數(shù)字經(jīng)濟時代,,發(fā)展和安全雙輪驅(qū)動,。伴隨著《數(shù)據(jù)安全法》、《個人信息保護法》兩法相繼落地實施,,數(shù)據(jù)和信息安全也被提高到前所未有的地位,,積極應(yīng)對數(shù)字化風險,建設(shè)網(wǎng)絡(luò)安全防線,,保障數(shù)字化轉(zhuǎn)型中的安全問題成為各行各業(yè)及相關(guān)部門的工作重點,。
為了解數(shù)字化轉(zhuǎn)型下的安全挑戰(zhàn)與應(yīng)對措施,騰訊安全發(fā)起“數(shù)實融合 安全共贏”圓桌討論,,本期圓桌邀請到了:中國移動通信集團有限公司信息安全管理與運行中心總經(jīng)理張濱,、中國建設(shè)銀行運營數(shù)據(jù)中心副主任常冬冬、潤聯(lián)科技信息安全總經(jīng)理郭勇,、騰訊副總裁丁珂,。各位專家圍繞信息安全管理指導方針和實操方法論進行討論,分享了運營商,、金融機構(gòu),、大型企業(yè)以及安全供應(yīng)商等不同角度的觀點與實踐經(jīng)驗,本期圓桌論壇由北京賽博英杰科技有限公司創(chuàng)始人,、董事長譚曉生主持,。
精華觀點
中國移動 張濱:
通信行業(yè)承載國計民生的大數(shù)據(jù)資源,
數(shù)據(jù)安全已成為通信行業(yè)
安全監(jiān)管的新焦點
作為電信行業(yè)的領(lǐng)軍企業(yè),,中國移動提出了“5G+AICDE”的數(shù)字化轉(zhuǎn)型戰(zhàn)略,,將5G與人工智能、物聯(lián)網(wǎng),、云計算,、大數(shù)據(jù)、邊緣計算等技術(shù)深度融合,,截至2021年6月,中國移動5G基站已累計開通了50余萬個,,覆蓋了全國地市以上城區(qū),、部分縣城及重點區(qū)域,促進了工業(yè),、能源,、交通、醫(yī)療,、教育等產(chǎn)業(yè)數(shù)字化,,助力各行業(yè)實現(xiàn)更大的綜合效益。
通信行業(yè)安全挑戰(zhàn):新技術(shù)、新應(yīng)用帶來的業(yè)務(wù)安全風險
隨著數(shù)字化轉(zhuǎn)型戰(zhàn)略的深入,,電信行業(yè)在數(shù)字化轉(zhuǎn)型中的基礎(chǔ)性作用不斷增強,,也面臨著新的挑戰(zhàn)。中國移動通信集團有限公司信息安全管理與運行中心總經(jīng)理張濱表示,,通信行業(yè)的安全風險主要表現(xiàn)在5G,、云計算、人工智能等新技術(shù)新應(yīng)用,,帶來的數(shù)據(jù)保護,、通信、用戶權(quán)限控制,、終端安全等的安全風險,,以及在與能源、交通,、公共服務(wù)等行業(yè)領(lǐng)域深度融合產(chǎn)生的業(yè)務(wù)安全風險,。在人工智能方面,算法的可解釋性,、信息繭房,、深度偽造等安全風險日益突出。在云計算方面,,寬帶惡意占用,、分布式DDoS攻擊、業(yè)務(wù)數(shù)據(jù)泄露,、APT攻擊等安全風險層出不窮,。
中國移動應(yīng)對之策:落實法律要求、強化能力建設(shè),、警惕安全風險,、提升安服能力
張濱提到,通信行業(yè)承載著國計民生的大數(shù)據(jù)資源,,數(shù)據(jù)安全已經(jīng)成為通信行業(yè)安全監(jiān)管的新焦點,。面對合規(guī)壓力,中國移動建立了服務(wù)于數(shù)字化轉(zhuǎn)型目標和集團業(yè)務(wù)安全工作的網(wǎng)絡(luò)安全保障體系,,主動跟蹤落實網(wǎng)絡(luò)安全國家法律法規(guī),、標準規(guī)范要求,強化集團內(nèi)部安全能力建設(shè),,及時分析研判新技術(shù)新業(yè)務(wù)可能帶來的安全風險,,不斷提升安全服務(wù)能力。同時,,中國移動也積極在TC260,、CCSA,、ISO、ITU-T主導立項標準,,推廣企業(yè)研究成果,,強化行業(yè)標準的貫標落實,強化標準應(yīng)用,,通過“走出去,、引進來”,形成行業(yè)創(chuàng)新標桿,,為數(shù)字化轉(zhuǎn)型工作保駕護航,。
