远程遥控、车载应用等智能网联化产物让汽车越来越智能的同时,也给了黑客更多可乘之机,汽车网络安全问题亟待解决。 近日,国内首个面向智能汽车应用场景的网络靶场已经在深圳鹏城实验室落地。据广州日报介绍,网络靶场是一种网络系统的仿真平台,是用以提高网络和信息系统稳定性、安全性和性能的网络空间基础设施。鹏城网络靶场将模拟汽车典型应用场景,如:远程升级业务系统OTA,主要应用于智能汽车国标验证、安全测评、网络安全新技术验证和人才培训等。 中国工程院院士、鹏城实验室方向责任院士方滨兴在网络靶场与智能汽车安全论坛上表示,网络靶场就是提供一个网络仿真平台,通过不断的测试找到系统漏洞,再升级系统来达到提升防护水平的目的。 Upstream Security发布的2020年《汽车网络安全报告》显示,自2016年至2020年1月,汽车网络安全事件的数量增长了605%,仅2019一年就增长了一倍以上。 其中,82%涉及短程和远程攻击;在过去十年中,前三大攻击媒介分别是无钥匙进入系统(30%),后端服务器(27%)和移动应用程序(13%);安全事件造成的后果位列前三的分别是汽车盗窃/入侵(31%),对汽车系统的控制(27%)以及数据/隐私泄露(23%)。 360发布的《2019 智能网联汽车信息安全年度报告》更是指出2019年已经出现了两种新型网络攻击方式,数字车钥匙漏洞也让汽车安全存在更多隐患。 两种新型网络攻击方式为:1、黑客获取智能汽车的T-Box通讯模块后,即可通过通讯模块接入车厂私有网络,进而攻击车厂内网导致TSP沦陷。2、通过使用一种名为Worley的噪音(Worley噪声能够模拟石头,水或其他噪音的纹理)生成函数,通过加补丁的方式生成所需的对抗样本图片,可以启动特斯拉的自动雨刮器;在道路上贴上对抗样本贴纸,则能误导自动驾驶系统,使车辆行驶到对面的车道造成逆行。 未来汽车日报
近日,香港人工智能与机器人学会(HKSAIR)副理事长郑松岩做客HKSAIR《AI金融》系列线上讲座第一课,以“香港金融业网络安全和个人隐私数据保护”为主题进行分享。以下为郑松岩演讲全文,雷锋网做了不改变原意的整理:大家好,我是郑松岩,我今天跟大家分享一下香港金融业网络安全跟个人隐私数据保护的情况跟做法。香港金融主要还是银行、证券、保险,但三个细分行业监管的严谨程度存在较大的差异。银行监管最严谨,所以我们讲的主要是银行相关的部分。银行业“水深火热”的网络安全现状2018-2019这两年出现很多资料被盗的案例,不过不是在金融行业,而是在其他行业。2018年10月,国泰航空公司总共有900多万的客户资料被泄露。其实国泰内部早在2018年4月份就发现问题,只是延后公布。新加坡医疗集团Sing Health则丢失了150万病人的资料,这与国泰事件发生时间很接近,但两者处理事件的方式大不相同。Sing Health在出现问题的时候,政府监管马上跟进,几个月后公布调查报告并供公众查阅。万豪旗下的喜来登酒店也曾经丢失超过3亿用户的个人资料。Facebook更是频频通过心理测试或者各种游戏,窃取用户个人资料。Facebook近年不断出现一些系统漏洞,很多用户的个人电话、邮箱、信用卡或身份证资料都暴露了。这些案例看似与金融业务无关,但这些被泄露的客户资料有信用卡号码、身份证号码,都可能被盗用。将来用户在银行申请开户、贷款,这对客户本人就会产生危害。2019年也出现了很多泄露事件,比如新加坡另外一间医疗机构HSA,发现很多客户资料被挂在黑网上售卖。同时,像Instagram等社交媒体,都有很多信息外泄情况。还有第一资本也丢失了客户资料,它本身就是金融机构,丢失资料更容易导致客户信息被盗用,引起金融方面的损失。再往前看,2016-2017这两年,是全球银行经历最多线上劫案的时候。线上劫案,也就是网络攻击。Swift是跨国家或地区的一种汇款转账方式,该机构在各银行安装转账终端机器。孟加拉央行被黑客进入,通过Swift被盗取8100万美金。香港很多网上银行用户个人资料丢失后,被黑客冒用做股票交易进行现金套现。台湾第一银行ATM服务器被攻破,导致很多不同地区的ATM某天自动吐钱。泰国也出现过ATM被盗,是在机构更新ATM程序时趁虚而入。实际上,现在很多地下黑网都会给这种网络攻击明码标价,盗取的店面数量、账户总值都可以在网上看到。钓鱼工具典型案例之孟加拉央行这种盗取很多资金攻击,是不是很复杂?这里以孟加拉银行为例做出解释。黑客并不是直接攻击银行数据中心,因为数据中心的服务器比较复杂,而是利用钓鱼邮件,比如假装成求职简历,邮件发送到央行人事部门,部门人员点进去就中招。这样,接收文件的那台个人电脑就被黑客入侵了。除了用户自身操作以外,很多系统管理人员也在这台电脑安装过软件或是日常维护,黑客也就顺势拿到系统管理人员的密码,就可以尝试通过网络控制其他服务器。再利用服务器,安装一个能够获取用户键盘输入信息的程序。如果此时这台电脑是给用户用Swift做汇款操作的,那黑客就能获取Swift汇款的ID和信息,远程操控这台机器。这样的操作,一直持续了39天,央行一直不知情,直到有一次黑客打错收款人姓名,交易被中断。银行内部做检查,发现这不是内部人员所为,才追踪发现这件事情。这就是从终端电脑开始慢慢安装软件,潜伏,通过网络搜寻获取更高权限,层层递进,最终发动攻击。钓鱼工具典型案例之台湾第一银行而入侵台湾第一银行的程序,实际上它是从伦敦的一个终端机上进入的,通过网络掌控到传真式服务器。传真经常会和总部有资料往来,他们之间有连接。黑客通过传真式服务器、伦敦的服务器,再进入到台湾本部的服务器,一层层操作后掌控自动柜员机的服务器,黑客可以操作指定区域的ATM机器,给出取钱指令,直接得到现金。我们的惯性思维会认为,网络攻击就是攻击服务器、数据中心,但这是从技术层面来讲。钓鱼软件则是一种从终端用户切入的攻击,低成本高效益,操作更容易,也不容易被追踪。对用户来说,网上银行要输入ID,同时还有短信之类的双重认证。黑客用钓鱼软件,程序很简单,比如给用户发链接,点进去之后显示的银行登陆界面需要输入ID、密码、验证码,用户更容易信以为真。但这个弹出的网上银行界面,其实是黑客电脑上的,不是真正网银界面。用户在不知情的情况下,输入自己的ID、密码,被黑客获取,去真正网银上输入用户的账密,用户收到辅助验证的短信。