新聞頻道 > 熱點專題 > 第12屆保險業信息化高峰論壇 > 正文

訂閱《中國保險報》

收藏本頁 打印 放大 縮小
0

亞信安全副總裁、亞信網絡安全産業技術研究院院長劉東紅:

從實戰出發的網絡安全體系建設

發布時間:2019-07-02 13:06:12    作者:    來源:中國保險報網

記者 蘇潔/整理報道

隨著新技術、新威脅、新場景的出現,網絡安全的定位、對象、需求都在發生著變化,順應變化這方面也增加了很多內容,包括集中管控、溯源取證、個人信息保護等等。這些都體現了很核心的一點就是從實戰出發的原則。

以前網絡安全更多是進行單點防護,分類的安全産品相對有一定的孤立性,目前來考慮的更多是整個聯動、整個體系化的防護,這也是大家看到很大的改變。隨著“雲大物移”和區塊鏈、人工智能等新技術的出現,網絡安全建設也要對應改變,網絡安全新技術層出不窮,不僅僅是說以前大家熟悉的安全技術,而且更多要不斷采納新的技術。

關于網絡安全體系建設,這也是基于亞信的實踐,我認爲網絡安全體系建設中的一些核心的要點有幾方面:第一,以身份管理爲基礎構建有序的網絡空間信任體系;第二,以攻防實戰爲視角提升全方位的主動防禦能力;第三,以集中管控爲核心,構建自動化和安全事件響應能力;第四,以策略聯動爲關鍵,借由跨設備關聯分析提升響應效率;最後,落到從實戰出發建設自適應的安全體系。

亞信安全副總裁、亞信網絡安全産業技術研究院院長 劉東紅

以下是文字實錄:

尊敬的朱書記、江局長、吳董事長、邵總、各位領導和專家,很榮幸參加本次保險業的信息化高峰論壇,我在這裏和大家探討一下從實戰出發的網絡安全體系。分享一下網絡安全等級保護2.0帶來的轉變以及關于網絡安全體系建設的幾個關鍵和行業最佳實踐。

隨著新技術、新威脅、新場景的出現網絡安全的定位、對象、需求都在發生著變化,順應變化等保2.0增加了很多內容,包括集中管控、溯源取證、個人信息保護等等,也優化了安全審計、網絡邊界的安全,包括資源控制、防控制等等要求和內容,也強化了主動防禦、安全可信、動態感知、全面審計、應急保障等內容。體現了很核心的一點就是從實戰出發的原則。

一方面反觀黑客的心理進行精准防護,另外一方面根據企業個性化的實際需求進行策略遵從、策略驅動。通過威脅情報取得關鍵和基礎的作用,建立安全的技術體系和管理體系,構建具備相應等級保護安全能力的網絡安全綜合防禦體系。

從建設者的角度來講我看到了在他們身上目前正在發生的變化,我大概總結了五點,第一個就是從低投入向高投入轉變大家知道網絡安全在信息化投入占比非常小,在前幾年來講通常在1%-5%之間。前一段時間網信辦也組織網絡安全投入在信息化投入到底該占多少,當時我們討論覺得應該不低于10%,有關單位也准備出台一些要求,比如說設定一個投入的底線。

以前網絡安全更多是進行單點防護,分類的安全産品相對有一定的孤立性,目前來考慮的更多是整個聯動、整個體系化的防護,這也是大家看到很大的改變。

隨著雲大物移和區塊鏈、人工智能等等新技術的出現,其實網絡安全也要對應改變它的方法和方式,所以網絡安全新技術不斷的層出不窮,不僅僅是說以前大家熟悉的安全技術,而且更多要不斷采納新的技術,以前大家都覺得數據是不是采集的越多越好?現在我們也看到目前對于信息的采集這塊兒來講更注意他的有效性和精准性,進行有效的收集,網絡安全在企業裏都是成本中心,如果說不出事或者出事大家對他們的看法是他們並不是能産生效益的,現在很多領導觀念也發生轉變,他們認爲安全可以給他們的業務帶來效益。所以說大家從安全作爲一個投入的成本中心,目前也在不斷轉變,認爲他其實是安全的運營中心。

