绿盟2015金融安全峰会听访手记
作者: 日期:2015年11月18日 阅:1,427

17日,绿盟科技主办的2015金融信息安全峰会召开,牛君到现场听会,并对绿盟科技CTO赵粮博士和金融销售管理部总监、高级讲师郝东林做了简短采访。

以下文字为赵、郝两位在大会上演讲的主要内容,以及牛君的采访,现分享给大家。

赵粮博士的演讲主题为《智慧安全2.0 – 未来的安全方向》。

640.webp (2)

“我们正处于这样一个即令人兴奋,也让人焦虑的邂逅当中,在这么一个大背景下,网络会呈现出什么的图象和怎么样的演化?”

一些事实

网络安全是一种对抗行为。是有一系列地事件在推动,要承认并且应用这一点,是一个一个的事件引起了我们的关注、重视。每一个事件的背后有响应、有措施,通过各种各样的数据跟踪。这个事件是有时效性的,叫做72小时黄金抢救时间。

虽然我们在讲APT、高级的持续的危险,但事实又告诉我们99.9%的安全事故是由于我们已知的漏洞、攻击引起的,这意味着什么?

战场上面失败的例子大多有三:

第一:不知已知彼,不知道敌情,不知道有这些问题,出了漏洞、攻击方法不知道。

第二:知道有这些问题,但是却没有能力、技术、手段落实它,去修复漏洞,减缓攻击、降低风险。

第三:也知道、也有手段,但是行动不够快,留给对手有足够的时间,为什么?以前的体系是建立在每月的时间窗口,很长时间的严谨带来的流程当中。而现在的攻击却在以秒、以小时级,这时候给我们带来的差距,把这几个事实放在一起,这就是我们提出这样的一个体系或者框架的背景。

640.webp (3)

99.9%的漏洞利用属于1-day

640.webp (4)

 

致命的窗口时间

出现问题后的几种情况:

1. 悲伤、痛苦。被老板知道了,工资没有了。

2. 震惊,别人知道了,你不知道,攻击方知道了,防御者不知道。

3. 郁闷,都知道,可就是无能为力。

智慧安全要解决目前大背景下的安全问题,需要具备三个属性:

智能;敏捷;可持续运营。

实现这三个目标的三个成功要素:

态势感知;软件定义;纵深防御。

1. 态势感知。怎么感知?需要大量的准确的传感器,才能较全面的准确的具备感知能力。在此基础之上,还需要建立符合行业的、符合业务的场景,然后利用这些感知到的信息,做预测或判断,以指导行动。

2. 软件定义。软件定义并不成熟,但这种思想能够带来非常大的启发,并已经开始指导我们的工作。软件定义的本质是打破原来的框架,把控制权从开发回到管理者和运营者,让运维者非常自主地去控制和改变这些措施,实时地去变革这些措施。从而快速地进行相应,因而行动更加地敏捷。

640.webp (5)

3. 纵深防御。任何单线的防御体系,都是不可靠、不可持续的。以前的防火墙、入侵检测、漏洞扫描等,只是在技术手段上的纵深,我们还需要在空间上的纵深、在生命周期上的纵深。对第一个可能会失效的点和场景,都需要做出预案来进行相应的防火。

这样系统就会变得复杂,因此又需要软件定义与态势感知和纵深的相互支撑。没有软件定义,所谓态势和纵深,无非是更加臃肿,导致没有办法感知没有办法指挥。

我们需要软件定义,要能够行动变得敏捷,要能够更加开放,把控制权还给运营专家。

即使云计算、安全云正在占领越来越重要的比重和份额,但是园区计算、本地计算,在我们可预见的时间里面依然会长期地存在,这个地方不革命性的,是演化的。

在智慧安全这个框架下面,在智能、敏捷、可运营的这样的目标下面,它需要有本地、有园区的实施和部署能力,还需要有云中的大脑、云中的系统进行这种密集地、分析的、情报的、监测的、检测的,这种实现大规模远程的能力,同时加上各类专家以构成一个完整的防护体系,这个防护体系又通过云连在一起,形成一个更大的防护体系。

640.webp (6)

防护的一种原理,当它覆盖的面积越大的时候,它的防护效果就越好。当它的沟通效果越快的时候,防护效果越好。

赵粮的采访内容

 

640.webp (7)

赵粮

问:智慧安全2.0意味着绿盟主营业务的转型,具体体现在哪些方面,与传统产品的区别?

答:从传统的业务模式,走向一个可持续的可跟客户紧密互动的业务常态,即P2SO(S为解决方案O为运营)。安全公司的核心价值,以前是硬件盒子价值高,但开发、销售到安装之后就只剩下售后了,价值与形势是割裂状态。现在则不存在装上就不管,动态知识和服务互动更高,要实现成功的转移,价值与形势要并列起来。

正如刚才在演讲中提到的云地人机图,过去是即插即用(plug and play),现在则时刻处于动态变化和服务互动,变成软件和虚拟化的过程。简而言之,以快打快,动态安全。

问:传统安全产品或说硬件盒子式的安全产品,未来的前景是什么?

