CSO面对面丨对话海通证券,探讨数字金融行业安全运营

新技术的涌现带动了金融行业的数字化转型发展,同时也带来了更多安全挑战。一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。如何完善网络安全体系化建设,构建持续有效的安全防护,成为金融行业的“难题”。

本期腾讯安全《CSO面对面》栏目,邀请到海通证券安全运营负责人吴晨炜,以金融行业的安全防护为例,分享金融企业面临的网络信息安全建设问题及解决对策。

以下为本期《CSO面对面》文字实录。

关于海通证券的安全建设

Q1:就历史经验来看,安全建设主要有哪些阶段,如何在整体体系上保证集团数字化的全面安全?

吴晨炜:随着云计算、大数据、人工智能、物联网等新一代信息技术的快速发展,信息化和数字化的进程加快,网络空间面临的安全问题和过去有很大不同。在新的安全形势和安全环境下,企业安全防护体系建设从合规导向逐渐转向能力导向,发展为目前体系化,实战化,常态化安全建设。包括体系化建设纵深防护体系,实战化的演练以及常态化的日常运营,通过“修炼”安全能力和构建持续有效的防控体系来保障集团的安全。

Q2:海通证券是非常典型的对网络安全要求极高的行业领导者,请问您认为网络安全建设有哪些典型的场景?之前是否经历过一些事件,激发了我们集团加强对网络安全的重视?

吴晨炜:事实上,近年通过实战攻防演练的方式来发现企业安全漏洞,提升企业安全防护能力的形式已经成为常规手段。企业也能够在对抗中不断适应多种攻击手段,升级自身防护能力,并在最终的复盘中对攻击行动中的防御体系的识别、加固、检测、处置等各个环节进行审视,发现薄弱位置并进行优化。

海通证券也是通过每年至少两次的实战化演练来促进网络安全建设。之前由于互联网暴露面还未完全收敛导致有部分高危组件对互联网开放,成为了防护的短板,通过实战化的演练发现问题,加速互联网暴露面收敛工作,通过把高危组件收缩至零信任网关,从而减少攻击面。

Q3:您觉得市面上互联网公司的技术发展对大型企业集团的安全建设有怎么样的影响或者帮助?能否举几个例子?

吴晨炜:互联网公司由于本身面对的用户群体量大、需求多、竞争激烈,因此业务开发迭代版本很快,在诸如云原生、AI、机器学习等方面都走在全行业的前列。现在的网络威胁形势也正是处于一种快速增加和演变的趋势当中,黑灰产攻击手段也随着新技术的出现和应用而不断升级进化,互联网公司在新技术的快速应用以及安全防护上的快速迭代,能够跟上安全环境变化的脚步,更好地适应用户需求。

其次,互联网公司拥有大量的优秀数字化人才。企业数字化转型很大程度上依赖掌握数字化关键技能的核心人才,各项新业务、新业态的诞生和稳定发展都需要数字技能人才支撑。然而在数字化人才缺口仍较大的当下,一般企业往往难以招到相关人才并最大化利用人才资源。

基于在数字化领域和安全领域的不断实践沉淀,互联网公司能利用自身建设的经验赋能大型企业集团,特别是新技术的应用、网络安全等方面往往能提供新思路、新理念、新实践,从而帮助大型企业集团的数字化发展。

Q4:您个人在推动海通证券的安全建设与部署中,发挥了哪些“先行者”的作用,具体涉及哪些安全技术/理念的应用?

吴晨炜:海通证券作为一家国际金融集团,始终高度重视企业安全工作。在信息安全建设和运营实践中,我们团队一起建立完善了安全问题及时发现、有效解决的闭环机制,通过每日安全事件的闭环促进运营策略的闭环,从而优化安全运营能力,提高企业安全防护水平。

Q5:未来您希望对未来整个集团安全建设还有哪些部署和思路?腾讯的解决方案是否能够有所助力?