下面談幾點關于網絡安全體系建設的幾個觀點,這也是基于我們亞信的實踐以及我們看到網絡安全體系建設中的一些核心的要點。第一以身份管理爲基礎構建有序的網絡空間信任體系。第二以攻防實戰爲視角提升全方位的主動防禦能力。第三以集中管控爲核心,構建自動化和安全事件響應能力。第四以策略聯動爲關鍵,借由跨設備關聯分析提升響應效率。最後落到從實戰出發建設自適應的安全體系。

下面展開分享這幾點內容,在網絡空間和在物理空間一樣,人和物其實都賦予它網絡空間的身份,並且的話是可以驗證、監管和追溯,這是構建網絡空間信任體系的基礎。如果沒有一個可信的網絡身份,大家可想而知網絡世界將一片混亂。在身份的安全來講我們其實看到它包括好幾個層面,在企業內部它涉及到企業身份的統一管理,大家比較熟悉4A,大家都會在企業內部建立4A,認證授權、記賬審計。

另外一個層面是企業對于客戶也涉及到身份的統一管理,像客戶提供一體化的數字服務的體驗。還包括數字化平台上身份的可信認證、互信能力的共享等等。身份安全體系也是企業進行數字化轉型過程中不可或缺的重要部分,尤其是隨著5G的到來,萬物互聯的時代,除了人之外更多的還有各種設備、各種終端,他們都會在5G裏賦予他的身份,所以網絡身份管理變的更加複雜、重要。

回顧2018年,包括病毒、勒索軟件、電子郵件攻擊居高不下,2019年我們分析來看雲化業務面對更多的風險,網絡安全不斷升級,人工智能技術被用于高度的有認證性的網絡攻擊,數據安全和隱私保護將成爲重要的問題,所以說我們在進行研究的時候要研究黑客的心理,要從攻防的角度看問題。我們也推出了我們的戰略就是采用NDR、MDR以、EDR等安全工具,打造不同場景下的技術方案,協助用戶全面提升全方位的主動防禦的能力。

大家現在都談態勢感知,也叫安全大腦,也是一步步發生著升級,關于業務監管可量化實時進行預警、通報、應急響應、快速初治,大數據智能溯源以及集中的統一管控,集中統一管控可以體現在很多方面,比如說我們提到態勢感知和安全大腦,通過十秒可以掌控全局的風險,還有就是一鍵封堵,遇到威脅的時候可以一鍵封堵,防止病毒的侵害。就安全大腦來講包括安全的大數據平台和很多能力,比如說安全的監測、分析、響應、資産的管理、運營處置、合規等等等等,通過頂層聚合能力實現最大化的安全價值、統一管理與分析。

以策略聯動爲關鍵提升安全事件的智能響應效率,我這裏提一個新木桶理論,大家可能也知道,對于一個木桶水可以放進去多少,它取決于幾個方面,一是木桶最短的木板和木板之間是不是很緊密,有沒有縫隙,還有就是它的桶底是不是可靠。對應新木桶理論,在網絡安全體系中實現的是産品和技術要做到精密的編排和聯動,使産品和系統之間可以非常的緊密配合,堵上傳統安全防禦上的漏洞。

在一個網絡中通過終端、網絡端去發現威脅,然後進行自動化的分析,並且把分析的結果可以及時的反饋給各個系統,形成各個系統協同處理威脅、風險,所以它是發現生成情報聯動所有終端處理、精密聯動的過程。面對不同的攻擊門派要有不同的響應手段,我們提供標准的預案,專業的調查和取證工具,還有就是安全響應專家的保障,從而應對不斷爆發的高級威脅。

從聚焦防護産品我們可以看到其實也是不斷升級,到聚焦安全策略的自動實施,到聚焦業務的連續性,再到可以具備比較強的預測能力,形成自適應的安全體系,應該說現在響應能力隨著新技術的産生,響應的時間也在縮短。

亞信被譽爲希望中國互聯網的建築師,國內幾大骨幹網都是亞信承接的,也圍繞運營商的網絡實踐了很多年。我們2015年的時候收購了全球最大的獨立安全軟件提供商趨勢科技的中國部分。這些年來我們一直堅持自主創新,吸收引進還有協同創新的技術路線,包括技術+數據、産品+服務、標准+定制的業務發展戰略。可以使我們在幾個核心的網絡安全技術領域裏持續領跑。目前的話我們也是在爲五萬多家政企客戶提供服務。

