動化、智能化機控和協(xié)同聯(lián)動。
其中,網(wǎng)絡(luò)安全智慧運營平臺遵照平臺化設(shè)計,以集成了傳統(tǒng)金融安全體系和互聯(lián)網(wǎng)先進技術(shù)的多重水閘式防御,在整個邊界防護、邊界旁路阻斷、縱深防御、應(yīng)用安全監(jiān)控形成四道防線,同時把這種分布式軟件和集中式硬件,以及邊界防護和縱深防御相結(jié)合形成了一套建行安全體系結(jié)構(gòu),并通過實戰(zhàn)型演練常態(tài)化工作,打磨安全運營體系的標準、規(guī)范、流程以及模型。
潤聯(lián)科技 郭勇:
網(wǎng)絡(luò)安全管理運營的數(shù)字化平臺,
實現(xiàn)安全工作數(shù)字化、智能化
潤聯(lián)應(yīng)對信息安全之策
潤聯(lián)科技信息安全總經(jīng)理郭勇在數(shù)字化轉(zhuǎn)型經(jīng)驗分享中表示,在新形勢下,面對包括未知的APT攻擊、DDoS攻擊等網(wǎng)絡(luò)安全威脅增多,潤聯(lián)科技經(jīng)過兩年多時間的研發(fā),打造出一套網(wǎng)絡(luò)安全管理運營的數(shù)字化平臺,實現(xiàn)了安全運營工作的數(shù)字化、智能化,部分實現(xiàn)自動化。
同時,潤聯(lián)科技關(guān)注以人為本,加強一線員工對安全能力、安全制度、合規(guī)的理解。郭勇提到,9月以來,《數(shù)據(jù)安全法》、《關(guān)基條例》、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理法規(guī)》開始生效,短期會增加企業(yè)的經(jīng)營成本,但是從長遠來看是降低的,產(chǎn)品上線或交付后若沒有安全問題,降低了返工和修改的成本,且因為遵從了法律合規(guī)要求,企業(yè)將避免被處罰等非經(jīng)營性損失。潤聯(lián)還會將安全專家派駐到不同的業(yè)務(wù)團隊,幫助其設(shè)計業(yè)務(wù)的安全性,將安全元素嵌入到業(yè)務(wù)之中。
潤聯(lián)與騰訊安全的生態(tài)合作:潤聯(lián)科恩網(wǎng)絡(luò)安全實驗室
在產(chǎn)業(yè)生態(tài)打造方面,潤聯(lián)科技與騰訊科恩實驗室攜手成立了潤聯(lián)科恩網(wǎng)絡(luò)安全實驗室。潤聯(lián)科技目前使用的是混合云的模式,這將對整個安全防護工程提出新的挑戰(zhàn)。從實踐經(jīng)驗來看,在多云環(huán)境下的安全防護、防線構(gòu)建中,上公有云的業(yè)務(wù)必須要購買相應(yīng)的公有云安全能力,優(yōu)秀的云服務(wù)廠商需提供以DDoS、WAF以及云主機安全為基礎(chǔ)的防護能力,這也是潤聯(lián)科技使用騰訊云的原因。
騰訊 丁珂:
以身份為中心的零信任安全
成為了網(wǎng)絡(luò)安全發(fā)展的必然趨勢
騰訊副總裁丁珂就“如何幫助企業(yè)完成安全合規(guī)目標”話題進行了分享。他表示,從產(chǎn)品和技術(shù)角度出發(fā),在服務(wù)政企行業(yè)及各個領(lǐng)域進行數(shù)字化轉(zhuǎn)型的過程中,騰訊安全的重點是幫助大家解決“可信身份”問題。當未來服務(wù)器沒有邊界,企業(yè)無法基于傳統(tǒng)的物理邊界構(gòu)筑安全基礎(chǔ)設(shè)施,只能訴諸于更靈活的技術(shù)手段來對動態(tài)變化的人、終端、系統(tǒng)建立新的邏輯邊界,通過對人、終端和系統(tǒng)都進行識別、訪問控制、跟蹤實現(xiàn)全面的身份化。以身份為中心的零信任安全成為了網(wǎng)絡(luò)安全發(fā)展的必然趨勢。目前,騰訊零信任安全解決方案也已廣泛應(yīng)用到政務(wù)、銀行、制造等眾多行業(yè)領(lǐng)域。
同時,受到客戶良好反饋的騰訊安全運營中心(SOC),結(jié)合騰訊威脅情報數(shù)據(jù),幫助企業(yè)及時調(diào)整防御策略,提前預(yù)知攻擊的發(fā)生,從而實現(xiàn)較為精準的動態(tài)防御。
丁珂強調(diào),當前供應(yīng)鏈安全成為安全漏洞的主要來源,所以在供應(yīng)鏈的引入,包括供應(yīng)鏈流程對接的重要環(huán)節(jié),例如在提供SaaS服務(wù),服務(wù)商自身準入的安全上需要嚴格把關(guān)。在當下產(chǎn)業(yè)數(shù)字化迅猛發(fā)展,騰訊安全愿意攜手產(chǎn)業(yè)鏈生態(tài)伙伴,開放騰訊級安全能力,推動安全普惠的實現(xiàn)。在數(shù)字化時代,騰訊愿意助力所有企業(yè)客戶,產(chǎn)業(yè)上云,安全先行。
丁珂表示,作為產(chǎn)業(yè)安全的領(lǐng)導(dǎo)者,騰訊安全在過去20多年已積累了大量的安全技術(shù)和攻防經(jīng)驗,通過內(nèi)部的消化和吸收,提煉出了精髓部分向產(chǎn)業(yè)輸出,助力企業(yè)應(yīng)對數(shù)字化浪潮中的海量需求和突發(fā)威脅進行壓力反應(yīng)。安全是騰訊發(fā)力產(chǎn)業(yè)互聯(lián)網(wǎng)的核心技術(shù)優(yōu)勢,在新形勢下,騰訊主動踐行主體責(zé)任,在產(chǎn)業(yè)安全技術(shù)、安全人才培養(yǎng)、產(chǎn)業(yè)安全實踐、安全生態(tài)建設(shè)等領(lǐng)域積極踐行“可持續(xù)發(fā)展社會價值”戰(zhàn)略。