中國建設(shè)銀行 常冬冬:
建立面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全運營體系,
實現(xiàn)安全事件處置的全流程,、
自動化,、智能化機控和協(xié)同聯(lián)動
銀行業(yè)信息安全挑戰(zhàn):數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊最為突出
隨著銀行數(shù)字化程度的不斷提高,數(shù)字化運營面臨信息安全挑戰(zhàn)同樣十分嚴峻,。由于金融機構(gòu)沉淀了海量的個人客戶信息,,且數(shù)據(jù)價值非常高,來自數(shù)據(jù)泄露,、網(wǎng)絡(luò)安全攻擊的安全風險與日俱增,。中國建設(shè)銀行運營數(shù)據(jù)中心副主任常冬冬提到,永不離線已經(jīng)成為常態(tài),,安全運營成為生命線,,金融行業(yè)系統(tǒng)面臨著更大的并發(fā)壓力。
建行信息安全應(yīng)對:構(gòu)建完整數(shù)據(jù)安全保護體系,、應(yīng)用先進隱私保護技術(shù)
常冬冬介紹道,,為了有效應(yīng)對數(shù)據(jù)化轉(zhuǎn)型下的信息安全挑戰(zhàn),建設(shè)銀行首先構(gòu)建了完善的數(shù)據(jù)安全保護體系,、積極應(yīng)用客戶隱私保護新技術(shù),,打造安全便捷的數(shù)據(jù)應(yīng)用環(huán)境。其次是建立面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全運營體系,,構(gòu)建全行一體化的“網(wǎng)絡(luò)安全智慧運營平臺”,,實現(xiàn)安全事件處置的全流程、自動化,、智能化機控和協(xié)同聯(lián)動,。
其中,網(wǎng)絡(luò)安全智慧運營平臺遵照平臺化設(shè)計,,以集成了傳統(tǒng)金融安全體系和互聯(lián)網(wǎng)先進技術(shù)的多重水閘式防御,在整個邊界防護,、邊界旁路阻斷,、縱深防御,、應(yīng)用安全監(jiān)控形成四道防線,同時把這種分布式軟件和集中式硬件,,以及邊界防護和縱深防御相結(jié)合形成了一套建行安全體系結(jié)構(gòu),,并通過實戰(zhàn)型演練常態(tài)化工作,打磨安全運營體系的標準,、規(guī)范,、流程以及模型。
潤聯(lián)科技 郭勇:
網(wǎng)絡(luò)安全管理運營的數(shù)字化平臺,,
實現(xiàn)安全工作數(shù)字化,、智能化
潤聯(lián)應(yīng)對信息安全之策
潤聯(lián)科技信息安全總經(jīng)理郭勇在數(shù)字化轉(zhuǎn)型經(jīng)驗分享中表示,在新形勢下,,面對包括未知的APT攻擊,、DDoS攻擊等網(wǎng)絡(luò)安全威脅增多,潤聯(lián)科技經(jīng)過兩年多時間的研發(fā),,打造出一套網(wǎng)絡(luò)安全管理運營的數(shù)字化平臺,,實現(xiàn)了安全運營工作的數(shù)字化、智能化,,部分實現(xiàn)自動化,。
同時,潤聯(lián)科技關(guān)注以人為本,,加強一線員工對安全能力,、安全制度、合規(guī)的理解,。郭勇提到,,9月以來,《數(shù)據(jù)安全法》,、《關(guān)基條例》,、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理法規(guī)》開始生效,短期會增加企業(yè)的經(jīng)營成本,,但是從長遠來看是降低的,,產(chǎn)品上線或交付后若沒有安全問題,降低了返工和修改的成本,,且因為遵從了法律合規(guī)要求,,企業(yè)將避免被處罰等非經(jīng)營性損失。潤聯(lián)還會將安全專家派駐到不同的業(yè)務(wù)團隊,,幫助其設(shè)計業(yè)務(wù)的安全性,,將安全元素嵌入到業(yè)務(wù)之中。