下面給大家分享幾個案例,這個是非常典型的案例,大家可能都知道克強總理總抓一網通辦的項目,因爲我們的政務服務平台,尤其是存在管理分散、標准不統一,而且大家都有很可的體會,我們每辦一件事情都要重新做一次注冊,而且在各個省之間不能互認,辦各個省業務也要分別注冊,分別做身份的核驗。也就是說每個人在網絡空間有多個身份。國辦牽頭辦了互聯網+政務平台,這裏有一個重要的基礎設施就是國家統一身份認證平台,這個平台和系統就是我們來建的。基于我們現有的國家認證資源貫徹前端可信、後端權威的思路,我們采用了像認證與評劇相隔離等等技術構建安全可信的認證能力。後端我們打通了公安部對于個人信息庫的可信身份平台,包括工商有法人庫,包括人社部有社保庫,我們把所有國家級的身份庫在這個平台上進行了統一,在這個平台上實現權威身份核驗能力。並且我們建立統一身份跨區域的信任身份傳遞,爲各地區、各部門提供了統一的身份認證服務,實現大家希望的一次驗證、全網通辦,這個平台在試運行階段,現在和十五個省部完成了對接,明年應該是完成所有的對接。

其實這個平台對我們保險行業將來也可以做賦能,包括身份核驗能力、信用評估等等的能力賦能。態勢感知和公方演練在去年和今年護網過程中也發揮了積極的作用,我們給很多銀行做了,包括幾大國有銀行和股份制商業銀行和區域銀行。確實我們看到在這裏從銀行客戶來講很受益,但是我們在保險行業實踐的比較少,希望下一部分可以實踐到保險行業。其實對于這個態勢來講不光光是安全方面,可能也會涉及網絡安全和行爲安全、業務安全,其次就是大家關注的數據安全,這方面的態勢感知從信息收集到智能分析、主動響應、策略的下發以及聯動的處置,整個的體系是這樣的。我們也有很多威脅防護的設備,通過這個平台可以把這些設備進行統一的管理和聯動。

最後也感謝保險業朋友們,我們現在也爲四十多家保險公司提供不同的服務,涉及到威脅治理和專項的提升,包括還有整體的保障,我也希望下一步爲更多保險業的朋友提供更好的服務,進行更深入的合作,


pc版

亞信安全副總裁、亞信網絡安全産業技術研究院院長劉東紅:

從實戰出發的網絡安全體系建設

來源:中國保險報網  時間:2019-07-02

記者 蘇潔/整理報道

隨著新技術、新威脅、新場景的出現,網絡安全的定位、對象、需求都在發生著變化,順應變化這方面也增加了很多內容,包括集中管控、溯源取證、個人信息保護等等。這些都體現了很核心的一點就是從實戰出發的原則。

以前網絡安全更多是進行單點防護,分類的安全産品相對有一定的孤立性,目前來考慮的更多是整個聯動、整個體系化的防護,這也是大家看到很大的改變。隨著“雲大物移”和區塊鏈、人工智能等新技術的出現,網絡安全建設也要對應改變,網絡安全新技術層出不窮,不僅僅是說以前大家熟悉的安全技術,而且更多要不斷采納新的技術。

關于網絡安全體系建設,這也是基于亞信的實踐,我認爲網絡安全體系建設中的一些核心的要點有幾方面:第一,以身份管理爲基礎構建有序的網絡空間信任體系;第二,以攻防實戰爲視角提升全方位的主動防禦能力;第三,以集中管控爲核心,構建自動化和安全事件響應能力;第四,以策略聯動爲關鍵,借由跨設備關聯分析提升響應效率;最後,落到從實戰出發建設自適應的安全體系。

亞信安全副總裁、亞信網絡安全産業技術研究院院長 劉東紅

以下是文字實錄:

尊敬的朱書記、江局長、吳董事長、邵總、各位領導和專家,很榮幸參加本次保險業的信息化高峰論壇,我在這裏和大家探討一下從實戰出發的網絡安全體系。分享一下網絡安全等級保護2.0帶來的轉變以及關于網絡安全體系建設的幾個關鍵和行業最佳實踐。

隨著新技術、新威脅、新場景的出現網絡安全的定位、對象、需求都在發生著變化,順應變化等保2.0增加了很多內容,包括集中管控、溯源取證、個人信息保護等等,也優化了安全審計、網絡邊界的安全,包括資源控制、防控制等等要求和內容,也強化了主動防禦、安全可信、動態感知、全面審計、應急保障等內容。體現了很核心的一點就是從實戰出發的原則。

