CSO面对面丨对话海通证券,探讨数字金融行业安全运营
新技术的涌现带动了金融行业的数字化转型发展,同时也带来了更多安全挑战。一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。如何完善网络安全体系化建设,构建持续有效的安全防护,成为金融行业的“难题”。
本期腾讯安全《CSO面对面》栏目,邀请到海通证券安全运营负责人吴晨炜,以金融行业的安全防护为例,分享金融企业面临的网络信息安全建设问题及解决对策。
以下为本期《CSO面对面》文字实录。
关于海通证券的安全建设
Q1:就历史经验来看,安全建设主要有哪些阶段,如何在整体体系上保证集团数字化的全面安全?
吴晨炜:随着云计算、大数据、人工智能、物联网等新一代信息技术的快速发展,信息化和数字化的进程加快,网络空间面临的安全问题和过去有很大不同。在新的安全形势和安全环境下,企业安全防护体系建设从合规导向逐渐转向能力导向,发展为目前体系化,实战化,常态化安全建设。包括体系化建设纵深防护体系,实战化的演练以及常态化的日常运营,通过“修炼”安全能力和构建持续有效的防控体系来保障集团的安全。
Q2:海通证券是非常典型的对网络安全要求极高的行业领导者,请问您认为网络安全建设有哪些典型的场景?之前是否经历过一些事件,激发了我们集团加强对网络安全的重视?
吴晨炜:事实上,近年通过实战攻防演练的方式来发现企业安全漏洞,提升企业安全防护能力的形式已经成为常规手段。企业也能够在对抗中不断适应多种攻击手段,升级自身防护能力,并在最终的复盘中对攻击行动中的防御体系的识别、加固、检测、处置等各个环节进行审视,发现薄弱位置并进行优化。
海通证券也是通过每年至少两次的实战化演练来促进网络安全建设。之前由于互联网暴露面还未完全收敛导致有部分高危组件对互联网开放,成为了防护的短板,通过实战化的演练发现问题,加速互联网暴露面收敛工作,通过把高危组件收缩至零信任网关,从而减少攻击面。
Q3:您觉得市面上互联网公司的技术发展对大型企业集团的安全建设有怎么样的影响或者帮助?能否举几个例子?
吴晨炜:互联网公司由于本身面对的用户群体量大、需求多、竞争激烈,因此业务开发迭代版本很快,在诸如云原生、AI、机器学习等方面都走在全行业的前列。现在的网络威胁形势也正是处于一种快速增加和演变的趋势当中,黑灰产攻击手段也随着新技术的出现和应用而不断升级进化,互联网公司在新技术的快速应用以及安全防护上的快速迭代,能够跟上安全环境变化的脚步,更好地适应用户需求。
其次,互联网公司拥有大量的优秀数字化人才。企业数字化转型很大程度上依赖掌握数字化关键技能的核心人才,各项新业务、新业态的诞生和稳定发展都需要数字技能人才支撑。然而在数字化人才缺口仍较大的当下,一般企业往往难以招到相关人才并最大化利用人才资源。
基于在数字化领域和安全领域的不断实践沉淀,互联网公司能利用自身建设的经验赋能大型企业集团,特别是新技术的应用、网络安全等方面往往能提供新思路、新理念、新实践,从而帮助大型企业集团的数字化发展。
Q4:您个人在推动海通证券的安全建设与部署中,发挥了哪些“先行者”的作用,具体涉及哪些安全技术/理念的应用?
吴晨炜:海通证券作为一家国际金融集团,始终高度重视企业安全工作。在信息安全建设和运营实践中,我们团队一起建立完善了安全问题及时发现、有效解决的闭环机制,通过每日安全事件的闭环促进运营策略的闭环,从而优化安全运营能力,提高企业安全防护水平。
Q5:未来您希望对未来整个集团安全建设还有哪些部署和思路?腾讯的解决方案是否能够有所助力?
吴晨炜:目前,海通证券仍在安全运营领域进行不断尝试和实践。后面我们将继续推进企业集团化安全建设,把总部的安全能力以及实践经验赋能到子公司,促进整个集团的安全能力提高,将安全作为一种常态化的工作落实到企业的方方面面。
基于企业对于安全建设工作的向基层落实以及安全能力的整体提升的需求,腾讯的安全运营中心可以建设集团化SOC方案,将其安全管理的能力输出并接入到企业安全建设流程中,通过集中集团的网络安全日志进行安全数据和信息集中统一管理、场景建设及事件闭环。
Q6:对于腾讯安全的合作,主要在您公司的哪些场景中发挥作用?您觉得最关键的效能是哪些?