一旦用户没有发现端疑,按照指示操作,黑客就能拿到短信完成双重认证,从而进行更多操作和交易。金融业的网络安全治理之道金融业的网络安全管制,不只是技术层面的。各业务部门和用户,全部都要有网络安全意识,无论是在哪个机构、哪个国家或地区都是如此。另外,不同银行的管控能力都不同,网络安全的治理跟管理要并行,这一点要分清楚。管理是日常的网络安全计划,采取一定措施监控和运行系统都是属于日常管理。但治理更重要,它处于更高层次,金融机构必须定出一种方向,去思考:1、对网络安全的容忍度有多少?2、网络安全在机构里,属于最高优先级吗?这些问题的答案,直接与机构对网络安全的重视程度挂钩,包括投入的资源、人才跟资金,因为要建构很多不同的措施,包括检查机构网络安全的水准是否达到一个水平。在座有不少朋友负责网络安全,或者从事科技行业,我想请问大家:当你的管理层或董事会问你,你觉得自家机构的网络安全与业界同行相比是什么水平?有多少差距?这个问题你会怎么来回答呢?网络安全是一件由上到下、遍及全民的要事。香港金管局就明确规定,保障银行的网络安全是机构董事会成员的责任,由董事会负最终责任。管理层必须根据董事会定下的网络安全优先级,去保证所有的资源架构配套能够到位。管理层监督管理层的下一级是科技或风险管理部门,甚至是一些前线。管理层要保证计划都能够执行到位,再具体到技术人员。只有管理层乃至机构董事会了解到整体安全保障情况,把它列入日常议程,整个机构的网络安全资源跟能力才能持续下去。网络安全永远没有“做到最好”这个说法,不是监管要求或者稽查就做一下,无人违纪就停止了,而是要持续执行下去。管理层监督的对象,就是有关网络安全的部门、科技部门,包括用户。有关部门应该收集报告,定期向高层管理、董事会汇报安全情况。现在很多培训,只面向科技人员,这不够。要把培训遍及到董事会跟高层管理,他们也充分了解当前网络安全整体趋势,才能引起足够重视。基层同事也要知道网络安全各方面保护,不断宣传,让所有的终端用户都有这种意识。除了全民意识,在技术层面可以有很多的手段,比如在电脑上安装不同防护工具、加密工具或监控工具。实际上不同机构都会不断互相学习,然后引进技术手段,辐射到终端用户和高层管理的培训。香港金融管理局(下称“金管局”)对科技的风险监管有不同的规范,以科技管制和技术措施为主。持续性业务,又称TM-G2,是指业务整体都要持续有留存备份,不只是科技中心的备份,还有业务操作备份、演练规划。演练包括技术和业务层面,应急启动等,都有很多不同规范。电子银行因为变化得很快,所以有专门的管理规范和相关指引。香港民众对个人隐私的保护意识很强,是好事,当然也没那么快接受新鲜事物。香港有专门的隐私条例,大概有6个原则:个人资料的收集、目的及方式。社会上不同的机构,像银行、商店要收集客户资料,就必须讲清楚收集资料的目的跟使用方式。个人资料的准确及保留期。讲清楚目的后,还有使用期限,多久之内必须要删除,资料不再留存。个人资料的使用。在使用的过程中,要遵循告知用户使用的方式且只能用于此事,用户一旦发现不妥,可以投诉。个人资料的保护。即是资料在处理中、传输中、存放中的保护。资讯需在一般情况下可以提供。查阅、修改个人资料的权利。根据隐私条例规定,用户可以随时要求查询收集记录的资料,也有权要求修改和删除。网络安全管理指引四大重点网络安保方面,金管局曾给出过银行指引,重点如下:1、董事会和高级管理层的监督银行网络安全的风险拥有人就是董事会,信息一旦泄漏就可能让黑客容易进入一些科技系统,因此必须建立科技跟业务并行的风险管理整体措施。风险出现时,我们要面对监管、客户、民众、媒体。所以这一系列活动中,业务部门、企业职能部门都是要并行运作的。风险管控的措施不只是科技,同时要保证多数人有网络安全措施跟意识,董事会跟高级管理层有责任建立这一种文化。2、定期评估及监察银行网络安全要建立一种控制基准,包括治理层面。类似的国际基准有CSC20,通过标准比对,找出差距,不断修改补充。2015年时金管局提问各个银行:网络安全团队有多少人?需要配备足够的人员及人才,足够的财务投入,才能把网络安保做好,定期向董事会汇报。3、业界合作及应急规划金融机构要跟其他行业机构、警方互相合作,共享一些网络信息;同行业间互相分享不同的安保信息。做好应变测试,确保能够及时处理。这里的应变测试是指整个机构面对问题的时候的应变处理。4、定期独立评估及测试足够的网络安保专业人才跟知识是衡量机构的标准。另外,要请有资质的顾问公司对机构进行独立评估,这也是监管要求之一。网络防卫评估框架金管局推出了「网络防卫评估框架」,近几年还在继续完善跟运作。评估框架要求:银行根据自身交易量、提供交易服务的复杂程度和自身规模,进行自我评估,判断固有风险的高中低程度。银行的规模越大、业务越复杂、提供的产品越多,固有风险就越高。还有网络安防成熟度的要求。固有风险越高,成熟度要求就越高,通过独立的顾问公司评估银行,逐项判断是否满足要求。再根据评估结果找出差距,银行必须优化改进。每个银行的评估结果最终都要上报,金管局根据结果提出意见,银行再根据意见和评估结果制定修订的计划进行整改。金管局还要求提供修订报告,独立顾问公司对银行做审查,评估整改的方案跟措施。半年后,会要求银行找顾问公司再做一次评估,确认方案是否仍然有效。全部做完后,再要求各个银行去找顾问公司,找出不同的场景在机构里测试,然后从端对端中看能否找出漏洞。网络评估的要素成熟度评估包括7个领域,水平分为基本、中级、高级,总共有366项,具体看是否完成,服务程度等。独立顾问公司帮忙审核,列出不符合的项目。其中,风险识别这一点是指如何保护系统,如何侦测到分别来自内部和外部的攻击活动,如何去法院处理,同时恢复服务,这就是风险意识。最后一点是第三方的风险管理。近年来,各国对第三方的风险管理要求趋严,相信接下来会有更多第三方服务商(相关条例出现)。比如银行将呼叫中心业务外发给第三方供应商去做,必须监控供应商是否存在漏洞,以免影响服务质量。还包括关键的硬件供应商,需要有替代方案应对突发问题。第三方扩展会越来越多,因为现在的银行讲究效率——传统银行要求客户到分行,或用专门手机银行做金融交易,但现在有Open API开放这些应用的接口,越来越趋向于B2B方式。