吴晨炜:目前,海通证券仍在安全运营领域进行不断尝试和实践。后面我们将继续推进企业集团化安全建设,把总部的安全能力以及实践经验赋能到子公司,促进整个集团的安全能力提高,将安全作为一种常态化的工作落实到企业的方方面面。

基于企业对于安全建设工作的向基层落实以及安全能力的整体提升的需求,腾讯的安全运营中心可以建设集团化SOC方案,将其安全管理的能力输出并接入到企业安全建设流程中,通过集中集团的网络安全日志进行安全数据和信息集中统一管理、场景建设及事件闭环。

Q6:对于腾讯安全的合作,主要在您公司的哪些场景中发挥作用?您觉得最关键的效能是哪些?

吴晨炜:在与腾讯安全的合作过程中,海通证券在安全运营方面建设方面有了更大的能力提升。海通证券本身业务范围比较广,包括投资银行、证券交易、融资租赁等等,同时也在积极地推进数字化建设,为客户提供更多样化、优质化的金融服务,这么多元的业务场景其实对我们自身的安全运营和管理也提出了挑战。腾讯在安全运营方面有自己独到的见解,也沉淀出了一套有效的体系,能够通过预测、防御、检测和响应实现安全事件的闭环,这跟我们的“主动响应和闭环”的安全工作理念是比较符合的。在实际落地过程中,腾讯的这套体系也有效帮助到我们的安全运营方面建设,特别是安全运营中心、安全编排自动化平台。

除此之外,腾讯安全做的一些关于ATT&CK的前沿技术研究,其实也给海通证券的攻防能力带来了启发和参考,同时以产品的形态让企业能够轻松地接入一些前沿的安全能力,真正帮助企业提升自身的安全水位。

最重要的是腾讯安全SOC的专家团队给与了很大的帮助,提供了完善的组织以及多年在安全领域的实践经验,在安全运营方面也有着强大的实力。通过腾讯的专家对安全运营深刻的认识,来建设丰富的安全场景,展现安全态势,从而帮助公司提高威胁检测能力,加快响应速度,赋能海通数字化能力。

关于行业安全建设经验

Q7:大型国企数字化过程中,有哪些比较普遍的安全痛点和安全风险?

吴晨炜:首先,企业在推进数字化建设过程中,由于业务与合作范围的扩大,使得企业面临的攻击面也会随之不断扩张,难以避免会遇到更多威胁。不断扩展的攻击面管理也就会要求企业安全团队投入更多精力在安全防控中,并承担起更多的安全责任。

其次是集团化安全的管理及赋能。大型国企规模实力强大,通常具备多个业务单元及多个所属公司,各业务板块对应安全管理的要求不同、主管行政部门不同、管理规范不同、监管要求不同,需要有一个完善的的管理体系来应对不同下属单位的安全管理工作。

另外,尽管当前大部分国企已经部署了大量的安全设备来应对网络威胁,但仍缺乏高效的分析手段对海量的日志信息进行“解码”,难以掌握全局安全状态,影响安全运营的效率和效果。

除此之外,国企员工在办公时常用到的邮件、微信等,这些也是钓鱼攻击常用到的渠道,企业需要针对这些办公场景提升钓鱼的检测及防护能力。

Q8:近期,中国证券行业协会下发了《安全提升计划》,对于证券公司统筹发展与安全,提高资本市场网络和信息安全水平制定了进一步的规划,提出了更高的要求,请问在您来看,《安全提升计划》将会推动和引领证券行业网络安全建设的哪些变化?

吴晨炜:其实证券行业对安全的发展及投入一直处于不断增加的状态,《计划》则是从协会的角度提供给证券公司一个参考,本身的发展是国家大趋势,且会越来越提速,从而保障企业在数字化浪潮下获得更多竞争力。

就《计划》的内容来看,它的推出的确会给证券行业的网安建设带来正面的推动作用。里面提到的证券公司应制定人才培养计划,持续提升科技治理水平,健全网络和信息安全防护体系等等,都要求证券企业自身要强化安全技术、管理等方面的能力,不仅仅是对安全能力的掌握,更鼓励自研,“修炼内功”,从根本上提升行业的安全水位。

Q9:从行业来看,针对大型关键基础设施型企业的网络攻击还是较为频繁的,遭遇勒索攻击的威胁也在持续放大,您认为应如何应对?

