數字經濟時代,發展和安全雙輪驅動。伴隨著《數據安全法》、《個人信息保護法》兩法相繼落地實施,數據和信息安全也被提高到前所未有的地位,積極應對數字化風險,建設網絡安全防線,保障數字化轉型中的安全問題成為各行各業及相關部門的工作重點。
為了解數字化轉型下的安全挑戰與應對措施,騰訊安全發起“數實融合 安全共贏”圓桌討論,本期圓桌邀請到了:中國移動通信集團有限公司信息安全管理與運行中心總經理張濱、中國建設銀行運營數據中心副主任常冬冬、潤聯科技信息安全總經理郭勇、騰訊副總裁丁珂。各位專家圍繞信息安全管理指導方針和實操方法論進行討論,分享了運營商、金融機構、大型企業以及安全供應商等不同角度的觀點與實踐經驗,本期圓桌論壇由北京賽博英杰科技有限公司創始人、董事長譚曉生主持。
精華觀點
中國移動 張濱:
通信行業承載國計民生的大數據資源,
數據安全已成為通信行業
安全監管的新焦點
作為電信行業的領軍企業,中國移動提出了“5G+AICDE”的數字化轉型戰略,將5G與人工智能、物聯網、云計算、大數據、邊緣計算等技術深度融合,截至2021年6月,中國移動5G基站已累計開通了50余萬個,覆蓋了全國地市以上城區、部分縣城及重點區域,促進了工業、能源、交通、醫療、教育等產業數字化,助力各行業實現更大的綜合效益。
通信行業安全挑戰:新技術、新應用帶來的業務安全風險
隨著數字化轉型戰略的深入,電信行業在數字化轉型中的基礎性作用不斷增強,也面臨著新的挑戰。中國移動通信集團有限公司信息安全管理與運行中心總經理張濱表示,通信行業的安全風險主要表現在5G、云計算、人工智能等新技術新應用,帶來的數據保護、通信、用戶權限控制、終端安全等的安全風險,以及在與能源、交通、公共服務等行業領域深度融合產生的業務安全風險。在人工智能方面,算法的可解釋性、信息繭房、深度偽造等安全風險日益突出。在云計算方面,寬帶惡意占用、分布式DDoS攻擊、業務數據泄露、APT攻擊等安全風險層出不窮。
中國移動應對之策:落實法律要求、強化能力建設、警惕安全風險、提升安服能力
張濱提到,通信行業承載著國計民生的大數據資源,數據安全已經成為通信行業安全監管的新焦點。面對合規壓力,中國移動建立了服務于數字化轉型目標和集團業務安全工作的網絡安全保障體系,主動跟蹤落實網絡安全國家法律法規、標準規范要求,強化集團內部安全能力建設,及時分析研判新技術新業務可能帶來的安全風險,不斷提升安全服務能力。同時,中國移動也積極在TC260、CCSA、ISO、ITU-T主導立項標準,推廣企業研究成果,強化行業標準的貫標落實,強化標準應用,通過“走出去、引進來”,形成行業創新標桿,為數字化轉型工作保駕護航。
中國建設銀行 常冬冬:
建立面向實戰的網絡安全運營體系,
實現安全事件處置的全流程、
自動化、智能化機控和協同聯動
銀行業信息安全挑戰:數據泄露和網絡攻擊最為突出
隨著銀行數字化程度的不斷提高,數字化運營面臨信息安全挑戰同樣十分嚴峻。由于金融機構沉淀了海量的個人客戶信息,且數據價值非常高,來自數據泄露、網絡安全攻擊的安全風險與日俱增。中國建設銀行運營數據中心副主任常冬冬提到,永不離線已經成為常態,安全運營成為生命線,金融行業系統面臨著更大的并發壓力。
建行信息安全應對:構建完整數據安全保護體系、應用先進隱私保護技術
常冬冬介紹道,為了有效應對數據化轉型下的信息安全挑戰,建設銀行首先構建了完善的數據安全保護體系、積極應用客戶隱私保護新技術,打造安全便捷的數據應用環境。其次是建立面向實戰的網絡安全運營體系,構建全行一體化的“網絡安全智慧運營平臺”,實現安全事件處置的全流程、自動化、智能化機控和協同聯動。