B2B2C模式是银行跟其他非银机构合作提供服务,共同经营双方客户。在这种模式下,用户可以通过一些像网商或航空公司等非银机构,在他们的网站直接享受银行服务,例如开户、转账。同样,银行也可以建立这种平台,提供像汽车销售、旅游计划等商业合作。当第三方公司网站出现问题,银行必须采取行动,及时判断这些机构存在的问题,判断其可信资质。最近金管局对银行又提出关于人工智能的一些要求,指明如果银行采用AI产品,或与机构服务商合作,董事局跟高层管理也必须负责AI引起的结果。这就要求使用者对应用程序要有足够的专业知识,和对人工智能的认知。AI要用数据训练模型,因此也对数据质量有所要求。AI模型还要做好核实,包括模型的可审计性。如果采用外部机构的AI产品,比如NLP,涉及的编制也需核实。外部AI或服务如何管控,如何确定变更过的模型准确性不变,如何检测程序中是否有恶意部分……这些对银行来说都是不小的挑战。云在内地银行应用较广泛,香港银行相对较少,这与监管不无关系。如果银行使用外部云,(在香港)它会被当成是技术外包,那技术外包也有自己的条例,包括全程监控,可审计等。云计算上的复杂状况不一定完全符合监管要求,要明确监管条例,银行才能启用云。银行用云也分为很多情况。比如银行内部出于成本效益考虑,选择自建云。有些银行是跨国且有很多子公司,它需要让一些企业客户跟银行IT系统有连接,比如银企直联,企业的ERP也能够连到银行,在处理账务或资金调拨时更方便。欧盟GDPR VS 香港个人私隐条例1、香港私隐条例列出6大原则,基本是原则性条文。而欧盟在2018年推出的资料保护条例叫GDPR,罗列了99条具体细则,它比香港的条例更严格。2、香港把身份证、电话号码等算在隐私范畴,而GDPR则将生物特征、车牌号、相片、IP地址、色情网络记录等等都全部列进去。3、GDPR条例会覆盖到其他的国家和地区,比如别国网站的产品,如果销售对象是欧洲地区的客户,或是销售中用到欧洲语言,会被计入GDPR。4、如果有出现问题,你一定要72小时内上报到某一个机构。5、很多地区的私隐条例只讲了原则,没有具体的违规处罚方式。欧盟就规定很清楚,说最高可处以2000万欧元的罚款或者全球营业额的4%。如何持续优化一个金融机构的网络安全能力?第一,定期外聘一个具认受性的顾问公司对机构的网络安全做成熟度评估。这是多维度的考察,并不只是检查技术上的防护。比如毕马威的成熟度评估模型,总共分了6个维度,评估管制跟领导、整体信息风险管理、法律合规方面机制等;运作与科技只占一项,还有业务持续性、人员素质……每个维度又分成5个层次,从初始级到优化级,定出一个最适合自己的标准。金融机构如果期望更好的效果,就应该通过各个维度找出差距并整改补齐。整改时要对措施的有效性进行评估,整改后再对措施的持续性作评估。由于不同的顾问公司的评估模型稍有差异,因而找不同的公司作评估,可以从更多的方位找出改善的地方。第二,不断演练。机构应事先制定好不同的场景,像网络攻击、阻断式攻击、钓鱼等,并制定好每年演练场景的数量、所需时间,按照规划完成。从高级管理层到终端用户、科技人员、科技系统等全都会加入。另外也可以聘请外部机构进行网络安保方面的攻防演练,找出漏洞并修补。系统中的补丁,也是很多机构容易疏忽的一点。一个中大型的机构,比如服务器、网络设备、终端机等,时而有补丁可更改,但也要分析实际作用再做定夺。而且要及时知道新的补丁上线时间,这要跟供应商保持沟通,确定补丁需要的时间、风险优先级等。有没有出现过没按规定打补丁的事件?早几年的Wanna Cry(永恒之蓝)就是,它个病毒会锁掉所有档案资料,黑客收取比特币之后才能解锁。当时全球很多地方都中招了,如果及时打上Microsoft Shop的OS补丁,是可以避免的。第三,人员意识培训。负责网络安保的人员是否具备专业知识跟能力?这必须由专业人才进行培训。很多人认为,有充分的实战经验就行了,但还是必须要求有专业认证。因为经验会随人员流动,有专业认证起码能保证网络安保人员认知的水平在同一水平线。像科技风险管理或者网络安保之类的认证人员数量,至少要占团队90%以上。同时经常举办不同的网络安保培训活动。另外也可以通过攻防演练、座谈会、网络学习、钓鱼测试等培养安全意识。引入智能化分析工具很多机构有不同工具,例如防病毒、防攻击、防侵入等,在服务器上有防脆弱、防档案更改的工具,网络有一些像DDOS防阻塞式攻击的工具。监控,其实都是监控到不同前中后台、终端或是服务器网络设备日志。日志单独查看可能很难看出问题,需要引入智能化分析工具,像Cyber Security Analytic,把不同设备的访问日志以及一些来自外部的访问IP的信息聚合在一起通过工具进行关联性分析,找出较为隠蔽的问题。例如有些服务器或应用系统正常运行,但某时段有一个IP在极短时间内出现不合理的交易数量,便可藉此提示是否有使用机器人进行操作的可能。实际上,近两年病毒或DDOS类型的攻击反而较少,更危险的是APT攻击(Advanced Persistent Threat,高级持续性威胁)。它是在一个位置记录搜寻漏洞,找到更重要的一个设备,再在设备上找新漏洞,找到它认为合适的时候才发起攻击,手段非常隐蔽,攻击让人措手不及。这就需要建构大数据网络安保分析平台来应对。实际上,网络安全、信息安全是政府、企业跟个人的共同责任。政府要做好立法和执法。企业方面,各个企业的网络安控水准跟意识各不相同,有些中小型企业没有资金跟人才去部署,怎么保证他们都有这样一种安全意识也是问题所在。同时,个人也要提高安全防范意识,注意个人ID密码被盗,钓鱼邮件,WiFi安全性等等。甚至平时你填的表格信息,也要考虑到信息用途,说不定很多信息因此就丢失。即将启幕CCF-GAIR 全球人工智能与机器人峰会———AI金融专场历届 CCF-GAIR 已汇聚多位诺奖、图灵奖得主,28位海内外院士,21位世界A类顶会主席,103位Fellow,400多位知名企业家以及100余位VC创始人出席。8月7日-9日,《AI金融评论》将在第五届CCF-GAIR中举办「AI金融专场」,目前统计学“诺贝尔”— COPSS总统奖得主,摩根大通执行董事,世界顶级学会主席,金融巨头首席科学家、首席风控官,已确认出席。会议详情与合作,可联系专场负责人周蕾,微信:LorraineSummer更多会议安排点击https://gair.leiphone.com/gair/gair2020查看。
