2019中国金融科技产业峰会丨信通院云大所金融科技部郜咨询顾问唐明环解读《金融业网络安全白皮书(20?
2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开。11月1日下午召开的金融业网络信息安全分论坛上,中国信息通信研究院云计算和大数据研究所金融科技部邓咨询顾问唐明环带来了《金融业网络安全白皮书(2019)》的解读。
在座的大家都是金融领域、安全领域的专家,我说得不太正确,欢迎大家批评。
首先,背景:习近平总书记提出金融是现代经济的核心,金融安全是国家安全的重要组成部分,总结金融特别重要,金融信息安全,网络安全特别重要。同时,我们可以看到近年来金融行业网络攻击事件频发,网上随便搜索很多金融行业被攻击的案例,2016年孟加拉央行被APT攻击,2018年荷兰三大银行被DDOS攻击,今年7月美国第三大信用卡发行商被人为攻击,这些事件都可以看出金融行业网络安全受到严峻考验。如何应对金融业发生的网络安全问题?这是我们白皮书重点研究的内容。
白皮书大纲分为金融业网络安全整体形势、创新技术典型应用、风险挑战、安全保障战略四部分。
一、金融业网络安全整体形势
白皮书分析
1、科技创新推进金融业变革。金融业从资金驱动业务转向科技驱动业务。主要表现在以下四方面:
第一, 支付模式的变化。随着互联网模式的兴起,第三方支付应运而生,发展迅速。
第二,存款融资模式发生变化。网络融资模式逐渐兴起,网络业务逐渐转变为网络业务。
第三,业务渠道转变,从互联网金融转变为物联网金融。
第四,价值载体从有形货币转变为无形货币。
2、新兴技术正在加快与网络安全技术的融合。包括目前的人工智能技术、云计算技术等,这些技术与我们之前的网络安全形势感知、威胁信息等技术相结合。这部分后面有详细的介绍。
3、金融业网络安全形势愈加严重。前面提到金融网络攻击的风险,因为金融业是数据集中的行业,所以大数据的风险也很严重。如今,金融行业应用了许多新技术,伴随着技术的依赖,也产生了风险。
4、金融业网络安全工作受到重视,包括我们的网络安全等级保护法和国务院办公厅发表的一系列指导意见,国家自身对金融业的重视程度逐渐加深。二是我们网络安全人才团队不断加强,包括我们发布一系列网络安全团队建设的文件,金融行业在各地开展网络安全攻防实战演练,金融网络安全产业生态进一步加深。
二、金融行业网络安全创新技术与典型应用
我们将金融行业网络安全分为两部分:第一,新技术使金融行业网络安全发挥作用,第二,金融行业应用新技术,这些新技术本身的安全问题
(1)新技术能力金融业网络安全
一是数据安全技术,其第一是智能数据防止泄漏,采用深层内容分析技术,对数据资产进行细粒度安全管理,包括敏感数据防止泄漏、终端敏感数据防止泄漏、网络数据防止泄漏。
智能数据唾沫,通过处理敏感数据,隐藏其隐私信息为数据安全提供保障,分为静态和动态两种,典型应用包括生产周期共享、开发数据准备和实时数据获取。
二是新一代网络安全。一是异常行为分析,通过分析发现潜在威胁,典型应用包括规范生产运输人员操作、VPN连接异常分析、准入登录控制等。网络安全形势的感知是在大规模的网络环境中获得、理解、显示网络形势变化的主要安全,预测最近的趋势,事先决定和行动,保障安全。典型的应用场景包括全网安全数据集中管理、网络安全高级威胁检测、网络安全运营。
三是网络安全威胁抓捕。包括各种网络服务、数据库、应用程序等,将这种威胁引入沙箱进一步防御,包括隔离、科学调查等。
刚才应用新技术实现网络安全。
(2)新技术本身的安全
第一,人工智能安全。人工智能在金融领域应用最显着的风险是数据泄漏的风险,我们总结了人工智能安全技术基于隐私机械学习技术,二是减少数据需求的技术,三是数据偏见检测技术,四是AI数据攻击防御技术。
第二,大数据。我们也关注现在比较热的这些技术,有认证技术、数据安全技术、安全服务技术。
第三,云计算。云计算安全技术包括微隔离技术、云公共负荷保护平台等。
三、金融业网络安全面临的风险和挑战
挑战1:金融业网络安全外部风险持续升级。如今遭受网络攻击和信息泄露事件较多,随着移动支付的发展,手机端安全问题逐渐显现。此外,基础设施软件无法控制。
挑战2:金融业务创新对网络安全提出更高的要求,如金融业务云化、金融业务云、块链在金融领域应用、人工智能发展,这些新技术使网络环境更加复杂,对网络安全提出更高的要求。
挑战3:静态安全防御不能满足金融业网络安全需求。网络安全的边界模糊,很多首都不能适用,这也是对网络安全的挑战。
挑战4:数据安全和隐私保护困难。数据价值不言而喻,容易泄露、滥用,金融个人隐私面临着共享和管理、保护和使用的双重特性。
挑战5:金融业网络安全运营体系必须完善。金融科学技术引起的网络化、数据化、智能化是金融网络安全运营的机遇和挑战,白皮书分别从技术水平、业务水平、监督水平、人才培养四个方面分析了金融业网络安全运营体系面临的挑战。
四、金融业网络安全保障战略和建议
战略1:建立金融业网络安全创新思路。一是零信任,核心思想是默认不信任网络内部和外部的任何人、任何设备和任何系统,零信任从2010年开始提出,发展到现在已经有各部门的实践经验。零信任安全结构包括设备和用户代理认证等。
二是适应安全结构。包括保护和防御、检测和反应、跟踪和科学调查、识别和预测,这四个方面环环相扣,形成了网络安全保障的坚实基础。
三是金融AI安全体系结构。与以前不同,加入人工智能因素,智能提高防御、检测和应对能力。
战略2:加强以数据为中心的网络安全建设计划。主要包括数据安全等级设定、数据操作者管理、数据安全使用审查、数据使用许可程序、数据共享程序。
战略3:建立基于零信任的动态安全防护系统。刚才介绍了零信任的思想,我们提出的建议是建立零信任基础的安全防御体系。包括多样性评价、动态访问控制、安全增长。
战略4:建设面向全生命周期的数据防泄漏机制。包括三个阶段,第一个阶段是合理整理、组织建设、制定制度。数据触底、等级分类、风险识别。第三阶段是安全预防管理标准规范。
战略5:构建下一代智能网络安全运营体系。安全运营是对安全运维的一个继承和发展。运营包含的东西特别多,它是一个比较综合的事情,我们主要是提出以下几方面:第一点,伴随业务上云开展以下这三个大平台建设。第二点,应用DevSecOps理念,安全贯穿业务的全生命周期;第三点,通过安全运营增加安全感实现安全价值,建立形势感知平台,建立高级威胁感知能力。
以上是我对《金融业网络安全白皮书(2019)》的介绍,如果想知道详细内容,可以扫描这个二维码,关注中国通信院CAICT微信号公众信号,在公开发者_运维问答众信号中发送白皮书电子版的全文。白皮书是由各个专家团队一起合作编写的,在此对大家表示感谢。
谢谢大家!
精彩评论