一方面反觀黑客的心理進行精准防護,另外一方面根據企業個性化的實際需求進行策略遵從、策略驅動。通過威脅情報取得關鍵和基礎的作用,建立安全的技術體系和管理體系,構建具備相應等級保護安全能力的網絡安全綜合防禦體系。

從建設者的角度來講我看到了在他們身上目前正在發生的變化,我大概總結了五點,第一個就是從低投入向高投入轉變大家知道網絡安全在信息化投入占比非常小,在前幾年來講通常在1%-5%之間。前一段時間網信辦也組織網絡安全投入在信息化投入到底該占多少,當時我們討論覺得應該不低于10%,有關單位也准備出台一些要求,比如說設定一個投入的底線。

以前網絡安全更多是進行單點防護,分類的安全産品相對有一定的孤立性,目前來考慮的更多是整個聯動、整個體系化的防護,這也是大家看到很大的改變。

隨著雲大物移和區塊鏈、人工智能等等新技術的出現,其實網絡安全也要對應改變它的方法和方式,所以網絡安全新技術不斷的層出不窮,不僅僅是說以前大家熟悉的安全技術,而且更多要不斷采納新的技術,以前大家都覺得數據是不是采集的越多越好?現在我們也看到目前對于信息的采集這塊兒來講更注意他的有效性和精准性,進行有效的收集,網絡安全在企業裏都是成本中心,如果說不出事或者出事大家對他們的看法是他們並不是能産生效益的,現在很多領導觀念也發生轉變,他們認爲安全可以給他們的業務帶來效益。所以說大家從安全作爲一個投入的成本中心,目前也在不斷轉變,認爲他其實是安全的運營中心。

下面談幾點關于網絡安全體系建設的幾個觀點,這也是基于我們亞信的實踐以及我們看到網絡安全體系建設中的一些核心的要點。第一以身份管理爲基礎構建有序的網絡空間信任體系。第二以攻防實戰爲視角提升全方位的主動防禦能力。第三以集中管控爲核心,構建自動化和安全事件響應能力。第四以策略聯動爲關鍵,借由跨設備關聯分析提升響應效率。最後落到從實戰出發建設自適應的安全體系。

下面展開分享這幾點內容,在網絡空間和在物理空間一樣,人和物其實都賦予它網絡空間的身份,並且的話是可以驗證、監管和追溯,這是構建網絡空間信任體系的基礎。如果沒有一個可信的網絡身份,大家可想而知網絡世界將一片混亂。在身份的安全來講我們其實看到它包括好幾個層面,在企業內部它涉及到企業身份的統一管理,大家比較熟悉4A,大家都會在企業內部建立4A,認證授權、記賬審計。

另外一個層面是企業對于客戶也涉及到身份的統一管理,像客戶提供一體化的數字服務的體驗。還包括數字化平台上身份的可信認證、互信能力的共享等等。身份安全體系也是企業進行數字化轉型過程中不可或缺的重要部分,尤其是隨著5G的到來,萬物互聯的時代,除了人之外更多的還有各種設備、各種終端,他們都會在5G裏賦予他的身份,所以網絡身份管理變的更加複雜、重要。

回顧2018年,包括病毒、勒索軟件、電子郵件攻擊居高不下,2019年我們分析來看雲化業務面對更多的風險,網絡安全不斷升級,人工智能技術被用于高度的有認證性的網絡攻擊,數據安全和隱私保護將成爲重要的問題,所以說我們在進行研究的時候要研究黑客的心理,要從攻防的角度看問題。我們也推出了我們的戰略就是采用NDR、MDR以、EDR等安全工具,打造不同場景下的技術方案,協助用戶全面提升全方位的主動防禦的能力。

大家現在都談態勢感知,也叫安全大腦,也是一步步發生著升級,關于業務監管可量化實時進行預警、通報、應急響應、快速初治,大數據智能溯源以及集中的統一管控,集中統一管控可以體現在很多方面,比如說我們提到態勢感知和安全大腦,通過十秒可以掌控全局的風險,還有就是一鍵封堵,遇到威脅的時候可以一鍵封堵,防止病毒的侵害。就安全大腦來講包括安全的大數據平台和很多能力,比如說安全的監測、分析、響應、資産的管理、運營處置、合規等等等等,通過頂層聚合能力實現最大化的安全價值、統一管理與分析。