原标题:零信任成为网络安全新理念新架构 从概念走向应用落地,新基建推动零信任在多个行业快速普及 备受关注的“零信任十周年峰会”近日在北京举行。此次峰会由国际云安全联盟(CSA)组织发起,以“十年磨一剑,零信任出鞘”为主题,包括华为、阿里云、腾讯云、奇安信、360、云深互联和山石网科等在内的行业巨擘均现身承办或协办单位之列。 相关专家和公司高管在大会发言和接受记者采访时表示,不管是在国内还是国外,零信任都将是未来网络安全发展的新方向。尤其是在当前新形势下,零信任愈发被政府部门和业界所关注。相较于传统的防护手段,零信任这种网络安全的新理念新架构更有优势。伴随着5G网络、大数据中心、工业互联网等新基建的加速推进,零信任结合国内实际应用场景的落地发展也将走上快车道。 零信任理念符合网络安全发展方向 “零信任安全理念符合网络安全的发展方向,希望零信任实践在数据保护上能够得到充分运用。”中国友谊促进会理事长、公安部原副部长、国家网信办原副主任陈智敏说。 在今年全国两会上,陈智敏提出了关于深入推进APP违法违规收集使用公民个人信息治理的提案,提案中有关个人信息保护的观点与零信任安全架构的安全理念不谋而合。 工信部原副部长杨学山表示,工信部2019年起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》提出,要积极探索拟态防御、可信计算、零信任等网络安全的新理念、新架构,促进网络安全理念和技术的创新。 中国工程院院士倪光南认为,网络安全面临的挑战日益多样化,建立自主创新、安全可控的网络信息技术体系是数字经济发展的必要保障。探索包括零信任在内的我国网络安全关键技术的新理念非常有意义,同时希望能够结合国内的应用场景,让零信任更好地落地发展。 中国工程院院士邬江兴指出,政产学研需要推动网络安全技术创新,拟态防御与零信任安全都是基于给保护目标穿上“隐身衣”的新理念、新架构,比传统的查漏堵门、杀毒灭马等防护手段更有优势,也更适合云时代无边界的防护体系需求。 零信任从概念走向应用落地 据了解,传统的网络安全是基于防火墙的物理边界防御,也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代,该防御模型前提假设是企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。 然而,随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。 根据全球知名IT咨询机构Gartner发布的零信任网络访问(ZTNA)行业报告, 零信任网络访问也称为软件定义边界(SDP),是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。如今,零信任安全已经成为美国国家级网络安全战略。 在国内,工信部2019年起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术。同年,中国信息通信研究院发布的《中国网络安全产业白皮书》说,零信任已经从概念走向落地。这份白皮书首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。 云安全联盟(CSA)大中华区主席李雨航表示,零信任在全球已经成为网络安全的关键技术和大趋势,但在海外的落地实践中走过一些弯路,主要原因是客户对零信任有一些误区。今后,联盟将推出系列活动和研究指南帮助产业对零信任进行理解、消化和实施。在零信任海外发展十年经验的基础上,争取在下一个十年让零信任最佳实践在中国落地。 新基建推动零信任快速普及 值得注意的是,互联网安全行业专家对零信任安全抱有较高的期望值。 零信任安全专家、CSA大中华区SDP工作组组长、云深互联CEO陈本峰今年带领工作组完成了国内首个零信任安全专家认证CZTP教材的编写以及NIST美国国家标准《零信任架构》草案的中文翻译版发布。他在会上指出,零信任真正落地需要因地制宜。虽然近年来零信任在国内外发展十分迅速,但是中外之间仍存在一些差异。美国目前已经形成一套完善的零信任理论,但对中国来说是刚刚起步。在国内终端环境多样化的情况下,需要大家不断摸索和研究,争取开发出一套属于中国自己的零信任理念和架构。 陈本峰表示,软件定义边界(SDP)是在企业上云、远程办公、移动办公的大环境下设计出来的,是零信任安全理念具体落地的技术手段。作为SDP领域的代表性安全厂商,云深互联利用新一代零信任网络隐身技术,为企业构建起“云-管-端”一体化的数据资产安全防护体系。随着中国企业上云以及以5G、工业互联网为代表的新基建的快速推进,零信任理念与SDP技术架构将很快在多个行业普及。 阿里云安全资深产品专家尚红林认为,零信任安全靠旁路和植入是很难做到高效实时的,但是云原生特有的优势可以把从IaaS、PaaS到SaaS的身份彻底构建连接,让零信任在实施过程中更加高效。而构建从IaaS、PaaS到SaaS的连接也将成为未来技术发展的趋势。 奇安信集团身份安全事业部总经理张泽洲说,零信任是一种安全理念和架构思维,企业在落地过程中务必从架构视野上把握零信任全貌,并结合企业现状开展零信任的工程化实践。尤其应结合业务和安全需求选择零信任的切入场景,依据安全现状筛选优先构建的零信任能力,基于具体的风险缓解目标设立务实的安全预期,从而分阶段有序推进零信任落地。 360集团云安全研究院高级安全总监魏小强则表示,零信任是一种方法论,是一种安全范式。身份管理是零信任的基础,没有身份管理,零信任将无法成功实施。身份正从单一属性走向多属性,从认证走向连接。身份管理的本质是连接,连接既创造价值也带来风险,安全连接则是零信任的基石。因此,应从安全连接的视角去重新思考零信任架构,寻找新的解决方案以应对软件定义时代的到来。
