2018年8月3日，由中国互联网协会互联网金融工作委员会、金融科技创新联盟主办，由金融科技创新联盟金融网络安全专业委员会主任单位国泰君安证券股份有限公司承办的金融科技创新论坛（第八期）暨金融网络安全专业委员会第一次工作会议在上海国泰君安证券股份有限公司总部成功举办。

 

本次会议以“金融网络安全技术与挑战”为主题，国家信息化专家咨询委员会委员、中国人民银行科技司原司长、中国互联网协会互联网金融工作委员会常务副主任、金融科技创新联盟指导委员会主任 陈静出席会议并致辞。

 

以下为李长华发言实录：

 

今天我是学习陈司长，先给大家鞠个躬。我原来也在企业，我负责网络信息安全工作，有相当很痛苦的一个阶段，搞信息安全，又有各种各样的攻击，日子挺难熬的，搞了几年。

 

今天我们看到在会场参会的领导和嘉宾，我觉得搞信息安全都有一个特点，就是人长得都比较结实，比较干练。

 

我们要看搞其他应用开发的人不一样，从外表上就不一样。

 

刚才陈司长在讲到网络安全的时候，今天我们大家看到这个词最早说的网络安全，这个词是网络空间，我们这个世界有一个网络空间存在，而实际上我们实体的世界和网络空间的世界，其实这两个世界是重合在一块的。而且现在重合的力度是越来越大，这样的就是网络空间安全所包含的内容是非常广泛的，不仅包含了信息安全。

 

在讲的过程当中会看到有一页讲，总之不再是仅仅保护信息的问题，它会保护到我们的环境，保护到我们的人，保护我们的系统等等安全都会在里面。

 

所以，我们现在的网络空间安全，大家如果从企业来的，基本都是负责网络空间安全的领导人，你想要的是什么？我们现在看到大家希望来平衡风险和我们这种恢复能力，以及可用性，以及成本之间的平衡。

 

原来我在企业的时候，我们领导给安全提要求，他说我就提一个最低要求，就是别出事。提完这个要求，这是最高的要求，不出事是不可能的，关键是你怎么平衡风险。

 

另外一个就是我们希望对正在发生的事情有更好的、更清晰的认识和观察。

 

另外，我们当然希望有对局面有更多的控制，不过主要控制的还是那些有必要控制的，这是我们现在看到的网络空间安全领导人他们在追求的一些东西。

 

接下来就是网络空间安全最主要的几个趋势，当然这个是从2017年提出来的，到2018年以后的几年都是很适用的几个趋势。

 

第一个是所需要的技能和组织是不断地变化，这是一个。第二个，云的安全对许多组织来说已经成为非常非常重要的事项。第三个，就是我们现在的安全已经不能光关注我们原来说的保护和预防，这个已经是不够的。第四个，我们说应用和数据的安全，现在由一个新的组织在负责，这个组织叫开发运行中心来负责。最后一个是因为数字化带来的生态系统它带来了我们下一代安全的需要，主要是这五个趋势。

 

第一，我们刚刚提到技能和我们的组织在不断地变化，我们看到这一页，我们现在很多安全的技能，我刚才看到了演讲的题目，接下来几位演讲嘉宾的演讲内容当中找了很多相关的东西，比如说基于情景或者背景安全的监控和响应，对数据的分类、数据的治理、内嵌的安全编程，叫嵌入式的安全编程，无所不在的身份和接入管理。

 

另外，安全的意识以及隐私的保护还有行为的观察，高级的网络工程。还有物理安全的自动化、人工智能的安全等等。

 

说到这，我们一边说自动化，一边说人工智能，这两个东西大家说人工智能和自动化到底有什么区别？昨天晚上我跟一个企业的领导在一块聊天，他讲的我觉得非常到位。什么是智能？智能就是可以完成自我学习、自我完善就叫智能。如果不能完成自我学习和自我完善就不是智能，那就是自动化。你说我建立一个规则，写了好多的代码，那个不是。

