加入收藏 | 设为首页 | 会员中心 | 我要投稿 厦门网 (https://www.xiamenwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 云计算 > 正文

2019中国金融科技产业峰会丨金融业网络信息安全分论坛之圆桌论坛

发布时间:2019-12-23 20:12:03 所属栏目:云计算 来源:站长网
导读:副标题#e# 2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开。在11月1日下午召开的金融业网络信息安全分论坛上举行了圆桌论坛。 圆桌论坛主持人:中国信通院云大所金融科技部技术总监许一骏。 嘉宾: 安信证券股份有限公司

第一,大数据。金融行业、券商对于数据的整合、分析、应用,一定是未来的重中之重。很多金融企业做科技转型都做技术中台、能力中台、业务中台,一定跑不了数据中台,涉及到数据的存储、传递、应用、分享,数据在使用中会产生价值的,这个过程会给安全带来极大的挑战,而且这个问题一定是长期存在的,怎么让它更安全。

第二,中台的出现以及新技术的应用。比如我开发过程中要用DevOps,这些过程中容器云、微服务架构的引入,会颠覆原有的IT技术架构,IT技术架构变了,安全架构也会变。

基于前两点,我设想的趋势是这样,安全不再基于传统的以隔离为典型控制的访问控制措施,有可能安全会把各种模块、各种职能做成一个服务,把你的服务和你的业务系统、和你的工作流程去整合。比如我的身份验证可能就是个服务,比如我的数据脱敏就是个服务,每一个环节做成一个服务,把服务嵌到我的系统,这样可以让我的系统和安全去做些融合,这是我前面想到的两个点。

第三,未来AI的对抗有可能在金融行业里矛盾会比较突出。有两个例子可以说明这个问题,一个是前一阶段闹得沸沸扬扬的事,第二个是英国出了一个案例,有一家诈骗公司模仿老板给财务打电话,然后转了几百万。这个事就提醒我,我现在开会都不需要到现场,都是远程的,远程这些信息一定会遇到AI的挑战,我怎么知道是真的?类似的场景可能还会存在。我们需要加强在AI上攻防的研究,更多是基于场景的研究,后面可以提倡对于金融或者对于某些行业AI场景应用的研究,做攻防。你知道它有哪些研究技术,做有效的防御。而且这个领域一定是攻击者领先于防御者,把这个工作做到前面,安全工作才可以起到更好的防护的效果,这是我的一些设想。

蒲戈光:简单从乙方视角说一下,之前跟一些金融客户也沟通了,新技术给安全带来的变化。前面有嘉宾提到,现在不光是金融行业,其他企业也是一样,安全团队的人才比较少、缺口根据大。同时,目前很多看到业务和安全是有所冲突的,安全工作比较难做,看不到成绩到底体现在哪里,出了事的责任又全是安全的。

我觉得两者应该互相碰撞和结合,从零信任和从自身架构,更多是偏理念上的变化,它把理念变化之后安全架构做颠覆或者重新设计。比如零信任可以从传统的IP和端口的访问控制,转入到从身份API动态信任,并且随时验证,这样强化安全无边界,但实际上它是把安全融入到整个业务流程里去了。

从我的角度看来有几点:

第一,解决安全甲方乙方存在这样的问题。解决安全的现状,从安全攻防实战出发,不管是安全木头理论还是持续对抗,从实战角度发现当前的短板。另外,锻炼安全团队,从实战里培养企业内部应急机制、处置机制及各部门协调。

第二,安全不能和业务对立。像前一段时间《阿里巴巴中台战略思考与架构实战》的这本书也提到,它的技术中台从2007年就开始建设。但是为什么一几年之后才逐步建得比较好?一开始是业务部门比较强势的,中台在建设过程中是夹缝中求生存的,和安全有点像。如果将安全做好,安全能力、安全自身也要中台化,把它所有的安全能力向服务化、业务部门等提供能力,和业务最好融入到一起。这样一个是提升安全的价值,也能够为业务进行服务。

现在安全的行商和国家政策对安全是个利好,因为会要求大家来重视安全。既然有这个明确要求之后,也让大家能够看到如果出现安全事故或者造成什么损失,安全能够帮助业务挽回一些业务上的损失,或者加大业务的客户群,能对业务带来帮助,从安全上也往中台化方向发展。

另外,AI。现在很多安全产品说人工智能,但是目前在我们看来还处于起步阶段,图像识别、人脸识别或者语音识别比较成熟。安全比较复杂、比较难,我们更强调机器AI+人工专家智慧结合,也结合当前的像RPA这种流程自动化技术,把我们专家的经验固化下来或者沉淀下来,利用专家的经验解决当前安全团队人手不足,无法应对比如重保安全事件的处置。另外,将这些经验和技术结合起来之后能够应对新的威胁。云计算、大数据这些新技术肯定带来IT技术的变化,技术发展是一直在迭代的过程,从理念上先做些变化之后,安全工作才比较容易开展或者更有价值。

胡绍勇:科技金融对金融行业未来会有促进,也会有反面作用,比如量子计算它对未来金融行业影响很大,未来密码系统破解以后怎么发展新的密码?从AI角度来看也有促进作用,比如现在目前大家都在做情感支撑,能够用AI技术看你到底是否很紧张,但是可能通过肉眼看不出来,这些东西可以帮助银行,比如拣的银行卡去柜台取钱,他很紧张就能够探测出来。所以技术在行业中,正面、反面的作用都会有。

论坛主持(许一骏):胡总是做工控安全,等保2.0新增了专门针对工控安全的要求。从我个人理解,工控安全可能比较难做,它都是为此微小的器件,不好像传统的搭一堆WAF或者搭一堆硬件东西去维护它的安全。

请问从工控安全来说,怎么做可以保证它的安全?或者怎么进一步提升安全?另外,你们有没有在金融行业有你们自己相关的研究和防御的建议或产品?

胡绍勇:工业安全是我们最早开始做的一个方向,也是我为什么参加这个会议。大家觉得工厂不会对外联网,安全隐患应该会很少,但实际上并不是,有些安全隐患是尽管内网本身是通的,如果人为因素带来病毒到工厂内部,这时候就很危险。

只有出过事情的工厂才会求助安全厂商去解决问题,如果没有出问题,它都很自信满满,觉得不会有什么问题。这可能是慢慢转变的过程,一方面要出行标,像新等保出来之后规定业务场景,比如规定物联网一定要做等保。

另外,我们研发软件安全技术,完全可以延伸到金融行业,比如金融行业可以买一些安全工具,在其他行业也会一样。所以我们就研发了一款工具,相当于要做自主可控,因为在军队里很多业务不能去买国外的产品,所以我们在这方面推进研发。

论坛主持(许一骏):金融行业网络安全跟其他行业有没有区别?网络架构等有没有明显区别?或者它的特点是什么?

蒲戈光:金融行业肯定有它的特点:

(编辑:厦门网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读