自去年银保监会启动网络安全专项治理工作以来,持续组织开展了一系列风险排查和整治工作,银行保险机构网络安全管理能力进一步提升。据上证报 不过,监管部门在检查中发现,仍然存在部分机构董事会、高管层对网络安全的重视程度不足,部分机构安全管理制度不健全、执行不严格,部分机构对重要业务数据的安全管理不到位,部分机构关键设备老化,部分机构对业务连续性管理重视程度不够,部分机构外包风险管理不到位等问题。 从监管评级评分情况来看,各保险机构之间的信息科技水平也参差不齐。2019年度,监管部门共对225家主要保险机构开展了信息科技评分,平均为77.66分,最高分90.66分,最低分48.36分。 业内人士透露,近日,监管部门就在保险业内部通报了地方监管局成功处置一起“非法入侵保险机构移动出单系统,为异地投保车辆逃缴车船税”案件。此案为保险业防范网络安全风险再次敲响了警钟。 在这起案件中,某保险公司基层机构移动出单网络系统遭受非法入侵,不法分子窃取公司员工用户名和密码登录系统,冒充保险从业人员,通过QQ及微信与车主联系,承诺只需缴纳少量费用,便可减免车船使用税,个别消费者因贪图便宜而被不法分子利用。不法分子意图通过为异地号牌车辆投保交强险,录入虚假车船税完税信息,以逃避缴纳车船税。因发现较早,该入侵行为被及时制止。 对于背后成因,监管部门在通报中分析称,主要有三点:一是防范系统入侵技术滞后,部分保险机构网络系统尤其是终端业务系统安全设置不高,在应对网络恶意入侵或攻击时,无法实现有效识别和拦截;二是网络安全内控管理薄弱,部分保险机构网络安全风险意识不强,内部管控不严格,未及时清理无效用户,未定期开展自查整改,应急处置机制未有效发挥作用,网络安全防范技能有待进一步提高;三是消费者缺少法制观念和风险防范意识,部分消费者存在“少缴费,少花钱”的比价心态,以及被发现几率较小、违法逃税程度不严重等侥幸心理,易被不法分子诱导。 基于此,监管部门喊话各保险机构:面对严峻复杂的外部环境,保险机构应进一步强化主体责任,加强预防研判,提高风险甄别和防范能力。同时提出六点要求:完善信息科技治理等层设计,强化网络安全管理,加大数据安全管控力度,加强基础运维安全保障,提升业务连续性管理能力,重视外包风险防控。 具体来看,首先,各保险机构应建立应急处置机制,增强主动防御能力,包括健全网络安全应急处置机制、增强网络安全主动防御能力、提高安全设备迭代升级频率。其次,提升风险甄别能力,加强安全风险排查。同时,应加大网络安全投入,强化普法宣传教育。 “监管鼓励有条件的保险公司探索利用云计算、大数据及人工智能等高新技术资源,在互信共治的前提下,建设保险网络安全整体防御机制。此外,也应强化消费者权益保护和普法宣传教育,提醒广大消费者通过正规途径办理保险业务,提高客户对金融法律知识的了解,增强守法意识。”一家保险公司相关负责人说。
“我是做网络安全的,所以我永远都关注网络安全问题,而‘老话题’有很多‘新内容’。”全国政协委员、360集团董事长兼CEO周鸿祎接受中国证券报记者专访时表示,今年他的4份提案分别建言尽早构建新基建网络安全防护体系,尽快制定《国家5G安全战略》,加快推进工业互联网安全保障,加强信创网络安全保障能力建设。 关注新基建网络安全 周鸿祎认为,网络安全技术本身在不断进化,网络安全面临的挑战和环境也在不断变化。人们日常生活中运用的新技术越多,数字化、自动化、智能化的程度越高,网络安全的威胁就越大。 周鸿祎表示:“作为网络安全行业人士,不能每年只是抽象地呼吁网络安全的重要性,还应该结合网络技术的发展,提出网络安全方面新的解决思路、体系结构、产品技术,这也是我每年提案都写得不一样的地方。今年我的提案内容主要围绕新基建展开,希望网络安全为新基建保驾护航。” 周鸿祎认为,新基建本质是数字化建设,全社会全行业数字化背后最大的挑战还是安全。今年,他针对新基建提交了《关于尽早构建新基建网络安全防护体系的提案》,建议运用整体思维,规划新基建网络安全防护体系顶层设计;同步建设新基建的安全基础设施,聚焦新基建安全防护能力构建;强化大数据平台安全,实现安全的大数据协同计算。 合作共建大安全生态 2019年9月,工信部《关于促进网络安全产业发展的指导意见(征求意见稿)》指出,到2025年,我国将培育形成一批年营收超过20亿元的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿元。 周鸿祎认为,随着新基建的推进,网络安全市场规模会快速扩大。新基建本质是“数字化基建”,安全的边界进一步模糊,会加速“大安全”时代到来。过去不联网的设施都联网了,过去不由软件驱动的设备数字化了,过去只有电脑才需要杀毒软件防护,而未来,小到路边摄像头,大到一部车床、汽车,甚至整个城市都需要安全保护。网络安全需求将急剧增加。 周鸿祎指出,当前,我国网络安全产业还存在一些问题。网络安全行业创新力不足,原有的一些杀毒软件、防火墙已经不能适用于复杂的安全环境,需要新的理念、新的方法论、新的技术和新的产品来替代。网络安全投入偏低,会导致网络安全产业发展困难,以及网络安全人才流失,不利于产业健康发展。 周鸿祎认为,生态上,安全行业与传统产业要合作,共建大安全生态。新基建领域太庞大,没一家安全企业能“通吃”所有的安全问题,传统产业也没必要重复“造轮子”,大家要形成合力。产业上,安全企业要打造360网络安全大脑这样的杀手锏产品和防护能力,整个行业就要注重补上安全人才的缺口,注重安全人才的培养,提高网络安全投入。 “包括360公司在内,所有安全企业必须有持续创新的能力,才不会被淘汰。”周鸿祎说。 构建5G安全保障体系 在周鸿祎看来,网络安全贯穿新基建战略安全、技术安全、应用安全和运行安全的始终。其中,最突出的是“一套关键基础设施”和“一个重度场景”的安全问题。 “一套关键基础型设施”是5G建设。“5G的价值并不是简单地让我们手机看视频更快了,5G是为我们整个产业互联网、整个物联网时代打造的。”周鸿祎认为,5G作为一种通信协议,它本身的漏洞相对其他系统是非常少的。但作为新一代的数字基础设施,5G在赋能发展的同时也将引发新的网络安全风险,其安全性具有基础性和全局性意义。 今年3月,工信部发布《关于推动5G加快发展的通知》明确表示,着力构建5G安全保障体系。因此,周鸿祎建议,应当从战略高度审视5G网络安全的重大意义和紧迫性,加强5G安全的顶层设计,制定《国家5G安全战略》。 “一个重度场景”则指的是工业互联网。“工业互联网是新基建最大的应用场景之一。”周鸿祎认为,保障新基建安全应重点“盯防”工业互联网的安全。对此,他建言加快推进工业互联网安全保障建设,为国家实体经济和社会发展保驾护航。 相关专题:聚焦2020年全国两会财经报道