其中,網絡安全智慧運營平臺遵照平臺化設計,以集成了傳統金融安全體系和互聯網先進技術的多重水閘式防御,在整個邊界防護、邊界旁路阻斷、縱深防御、應用安全監控形成四道防線,同時把這種分布式軟件和集中式硬件,以及邊界防護和縱深防御相結合形成了一套建行安全體系結構,并通過實戰型演練常態化工作,打磨安全運營體系的標準、規范、流程以及模型。
潤聯科技 郭勇:
網絡安全管理運營的數字化平臺,
實現安全工作數字化、智能化
潤聯應對信息安全之策
潤聯科技信息安全總經理郭勇在數字化轉型經驗分享中表示,在新形勢下,面對包括未知的APT攻擊、DDoS攻擊等網絡安全威脅增多,潤聯科技經過兩年多時間的研發,打造出一套網絡安全管理運營的數字化平臺,實現了安全運營工作的數字化、智能化,部分實現自動化。
同時,潤聯科技關注以人為本,加強一線員工對安全能力、安全制度、合規的理解。郭勇提到,9月以來,《數據安全法》、《關基條例》、《網絡產品安全漏洞管理法規》開始生效,短期會增加企業的經營成本,但是從長遠來看是降低的,產品上線或交付后若沒有安全問題,降低了返工和修改的成本,且因為遵從了法律合規要求,企業將避免被處罰等非經營性損失。潤聯還會將安全專家派駐到不同的業務團隊,幫助其設計業務的安全性,將安全元素嵌入到業務之中。
潤聯與騰訊安全的生態合作:潤聯科恩網絡安全實驗室
在產業生態打造方面,潤聯科技與騰訊科恩實驗室攜手成立了潤聯科恩網絡安全實驗室。潤聯科技目前使用的是混合云的模式,這將對整個安全防護工程提出新的挑戰。從實踐經驗來看,在多云環境下的安全防護、防線構建中,上公有云的業務必須要購買相應的公有云安全能力,優秀的云服務廠商需提供以DDoS、WAF以及云主機安全為基礎的防護能力,這也是潤聯科技使用騰訊云的原因。
騰訊 丁珂:
以身份為中心的零信任安全
成為了網絡安全發展的必然趨勢
騰訊副總裁丁珂就“如何幫助企業完成安全合規目標”話題進行了分享。他表示,從產品和技術角度出發,在服務政企行業及各個領域進行數字化轉型的過程中,騰訊安全的重點是幫助大家解決“可信身份”問題。當未來服務器沒有邊界,企業無法基于傳統的物理邊界構筑安全基礎設施,只能訴諸于更靈活的技術手段來對動態變化的人、終端、系統建立新的邏輯邊界,通過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化。以身份為中心的零信任安全成為了網絡安全發展的必然趨勢。目前,騰訊零信任安全解決方案也已廣泛應用到政務、銀行、制造等眾多行業領域。
同時,受到客戶良好反饋的騰訊安全運營中心(SOC),結合騰訊威脅情報數據,幫助企業及時調整防御策略,提前預知攻擊的發生,從而實現較為精準的動態防御。
丁珂強調,當前供應鏈安全成為安全漏洞的主要來源,所以在供應鏈的引入,包括供應鏈流程對接的重要環節,例如在提供SaaS服務,服務商自身準入的安全上需要嚴格把關。在當下產業數字化迅猛發展,騰訊安全愿意攜手產業鏈生態伙伴,開放騰訊級安全能力,推動安全普惠的實現。在數字化時代,騰訊愿意助力所有企業客戶,產業上云,安全先行。
丁珂表示,作為產業安全的領導者,騰訊安全在過去20多年已積累了大量的安全技術和攻防經驗,通過內部的消化和吸收,提煉出了精髓部分向產業輸出,助力企業應對數字化浪潮中的海量需求和突發威脅進行壓力反應。安全是騰訊發力產業互聯網的核心技術優勢,在新形勢下,騰訊主動踐行主體責任,在產業安全技術、安全人才培養、產業安全實踐、安全生態建設等領域積極踐行“可持續發展社會價值”戰略。
