等保2.0與數據安全

郭思岐

2020年7月8日，由計世傳媒集團《新金融世界》舉辦的第三屆線上會議“金融科技論道臺”成功舉辦。本屆金融科技論道臺的主題是“等保2.0與數據安全”，會議同時在線觀看人數204人，涵蓋了76家金融機構，銀行26家，保險22家，證券28家。來自中國銀行、中國銀河證券、泰康在線、IBM、瑞數信息、Veritas、中企通信、Gigamon技盟的八位嘉賓在論壇上聚焦新基建下的金融信息安全，就等保2.0與數據安全的內容進行了經驗分享?！缎陆鹑谑澜纭房偩幹R力擔任本次線上論壇的主持人，他指出：“隨著云計算、人工智能、5G、大數據、區塊鏈等新技術在金融機構大規模應用，對金融機構的信息安全也帶來了新挑戰和未知領域。而國家等級保護2.0的出臺，對信息安全有了一個更高層面、更全面維度的要求?！?/p>

這些年，中國銀行持續加大金融科技投入力度，加強金融與新技術的融合，發力新技術安全風險防控研究。在新技術安全應用研究方面， 不僅僅是對現有的風險進行處理，也對新技術引入所可能涉及的風險也開展了研究，甚至聯合多家高校共同成立了金融信息安全聯合實驗室進行課題研究。

中國銀行總行軟件開發中心主任工程師劉述忠發表了題為《等級保護2.0在金融機構的落地實踐》的演講。他告訴現場嘉賓：“金融機構的數字化轉型，意味著產品服務以移動化、開放化形式貼近客戶，以全球化為方向持續拓展業務。這個過程中會面臨六大挑戰，分別是：日益嚴峻的網絡安全形勢、不斷攀升的網絡安全漏洞、新技術引入新型風險與隱患、不容忽視的人員安全、越來越嚴格的外部監管和內部實施保障難以落地?！?/p>

中國銀行在新規定出來以后，迅速做了逐條對標，這個工作很耗時，但是做完后讓中國銀行迅速“摸清了家底”，并基于此建立了網絡安全的“合規準繩”。同時根據新的要求，進一步改進完善了等級保護的五項工作：定級、備案、測評、整改和自查。并且讓工作實現了兩個全覆蓋：范圍覆蓋總行和全轄36家一級分行；保護對象覆蓋網絡、業務系統、云計算平臺、大數據、移動應用等。

IBM長期聚焦安全領域，在今年上半年發布了《安全威脅指數情報》，重點闡述了數十年來犯罪技術經歷了怎樣的演變，并指出在此期間網絡犯罪技術非法訪問了數百億條企業記錄和個人記錄，并利用了數十萬個軟件缺陷。

IBM大中華區信息安全技術總監高爽發表了題為《等保2.0時代 保險行業信息安全挑戰及實踐》的演講。在他看來，信息泄露、業務欺詐是物聯網金融最關注的風險，而導致安全問題的因素主要有五大方面，分別是：投入不足、人員缺乏、安全意識薄弱、制度流程不規范、安全需求不明確。同時，大數據和威脅情報技術是比較受關注的信息安全技術。

“復雜的保險業務形態，密集的用戶信息，保險業信息系統和數據本身承載著極高的業務價值，使其容易成為黑客攻擊的目標。因此，除了傳統的、通用的信息安全風險外，還存在以下幾點安全挑戰：第一，對高級的、未知的威脅檢測。第二，建立時間追溯、調查機制。第三，建立快速響應和阻斷機制。第四，關注新技術風險。第五，關注內部安全風險。第六，加強數據隱私保護。第七，關注應用系統漏洞風險?！?/p>

從創始之初，瑞數信息就目標明確地要“另辟蹊徑”——以Web應用為主的主動+動態防御，識別自動化工具的攻擊。用他們自己的話來講，“瑞數信息要做的就是，對目前市面上效率漸高、成本漸低地自動化攻擊，進行‘釜底抽薪，把它的效率再打回去，同時還要把它的成本再提上來?！?img src="https://cimg.fx361.com/images/2021/03/05/qkimagesxjrsxjrs202006xjrs20200614-1-l.jpg"/>

瑞數信息技術（上海）有限公司技術總監關福君在題為《風控前置-動態防護金融行業自動化攻擊威脅》的演講中指出，“動態防護金融行業自動化攻擊威脅，有別于傳統風控依賴于規則和定制的業務威脅識別技術，其通過動態技術實現對工具和人的識別，防止針對金融客戶的各種自動化攻擊?！痹谒磥?，動態技術可以確?？蛻舳藬祿杉木珳市?，可以讓風控從中后臺走向前臺，有效甄別工具的模擬訪問行為，即在客戶端還沒有訪問到業務系統時，識別出是工具訪問還是人訪問，助力金融機構實現風控前置，應對金融行業面臨的自動化攻擊威脅。同時，動態防護無需修改任何應用服務器代碼或業務邏輯，客戶端也無需做任何配置；完全顛覆傳統基于已知特征和規則的防護技術存在的天然缺陷，徹底扭轉“攻易守難”的被動格局，可以讓防御變得主動、動態、實時、高效、簡單。

作為信息安全的基礎，密碼算法和密碼產品的自主可控是確保我國信息安全的重中之重，國產密碼算法的推廣和應用已經成為我國快速應對信息安全威脅的首選措施之一，也是我國從根本上實現信息化產業完全自主可控的安全基礎。國密改造的核心在于安全體系建設，需要解決如何運用國密算法保證交易過程的安全。