“应当积极将新基建成果应用到网络安全领域中,借助新基建构建的平台和基础,进一步降低网络安全关键技术、设备的依赖性,不断推进网络安全产业的进化演变。” 在两会召开前夕,全国政协委员、原证监会信息中心主任张野在接受证券时报记者专访时表示。 在张野看来,实施数字化转型的过程中,金融机构要同步开展网络安全建设,加强网络安全建设的统筹规划,将网络安全与数字化转型的实际需求相结合,更好发挥网络安全对数字化转型后业务安全的保障支撑作用。 谈及未来证监领域科技监管的发展方向,张野认为,随着新基建的推进和金融机构的数字化转型,证监会将进一步加强大数据、人工智能等新技术成果的转化运用,利用技术手段不断提升证券期货市场科技监管能力,为资本市场监管提供有力的技术支撑。 金融机构高度重视 数据安保力全面提升 证券时报记者:谢谢您接受我们的采访。今年您主要关注哪些方面的内容? 张野:我带来一份关于提高我国网络安全应急处置能力的提案。网络安全应急处置能力建设是网络安全的重要组成部分。在技术能力短期内无法弥补差距的前提下,提升网络安全事件发现、处置能力,尽量减少网络安全事件造成的损失和影响,成为了现实而迫切的需求。 近年来,在中央网信办等安全主管部门的努力下,我国网络安全应急能力建设工作发展向好,等级保护制度全面实施,各运营单位都制定了网络安全应急预案,建立了相应的网络安全应急管理机制,网络安全应急处置能力整体得到有效提升。 然而,我国目前还未构建形成自上至下的国家级网络安全应急指挥管理体系,与现有公共安全应急体系的衔接还不够紧密,在应急处置职责划分、应急指挥体系、应急队伍建设及实战性测试等方面还存在薄弱环节。 对此,我的建议拟从几个方面展开:完善国家层面的网络安全应急管理制度体系,建设全国性网络安全应急管理处置平台,配套制定网络安全处置应急征用办法,研究开展必要的实战性网络安全测试。 证券时报记者:今年您的提案与网络安全相关,您如何评价目前中国的金融信息安全现状? 张野:金融安全是国家安全的重要组成部分,金融业的信息安全,直接关系到每个公民的切身利益。金融机构在提高关键业务系统自主性、提升系统安全保障能力上做了大量投入,积极采用云计算等新技术,取得了明显效果。同时,各机构对于金融数据安全高度重视,积极开展数据治理工作,通过加强商用密码应用等技术手段的综合运用,全面提升了金融数据的安全保护能力,对客户信息、交易数据等各类金融数据进行了安全有效的管理使用,保障了各类业务安全有序地开展。 网络安全应急体系建设 可借鉴医疗卫生领域 证券时报记者:您提到,我国目前还未构建形成一套自上至下的国家级网络安全应急指挥管理体系,背后的紧迫性及意义主要在哪里?可否尝试为我们举例说明,从宏观到微观技术层面,这套体系如何有效优化我国网络安全问题和体制建设? 张野:网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,网络空间也需要体现国家主权。在党中央的系统部署和全面推进下,我国网络安全技术产品取得新成就,人才队伍建设不断加强,网络安全产业发展势头强劲,网络安全形势整体向好。随着我国互联网等网络应用的快速普及,对网络空间依赖程度的不断增加,所面临的现实和潜在威胁也不断提升,网络安全形势日益严峻。 由于我国网络安全基础薄弱、与先进国家技术差距明显等原因,导致了网络攻击猖獗,难以实现有效的持续监控,供应链受制于人,网络安全信息收集、研判仍然分散,时效性较差,网络安全事件处置中资源协调调配效率较低,亟需对现有网络安全建设成果进行整合、统筹利用,建立统一的指挥调度系统,构建有效的网络安全防护处置体系,形成快速处置反应能力和网络威慑能力。具体的研究建设中,可以借鉴我国在公共安全领域的应急体系,特别是医疗卫生应急体系的建设经验。 证券时报记者:您呼吁配套制定网络安全处置应急征用办法,针对人员、物资储备、管理、使用、补偿等措施的规定,有哪些具体的想法或参考建议,可以先和我们分享? 张野:我国在公共安全领域的应急体系建设已经比较完备,有很多经验可以借鉴。《国家物资储备管理规定》等相关法律规章对物资储备、使用等也有明确的规定。网络安全事件的发生具有传播快、影响范围广、需分析溯源等特点,在很多方面可以借鉴传染疾病的防控措施和手段,今年抗疫斗争中医疗卫生应急体系的经验为网络安全应急体系建设研究提供了很好的参考。 新基建或将重建 网络安全边界 证券时报记者:伴随5G网络、大数据、工业互联网等新型基础设施建设加快推进,新基建将成为疫后促进消费、拉动经济增长的重要引擎。新基建风口下,我国的网络安全将面临哪些新的挑战? 张野:伴随着5G网络、大数据、工业互联网等新基建的推进,网络应用对现实生活的影响会越来越大,必将会产生广泛而深远的意义。诸如工业互联网的广泛应用,会逐步实现万物互联,届时每个家庭中会同步多个物联网设备,在给民众生活带来便利的同时,也带来了安全威胁。美国东部的物联网DDoS攻击断网事件、委内瑞拉停电事件,都是比较好的例证。 同时,随着大量新技术的应用,新基建的推进,会产生大量数据,如何做好数据安全工作,保证数据产生、传输、使用、存储的安全可控也是一个重要课题。随着新基建的展开,网络空间会呈现新的网络生态,面临新的安全威胁,网络安全边界也必然会重新划分构建。 对于如何做好有效安全防护、确保各类设备的使用安全,就需要结合新基建的发展,不断调整网络安全防护的架构和体系,发展新理论。新基建对网络安全产业的发展,亦带来诸多机遇,应积极将新基建成果应用到网络安全领域中,借助新基建构建的平台和基础,进一步降低网络安全关键技术、设备的依赖性,不断推进网络安全产业的进化演变。 证券时报记者:以科技为推动力的新基建是国际间技术竞争的核心领域,必然也是网络安全威胁发生的重要战场。加强新基建相关企业安全能力塑造,为产业发展保驾护航,您认为应采取哪些举措? 