CSO面对面丨对话海通证券,探讨数字金融行业安全运营

news2024/11/12 18:47:05

新技术的涌现带动了金融行业的数字化转型发展,同时也带来了更多安全挑战。一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。如何完善网络安全体系化建设,构建持续有效的安全防护,成为金融行业的“难题”。

本期腾讯安全《CSO面对面》栏目,邀请到海通证券安全运营负责人吴晨炜,以金融行业的安全防护为例,分享金融企业面临的网络信息安全建设问题及解决对策。

以下为本期《CSO面对面》文字实录。

关于海通证券的安全建设

Q1:就历史经验来看,安全建设主要有哪些阶段,如何在整体体系上保证集团数字化的全面安全?

吴晨炜:随着云计算、大数据、人工智能、物联网等新一代信息技术的快速发展,信息化和数字化的进程加快,网络空间面临的安全问题和过去有很大不同。在新的安全形势和安全环境下,企业安全防护体系建设从合规导向逐渐转向能力导向,发展为目前体系化,实战化,常态化安全建设。包括体系化建设纵深防护体系,实战化的演练以及常态化的日常运营,通过“修炼”安全能力和构建持续有效的防控体系来保障集团的安全。

Q2:海通证券是非常典型的对网络安全要求极高的行业领导者,请问您认为网络安全建设有哪些典型的场景?之前是否经历过一些事件,激发了我们集团加强对网络安全的重视?

吴晨炜:事实上,近年通过实战攻防演练的方式来发现企业安全漏洞,提升企业安全防护能力的形式已经成为常规手段。企业也能够在对抗中不断适应多种攻击手段,升级自身防护能力,并在最终的复盘中对攻击行动中的防御体系的识别、加固、检测、处置等各个环节进行审视,发现薄弱位置并进行优化。

海通证券也是通过每年至少两次的实战化演练来促进网络安全建设。之前由于互联网暴露面还未完全收敛导致有部分高危组件对互联网开放,成为了防护的短板,通过实战化的演练发现问题,加速互联网暴露面收敛工作,通过把高危组件收缩至零信任网关,从而减少攻击面。

Q3:您觉得市面上互联网公司的技术发展对大型企业集团的安全建设有怎么样的影响或者帮助?能否举几个例子?

吴晨炜:互联网公司由于本身面对的用户群体量大、需求多、竞争激烈,因此业务开发迭代版本很快,在诸如云原生、AI、机器学习等方面都走在全行业的前列。现在的网络威胁形势也正是处于一种快速增加和演变的趋势当中,黑灰产攻击手段也随着新技术的出现和应用而不断升级进化,互联网公司在新技术的快速应用以及安全防护上的快速迭代,能够跟上安全环境变化的脚步,更好地适应用户需求。

其次,互联网公司拥有大量的优秀数字化人才。企业数字化转型很大程度上依赖掌握数字化关键技能的核心人才,各项新业务、新业态的诞生和稳定发展都需要数字技能人才支撑。然而在数字化人才缺口仍较大的当下,一般企业往往难以招到相关人才并最大化利用人才资源。

基于在数字化领域和安全领域的不断实践沉淀,互联网公司能利用自身建设的经验赋能大型企业集团,特别是新技术的应用、网络安全等方面往往能提供新思路、新理念、新实践,从而帮助大型企业集团的数字化发展。

Q4:您个人在推动海通证券的安全建设与部署中,发挥了哪些“先行者”的作用,具体涉及哪些安全技术/理念的应用?

吴晨炜:海通证券作为一家国际金融集团,始终高度重视企业安全工作。在信息安全建设和运营实践中,我们团队一起建立完善了安全问题及时发现、有效解决的闭环机制,通过每日安全事件的闭环促进运营策略的闭环,从而优化安全运营能力,提高企业安全防护水平。

Q5:未来您希望对未来整个集团安全建设还有哪些部署和思路?腾讯的解决方案是否能够有所助力?