 

当然，还有一些云的服务，这样一些专业能力。所以，我们看到数字化的生态系统当中，我们有两方面，一个方面是我们适应性的安全架构，这个架构包括对预测、预防、感知和响应。因为我刚刚提到，你不能光去预防，或者光去保护，那是不够的。

 

另外就是一个有效的治理，这部分包括认责，这个责任是谁的，包括风险的管理还有组织人员等等。所以，关于技能和组织方面，我们要做什么、不做什么？我们首先应该关注于业务的产出，这点很重要，因为安全真的是不出事是不可能的，你要看哪些业务最重要，关注这个业务的产出。其实就是做一个增强器。

 

如果我们专注安全运行的时候，我们应该更多考虑自动化和外包这样一些东西。那你应该停止做什么呢？有很多人相信安全只是属于这种临时性的工作，不是全职的，是个兼职的工作。而且安全指数是由安全来负责，这种想法要停止。希望每一个安全工作都有现场的安全人员来负责，这也是要不得，这是两个极端。

 

第二，关于云，云的安全大家都在考虑，我们看看右边云的安全有几个特别重要的几个环节。

 

第一个就是要监控你云的服务商，这很重要。

 

第二个也非常重要，要对你的数据进行自我备份，自己备份自己的数据，这是特别特别关键的。

 

因为你说的安全最基础的数据安全是最关键的，比如系统宕了，只要有系统、有数据完全可以起来，你要是没有数据就完了。

 

另外一个，我们对于残留的一些风险要有一种接受度，这是很关键的。

 

但是这个线你要画得特别的清楚，就是哪些风险我是可以接受的，这个风险带来的影响是谁，带来的收益到底是什么，这个要非常清楚。

 

另外一个，关于数据的拥有者，其实这个事情是很难说清楚的事情，在企业当中还比较容易，企业当中我们说这个数据是业务拥有，我们在跟业务沟通的时候，我们要不光跟他沟通风险，同时你要告诉他这个风险你就要负责。这是我们做的模型，关于云的服务，我们分成不同的等级，我们看到Tier1这种的服务商15家以下，数量很有限。

 

我们可以认为Tier的安全是比较可靠的，它的财务上是比较平稳的。因为有很多云的公司很小，它自己的风险能力就很差。财务风险，比如现在给你提供服务，忽然有一天财务运行不下去了，对你是一个很大的风险。但对于Tier1基本是没有什么问题。

 

但是对于Tier1也有一个要求，你必须安全地使用这个服务，你认为它是安全的，但是你要安全地去使用，这怎么理解呢？就是我们刚才说的，你要对它进行持续的监控，你不能说我把这个东西交给你了你不管了，你的安全团队可以到云服务上去做安全审计。

 

第二个和第三个级别的安全性就会差一些，你都要有一些预期，这个可能是有一定安全问题。

 

所以，关于云的安全，我们自己要开发一个使用云安全的指引，你自己企业内部需要一个安全的指引，我怎么样用这个云？然后我们要有一个模型，关于云决策的模型，去严格地控制云的安全。你不应该做的是什么呢？因为很多人都说我们不用云，因为它不安全。你不要有这样的想法，因为云如果用得好的话，它还是很安全的，所以我们看到关于云的情况是这样的。

 

第三个，我们刚才提到了，就是你不能光按历史上我做保护、我做预防已经不够了，所以我们现在看到有一个叫适应性的安全架构，这个主要是他不断地去演进，比如我们对于安全的情况进行预测，我预测就有预防。但同时还有另外一半，就是不断地检测，检测以后我去响应，现在因为很多的技术，我想接下来有许多的嘉宾们会分享这个技术，我就不详细地讲它。

 

 还有一个，就是我们用高级的安全分析，什么叫高级的分析？我们原来做的BI不是高级分析，那是一般的分析，BI告诉我们发生了什么，它是对于过去的分析。

 