吴晨炜:关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。因此,保障关键信息基础设施的安全,做好安全能力的建设,提升对攻击威胁的对抗水平是非常重要的。

一是要做好人才及团队建设。网络安全保障团队作为安全运行活动的执行者,企业网络安全工作的主力军,代表着企业安全能力的一部分。广纳贤士、建设架构合理、人才齐备的安全团队是企业推进网络安全建设的重要驱动力之一。

二是企业内部加强宣传做好宣贯。我们一直说“人”是网络安全中最脆弱的因素,很多攻击都是通过人这一媒介来实现的。企业员工都需要提升安全防护的意识,必要时候企业可以组织相关培训和应急演练指导。

三是企业需要注重体系化、实战化、常态化的安全建设。如今,攻防演练逐渐趋向成熟和体系化,企业需要持续的、灵活的安全运营来实现对安全态势的整体防控,在危机真正来临的时候也能够有条不紊地开展防御工作。

栏目简介

当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者,了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/61666.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

分论坛介绍:涉及数据隐私、金融、互联网

数据隐私下的数据科学论坛 出品人:刘吉 百度研究院 资深研究员 分享嘉宾: 1. 闫树 中国信息通信研究院 云计算与大数据研究所 副主任 演讲主题:隐私计算行业发展及合规发展思考 演讲提纲:隐私计算政策、技术、应用概述-隐私计…

ChatGPT下架官方检测工具,承认AI文字无法鉴别

梦晨 发自 凹非寺量子位 | 公众号 QbitAI 没有公告,OpenAI悄然关闭了AI文本检测工具,页面直接404了。 官方对此没有公开回应,几天后才有人找到一则简短说明,藏在半年前工具发布的博客页面中。 ……AI检测器由于准确率较低而不再可…

让ChatGPT来帮我们写一个贪吃蛇代码,是骡子是马总得拉出来溜溜

ChatGPT实在是太火了,铺天盖地的信息让人不得不好奇,到底有没有网上说的那么厉害呢,就让我们用事实说话,现实测试一下他的代码能力。 刚好前一段时间自己写了一个贪吃蛇的c代码,那么就让GPT也写一个,看看功…

百度网盘怎么取消自动续费

第一步:双击百度网盘快捷键,点击进入,登录网盘账号。 第二步: 点击会员中心,接着点击管理自动续费。 第三步:点击取消选项,出现提示框点击 确定 即可取消自动续费。 最后,自动续费就…

自动续费PHP,Hostwinds 续费教程:管理取消支付宝、PayPal 等付款方式的自动续费...

Hostwinds 付款之后,默认会开通一个扣款协议,就是说到期之后可能会自动续费。但是之前的文章也说过,一般来说续费都是原价续费,是比较贵的,所以我们都是建议一次性多买几年,然后到期之后重新买。如果不小心…

经验分享:爱奇艺关闭自动续费会员的功能

分享一个和技术开发无关的经验,但是对爱奇艺会员续费不熟悉的话,这个经验还是很有作用的,尤其是自动续费这个功能,爱奇艺做的很好,很隐蔽,不刻意找的话基本找不到怎么取消自动续费会员的功能。那么,下面就来介绍一下怎么取消爱奇艺自动续费会员的功能,包括手机端和电脑…

怎么取消手机APP自动续费?详细方法来了,轻松易懂

在使用手机上网的时候,无论是游戏、外卖、看视频、听音乐等等,都拥有会员服务。每次开通会员的时候,平台会推出一种优惠政策,只需要同意自动续费的服务,就能够以极低的价格开通会员服务。可当自己不再需要会员的时候&a…

踩坑笔记 ---- 使用LocalDateTime开通会员到期时间与自动续费业务某天用户突然为0

写在前面 使用LocalDateTime的同学需要注意下,这东西的plusMonth可能会有点点超出你的认知,如果不慎掉坑里,希望这篇笔记可以给你提供思路 业务背景 此业务场景非常简单,自动续费业务,需要在用户会员到期前24小时执…

ChatGPT来了,软件测试工程师距离失业还远吗?

小伙伴们前一段是不是都看到过ChatGPT的相关视频,那它到底是什么?对软件测试行业会有什么影响? 今天汇智妹就用一篇文章来给大家讲清楚。 一、ChatGPT是什么? 简单来说,ChatGPT是一款人工智能聊天机器人,…

ChatGPT会让软件测试人员失业吗?