吴晨炜:在与腾讯安全的合作过程中,海通证券在安全运营方面建设方面有了更大的能力提升。海通证券本身业务范围比较广,包括投资银行、证券交易、融资租赁等等,同时也在积极地推进数字化建设,为客户提供更多样化、优质化的金融服务,这么多元的业务场景其实对我们自身的安全运营和管理也提出了挑战。腾讯在安全运营方面有自己独到的见解,也沉淀出了一套有效的体系,能够通过预测、防御、检测和响应实现安全事件的闭环,这跟我们的“主动响应和闭环”的安全工作理念是比较符合的。在实际落地过程中,腾讯的这套体系也有效帮助到我们的安全运营方面建设,特别是安全运营中心、安全编排自动化平台。
除此之外,腾讯安全做的一些关于ATT&CK的前沿技术研究,其实也给海通证券的攻防能力带来了启发和参考,同时以产品的形态让企业能够轻松地接入一些前沿的安全能力,真正帮助企业提升自身的安全水位。
最重要的是腾讯安全SOC的专家团队给与了很大的帮助,提供了完善的组织以及多年在安全领域的实践经验,在安全运营方面也有着强大的实力。通过腾讯的专家对安全运营深刻的认识,来建设丰富的安全场景,展现安全态势,从而帮助公司提高威胁检测能力,加快响应速度,赋能海通数字化能力。
关于行业安全建设经验
Q7:大型国企数字化过程中,有哪些比较普遍的安全痛点和安全风险?
吴晨炜:首先,企业在推进数字化建设过程中,由于业务与合作范围的扩大,使得企业面临的攻击面也会随之不断扩张,难以避免会遇到更多威胁。不断扩展的攻击面管理也就会要求企业安全团队投入更多精力在安全防控中,并承担起更多的安全责任。
其次是集团化安全的管理及赋能。大型国企规模实力强大,通常具备多个业务单元及多个所属公司,各业务板块对应安全管理的要求不同、主管行政部门不同、管理规范不同、监管要求不同,需要有一个完善的的管理体系来应对不同下属单位的安全管理工作。
另外,尽管当前大部分国企已经部署了大量的安全设备来应对网络威胁,但仍缺乏高效的分析手段对海量的日志信息进行“解码”,难以掌握全局安全状态,影响安全运营的效率和效果。
除此之外,国企员工在办公时常用到的邮件、微信等,这些也是钓鱼攻击常用到的渠道,企业需要针对这些办公场景提升钓鱼的检测及防护能力。
Q8:近期,中国证券行业协会下发了《安全提升计划》,对于证券公司统筹发展与安全,提高资本市场网络和信息安全水平制定了进一步的规划,提出了更高的要求,请问在您来看,《安全提升计划》将会推动和引领证券行业网络安全建设的哪些变化?
吴晨炜:其实证券行业对安全的发展及投入一直处于不断增加的状态,《计划》则是从协会的角度提供给证券公司一个参考,本身的发展是国家大趋势,且会越来越提速,从而保障企业在数字化浪潮下获得更多竞争力。
就《计划》的内容来看,它的推出的确会给证券行业的网安建设带来正面的推动作用。里面提到的证券公司应制定人才培养计划,持续提升科技治理水平,健全网络和信息安全防护体系等等,都要求证券企业自身要强化安全技术、管理等方面的能力,不仅仅是对安全能力的掌握,更鼓励自研,“修炼内功”,从根本上提升行业的安全水位。
Q9:从行业来看,针对大型关键基础设施型企业的网络攻击还是较为频繁的,遭遇勒索攻击的威胁也在持续放大,您认为应如何应对?
吴晨炜:关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。因此,保障关键信息基础设施的安全,做好安全能力的建设,提升对攻击威胁的对抗水平是非常重要的。
一是要做好人才及团队建设。网络安全保障团队作为安全运行活动的执行者,企业网络安全工作的主力军,代表着企业安全能力的一部分。广纳贤士、建设架构合理、人才齐备的安全团队是企业推进网络安全建设的重要驱动力之一。
二是企业内部加强宣传做好宣贯。我们一直说“人”是网络安全中最脆弱的因素,很多攻击都是通过人这一媒介来实现的。企业员工都需要提升安全防护的意识,必要时候企业可以组织相关培训和应急演练指导。
三是企业需要注重体系化、实战化、常态化的安全建设。如今,攻防演练逐渐趋向成熟和体系化,企业需要持续的、灵活的安全运营来实现对安全态势的整体防控,在危机真正来临的时候也能够有条不紊地开展防御工作。
栏目简介
当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者,了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。
CSO面对面丨对话海通证券,探讨数字金融行业安全运营相关推荐
- CSO面对面|对话迷你世界,畅谈游戏行业的安全建设
近年来,游戏行业面临的安全威胁层出不穷,肆虐的黑灰产攻击.多样化的外挂等给各大厂商带来巨大困扰,沙盒游戏作为当下热门的游戏类型之一,在拥有越来越大的用户基数时,也迎来多种游戏安全难题. 游戏厂商如何应 ...