高级分析是可以对未来进行预测，同时它可以给出你应该怎么办。

 

举个例子：先是描述型的，我们发现了一个事实，我们看到一个恶意的软件在一个终端上和它一个控制的服务器进行通讯，然后就分析为什么发生这件事呢？我们就会看到，有一个员工他点了一个邮件的附件，他拷到了U盘上做的拷贝。然后我们就会说这到底是怎么回事？就是预测，其实可能在XYZ上的文件可能要被这个人偷走了，这个人其实不是我们的员工，是有人已经黑进来了。

 

最后我们要做的是什么呢？应该做的就是以开处方型的，我们要把密码重置一下，把邮件从服务器上拿走，不让他弄走，类似这样的一些，这是所谓的高级安全分析。

 

还有一个就是使用用户行为的分析，当然你可以利用网络数据，还有利用网络安全事件的数据，数据库和监控文件的数据，还有机器上监控都可以做不同的行为分析。

 

这一块是讲的关于刚才陈司长也说了，现在的攻击不在少，是不断地增加。现在这个就是一个勒索软件，从这几年来增长速度非常快，这个事情大家还是要特别的重视。

 

还有一部分是关于移动应用，移动手机上这部分安全，现在也是进入到我们安全架构当中。

 

包括身份识别和访问控制管理的能力，现在有了很多新的技术，比如区块链，在云上分析的这样一些技术。

 

这是我们刚才提到的身份管理和身份访问控制管理现在很多新的技术、生物技术、生物识别技术、声音识别、虹膜、指纹、声音、环境、地理位置等等综合性的东西放到一块去做管理。

 

所以，适应性的安全架构这块我们做什么？我们应该把那些防范行为上的钱稍微拿下来一点，放在去探测、响应方面。想当年的秦朝也好、明朝也好修建的万里长城，其实有很多地方是用不到的，你光有长城不行，长城上还要有驻军，驻军要探测发生了什么，要马上响应。

 

再就是对背景敏感的网络、终端、产品的平台，我们要做一些优先的选择，另外我们使用主数据管理的原则，对物的身份我们要进行一种管理。

 

应该停止我们不能像过去一样的头痛医头，脚痛医脚，买一些设备把安全做起来。

 

第四个是应用安全和数据安全，这里边其实涉及到有新的一些组织架构，包括我们在应用安全上，我们会看到，我们把它应用安全的标准化，或者叫外部化，是从我们的应用当中抽取出来，在外部去实现。

 

另外还有自动化的一些安全，在运行过程当中，我们去把风险进行削减。当然在这个过程当中我们会涉及到知识的管理、测试、架构，我们以架构为例，我们做详一点的说明。

 

在架构方面，我们可以创建适应性的架构，你在设计的时候就要想到安全的问题，这是非常重要的。不是说我在做的时候，我想等做好了以后再去考虑安全问题，这就是不对的。

 

用我们可信赖的模式和组件这样的方式去做。在应用安全、应用防护这一个方面，还有很多跟它相关的应用防火墙，还有运行时的应用自我保护的这种功能，还有移动应用的管理等等，跟这些软件之间，他们都是有些工程是互相重叠的关系。

 

这个是我们现在大家可能都熟悉的DevOps历史是分久必合，合久必分，这个人连开发带运行什么都干了，那时候没有专业分工，只有一个人，他只能这么干。

 

后来随着我们IT的发展，就出现了专业分工，有的人是做开发的，有的人是做运维的，还有做安全的。但是，做着做着就发现一个问题，这几个又脱节了，开发和运维的开始脱节了，安全的被摒弃在整个的流程之外，你出来说话，别人还嫌你挺烦的，我原来在企业里是搞网络安全的。

 

现在我们看到各个专业人员现在结合起来了，形成了新的运营模式，叫DevSecOps开发安全运营，这是一套新的流程和管理的方式。

 

