执笔:本刊记者 郑岩

海通证券股份有限公司信息技术管理部副总经理 陆颂华

导语

新时代驱动金融创新逻辑升级、亮点频现。相反相成,金融信息安全形势瞬息万变、危害攀升。面对新技术综合应用的全新挑战,信息安全风险已被提升至全局性、系统性重要风险的高度,安全手段的简单叠加已难以应对信息安全体系的连续动态调整压力。如何在前台快速创新的同时,在中后台更为主动、持续地推进信息安全监督、风控措施的配套转型?海通证券股份有限公司信息技术管理部副总经理陆颂华做客本期专题对话,详解新时代信息安全防护能力的提升之策。

记者:金融科技的快速发展加速了金融业产品服务、经营理念的深刻变革,服务自动化、智能化的呼声越来越高。科技既是促进金融发展的催化剂,亦可能成为引发系统性风险的导火索。请您结合证券行业的特点,分析新时代科技建设和运维、开发和应用面临哪些核心风险?

陆颂华

当前,网络空间国际战略博弈日趋激烈,国际网络安全形势更加复杂。网络攻击破坏活动不断增多,影响力和破坏力显著增强,网络违法犯罪呈现快速增长态势。

证券信息安全面临的核心风险主要有:一是黑色、灰色产业已形成全产业链,发展猖獗,潜在的客户数据泄露隐患急剧增大。二是黑客经济商业化趋势日益明显,各类网络攻击、勒索邮件手法不断变幻,攻击手段先进化、复杂化,传播快速化,对业务连续性构成更大的安全隐患。三是传统网络安全风险边界模糊化,应对云计算、大数据、SDN、NFV等新技术应用风险逐步成为安全工作的重要内容。四是风险关联化:行业相关方(如“大数据营销”产业对证券客户的骚扰)、合作商(如第三方交易软件接口漏洞)的安全风险也会传导至证券公司。

记者:新时代科技面临的核心风险集中体现在网络、数据、新技术应用三方面。我们一方面要“大门敞开”拥抱互联网,一方面要“严防死守”捍卫信息安全。您如何看待信息安全管理面临的两难挑战?

陆颂华

证券公司信息技术架构日趋复杂,资产范围庞大,以往安全管控的资产范围主要偏物理主机,而今则广泛覆盖互联网应用、APP、H5小程序、数据、移动设备、BYOD设备、外部接口等等,资产规模越大,安全管控难度越大。

针对新威胁,传统安全设施的检测发现能力愈来愈难以满足需求,且在传统证券企业的安全技术框架中,各类安全设备以“烟囱模式”构建,形成一个个安全孤岛、数据孤岛,无法实现安全防御的整体优势。同时,证券公司限于内部人员编制、外包人员编制、薪酬、激励政策等方面的制约,很难吸引到高级网络安全专业人员,依靠现有人力,难以与产业化、商业化的黑色组织、灰产组织对抗。

记者:面对新时代金融IT核心风险特征及信息安全管理挑战的变化,您认为新时代的信息安全防护能力包括哪些核心要素?

陆颂华

一是威胁检测能力。一方面需要引入新的威胁检测技术手段,同时也需通过某种方式将各类安全孤岛的威胁检测能力予以整合优化,并引入新型的大数据、AI等智能分析技术,从全局、整体实现威胁检测。

二是网络安全态势感知能力。传统安全运维以漏洞补丁为核心,日常工作以安全设备运维为主线,而新时代特点下的信息安全防护能力需逐渐向持续化的网络安全态势感知进化。海通证券以证券业务发展为基础、以证券安全威胁为核心、以安全威胁事件核查为线索、以攻防能力提升为关键、以持续优化为根本,跟进证券业务发展并提供细化分工的安全服务,同时持续检视效果并提升。

三是安全对抗能力。传统证券安全工作的特点是“防”、“堵”,始终以防御者的角度来规划、设计、评估、改进企业安全防护框架,这种思路已经无法满足新时代的信息安全防护要求。证券公司需要站在攻击者的角度,站在黑产、灰产的角度,构建企业安全防护框架以及网络安全态势感知能力,这就需要将安全对抗能力纳入信息安全防护能力的建设范畴。

记者:为打造上述核心能力,海通证券主要做了哪些具体工作?