张野:随着新基建的推进,现有网络生态会随之发生变化,这就要求在进行网络安全建设时,要适应新环境、新生态,树立新思维,要从宏观到微观全面实现对新型基础设施安全的全面感知和把控,动态、快捷地进行安全策略的调整。 在新基建网络安全建设中,要有宽广的视野。新基建下的网络形态不同于过往,网络边界可能更加模糊,相互之间的关联性会更强,因此不能囿于单一的点、线防护,要拓宽视野、更新思维,从深度和广度两方面加强工作,构建新型网络安全架构,提升对新形态下新威胁的认识和感知处置能力,形成广域、多层次的防护体系。 数字化转型, 监管应作出框架性安排 证券时报记者:疫情期间的“非接触”金融服务,推动金融机构加快从传统网点走向线上。在您看来,金融机构数字化转型提速,在技术流程、信息风险应对及管理方面,当前还存在哪些问题?如何迎接好这场全方位再造的考验? 张野:金融业务依托于信息系统开展,通过数据的流动、使用完成各类业务。因此,确保各类金融数据安全,不丢失、不泄露,可安全有序使用是金融网络安全工作的重点,也是金融机构进行数字化转型所面临的重要课题。 数字化转型改变了金融机构的业务形态,发展到线上,是由相对封闭的环境走向开放环境,面对的是互联网复杂的使用环境和各类恶意威胁、攻击,这不仅对网络安全威胁信息的获取、分析、研判等能力提出了较高的要求,对于安全事件的应急处置能力也是严峻的考验,还对信息系统自身的安全建设、管理也提出了新的挑战。 以上都要求各金融机构要对网络环境进行认真分析,研判可能面对的网络安全威胁,以及存在的安全隐患,做好安全架构设计,推进各种新技术的应用,把网络安全工作做实、做细。 在实施数字化转型的过程中,金融机构要同步开展网络安全建设,加强网络安全建设的统筹规划,将网络安全与数字化转型的实际需求相结合,更好发挥网络安全对数字化转型后业务安全的保障支撑作用。 证券时报记者:安全性是金融服务的重中之重。金融业加快数字化转型步伐,对于金融监管制度设计、风险防范等也提出了更高要求。针对可能衍生出的技术、网络、数据等新的安全风险,关于应对策略层面,您有何建议? 张野:对于数字化转型中新的安全风险应对,监管机构要加强监管力度、以及监管灵活性,通过适当的监管制度设计,将有关风险纳入监管视野或作出相应的框架性安排。加强监管科技建设和应用,通过大数据、人工智能等技术的应用,丰富监管技术手段,提高监管效率,实现快速、高效、灵活、准确的安全监管。 对于金融机构,主要是对网络安全高度重视,做好安全架构设计,加强网络安全威胁情报的收集分析,将安全防护措施做细做实。加强对客户的安全宣传教育,提高客户的安全意识,这对有效防范相关风险也是很重要的。 证券时报记者:在您看来,未来证监领域科技监管的发展方向和破局点,可能在哪里? 张野:从证券期货科技监管的总体发展来看,对现有各信息系统进行整合、打通、统一,明确各部门职责边界,实现监管数据的共享共用,建立统一的大数据监管是发展的趋势。 前期,证监会对大数据等技术在科技监管领域的应用,进行了全面深入的研究和探索,取得了阶段性的成果。随着新基建的推进和金融机构的数字化转型,会进一步加强大数据、人工智能等新技术成果的转化运用,利用技术手段不断提升证券期货市场科技监管能力,为资本市场监管提供有力的技术支撑。
“应当积极将新基建成果应用到网络安全领域中,借助新基建构建的平台和基础,进一步降低网络安全关键技术、设备的依赖性,不断推进网络安全产业的进化演变。”在两会召开前夕,全国政协委员、原证监会信息中心主任张野在接受证券时报记者专访时表示。 在张野看来,实施数字化转型的过程中,金融机构要同步开展网络安全建设,加强网络安全建设的统筹规划,将网络安全与数字化转型的实际需求相结合,更好发挥网络安全对数字化转型后业务安全的保障支撑作用。 谈及未来证监领域科技监管的发展方向,张野认为,随着新基建的推进和金融机构的数字化转型,证监会将进一步加强大数据、人工智能等新技术成果的转化运用,利用技术手段不断提升证券期货市场科技监管能力,为资本市场监管提供有力的技术支撑。 金融机构高度重视 数据安保力全面提升 证券时报记者:谢谢您接受我们的采访。今年您主要关注哪些方面的内容? 张野:我带来一份关于提高我国网络安全应急处置能力的提案。网络安全应急处置能力建设是网络安全的重要组成部分。在技术能力短期内无法弥补差距的前提下,提升网络安全事件发现、处置能力,尽量减少网络安全事件造成的损失和影响,成为了现实而迫切的需求。 近年来,在中央网信办等安全主管部门的努力下,我国网络安全应急能力建设工作发展向好,等级保护制度全面实施,各运营单位都制定了网络安全应急预案,建立了相应的网络安全应急管理机制,网络安全应急处置能力整体得到有效提升。 然而,我国目前还未构建形成自上至下的国家级网络安全应急指挥管理体系,与现有公共安全应急体系的衔接还不够紧密,在应急处置职责划分、应急指挥体系、应急队伍建设及实战性测试等方面还存在薄弱环节。 对此,我的建议拟从几个方面展开:完善国家层面的网络安全应急管理制度体系,建设全国性网络安全应急管理处置平台,配套制定网络安全处置应急征用办法,研究开展必要的实战性网络安全测试。 证券时报记者:今年您的提案与网络安全相关,您如何评价目前中国的金融信息安全现状? 张野:金融安全是国家安全的重要组成部分,金融业的信息安全,直接关系到每个公民的切身利益。金融机构在提高关键业务系统自主性、提升系统安全保障能力上做了大量投入,积极采用云计算等新技术,取得了明显效果。同时,各机构对于金融数据安全高度重视,积极开展数据治理工作,通过加强商用密码应用等技术手段的综合运用,全面提升了金融数据的安全保护能力,对客户信息、交易数据等各类金融数据进行了安全有效的管理使用,保障了各类业务安全有序地开展。 网络安全应急体系建设 可借鉴医疗卫生领域 证券时报记者:您提到,我国目前还未构建形成一套自上至下的国家级网络安全应急指挥管理体系,背后的紧迫性及意义主要在哪里?可否尝试为我们举例说明,从宏观到微观技术层面,这套体系如何有效优化我国网络安全问题和体制建设? 张野:网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,网络空间也需要体现国家主权。