吴晨炜:目前,海通证券仍在安全运营领域进行不断尝试和实践。后面我们将继续推进企业集团化安全建设,把总部的安全能力以及实践经验赋能到子公司,促进整个集团的安全能力提高,将安全作为一种常态化的工作落实到企业的方方面面。

基于企业对于安全建设工作的向基层落实以及安全能力的整体提升的需求,腾讯的安全运营中心可以建设集团化SOC方案,将其安全管理的能力输出并接入到企业安全建设流程中,通过集中集团的网络安全日志进行安全数据和信息集中统一管理、场景建设及事件闭环。

Q6:对于腾讯安全的合作,主要在您公司的哪些场景中发挥作用?您觉得最关键的效能是哪些?

吴晨炜:在与腾讯安全的合作过程中,海通证券在安全运营方面建设方面有了更大的能力提升。海通证券本身业务范围比较广,包括投资银行、证券交易、融资租赁等等,同时也在积极地推进数字化建设,为客户提供更多样化、优质化的金融服务,这么多元的业务场景其实对我们自身的安全运营和管理也提出了挑战。腾讯在安全运营方面有自己独到的见解,也沉淀出了一套有效的体系,能够通过预测、防御、检测和响应实现安全事件的闭环,这跟我们的“主动响应和闭环”的安全工作理念是比较符合的。在实际落地过程中,腾讯的这套体系也有效帮助到我们的安全运营方面建设,特别是安全运营中心、安全编排自动化平台。

除此之外,腾讯安全做的一些关于ATT&CK的前沿技术研究,其实也给海通证券的攻防能力带来了启发和参考,同时以产品的形态让企业能够轻松地接入一些前沿的安全能力,真正帮助企业提升自身的安全水位。

最重要的是腾讯安全SOC的专家团队给与了很大的帮助,提供了完善的组织以及多年在安全领域的实践经验,在安全运营方面也有着强大的实力。通过腾讯的专家对安全运营深刻的认识,来建设丰富的安全场景,展现安全态势,从而帮助公司提高威胁检测能力,加快响应速度,赋能海通数字化能力。

关于行业安全建设经验

Q7:大型国企数字化过程中,有哪些比较普遍的安全痛点和安全风险?

吴晨炜:首先,企业在推进数字化建设过程中,由于业务与合作范围的扩大,使得企业面临的攻击面也会随之不断扩张,难以避免会遇到更多威胁。不断扩展的攻击面管理也就会要求企业安全团队投入更多精力在安全防控中,并承担起更多的安全责任。

其次是集团化安全的管理及赋能。大型国企规模实力强大,通常具备多个业务单元及多个所属公司,各业务板块对应安全管理的要求不同、主管行政部门不同、管理规范不同、监管要求不同,需要有一个完善的的管理体系来应对不同下属单位的安全管理工作。

另外,尽管当前大部分国企已经部署了大量的安全设备来应对网络威胁,但仍缺乏高效的分析手段对海量的日志信息进行“解码”,难以掌握全局安全状态,影响安全运营的效率和效果。

除此之外,国企员工在办公时常用到的邮件、微信等,这些也是钓鱼攻击常用到的渠道,企业需要针对这些办公场景提升钓鱼的检测及防护能力。

Q8:近期,中国证券行业协会下发了《安全提升计划》,对于证券公司统筹发展与安全,提高资本市场网络和信息安全水平制定了进一步的规划,提出了更高的要求,请问在您来看,《安全提升计划》将会推动和引领证券行业网络安全建设的哪些变化?

吴晨炜:其实证券行业对安全的发展及投入一直处于不断增加的状态,《计划》则是从协会的角度提供给证券公司一个参考,本身的发展是国家大趋势,且会越来越提速,从而保障企业在数字化浪潮下获得更多竞争力。

就《计划》的内容来看,它的推出的确会给证券行业的网安建设带来正面的推动作用。里面提到的证券公司应制定人才培养计划,持续提升科技治理水平,健全网络和信息安全防护体系等等,都要求证券企业自身要强化安全技术、管理等方面的能力,不仅仅是对安全能力的掌握,更鼓励自研,“修炼内功”,从根本上提升行业的安全水位。

Q9:从行业来看,针对大型关键基础设施型企业的网络攻击还是较为频繁的,遭遇勒索攻击的威胁也在持续放大,您认为应如何应对?

