观点 | 数实融合、安全共赢:数字化转型下的安全挑战与应对
数字经济时代,发展和安全双轮驱动。伴随着《数据安全法》、《个人信息保护法》相继落地实施,数据和信息安全被提高到前所未有的地位,积极应对数字化风险,建设网络安全防线,保障数字化转型中的安全问题成为各行各业及相关部门的工作重点。
由腾讯安全发起的“数实融合 安全共赢”圆桌论坛,围绕数字化转型中的机遇与风险,针对电信、金融等代表性行业展开数字化发展的趋势洞察及挑战分析,特邀请到中国移动通信集团有限公司信息安全管理与运行中心总经理张滨、中国建设银行运营数据中心副主任常冬冬、润联科技信息安全总经理郭勇、腾讯副总裁丁珂等企业领袖、行业专家,围绕信息安全管理指导方针和实操方法论进行分享。圆桌论坛由北京赛博英杰科技有限公司创始人、董事长谭晓生主持。
点击视频,查看圆桌完整记录
↓↓↓↓以下为嘉宾观点精华↓↓↓↓
中国移动张滨:
通信行业承载着国计民生的大数据资源,数据安全已成为通信行业安全监管的新焦点。
作为电信行业的领军企业,中国移动提出“5G+AICDE”数字化转型战略,将5G与人工智能、物联网、云计算、大数据、边缘计算等技术深度融合,截至2021年6月,中国移动5G基站已累计开通了50余万个,覆盖了全国地市以上城区、部分县城及重点区域,促进了工业、能源、交通、医疗、教育等产业数字化,助力各行业实现更大的综合效益。
■ 通信行业安全挑战:5G、云计算,新技术新应用的安全风险
随着数字化转型战略的深入,电信行业在数字化转型中的基础性作用不断增强,也面临着新的挑战。中国移动通信集团有限公司信息安全管理与运行中心总经理张滨表示,通信行业的安全风险主要表现在5G、云计算、人工智能等新技术新应用,带来的数据保护、通信、用户权限控制、终端安全等风险与能源、交通、公共服务等行业领域深度融合产生的业务安全风险。在人工智能方面,算法的可解释性、信息茧房、深度伪造等安全风险日益突出。在云计算方面,宽带恶意占用、分布式DDoS攻击、业务数据泄露、APT攻击等安全风险层出不穷。
■ 中国移动应对之策:走出去、引进来,树立行业创新标杆
张滨提到,数据安全已经成为通信行业安全监管的新焦点。面对合规压力,中国移动建立了服务于数字化转型目标和集团业务安全工作的网络安全保障体系,落实网络安全国家法律法规、标准规范要求,强化内部安全能力建设,分析研判新技术新业务可能带来的安全风险,提升安全服务能力。同时,中国移动也积极在TC260、CCSA、ISO、ITU-T主导立项标准,推广企业研究成果,贯彻行业标准落实,强化标准技术应用,通过“走出去、引进来”,形成行业创新标杆,为数字化转型工作保驾护航。
中国建设银行常冬冬:
建立面向实战的网络安全运营体系,实现安全事件处置的全流程、自动化、智能化机控和协同联动。
■ 银行业安全挑战:数据风险不容懈怠,永不离线已成常态
随着银行数字化程度的不断提高,数字化运营面临信息安全挑战同样十分严峻。由于金融机构沉淀了海量的个人客户信息,且数据价值之高,使数据泄露、网络安全攻击等安全风险与日俱增。中国建设银行运营数据中心副主任常冬冬表示,永不离线已经成为常态,安全运营成为生命线,金融行业系统面临着更大的并发压力。
■ 完善数据安全体制,构建全行一体运营平台
常冬冬介绍道,为有效应对数据化转型下的信息安全挑战,建设银行首先构建了完善的数据安全保护体系、积极应用客户隐私保护新技术,打造安全便捷的数据应用环境。其次是建立面向实战的网络安全运营体系,构建全行一体化的“网络安全智慧运营平台”,实现安全事件处置的全流程、自动化、智能化机控和协同联动。
其中,网络安全智慧运营平台遵照平台化设计,集成了以传统金融安全体系互联网先进技术的多重水闸式防御,组成边界防护、边界旁路阻断、纵深防御、应用安全监控的四道防线同时将分布式软件和集中式硬件及边界防护和纵深防御相结合,形成了一套建行安全体系结构,并通过实战型演练常态化工作,打磨安全运营体系的标准、规范、流程以及模型。
润联科技郭勇:
网络安全管理运营的数字化平台,实现安全工作数字化、智能化
■ 润联之策:打造安全数字化平台、提升员工合规意识与理解
润联科技信息安全总经理郭勇在数字化转型经验分享中表示,在新形势下,面对包括未知的APT攻击、DDoS攻击等网络安全威胁逐渐增多,润联科技经过两年多时间的研发,打造出一套网络安全管理运营的数字化平台,实现了安全运营工作的数字化、智能化,部分实现自动化。
同时,润联科技关注以人为本,提升一线员工安全意识及理解。郭勇提到,9月以来,《数据安全法》、《关基条例》、《网络产品安全漏洞管理法规》开始生效,短期增加企业的经营成本,产品上线或交付后没有安全问题,降低了返工和修改的成本且因为遵从了法律合规要求,企业将避免被处罚等非经营性损失。润联还会将安全专家派驻到不同的业务团队,帮助其设计业务的安全性,将安全元素嵌入到业务之中。
■ 润联与腾讯安全的生态合作:多云环境下的最佳选择
在产业生态打造方面,润联科技与腾讯科恩实验室携手成立了润联科恩网络安全实验室。润联科技目前使用的是混合云的模式,这将对整个安全防护工程提出新的挑战。从实践经验来看,在多云环境下的安全防护、防线构建中,上公有云的业务必须要购买相应的公有云安全能力,优秀的云服务厂商需提供以DDoS、WAF以及云主机安全为基础的防护能力。
腾讯丁珂:
以身份为中心的零信任安全,成为了网络安全发展的必然趋势
腾讯副总裁丁珂就“如何帮助企业完成安全合规目标”话题进行了分享。他表示,从产品和技术角度出发,在服务政企行业及各个领域进行数字化转型的过程中,腾讯安全的重点是帮助大家解决“可信身份”问题。当未来服务器没有边界,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化。以身份为中心的零信任安全成为了网络安全发展的必然趋势。目前,腾讯零信任安全解决方案已广泛应用到政务、银行、制造等众多行业领域。
同时,受到客户良好反馈的腾讯安全运营中心(SOC),结合腾讯威胁情报数据,帮助企业及时调整防御策略,提前预知攻击的发生,从而实现较为精准的动态防御。
丁珂强调,当前供应链安全成为安全漏洞的主要来源,所以在供应链的引入,包括供应链流程对接的重要环节,例如在提供SaaS服务中,服务商自身准入的安全上需要严格把关。目前,产业数字化迅猛发展,腾讯安全愿意携手产业链生态伙伴,开放腾讯级安全能力,推动安全普惠的实现。在数字化时代,腾讯愿意助力所有企业客户,产业上云,安全先行。
丁珂表示,作为产业安全的领导者,腾讯安全在过去20多年已积累了大量的安全技术和攻防经验,通过内部的不断优化,向产业输出核心精华,助力企业应对数字化浪潮中的海量需求和突发威胁进行压力反应。安全是腾讯发力产业互联网的核心技术优势,在新形势下,腾讯主动践行主体责任,在产业安全技术、安全人才培养、产业安全实践、安全生态建设等领域积极践行“可持续发展社会价值”战略。
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