- CSO面对面|对话因陀罗,共话游戏行业安全防护之路
近年来,随着游戏行业不断发展,行业面临的安全威胁也层出不穷,外挂问题.内容安全问题.帐号问题等给各大厂商仍带来巨大困扰,策略类游戏作为当下热门的游戏类型之一,面临的安全问题也同样严峻. 游戏厂商的安全 ...
- CSO面对面丨如何通过“联合作战”,加强银行安全体系建设
随着数字化转型的深入,以银行为代表的金融机构不断加码金融科技建设.然而随着线上业务量不断上升,银行面临的安全风险暴露面也愈大.问题愈加复杂.本期腾讯安全<CSO面对面>栏目,邀请到某头部商 ...
- CSO面对面丨顺丰科技谭林谈物流企业安全建设:实战是检验防护能力的唯一标准
在物联网等新技术快速发展的环境下,数字化工具给物流活动开展提供了支持,物流信息网络系统也促进现代物流行业发展.然而,数字化如同一把"双刃剑",在给物流企业创造效益的同时,也会引发一 ...
- ABeam( 德硕 ) 携手北京优锘科技共同探讨”数字孪生可视化运营”方案
2022年3月,ABeam( 德硕 ) 旗下德硕管理咨询(深圳)有限公司创新研究团队一行拜访了北京优锘科技有限公司,双方就"数字孪生可视化运营"的解决方案展开了深入的探讨. 首 ...
- matlab中gad,听见朝鸣丨对话GAD:文化土壤中生长的建筑美学
原标题:听见朝鸣丨对话GAD:文化土壤中生长的建筑美学 一个住宅园区的好坏,由开发者追求所决定,与开发者的素质.经验和所受的教育有关,这是需要开发商和设计师内在的功力.深度和厚度,通过各种资源的整合, ...
- 场景金融丨对话:走中国特色的开放银行之路
编者荐语: 中国光大银行数字金融部副总经理熊福林.百信银行战略总监管正刚.神州信息金融战略本部副总裁潘志江,对话中国特色的开放银行之路. 以下文章来源于中国外汇 ,作者中国外汇 中国外汇 解读.宣传外 ...
- 人工智能在遥感领域的应用,正处在一个磨合期丨对话数智 x 于峻川
从遥感数据中认识更加真实的地球,让 AI 与人交互实现高效精准的识别和判断.本期和鲸科技<对话数智>邀请了遥感技术专家.中国自然资源航空物探遥感中心的于峻川老师,分享其对于遥感数据与 AI ...
- 探讨数字人最真实与最有价值的应用场景|BOOK DAO 第二期共建
小杜 <元宇宙创意图谱>是 BOOK DAO 的共建书籍项目,11.12 我们举行了数字人主题的第二次公开共建活动. 经过四天的话题预热,我们筛了数字人的应用场景作为讨论的主线.BOOK ...
最新文章
- 简述Android触摸屏手势识别
- 计算机组成原理第3版谢树煜,计算机组成原理(第3版)
- java中删除每一条数据,一条sql语句删除表中所有除ID 不同之外的记录,只留一条。...
- 【最简解法】1048 Find Coins (25 分)_18行代码AC
- java向Excel文件写入数据
- UVA 10891 SUM游戏 DP
- Delphi MlSkin v3.9 (2019.4.15)发布啦! 它能让你的程序拥有像QQ一样多彩炫丽的外观...
- 躺着收钱月入过万,怎样才能做到?
- 计算机专业类ppt背景图片,6种方法,教你做出高大上PPT及背景-ppt背景图片怎么设置...
- Chevereto网站存放图像至相应二级分类文件夹
- 新能力 | 云开发CMS内容管理系统,5分钟搞定小程序管理后台
- Generative Adversarial Nets[AAE]
- 点对点语音通信(转)
- C#人民币大小写金额转换(C#版本)
- 友盟+吕志国:数据智能让天下没有难做的营销
- ISV在“淘宝”上淘宝
- Web前端:Web前端开发工程师工作内容网页案例设计
- 用Java编写日历表(3种方式)
- 5-GSM空中接口物理层的设计
- 动态规划,且学且放弃