吴晨炜:关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。因此,保障关键信息基础设施的安全,做好安全能力的建设,提升对攻击威胁的对抗水平是非常重要的。

一是要做好人才及团队建设。网络安全保障团队作为安全运行活动的执行者,企业网络安全工作的主力军,代表着企业安全能力的一部分。广纳贤士、建设架构合理、人才齐备的安全团队是企业推进网络安全建设的重要驱动力之一。

二是企业内部加强宣传做好宣贯。我们一直说“人”是网络安全中最脆弱的因素,很多攻击都是通过人这一媒介来实现的。企业员工都需要提升安全防护的意识,必要时候企业可以组织相关培训和应急演练指导。

三是企业需要注重体系化、实战化、常态化的安全建设。如今,攻防演练逐渐趋向成熟和体系化,企业需要持续的、灵活的安全运营来实现对安全态势的整体防控,在危机真正来临的时候也能够有条不紊地开展防御工作。

栏目简介

当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者,了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/509275.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Express 创建和使用render

1 创建项目 npm install -g express-generator express -e myapp //创建myapp项目npm i //安装依赖npm i nodemon -D //安装nodemon 修改package.json "scripts": {"start": "node ./bin/www","dev": "nodemon ./bin/www&quo…

接入sentry安装@sentry/webpack-plugin依赖报错(附遇到的其他小问题)

背景 项目需要接入sentry,使用的是vue2 vue-cli构建的,那么需要使用webpack构建的方式 见sentry官方文档 问题和尝试思路 根据文档安装sentry/webpack-plugin依赖的时候一直失败 出现两种报错 第一种:下载安装包https://downloads.sent…

C++跨平台开发工具CLion——使用任意编译器快速指南

CLion是一款专为开发C及C所设计的跨平台IDE,它是以IntelliJ为基础设计的,包含了许多智能功能来提高开发人员的生产力。这种强大的IDE帮助开发人员在Linux、OS X和Windows上来开发C/C,同时它还使用智能编辑器来提高代码质量、自动代码重构并且…

【Nginx基础篇】nginx的基本配置解析和应用场景

目录 一、最小配置 二、虚拟主机 一、最小配置 原始的配置文件 #user nobody; worker_processes 1;#error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info;#pid logs/nginx.pid;events {worker_connections 1024; }…

【前后端分离项目】搭建前后端分离项目框架(vue前端)

创建项目文件夹 创建文件夹(框架),可以在里面增加页面实现自己的需求。 在官网下载nodejs 官网地址:https://nodejs.org/en nodejs中自带了npm包,npm负责管理依赖,将nodejs下载完成后,即可使…

开关电源基础04:新型开关电源拓扑(1)-拓扑的改进

说在开头:关于互补原理 玻尔在挪威滑雪之余好好的思考了波粒问题,并逐渐完善了这个新想法;当他看到海森堡的论文时,自然而然地用这种想法去印证整个结论。他问海森堡:这种不确定性是从粒子的本性而来,还是…

软件架构:构建软件架构SOA

Web服务一种作为炙手可热的技术,应用到企业的IT系统和商业流程之中,并给企业带来直接的经济效益,一直以来得到了国内外企业管理者的推崇。而在近两年,伴随着企业需求的不断变化,一种被誉为Web服务的技术架构&#xff0…

【Flowable】Flowable任务分配和流程变量

1.任务分配 (1).固定分配 固定分配就是我们前面介绍的,在绘制流程图或者直接在流程文件中通过Assignee来指定的方式 (2).表达式分配 Flowable使用UEL进行表达式解析。UEL代表Unified Expression Language,是EE6规范的一部分.Flowable支持两种UEL表…

基于云平台的光伏监控系统是怎样的?