答:之前的演讲中已经提到,即使云计算、安全云正在占领越来越重要的比重和份额,但是园区计算、本地计算,在我们可预见的时间里面依然会长期地存在,这个地方不革命性的,是演化的,也需要演化。在这个过程中,还需要一定的本地计算。因为,网络的速度和流量至少还都是目前的限制。因此目前本地计算还是很大,虽然云也会越来越大,但未来3到5年内,本地计算还应该占有用重要的比例,混合云应该是主流。也就是说,本地还需要计算,但轻量级应用会转向公有云。

另外,在很长的时期,如十年来看,未来的发展并未确定。如果个人设备芯片的计算的能力强大到一定地步,许多安全应用还有可能回归本地,云也不一定能容纳一切。一句话,网络和计算的进步,决定未来的发展前景。

郝东林的演讲主题为《金融行业面临的安全革命与思维革命》。

金融行业几起值得注意的事:

1. 今年9月,招商银行宁波银行网银转帐全免费。这是互联网+时代的一个反应,给其他银行带来很大压力。

2. 今年11月,《环球时报》报道37位金融机构高管罕见密集离职,去哪儿了?大部分去的都是互联网公司。

3. 某互联网银行的人员,70%是技术人员。

互联网银行怎么开?

平安证券研究所出了一个报告,说是微众银行的目标要成为银行和客户的接口平台。如果银行已经成为一个被微众银行的接口给容纳进去了,则银行被边缘化的风险会越来越大。

640.webp (8)

传统金融机构最大的竞争对手是谁?

比如蚂蚁金服,它现在横跨的产业链,包括银行、证券、保险、基金、信托、P2P、股权众筹,比任何一家银行都要覆盖全面。在互联网+的形势下,甚至一个物流公司(如顺风)都有可能是银行的竞争对手。

金融行业的安全形势

在十三五规划里面其中有三点,实施国家网络强国战略、国家大数据战略和国家安全战略。国家对IT、对数据提到了前所未有的重视高度,在这种情况下,金融行业的安全形势如何?出了事情瞒得住吗?

案例一:某家银行手机APP客户端,其中有一个机票模块,在做安全评估的时候,评估人员发现用一块钱就可买到头等舱机票,而且后经航空公司确认是有效的。但航空的财务部门的后台实际上是按照全价头等舱扣的款,怎么办?损失只有银行自己来承担。

案例二:某家手机银行上线之前做安全评估,竟然发现密码是明文保存的。

案例三:某家银行转账系统因为在系统设计阶段缺乏对安全的重视,可通过浏览器中间人劫持的方式能够把原本转给张三的钱,转给李四。这个损失谁来承担?

说以客户为中心,大数据、云计算、移动金融,这都是趋势,在这种情况下,必须把安全放到足够重视的地位,否则的话,我们业务做得越好,就越容易出问题。很多人有一个误解,觉得安全是麻烦,安全影响客户体验,实际上安全应该融入创新,我们必须在业务系统设计阶段就要考虑安全的因素。如果我们能处理得好的话,两者完全可以相辅相成。

我们要坦然面对变革,面对变革,从容进化。“找死”可能活得更好,但等死则必死。

弱小和无知不是生存的障碍,傲慢才是。

面对互联网金融的攻击,银行应该怎么应对?

互联网公司的打法就是颠覆监管,改变监管。互联网金融企业率先突破监管的约束,使用低纬武器攻击银行,即所谓的“降维”打击。传统银行从一开始的做大做强,逐渐成为细分领域的王者,然后就是并购或者被并购,最后就是破产重组。这个结论没有什么理论依据,我只是在不断的分析。

我们整个的信息安全,包括对科技的理解,不仅仅是科技部门的职责,需要加强全体员工的信息安全意识,更需要我们高层领导的支持,要站在战略的高度看待信息安全。

四句话总结

行业上云大势所趋,安全问题重中之重,数据价值最大资产,监管创新迫在眉睫。

这就是整个金融行业在未来3-5年的发展趋势。

安全不是一件产品,而是一个持续改进的过程。

郝东林的采访内容

640.webp (9)

郝东林

问:如何看待去IOE?

答:斯诺登事件之后,国家希望真正的国产化,但金融机构对业务连续性的要求非常之高,如果国产化带来新问题怎么办?某省金融机构内部要求,提倡去IOE,但如果国产化发生问题,如停机等,会从处理机制上给予一定的宽松。

银监会317号文发布之后,虽然很快又通知部分内容暂缓施行,但长期来看还是要国产化,只不过是一个逐步的过程。现在已经有几家银行在上报给银监会的研究课题,就是“如何做好自主可控”。在EMC、联想、思科、浪潮、亚信等国内外企业纷纷组建合资或收购公司之后,也是对国产化政策的反应。

问:传统金融在互联网化的过程中,最需注意的事项是什么?

答:相比传统银行两地三中心的大机结构,BAT等互联网企业则容易的多。最大的挑战,是整个IT架构带来的,因为传统基础设施和云完全不一样。因此,银行需要从传统的双活向多活转变。第一步虚拟化(实际上大多都已经做到了),然后再向私有云,混合云、公用云转化。而且必须是从架构上的转变,而不是设备上的简单替换。

另外,思维方式也需要转变。网商银行、微众银行等互联网银行都是技术导向的,人才架构也完全不一样,70%是技术人员。他们的打法可不是铺网点,是降维打击。因此,传统银行在缺乏相应技术和人才储备基础的情况下,要有变革的意识,要做好思想和行动上的准备。

最后,从监管机构的角度来看,高层应尽快出台相关政策和文件,为正在进行着的改变和迎接未来作出指引。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章