等保2.0与数据安全 ——第三届线上金融科技论道台举办

2020年7月8日,由计世传媒集团《新金融世界》举办的第三届线上会议“金融科技论道台”成功举办。本届金融科技论道台的主题是“等保2.0与数据安全”,会议同时在线观看人数204人,涵盖了76家金融机构,银行26家,保险22家,证券28家。来自中国银行、中国银河证券、泰康在线、IBM、瑞数信息、Veritas、中企通信、Gigamon技盟的八位嘉宾在论坛上聚焦新基建下的金融信息安全,就等保2.0与数据安全的内容进行了经验分享。  

《新金融世界》总编谌力担任本次线上论坛的主持人,他指出:“随着云计算、人工智能、5G、大数据、区块链等新技术在金融机构大规模应用,对金融机构的信息安全也带来了新挑战和未知领域。而国家等级保护2.0的出台,对信息安全有了一个更高层面、更全面维度的要求。”  

中国银行总行软件开发中心主任工程师刘述忠这些年,中国银行持续加大金融科技投入力度,加强金融与新技术的融合,发力新技术安全风险防控研究。在新技术安全应用研究方面, 不仅仅是对现有的风险进行处理,也对新技术引入所可能涉及的风险也开展了研究,甚至联合多家高校共同成立了金融信息安全联合实验室进行课题研究。   中国银行总行软件开发中心主任工程师刘述忠发表了题为《等级保护2.0在金融机构的落地实践》的演讲。他告诉现场嘉宾:“金融机构的数字化转型,意味着产品服务以移动化、开放化形式贴近客户,以全球化为方向持续拓展业务。这个过程中会面临六大挑战,分别是:日益严峻的网络安全形势、不断攀升的网络安全漏洞、新技术引入新型风险与隐患、不容忽视的人员安全、越来越严格的外部监管和内部实施保障难以落地。”   中国银行在新规定出来以后,迅速做了逐条对标,这个工作很耗时,但是做完后让中国银行迅速“摸清了家底”,并基于此建立了网络安全的“合规准绳”。同时根据新的要求,进一步改进完善了等级保护的五项工作:定级、备案、测评、整改和自查。并且让工作实现了两个全覆盖:范围覆盖总行和全辖36家一级分行;保护对象覆盖网络、业务系统、云计算平台、大数据、移动应用等。

IBM大中华区信息安全技术总监高爽

IBM长期聚焦安全领域,在今年上半年发布了《安全威胁指数情报》,重点阐述了数十年来犯罪技术经历了怎样的演变,并指出在此期间网络犯罪技术非法访问了数百亿条企业记录和个人记录,并利用了数十万个软件缺陷。

IBM大中华区信息安全技术总监高爽发表了题为《等保2.0时代 保险行业信息安全挑战及实践》的演讲。

在他看来,信息泄露、业务欺诈是物联网金融最关注的风险,而导致安全问题的因素主要有五大方面,分别是:投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确。同时,大数据和威胁情报技术是比较受关注的信息安全技术。

“复杂的保险业务形态,密集的用户信息,保险业信息系统和数据本身承载着极高的业务价值,使其容易成为黑客攻击的目标。因此,除了传统的、通用的信息安全风险外,还存在以下几点安全挑战:第一,对高级的、未知的威胁检测。第二,建立时间追溯、调查机制。第三,建立快速响应和阻断机制。第四,关注新技术风险。第五,关注内部安全风险。第六,加强数据隐私保护。第七,关注应用系统漏洞风险。”

瑞数信息技术(上海)有限公司技术总监关福君

从创始之初,瑞数信息就目标明确地要“另辟蹊径”——以Web应用为主的主动+动态防御,识别自动化工具的攻击。用他们自己的话来讲,“瑞数信息要做的就是,对目前市面上效率渐高、成本渐低地自动化攻击,进行‘釜底抽薪’,把它的效率再打回去,同时还要把它的成本再提上来。”

瑞数信息技术(上海)有限公司技术总监关福君在题为《风控前置-动态防护金融行业自动化攻击威胁》的演讲中指出,“动态防护金融行业自动化攻击威胁,有别于传统风控依赖于规则和定制的业务威胁识别技术,其通过动态技术实现对工具和人的识别,防止针对金融客户的各种自动化攻击。”

在他看来,动态技术可以确保客户端数据采集的精准性,可以让风控从中后台走向前台,有效甄别工具的模拟访问行为,即在客户端还没有访问到业务系统时,识别出是工具访问还是人访问,助力金融机构实现风控前置,应对金融行业面临的自动化攻击威胁。同时,动态防护无需修改任何应用服务器代码或业务逻辑,客户端也无需做任何配置;完全颠覆传统基于已知特征和规则的防护技术存在的天然缺陷,彻底扭转“攻易守难”的被动格局,可以让防御变得主动、动态、实时、高效、简单。

中国银河证券网上交易中心主任 王锦炎

作为信息安全的基础,密码算法和密码产品的自主可控是确保我国信息安全的重中之重,国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的首选措施之一,也是我国从根本上实现信息化产业完全自主可控的安全基础。国密改造的核心在于安全体系建设,需要解决如何运用国密算法保证交易过程的安全。

中国银河证券网上交易中心主任 王锦炎带来了题为《国密算法在证券公司的应用与实践》的演讲。他告诉参会嘉宾:“互联网证券交易系统国密改造工作是一项较大的、严谨的工程,涉及面广、衔接性强、实时性高。因此要坚持统一规划、统一设计、统一实施、充分试点的原则,满足全面应用、强化管理、整体推进的要求和保证审慎试点、新老并行、业务不中断的坚持。”