摘要:针对国内光伏发电监控系统的研究现状,文中提出了基于云平台的光伏发电监控体系。构建基于B/S架构的数据实时采集与推送,以SSH(strutsspringhibernate)作为Web开发框架,开发基于云平台的光伏发电远程监控系统。在平台部署过程…

开关电源基础04:新型开关电源拓扑(2)-新型电源拓扑

说在开头:关于量子理论 我们再来回顾下量子理论对双缝干涉的解释:当电子通过狭缝,假如我们采用任其自然的观测方式,让它不受干扰地在空间中传播,这时候电子的波动性就占据了上风,它于是以某种方式同时穿过…

农业机器人技术栈

结构光 https://www.youtube.com/watch?vmSsnf5tqXnA 局部路径规划算法 光流法 统计像素 分辨前景背景 绿色是我们比较关注的 unet做图像分割 运动比较剧烈的是前景 特征点匹配 大豆农田点云建图 农田路况复杂 光流计算量比较大,可以捕捉运动比较大的物体 分割检…

ChatGPT直接访问,Edge浏览器-免费ChatGPT保姆级教程

人工智能大浪潮已经来临,对于ChatGPT,我觉得任何一个玩互联网的人,都应该重视起来,用起来。但是国内使用需要解决科学上网、注册、收费等繁琐问题。 所以,今天这篇文章就来推荐一个插件,无需任何繁琐操作&…

日撸 Java 三百行day48

文章目录 说明day48 堆排序1.基本思路2.代码 说明 闵老师的文章链接: 日撸 Java 三百行(总述)_minfanphd的博客-CSDN博客 自己也把手敲的代码放在了github上维护:https://github.com/fulisha-ok/sampledata day48 堆排序 1.基本…

【虚幻引擎】UE5 C++编译和打包失败的原因

一、出现The required library hostfxr.dll could not be found 错误 原因是缺少.NET Core3.1 解决办法一:可以去官网下载https://dotnet.microsoft.com/en-us/download/dotnet/3.1 解决方案二:打开Visual Studio Installer,选择单个组件&…

计算机Intel CPU体系结构分析

前段meldown漏洞事件的影响,那段时间也正好在读Paul的论文关于内存屏障的知识,其中有诸多细节想不通,便陷入无尽的煎熬和冥想中,看了**《计算机系统结构》、《深入理解计算机系统》、《大话处理器》**等经典书籍,也在g…

ISO9001是什么?ISO9000和ISO9001有何关系?

ISO 9000和ISO 9001是质量管理领域的两个重要标准。它们被用来确保组织能够提供符合客户要求的产品和服务,同时不断提高其业务效率和质量水平。本文将探讨ISO 9000和ISO 9001之间的关系,解释它们的区别以及为什么对企业非常重要。 什么是ISO9000和ISO90…

Windows安装Maven并配置环境

Windows下安装和配置Maven的步骤 介绍:步骤:步骤 1:下载Maven步骤 2:解压缩Maven分发包步骤 3:设置环境变量步骤 4:验证安装 结论: 介绍: Maven是一个非常流行的构建和项目管理工具…

Tunel技术是什么?

IPv4 用 32 位整数描述地址,最多只能支持 43 亿设备,显然是不够用的,这也被称作 IP 地址耗尽问题。为了解决这个问题,有一种可行的方法是拆分子网。拆分子网,会带来很多问题,比如说内外网数据交互&#xff…

银行业数字化运营体系(上):渠道触点矩阵建设

数字化运营体系是构建从获客、激活、留存、营收转化到转介的客户全生命周期的运营体系,推动线上产品和业务运营的数字化与智能化。 随着互联网技术的不断发展,移动设备已经成为人们日常生活中不可或缺的一部分,越来越多的用户在数字化渠道进行…

vmware 详细安装教程

一.VM是什么? VMware Workstation是一个“虚拟 PC”软件。它使你可以在一台机器上同时运行二个或更多 Windows、DOS、LINUX 系统。与“多启动”系统相比,VMWare 采用了完全不同的概念。多启动系统在一个时刻只能运行一个系统,在系统切换时需…