陆颂华

海通证券参考Gartner的自适应安全架构,对证券、金融行业开展了大量调研,结合自身多年的安全实践经验,从2019年年初开展以大数据技术为基础、智能安全分析为核心的企业网络安全态势感知平台建设,支撑“威胁检测、态势感知、安全对抗”三项信息安全核心能力需要。

一是逐步实现全网安全要素信息(目标为全流量、全日志)的采集和统一存储,整合各类现有和在建的安全检测资源。二是通过引入机器学习、人工智能等新型分析技术,综合各类安全要素信息,构建海通证券智能安全大脑,一方面汇聚各类安全要素信息,跨越时间、空间、技术的限制,深度检测威胁,同时将智慧分析结果注入各类安全设备,与设备联动实现智能化、自动化的检测与响应。三是逐步引入多源外部威胁情报,推动证券行业情报分享机制,建立海通证券可共享情报中心。四是以业务为导向、数据采集步骤为路线图,数据采集到哪里,威胁检测场景建设即覆盖到哪里,并且根据证券业务特点,从传统网络安全逐步过渡到业务安全、用户异常行为检测等复杂的安全威胁场景,最终实现企业全面的内外部安全威胁态势感知。

记者:请您简单说明一下态势感知平台防护工作的实操过程。

陆颂华

区别于传统安全方案“设计-建设-上线”的步骤,海通证券网络安全态势感知平台的建设与日常安全运营同步进行。结合日常的安全威胁检测、安全事件调查、应急响应、渗透测试、重大活动安全保障等网络安全态势感知活动,在实战中建设、优化安全威胁检测能力,通过实战改进平台功能和用户体验,螺旋式优化改进平台的安全检测能力、安全团队的对抗能力。

记者:共享新技术综合应用红利,金融创新趋向于“内部变革”与“外部合作”相结合的“双轮驱动”模式。另一方面,这种趋势同时驱动各金融机构持续审视信息安全防护能力面临的全新挑战,在扩容业务服务范围的同时,亦不断扩大风险防范外延。您认为,在此动态变化的过程中,金融信息安全的发展态势是什么?

陆颂华

金融信息安全发展态势将呈现三方面的特色。

一是安全管控能力的弹性与伸缩性。新技术、新业务在证券期货业务中被大量引入,一方面导致受攻击的点与面都大大增加,另一方面,业务不可能等待我们对每一项新技术的安全隐患都评估到位、管控到位后再去部署。基于此,安全技术管控能力应具有弹性与伸缩性,可以伴随业务变化做到自适应和自我调整。

二是轻管控、重检测、快响应。网络攻击威胁频繁复杂,有关APT攻击、勒索软件的报道近两年层出不穷,依赖“安全厂商的安全规则库进行被动防御”的方式,难以防御所有攻击,安全管控体系也应逐步走向轻管控、重检测、快响应的道路。

三是行业内外信息安全协同机制的构建。证券行业的信息技术架构以及安全风险具有高度相似性,建立行业内的威胁情报共享机制、威胁检测方法的共享机制,可以帮助证券公司更好、更快速地应对安全对抗。跨行业,例如证券投资者信息安全隐患,包括投资者个人信息的窃取、贩卖、诈骗等,单纯依靠证券行业难以有效解决。需要行业联合公安部门、运营商、提供基础服务设施的大型互联网公司等携手打击网络安全犯罪,同时行业应共同探讨投资者信息的安全管控。

记者:信息安全体系如何动态同步于金融科技时代步伐,海通证券未来重点工作有哪些?

陆颂华

证券公司自主研发比例增加,技术交付速度持续加快,随着DevOps的广泛运用,漏洞补丁管理的传统安全把控模式逐渐难以适应新形势要求,只有将安全完整融入开发流程中,逐渐引入以DevSecOps为代表的现代化的开发、运维、安全自动化理念,实现开发、运维、安全的结合,才能保障新型开发模式下的应用安全。5月13日,网络安全等级保护制度2.0标准正式发布,海通证券将把对标等保2.0作为网络安全工作的重点之一。

结语

区别于传统安全方案“设计-建设-上线”的步骤,海通证券网络安全态势感知平台的建设与日常安全运营同步进行。结合日常的安全威胁检测、安全事件调查、应急响应、渗透测试、重大活动安全保障等网络安全态势感知活动,在实战中建设、优化安全威胁检测能力,通过实战改进平台功能和用户体验,螺旋式优化改进平台的安全检测能力、安全团队的对抗能力。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。