潤聯(lián)與騰訊安全的生態(tài)合作:潤聯(lián)科恩網(wǎng)絡(luò)安全實驗室
在產(chǎn)業(yè)生態(tài)打造方面,,潤聯(lián)科技與騰訊科恩實驗室攜手成立了潤聯(lián)科恩網(wǎng)絡(luò)安全實驗室,。潤聯(lián)科技目前使用的是混合云的模式,,這將對整個安全防護工程提出新的挑戰(zhàn)。從實踐經(jīng)驗來看,,在多云環(huán)境下的安全防護,、防線構(gòu)建中,上公有云的業(yè)務(wù)必須要購買相應(yīng)的公有云安全能力,,優(yōu)秀的云服務(wù)廠商需提供以DDoS,、WAF以及云主機安全為基礎(chǔ)的防護能力,這也是潤聯(lián)科技使用騰訊云的原因,。
騰訊 丁珂:
以身份為中心的零信任安全
成為了網(wǎng)絡(luò)安全發(fā)展的必然趨勢
騰訊副總裁丁珂就“如何幫助企業(yè)完成安全合規(guī)目標”話題進行了分享,。他表示,從產(chǎn)品和技術(shù)角度出發(fā),,在服務(wù)政企行業(yè)及各個領(lǐng)域進行數(shù)字化轉(zhuǎn)型的過程中,,騰訊安全的重點是幫助大家解決“可信身份”問題。當未來服務(wù)器沒有邊界,,企業(yè)無法基于傳統(tǒng)的物理邊界構(gòu)筑安全基礎(chǔ)設(shè)施,,只能訴諸于更靈活的技術(shù)手段來對動態(tài)變化的人、終端,、系統(tǒng)建立新的邏輯邊界,,通過對人、終端和系統(tǒng)都進行識別,、訪問控制,、跟蹤實現(xiàn)全面的身份化。以身份為中心的零信任安全成為了網(wǎng)絡(luò)安全發(fā)展的必然趨勢,。目前,,騰訊零信任安全解決方案也已廣泛應(yīng)用到政務(wù)、銀行,、制造等眾多行業(yè)領(lǐng)域,。
同時,受到客戶良好反饋的騰訊安全運營中心(SOC),,結(jié)合騰訊威脅情報數(shù)據(jù),,幫助企業(yè)及時調(diào)整防御策略,提前預知攻擊的發(fā)生,,從而實現(xiàn)較為精準的動態(tài)防御,。
丁珂強調(diào),當前供應(yīng)鏈安全成為安全漏洞的主要來源,,所以在供應(yīng)鏈的引入,,包括供應(yīng)鏈流程對接的重要環(huán)節(jié),例如在提供SaaS服務(wù),服務(wù)商自身準入的安全上需要嚴格把關(guān),。在當下產(chǎn)業(yè)數(shù)字化迅猛發(fā)展,,騰訊安全愿意攜手產(chǎn)業(yè)鏈生態(tài)伙伴,開放騰訊級安全能力,,推動安全普惠的實現(xiàn)。在數(shù)字化時代,,騰訊愿意助力所有企業(yè)客戶,,產(chǎn)業(yè)上云,安全先行,。
丁珂表示,,作為產(chǎn)業(yè)安全的領(lǐng)導者,騰訊安全在過去20多年已積累了大量的安全技術(shù)和攻防經(jīng)驗,,通過內(nèi)部的消化和吸收,,提煉出了精髓部分向產(chǎn)業(yè)輸出,助力企業(yè)應(yīng)對數(shù)字化浪潮中的海量需求和突發(fā)威脅進行壓力反應(yīng),。安全是騰訊發(fā)力產(chǎn)業(yè)互聯(lián)網(wǎng)的核心技術(shù)優(yōu)勢,,在新形勢下,騰訊主動踐行主體責任,,在產(chǎn)業(yè)安全技術(shù),、安全人才培養(yǎng)、產(chǎn)業(yè)安全實踐,、安全生態(tài)建設(shè)等領(lǐng)域積極踐行“可持續(xù)發(fā)展社會價值”戰(zhàn)略,。