首先,正视ChatGPT ,它只是一款提升测试效率的工具,并不会让测试失业 ChatGPT 本质上就是一个搜索引擎的二次封装,它更能理解你的输入意图,它更精确的帮你拼接返回结果。但它就是一个辅助工具,用好了可以帮…

抖音视频数据抓取

最近经常有人问我抓取抖音视频的数据,下面就来抓取一下吧。 还是先抓包,获取需要的接口和参数,相关的算法在其它文章里面有介绍。 搜索个视频看看 在抖音搜索框那里任意搜索个什么词。 查看抓的包信息: 可以看到,这里是post请…

抖音视频怎么制作

1、抖音拍摄制作 抖音短视频作为一款视频拍摄、分享软件,自身也带有一些功能可以实现抖音视频制作,做出的抖音视频也很好玩。 步骤: 1、首先安装好抖音并打开软件,点击软件正下方的“”。 2、可以点击“视频”自动拍摄一段视频&…

抖音视频评论采集

总结一下现在采集抖音评论的方法,根据不同的业务可以选择不同的采集方式。 需要代码可查看第4部分网页版评论采集。 文章内容仅供参考学习,如有侵权请联系作者进行删除。 文章目录 1、自动化工具采集2、第三方平台采集3、APP评论采集4、网页版评论采集专…

小程序如何实现抖音视频效果?

1、wxml部分代码 &#xff0c;主要是利用swiper 标签滑动切换&#xff0c;事件处理&#xff0c;具体参数说明可以去小程序官网文档看。https://developers.weixin.qq.com/miniprogram/dev/component/swiper.html <swiper vertical"{{true}}"current"{{curren…

如何开发自动生产爆款抖音视频机器人

这是我这利用技术 自动生成的抖音视频,每个视频都是原创,而且可以基于主题生成对应的视频封面,例如需要制作大海主题的视频,只需要输入 “大海”,就可以生成视频封面为大海且背景音乐为海相关的主题视频。 抖音短视频分解 其实自动化制作视频并不难,我们可以通过一个短视…

微信小程序实现抖音视频效果

当我们进行开发的时候可能会遇到需要实现抖音视频效果的需求&#xff0c;并且网上该效果的开源代码少&#xff0c;找到的开源代码代码量大&#xff0c;很难进行二次开发 对此我将自己的代码进行简化&#xff0c;仅留下可动性高的代码模块 以上是实现效果与此处demo的模板 <…

抖音短视频脚本制作的一些技巧,快快收藏起来!

在抖音上发布一个成功的短视频需要多方面的考虑&#xff0c;其中最重要的是脚本的制作。一个好的脚本不仅可以吸引用户观看&#xff0c;还可以让用户产生共鸣&#xff0c;从而提高视频的传播效果。以下是不若与众科技一些关于抖音短视频脚本制作的技巧。 1. 简短明了 抖音短视…

抖音视频链接数据分析

一、制作背景 目前抖音账号数据只能进入后台查看 对于个人自媒体和工作室管理的账号 数量众多不利于提升效率。特别是工作室 一人管理数个账号每天发布几十条视频 隔天观看后台数据就要数个小时 每天剪辑视频发布视频观看后台 数据一天就过去了&#xff0c;每天还忙的焦头烂额 …

python爬虫+pyqt5制作完成 <在线翻译软件.exe>

#仅供学习参考。 目标网站&#xff1a;网易翻译pyqt5 在线翻译.exe 功能需求&#xff1a;中英互译&#xff0c;其他国家语言也行&#xff0c;如果能用键盘打得出来得话&#xff0c;这部分功能没怎么测试。 界面介绍&#xff1a;因为有时候网络有延迟&#xff0c;所有增加了个…

新媒体人都在用的6款在线设计工具

无论是在工作中还是学习中&#xff0c;经常会需要用到各种工具。学会运用工具&#xff0c;可以让你事半功倍&#xff0c;轻松高效地完成任务&#xff01;今天给大家整理几款高效的在线设计工具&#xff0c;一起来看看吧&#xff01; 01.稿定设计——贴图加水印 网址&#xff…