以策略聯動爲關鍵提升安全事件的智能響應效率,我這裏提一個新木桶理論,大家可能也知道,對于一個木桶水可以放進去多少,它取決于幾個方面,一是木桶最短的木板和木板之間是不是很緊密,有沒有縫隙,還有就是它的桶底是不是可靠。對應新木桶理論,在網絡安全體系中實現的是産品和技術要做到精密的編排和聯動,使産品和系統之間可以非常的緊密配合,堵上傳統安全防禦上的漏洞。

在一個網絡中通過終端、網絡端去發現威脅,然後進行自動化的分析,並且把分析的結果可以及時的反饋給各個系統,形成各個系統協同處理威脅、風險,所以它是發現生成情報聯動所有終端處理、精密聯動的過程。面對不同的攻擊門派要有不同的響應手段,我們提供標准的預案,專業的調查和取證工具,還有就是安全響應專家的保障,從而應對不斷爆發的高級威脅。

從聚焦防護産品我們可以看到其實也是不斷升級,到聚焦安全策略的自動實施,到聚焦業務的連續性,再到可以具備比較強的預測能力,形成自適應的安全體系,應該說現在響應能力隨著新技術的産生,響應的時間也在縮短。

亞信被譽爲希望中國互聯網的建築師,國內幾大骨幹網都是亞信承接的,也圍繞運營商的網絡實踐了很多年。我們2015年的時候收購了全球最大的獨立安全軟件提供商趨勢科技的中國部分。這些年來我們一直堅持自主創新,吸收引進還有協同創新的技術路線,包括技術+數據、産品+服務、標准+定制的業務發展戰略。可以使我們在幾個核心的網絡安全技術領域裏持續領跑。目前的話我們也是在爲五萬多家政企客戶提供服務。

下面給大家分享幾個案例,這個是非常典型的案例,大家可能都知道克強總理總抓一網通辦的項目,因爲我們的政務服務平台,尤其是存在管理分散、標准不統一,而且大家都有很可的體會,我們每辦一件事情都要重新做一次注冊,而且在各個省之間不能互認,辦各個省業務也要分別注冊,分別做身份的核驗。也就是說每個人在網絡空間有多個身份。國辦牽頭辦了互聯網+政務平台,這裏有一個重要的基礎設施就是國家統一身份認證平台,這個平台和系統就是我們來建的。基于我們現有的國家認證資源貫徹前端可信、後端權威的思路,我們采用了像認證與評劇相隔離等等技術構建安全可信的認證能力。後端我們打通了公安部對于個人信息庫的可信身份平台,包括工商有法人庫,包括人社部有社保庫,我們把所有國家級的身份庫在這個平台上進行了統一,在這個平台上實現權威身份核驗能力。並且我們建立統一身份跨區域的信任身份傳遞,爲各地區、各部門提供了統一的身份認證服務,實現大家希望的一次驗證、全網通辦,這個平台在試運行階段,現在和十五個省部完成了對接,明年應該是完成所有的對接。

其實這個平台對我們保險行業將來也可以做賦能,包括身份核驗能力、信用評估等等的能力賦能。態勢感知和公方演練在去年和今年護網過程中也發揮了積極的作用,我們給很多銀行做了,包括幾大國有銀行和股份制商業銀行和區域銀行。確實我們看到在這裏從銀行客戶來講很受益,但是我們在保險行業實踐的比較少,希望下一部分可以實踐到保險行業。其實對于這個態勢來講不光光是安全方面,可能也會涉及網絡安全和行爲安全、業務安全,其次就是大家關注的數據安全,這方面的態勢感知從信息收集到智能分析、主動響應、策略的下發以及聯動的處置,整個的體系是這樣的。我們也有很多威脅防護的設備,通過這個平台可以把這些設備進行統一的管理和聯動。

最後也感謝保險業朋友們,我們現在也爲四十多家保險公司提供不同的服務,涉及到威脅治理和專項的提升,包括還有整體的保障,我也希望下一步爲更多保險業的朋友提供更好的服務,進行更深入的合作,

未經許可 不得轉載 Copyright© 2000-2019
中國保險報 All Rights Reserved