唐钰婷

关注智慧城市&黑科技+,微信Tang17328392494,邮箱tangyuting@iyiou.com

151

文章/篇

135.8万

阅读/次

拜访信息

为了给您提供更快更好的服务,在获取作者联系方式前,想对您有个简单了解. 邀请您填写如下信息

提交成功

非常感谢您的配合,我们的作者会尽快通过您的微信,
请耐心等待~

微信号

15701235851

都说网络安全很重要,但究竟怎么做才是“平安”之道

综合科技智慧城管
亿欧
唐钰婷
2019-07-31 · 17:34
[ 亿欧导读 ] 网络安全现在普遍的囧境是说起来重要,做起来次要,忙起来不要,一旦问起责来就逃之夭夭。对企业而言,到底要怎么做,才能切实保障网络安全?
网络安全 GDPR 互联网,网络安全,平安,人工智能,生态,国家安全 图片来自“东方IC”

没有网络安全就没有国家安全。”2018年习近平在全国网络安全和信息化工作会议上发表讲话时这样说道。

网络安全的重要性不言而喻,但要如何落实好网络安全保障,却没有一个标准答案,也没有一个衡量的标准。

网络安全现在普遍的囧境是说起来重要,做起来次要,忙起来不要,一旦问起责来就逃之夭夭。”李洋打趣地说道。

李洋,硕士毕业于国防科大、博士毕业于中科院,从2001年就开始研究安全相关课题。现任平安集团首席信息安全运营官,平安金融安全研究院执行院长。他是业界知名的网络安全与信息化专家,专家头衔包括大数据协同安全技术国家工程实验室-金融行业安全研究中心执行主任、行业千人计划专家、中国网络空间安全人才教育联盟常务理事……

在2017年来到平安以前,李洋先后在运营商、金融、制造业、互联网等行业工作出任CIO和CSO等高管要职,负责企业信息化以及安全的相关工作。

在近20年的网络安全与信息化工作中,李洋总结出了保障网络安全的两个关键词——“业务”“科技”。

△李洋

安全就像下棋,是一场博弈

安全应该是面向业务的安全。”李洋说。网络安全是一项“伴生技术”,无法独立存在,必须要有具体业务诉求,才能有用武之地。

但具体要如何才能满足行业业务的需求呢?李洋给出的答案是:“重运营。”

以金融行业为例,最普遍的保障安全的方法,就是做到合法合规,另外企业还会购买相关安全设备。这样的方式确实能在一定程度上保障安全,起到“打预防针”的作用,但却十分机械,而且更多地只能在事后的响应处理上发挥作用。

安全,强调的应该是对抗性,就像下棋一样,它是一个博弈,要根据对手的落子,来制定战术。”李洋说,虽然“打预防针”能解决一部分的问题,但更重要的,是需要把安全的事前预防、事中对抗和事后相响应处理有机结合、联动,要实现这一目标,就需要做好安全运营。

实际上,“安全运营”的概念并非李洋首创,李洋告诉亿欧,这个概念最早由CNCERT提出,“我是在慢慢将国家安全的概念,在企业里面深化。”

李洋来到平安后,成立了三个部门:集团信息安全运营部专家服务部平安金融安全研究院。其中,信息安全运营部就是承担运营的工作。安全运营部将平安集团所有业务单元都接入到了应急响应体系中,未来还将通过可视化大屏,实时反应各业务单元的安全状况,其作用就像军队的作战指挥中心一样。

安全要强调与业务之间的联动,安全运营部解决了“联动”的问题,但却无法解决不同业务“个性化”的需求。平安集团旗下业务众多,不仅有金融保险,还有汽车、房产、智慧城市等,不同的业务对安全的要求不同,解决方式也有差异,李洋牵头创立的第二个部门——专家服务部就发挥了作用。

“运营部提供的是共享服务,有点像网络服务器,专家服务部是做量体裁衣的工作。”李洋说,安全运营和专家服务相结合,才称得上是一套完整的服务。

如果说安全运营和专家服务是为平安集团的安全“赋能”,而“要’赋能’,首先还得’蓄能’”,平安金融安全研究院就是一个“蓄能池”。

李洋说,平安再大也只是一个企业节点,只是在整个社会生态产业链条上的其中一环,如果要更好地把保障安全的能力聚集起来,就需要多方参与,“所以我们适时提出了’政产学研金介用’结合的概念。”

“政产学研”并不难理解,但什么是“金、介、用”?李洋介绍道,“金”是指金融行业,也是平安的主业;“介”是中介、协会,通过这些第三方机构,不仅能够进一步拓宽交流圈子,也能更好地吸纳人才;“用”是指用户,用户分集团内的用户和集团外的用户,内部的用户就是各个子公司,外部用户是C端用户,比如手机银行的用户,“安全要让大家有感知,才能增加用户的信任感,以及对我们的粘合度。”李洋说。

科技、安全、生态,驱动业务发展

2017年,卡巴斯基实验室和B2B International调查报告指出,全球有40%的企业存在员工隐藏IT安全事故的情况,每年有46%的IT安全事故是由企业员工造成的。既然是不少安全事故都是人为造成的,那是否意味着,网络安全的保障,关键还是在制定规则,更好地约束人的行为?