在他看来,制定完善的应急处置预案,充分验证,尽可能把所有情况都考虑到、验证到、试点到,确保系统在实施国密改造期间和实施改造后安全稳定运行。在充分测试的前提下,先从边缘系统开展改造,再到核心系统实施,稳步实现行业和各机构密码国产化工作目标。

Veritas公司大中华区技术销售与服务总监 顾海巍

新基建是新一代to B信息化的具体建设纲领,而金融新基建是新基建的重要环节。一方面,金融业是新基建的设施的重要使用者,包括5G、大数据、人工智能等新技术都在与金融行业进行融合。另一方面,金融业也是新基础设施的重要赋能者。

Veritas公司大中华区技术销售与服务总监 顾海巍带来了题为《API数据运维框架》的演讲。他在演讲中指出:“新基建虽然带来巨大的行业机遇,但是机遇与挑战并存。数据爆炸将会是常态;数据监管会变得空前严格,运维的核心转向数据;边缘场景的数据运维需求会日益突出。为了应对这些挑战,需要有一个面向未来、足够弹性的数据运维平台,来应对不可预测的数据增长率、不确定的数据源和数据类型。而在这个平台下需要一个统一的数据运维框架,让数据运维满足业务敏态需求,同时也满足监管的需求。”

他认为,Veritas成熟的现代化集成式技术可以解决企业的数据可用性、数据保护和数据洞察三大需求。对企业而言,数据洞察解决方案可帮助关键数据定位,并通过增加数据透明度,进一步帮助企业实现数据合规。

中企通信金融行业解决方案团队负责人万荣华

当前SD-WAN 非常流行,它切实解决了企业在如今复杂应用环境下的组网需求。然而安全特性缺失的网络基础架构很可能会导致未来的数据风险甚至需要重复建设。

中企通信金融行业解决方案团队负责人万荣华带来了题为《金融行业SD-WAN网络解决方案的机遇和挑战》的演讲。他认为:“金融行业广域网的特点是混合部署是主流,专线的比例普遍较高,并且是点对多点的网络结构,因此金融行业建设SD-WAN时,应该注重运维的管理,选择智能运维的模式。中企通信在监控上可以实现7×24小时响应告警,MPLS专线和互联网线路。在配置上可以做到客户只读,中企通信配置,配置变更可追溯,配置备份,日志备份,版本更新。在排错上可以实现故障可追溯,中企通信统一窗口。在报告上可以为客户提供定制化运维月报、故障报告,并举行季度优化会议。“

他表示,企业需要一个完整的SD-WAN服务过程,基于客户服务管理维度的新合作模式,通过中企通信构建的综合服务能力平台为基础,根据多维度评估方式优选最佳的厂商合作,实现服务+技术深度结合,形成1+1>2的产品输出能力,保障客户需求实现过程闭环的完整性。

Gigamon技盟中国北区/西北区销售总监赵强

Gigamon技盟在处理跨区域的网络安全挑战、以及部署跨国公司信息运转和网络布局方面,有着丰富的经验和系统解决方案。技盟的看家本领是帮助企业在数字化网络基建过程构建起敏捷的混合网络基础架构,在对网络流量进行有效聚合、转化、分析同时大幅度的控制成本。

Gigamon技盟中国北区/西北区销售总监赵强带来了题为《为企业安全架构赋能——通过技盟流量平台提升网络安全效率》的演讲。他表示:“技盟会在混合环境中提供可视化部署,并将正确的流量提供给需要数据包或元数据,再通过Insight云数据仓库和GigaVUE-OS以及一些安全组件来对网络数据进行分析、监视或安全性分析,通过这种可视化与分析结构 (VAF) 来对数据流进行清洗、脱敏、加密和结构化。”

他表示,Gigamon 可视化与分析交换矩阵能将网络和安全团队连接到与各自工具接口的通用平台,该体系结构还能够随着组织的发展进行扩展,通过网络升级实现更高的性能连接,更大限度的网络可用性,并加快新安全工具的部署速度。这样能够保证技盟的客户减少网络维护和系统升级的时间,提高工具的工作效率。

泰康在线财产保险股份有限公司基础平台部总经理程战战

金融业的核心是风险管理,通过积累数据、完善风险管控模型是企业提升风控的有力途径,从而为用户提供更多价值和服务,以及持续盈利的能力。而保险行业是较早运用大数据的行业,也是对数据极度依赖的行业。

泰康在线财产保险股份有限公司基础平台部总经理程战战发表了题为《数据安全管理策略与实践》的演讲。他指出:“数据安全主要分为四大部分,分别是体系安全、基础设施安全、应用系统安全和使用过程安全。”

程战战告诉参会嘉宾,从体系安全的角度来说,ISO27001是一个比较通用的体系,在体系的指导下,企业要形成一系列的制度。在制度相关建设上,泰康财险主要有以下四条经验:第一,信息安全核心是管理,七分管理三分技术。第二,法律法规是基础,信息安全体系是框架,制度是血液,流程是成果。第三,制度应该定期审阅,对外适应外部法律法规变化,对外适应公司组织结构变化及业务形态变化。第四,强有力的系统支持,是实现制度的手段。而在基础设施安全上,针对公有云存储重要数据,需考虑资质因素、考虑网络隔离措施、租户隔离措施等基础因素;而私有云存储重要数据,需建立完善的备份/恢复制度,并定期进行演练。