在党中央的系统部署和全面推进下,我国网络安全技术产品取得新成就,人才队伍建设不断加强,网络安全产业发展势头强劲,网络安全形势整体向好。随着我国互联网等网络应用的快速普及,对网络空间依赖程度的不断增加,所面临的现实和潜在威胁也不断提升,网络安全形势日益严峻。 由于我国网络安全基础薄弱、与先进国家技术差距明显等原因,导致了网络攻击猖獗,难以实现有效的持续监控,供应链受制于人,网络安全信息收集、研判仍然分散,时效性较差,网络安全事件处置中资源协调调配效率较低,亟需对现有网络安全建设成果进行整合、统筹利用,建立统一的指挥调度系统,构建有效的网络安全防护处置体系,形成快速处置反应能力和网络威慑能力。具体的研究建设中,可以借鉴我国在公共安全领域的应急体系,特别是医疗卫生应急体系的建设经验。 证券时报记者:您呼吁配套制定网络安全处置应急征用办法,针对人员、物资储备、管理、使用、补偿等措施的规定,有哪些具体的想法或参考建议,可以先和我们分享? 张野:我国在公共安全领域的应急体系建设已经比较完备,有很多经验可以借鉴。《国家物资储备管理规定》等相关法律规章对物资储备、使用等也有明确的规定。网络安全事件的发生具有传播快、影响范围广、需分析溯源等特点,在很多方面可以借鉴传染疾病的防控措施和手段,今年抗疫斗争中医疗卫生应急体系的经验为网络安全应急体系建设研究提供了很好的参考。 新基建或将重建 网络安全边界 证券时报记者:伴随5G网络、大数据、工业互联网等新型基础设施建设加快推进,新基建将成为疫后促进消费、拉动经济增长的重要引擎。新基建风口下,我国的网络安全将面临哪些新的挑战? 张野:伴随着5G网络、大数据、工业互联网等新基建的推进,网络应用对现实生活的影响会越来越大,必将会产生广泛而深远的意义。诸如工业互联网的广泛应用,会逐步实现万物互联,届时每个家庭中会同步多个物联网设备,在给民众生活带来便利的同时,也带来了安全威胁。美国东部的物联网DDoS攻击断网事件、委内瑞拉停电事件,都是比较好的例证。 同时,随着大量新技术的应用,新基建的推进,会产生大量数据,如何做好数据安全工作,保证数据产生、传输、使用、存储的安全可控也是一个重要课题。随着新基建的展开,网络空间会呈现新的网络生态,面临新的安全威胁,网络安全边界也必然会重新划分构建。 对于如何做好有效安全防护、确保各类设备的使用安全,就需要结合新基建的发展,不断调整网络安全防护的架构和体系,发展新理论。新基建对网络安全产业的发展,亦带来诸多机遇,应积极将新基建成果应用到网络安全领域中,借助新基建构建的平台和基础,进一步降低网络安全关键技术、设备的依赖性,不断推进网络安全产业的进化演变。 证券时报记者:以科技为推动力的新基建是国际间技术竞争的核心领域,必然也是网络安全威胁发生的重要战场。加强新基建相关企业安全能力塑造,为产业发展保驾护航,您认为应采取哪些举措? 张野:随着新基建的推进,现有网络生态会随之发生变化,这就要求在进行网络安全建设时,要适应新环境、新生态,树立新思维,要从宏观到微观全面实现对新型基础设施安全的全面感知和把控,动态、快捷地进行安全策略的调整。 在新基建网络安全建设中,要有宽广的视野。新基建下的网络形态不同于过往,网络边界可能更加模糊,相互之间的关联性会更强,因此不能囿于单一的点、线防护,要拓宽视野、更新思维,从深度和广度两方面加强工作,构建新型网络安全架构,提升对新形态下新威胁的认识和感知处置能力,形成广域、多层次的防护体系。 数字化转型, 监管应作出框架性安排 证券时报记者:疫情期间的“非接触”金融服务,推动金融机构加快从传统网点走向线上。在您看来,金融机构数字化转型提速,在技术流程、信息风险应对及管理方面,当前还存在哪些问题?如何迎接好这场全方位再造的考验? 张野:金融业务依托于信息系统开展,通过数据的流动、使用完成各类业务。因此,确保各类金融数据安全,不丢失、不泄露,可安全有序使用是金融网络安全工作的重点,也是金融机构进行数字化转型所面临的重要课题。 数字化转型改变了金融机构的业务形态,发展到线上,是由相对封闭的环境走向开放环境,面对的是互联网复杂的使用环境和各类恶意威胁、攻击,这不仅对网络安全威胁信息的获取、分析、研判等能力提出了较高的要求,对于安全事件的应急处置能力也是严峻的考验,还对信息系统自身的安全建设、管理也提出了新的挑战。 以上都要求各金融机构要对网络环境进行认真分析,研判可能面对的网络安全威胁,以及存在的安全隐患,做好安全架构设计,推进各种新技术的应用,把网络安全工作做实、做细。 在实施数字化转型的过程中,金融机构要同步开展网络安全建设,加强网络安全建设的统筹规划,将网络安全与数字化转型的实际需求相结合,更好发挥网络安全对数字化转型后业务安全的保障支撑作用。 证券时报记者:安全性是金融服务的重中之重。金融业加快数字化转型步伐,对于金融监管制度设计、风险防范等也提出了更高要求。针对可能衍生出的技术、网络、数据等新的安全风险,关于应对策略层面,您有何建议? 张野:对于数字化转型中新的安全风险应对,监管机构要加强监管力度、以及监管灵活性,通过适当的监管制度设计,将有关风险纳入监管视野或作出相应的框架性安排。加强监管科技建设和应用,通过大数据、人工智能等技术的应用,丰富监管技术手段,提高监管效率,实现快速、高效、灵活、准确的安全监管。 对于金融机构,主要是对网络安全高度重视,做好安全架构设计,加强网络安全威胁情报的收集分析,将安全防护措施做细做实。加强对客户的安全宣传教育,提高客户的安全意识,这对有效防范相关风险也是很重要的。 证券时报记者:在您看来,未来证监领域科技监管的发展方向和破局点,可能在哪里? 张野:从证券期货科技监管的总体发展来看,对现有各信息系统进行整合、打通、统一,明确各部门职责边界,实现监管数据的共享共用,建立统一的大数据监管是发展的趋势。 前期,证监会对大数据等技术在科技监管领域的应用,进行了全面深入的研究和探索,取得了阶段性的成果。随着新基建的推进和金融机构的数字化转型,会进一步加强大数据、人工智能等新技术成果的转化运用,利用技术手段不断提升证券期货市场科技监管能力,为资本市场监管提供有力的技术支撑。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估