中國銀河證券網上交易中心主任 王錦炎帶來了題為《國密算法在證券公司的應用與實踐》的演講。他告訴參會嘉賓：“互聯網證券交易系統國密改造工作是一項較大的、嚴謹的工程，涉及面廣、銜接性強、實時性高。因此要堅持統一規劃、統一設計、統一實施、充分試點的原則，滿足全面應用、強化管理、整體推進的要求和保證審慎試點、新老并行、業務不中斷的堅持?！?/p>

在他看來，制定完善的應急處置預案，充分驗證，盡可能把所有情況都考慮到、驗證到、試點到，確保系統在實施國密改造期間和實施改造后安全穩定運行。在充分測試的前提下，先從邊緣系統開展改造，再到核心系統實施，穩步實現行業和各機構密碼國產化工作目標。

新基建是新一代To B信息化的具體建設綱領，而金融新基建是新基建的重要環節。一方面，金融業是新基建的設施的重要使用者，包括5G、大數據、人工智能等新技術都在與金融行業進行融合。另一方面，金融業也是新基礎設施的重要賦能者。

Veritas公司大中華區技術銷售與服務總監 顧海巍帶來了題為《API數據運維框架》的演講。他在演講中指出：“新基建雖然帶來巨大的行業機遇，但是機遇與挑戰并存。數據爆炸將會是常態；數據監管會變得空前嚴格，運維的核心轉向數據；邊緣場景的數據運維需求會日益突出。為了應對這些挑戰，需要有一個面向未來、足夠彈性的數據運維平臺，來應對不可預測的數據增長率、不確定的數據源和數據類型。而在這個平臺下需要一個統一的數據運維框架，讓數據運維滿足業務敏態需求，同時也滿足監管的需求?！?/p>

他認為，Veritas成熟的現代化集成式技術可以解決企業的數據可用性、數據保護和數據洞察三大需求。對企業而言，數據洞察解決方案可幫助關鍵數據定位，并通過增加數據透明度，進一步幫助企業實現數據合規。

當前SD-WAN 非常流行，它切實解決了企業在如今復雜應用環境下的組網需求。然而安全特性缺失的網絡基礎架構很可能會導致未來的數據風險甚至需要重復建設。

中企通信金融行業解決方案團隊負責人萬榮華帶來了題為《金融行業SD-WAN網絡解決方案的機遇和挑戰》的演講。他認為：“金融行業廣域網的特點是混合部署是主流，專線的比例普遍較高，并且是點對多點的網絡結構，因此金融行業建設SDWAN時，應該注重運維的管理，選擇智能運維的模式。中企通信在監控上可以實現7x24小時響應告警，MPLS專線和互聯網線路。在配置上可以做到客戶只讀，中企通信配置，配置變更可追溯，配置備份，日志備份，版本更新。在排錯上可以實現故障可追溯，中企通信統一窗口。在報告上可以為客戶提供定制化運維月報、故障報告，并舉行季度優化會議?！?/p>

他表示，企業需要一個完整的SD-WAN服務過程，基于客戶服務管理維度的新合作模式，以中企通信構建的綜合服務能力平臺為基礎，根據多維度評估方式優選最佳的廠商合作，實現服務+技術深度結合，形成1+1>2的產品輸出能力，保障客戶需求實現過程閉環的完整性。

Gigamon技盟在處理跨區域的網絡安全挑戰、以及部署跨國公司信息運轉和網絡布局方面，有著豐富的經驗和系統解決方案。技盟的看家本領是幫助企業在數字化網絡基建過程構建起敏捷的混合網絡基礎架構，在對網絡流量進行有效聚合、轉化、分析的同時大幅度地控制成本。

Gigamon技盟中國北區/西北區銷售總監趙強帶來了題為《為企業安全架構賦能——通過技盟流量平臺提升網絡安全效率》的演講。他表示：“技盟會在混合環境中提供可視化部署，并將正確的流量提供給需要數據包或元數據，再通過Insight云數據倉庫和GigaVUE-OS以及一些安全組件來對網絡數據進行分析、監視或安全性分析，通過這種可視化與分析結構 （VAF） 來對數據流進行清洗、脫敏、加密和結構化?！?/p>

他表示，Gigamon 可視化與分析交換矩陣能將網絡和安全團隊連接到與各自工具接口的通用平臺，該體系結構還能夠隨著組織的發展進行擴展，通過網絡升級實現更高的性能連接，更大限度的網絡可用性，并加快新安全工具的部署速度。這樣能夠保證技盟的客戶減少網絡維護和系統升級的時間，提高工具的工作效率。

金融業的核心是風險管理，通過積累數據、完善風險管控模型是企業提升風控的有力途徑，從而為用戶提供更多價值和服務，以及持續盈利的能力。而保險行業是較早運用大數據的行業，也是對數據極度依賴的行業。

泰康在線財產保險股份有限公司基礎平臺部總經理程戰戰發表了題為《數據安全管理策略與實踐》的演講。他指出：“數據安全主要分為四大部分，分別是體系安全、基礎設施安全、應用系統安全和使用過程安全?！?/p>

程戰戰告訴參會嘉賓，從體系安全的角度來說，ISO27001是一個比較通用的體系，在體系的指導下，企業要形成一系列的制度。在制度相關建設上，泰康財險主要有以下四條經驗：第一，信息安全核心是管理，七分管理三分技術。第二，法律法規是基礎，信息安全體系是框架，制度是血液，流程是成果。第三，制度應該定期審閱，對外適應外部法律法規變化，對外適應公司組織結構變化及業務形態變化。第四，強有力的系統支持，是實現制度的手段。而在基礎設施安全上，針對公有云存儲重要數據，需考慮資質因素、考慮網絡隔離措施、租戶隔離措施等基礎因素；而對私有云存儲的重要數據，需建立完善的備份/恢復制度，并定期進行演練。