刚才说到数据安全治理，我相信今年一年金融机构度这个都特别的重视，我们了解到的情况是这样的。你应该从哪做起呢？右边有一个棕色的不要从这开始，你不要从这部署一大堆设备。

 

买设备加工具很简单，但是这东西不一定管用。还是要平衡你的业务需要和风险、威胁以及合规之间的关系，这个很重要，这实际是一个战略的问题，首先你要确定一个战略，然后第二点是我们对我们所有的数据级进行优先级排序，你要排优先，哪些必须怎么样，哪些不是，然后我们定义规则和策略，第四才涉及到我们完成整个的技术架构，我们把技术打造起来。最后，我们把整个策略和实际的运行结合起来这样一个过程，所以这是关于数据安全治理的一个模型。

 

关于数据安全和应用安全，我们说你应该做点什么。我们要做一个管理的方案，这是第一个。第二个，我们能够完善一个数据为核心的审计和保护战略，以数据为中心。第三个，接下来你应该停止做的就是我们把开发和运行分开，把这两个部门分得干干净净、清清楚楚地独立来看。另外关于数据安全的产品也是，不是说我们买一些零星的产品放到这就搞定了，这不是我们推荐要做的。

 

最后，这是一个更大的，就是关于数字化到底带来的变化是什么。我们看到这一页很重要，我们左边这部分是我们原来搞信息安全的人特别熟悉的东西，保密性、完整性、可用性，三个性，这个大家肯定都知道。再看右边，人、环境。所以右边包含了我们网络安全环境当中有人的安全，也有环境的安全。欧洲刚刚出GDPR，通用的数据安全保护，其中涉及隐私的部分，像脸书动不动就被欧洲罚多少多少亿美金。

 

第二类的安全，我们看到这个Safety就涉及到物理的安全，最后一个是可靠性，你要整个系统可靠。我们用两个东西，一个信任，如何建立一个信任的环境。第二个，我们要有恢复能力，Reliability，指的是恢复能力，正常人被打了一下，肌肉是先收缩回去，然后再弹回来，这种恢复的能力。所以，这是我们整个的关于网络空间安全的模型。

 

我们看到现在中间部分讲的是我们现在真正的网络空间熟悉到企业的应用，下面的是IOT、物联网，然后再往外就是我们整个生态圈当中的云、移动应用，还有现场制造的一些合作伙伴等等。

 

但是在不同的层次当中，风险是不一样的，我们右边显示各种各样的风险，我们今天时间有限，就不把风险展开来讲。

 

另外一个就会涉及跟数据相关的，我们看到在整个的数据安全当中，我们安全体现在哪呢？我们会看到下边叫数据分析治理，有一个小的红色的框，在那块。

 

这块数据的守护，谁对这个数据负责，然后设计安全、隐私、数据的保留、质量等等的这部分是跟安全密切相关的。这是未来关于隐私保护，其实隐私保护在西方非常重要，中国也很重视。大家知道，中国刑法里对这事有明文规定，隐私数据被泄露，造成重大后果的，那是直接入刑的。

 

未来我们会看到一种叫把隐私保护起来的数据，我这个数据隐私保护起来，其实这部分东西是不能用的，你不能拿它做分析。但是右边下面这部分数据你可以用来非常安全分析的数据，这是将来数据的架构。

 

我刚才把这五个趋势都跟大家讲了，最后讲讲这些趋势对大家意味着什么。

 

第一个，你不可能搞定所有的事，这是非常重要的，也不要有这样一个希望。首先把那些最重要的事情要搞定，这是非常重要的。

 

第二个，你不可能所有的资产都特别安全。

 

第三个，你也不可能了解到你所有的资产安全的情况，安全水平是什么。所以，你也不可能知道你所有的合作伙伴他的安全层次是什么。但是，总之你要有一个优先级，把你最关键的东西识别出去，保护了最关键的东西，这是给大家的一些建议。

 

最后是一些研究报告，谢谢大家，我就分享这些。