李洋认为,规范人的行为的确很重要,但无论规则如何完备,但人总有粗心大意的时候。此外,现在人工智能等技术正在渗透各行各业,而AI基础框架和算法本身也存在漏洞和缺陷,这也为安全带来新的挑战。

技术带来的问题,还需要用技术来解决,因此安全的保障,也离不开科技的手段。“从我这么多年从事信息化和网络安全的从业经验来说,其实就是突出六个字——科技、安全、生态。”李洋说。真正的科技和安全应该是通过生态更好地驱动业务发展,让企业、社会、老百姓切实感受和体验到科技、安全、生态带来的益处。

李洋认为,科技和网络安全发展到现阶段,要做到“系统防入侵、数据防泄漏、业务防风险”,就需要搭建一个完善的、能够面向业务的安全保障系统。这个系统不仅能让安全变得可视化、可评估,还能通过分析数据,给出相应的预测和方案。

据了解,平安现在正在打造的“智能安全运营中心”就具备这样的态势感知功能。今年,平安金融安全研究院联合大数据协同安全技术国家工程实验室、中国信通院,发布《网络安全态势感知技术及应用发展蓝皮书》(下称蓝皮书),通过收集、整理全球范围内的网络空间态势感知发展情况,展示了态势感知技术及发展的全貌。

根据蓝皮书,网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。具体而言,态势感知平台对风险预测的结果,可以为传统安全设备提供防御指导,为其提供风险预警,提前规划和制订安全措施应对即将到来的攻击威胁;并且能够与威胁情报平台进行融合,从而提升风险研判的准确性;此外还打造了一个统一支撑安全运营的平台,改变以往多套平台、多套系统林立的局面,提升运营效率

网络安全,企业究竟该如何做?

虽然科技对安全建设很重要,但李洋承认,现在安全平台的建设还不能跟上技术发展的脚步。

一方面,现在的不少攻防工具还是基于“黑客”或“白帽”的经验打造的,难以标准化,不能标准化就难以大规模复制,批量化生产。

另一方面,安全有很强的时效性,对技术的要求也很高。李洋举例说道,就好比一场足球赛,守门员就是守卫安全的角色,球员在90分钟内能不断发起进攻,但守门员是否能挡住球,就在一瞬间,如果无法马上响应,就会出现安全事故。

“数据中心可以慢慢建,但攻击来了不可能慢慢去处理,这种不确定性和对应对时效的高要求,是目前科技不能在安全很好地落地的一大原因。”李洋说。

但不可否认的是,未来安全一定需要科技的手段去守护,而且在万物互联的时代,任意一个小节点出了问题,都会对整个系统造成影响,只有用科技的手段,才能更有效地保障安全。

而“保障网络安全”常常是说起来容易,企业要做起来却常常不知如何是好,李洋的建议是,要重视基础建设。一方面,在开发系统和应用的一开始,就要开始考虑安全因素,“要把安全做全流程植入,不能最后再来’补课’,这样不仅需要付出更高的代价,而且效果也不好。”另一方面,要考虑各环节的安全需要,以物联网为例,既要考虑到感知层硬件设备的安全性,也要考虑到边缘计算平台、云端的安全。

科技虽然重要,但李洋告诉亿欧,在他过去近20年从事网信工作的经历中,很多问题的答案不是在技术里面找到的,李洋日常不仅会看网络安全相关的书籍,还会看云计算、金融,甚至人文方面的书。

安全需要综合学科的人才,不仅要懂IT,要懂具体的业务,还要有网络安全的攻防意识。”李洋说,只有具备了这样综合的能力,才能对“安全”有更深层的理解。


相关阅读:

平安科技CTO方国伟:平安云,打造“平安”的云

“巨兽”平安的第四个十年,关键词是智慧生态

平安智能认知宋晨:商业本质发生变化,降维打击最为致命

版权声明

本文来源亿欧,经亿欧授权发布,版权归原作者所有。转载或内容合作请点击转载说明,违规转载法律必究。

各工作岗位将被AI取代的概率

选择岗位,查看结果

制图员和摄影师

87.9%

打赏支持

5
5
10
20
50
80
100
其它金额
任意赏:

参与评论

最新文章

1、 若贵平台是网站或者APP,在进行单篇原创文章转载时,需在文章标题或者导语下方,注明文章来源以及作者名称;若寻求5篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。

【若贵司平台转载亿欧公司原创文章已经超过5篇,请及时与我们联系补签转载合作协议,计算时间以2019年2月10日之后为准】

2、 若贵平台是微信公众号,在进行单篇原创文章转载时,请联系亿欧公司内容运营人员进行单篇文章的白名单开通,同样需要注明文章来源及作者名称;若寻求2篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。可将公司全称(简称)、公司网址、微信公众号、微信或者电话等信息发送至hezuo@iyiou.com,会有工作人员与您取得联系。

关闭

快来扫描二维码,参与话题讨论吧!

快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道
意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部