2017年8月15日,以“安全新秩序、連接配接新機遇”主題的2017CSS中國網際網路安全領袖峰會在北京國家會議中心正式舉行。大會圍繞大資料及雲安全、安全法治治理、網絡空間威脅态勢感覺、基礎設施安全領袖、人工智能與安全倫理、智能硬體與物聯網安全、金融安全、騰訊安全探索等論壇展開,探讨全新環境和形勢下網絡安全的新秩序建構、安全連接配接數字經濟的新發展機遇。
在今日上午的圓桌論壇上,财訊傳媒集團首席戰略官段永朝、騰訊公司副總裁丁珂、VISA公司副董事長兼首席風險官Ellen
Richey、中國聯通資訊化部總經理孫世臻、國家電網公司資訊通信部主任王繼業,以及中國資訊安全評測中心總工程師王軍,就“新秩序下的安全之道”這一話題進行了深入的交流探讨。
從以上演講嘉賓的整容,我們可以看出,圓桌論壇彙集了網際網路、金融、通信以及電力幾個關系國計民生的行業。這四大領域存在哪些安全挑戰和威脅?這幾家行業代表采取了哪些安全措施呢?下面讓我們一起來看一看。
2017年6月1日,《網絡安全法》落地實施,這是我國首部網絡安全相關立法。網絡安全法》的實施,既是國家網絡治理從量變到質變的裡程碑事件,也是依法治國、依法治網的标志性事件,有利于在網絡空間和通過網絡空間實作國家治理體系和治理能力現代化。
在《網絡安全法》背景下,網絡安全領域、資訊安全領域到底面臨哪些重要的挑戰和威脅?
丁珂表示,網絡安全法實施後,在三個方面發生了變化:
首先,使用者的隐私正式提到議事日程上來。作為使用者對隐私的感覺都不是很強烈,我們做産品時能感覺到這塊很敏感,但是不會特别費心思。這次從法律高度,把它們明确界定出來,這是一個價值所在。
其次,是企業責任問題。網際網路已經影響到人們生活的方方面面,敏感資訊不是隻在一家企業裡面流轉,可能在多家的企業産生。這就要求企業保護使用者的資訊安全。
第三,在有法可依和制度保障上,《網絡安全法》給大家的長期合作有一個指導性意義。是以相信,随着這部法律的深化和執行,我們在未來會有更多的收獲和驚喜。
◆網際網路安全
面對安全新秩序下的挑戰,丁柯表示,一方面,騰訊是網際網路背景出身,從公司成立之初到現在,騰訊就意識到安全的重要性。“網絡帶來友善的同時,也帶來了風險,一旦網絡失控可能帶來巨大的危害。是以,我們在成長過程中一直把安全放到發展的前置部分。要想讓一件事情健康發展,必須之前先考慮如何界定它的邊界。多年的經驗和習慣一直驅動我們技術創新,在安全人才儲備、安全技術能力、安全大資料方面我們已經有了深厚的積累,我們非常願意在實際的新問題上分享給大家。”
另一方面,在開放與合作領域裡,騰訊與公安、政府、金融機構和營運商等多個領域的多家企業,在欺詐預防等方面達成了良好合作。“未來,我們會深化整個全鍊條,以技術為驅動、以産業融合為己任,貢獻基礎建設,也不斷去影響使用者安全意識。”
◆金融安全
在日益嚴峻的安全威脅形勢下,作為全球最大的網絡支付企業,Visa是如何保障廣大使用者的權益的?采取了哪些安全措施?
Ellen
Richey表示,在消費者保護方面,Visa有“零責任”政策,即消費者使用Visa的支付系統,就會受到相關的保護。從技術層面來說,随着移動網際網路和物聯網的快速發展,資料脫敏變得非常重要。我們需要建立很好的保護政策和方案,并對自身裝置進行全網監測,預測犯罪行為,先行一步發現威脅,然後阻止威脅。此外,為了更好的對抗威脅,Visa選擇與制造商、研究機構等夥伴合作,避免潛在的網絡攻擊。
◆通信安全
近兩年,随着技術的不斷演進,針對電信基礎營運商的網絡攻擊不斷在變化或者更新,常見的威脅有:DDoS攻擊,流量截取等。尤其在黑色産業鍊利益的驅使下,利用網絡漏洞等手段竊取資料資訊的攻擊也在不斷的上升。
針對這些攻擊,作為聯通是怎樣做的呢?孫世臻表示,聯通十分重視這些攻擊的防禦問題,主要實施了三個方面的安全措施:
第一,對攻擊做好跟蹤預警。實時關注國内外的網絡資訊安全動态,然後及時做出一些預警的反應。
第二,不斷完善防護手段。作為電信營運商,聯通高度重視技術創新,在持續加大研發投入的同時,也與網際網路安全企業緊密合作,及時使用業内最新的安全成果,不斷地豐富和完善防護的手段和能力。
第三,建立完善的應急處理機制和體系。“我們集團總部、省公司、地市公司三級安全團隊,建構了7×24小時的應急體系。一旦出現問題,我們在這麼短的時間,按照預案來啟動應急處理,盡最大的努力把風險和損害降到最低。”此外,根據形勢的變化、條件的變化,聯通不斷地完善制度體系,主要涵蓋了建設、營運和使用者資料的保護等。
“尤其在《網絡安全法》頒布之後,通過這些制度體系進行了全面的修訂,來适應新的監管環境的要求,做好我們的防護。” 孫世臻說。
◆電網安全
電網安全關系公共安全和國計民生,任何時候、任何情況下都不能有絲毫放松和懈怠。作為國家電網公司資訊通信部主任,王繼業說:“作為一個資訊基礎設施,和網際網路安全最大的不同,就是對于電力監控系統這麼一個實時運作的系統,一旦發生被入侵或者管理者帳号被控制的話,有可能引發大面積的停電事故,對于現代社會來講,這是不可忍受的。”
電力系統是通過一系列控制系統所組成的,以確定大電網連到一起之後,能夠實時地實作生産和消費實時的平衡,即負荷有多少,生産端就要生産多少。在電網的安全防護上,中國電力系統也實行的實體隔離,雖然實行實體隔離,總書記提到:“實體隔離也可以被跨網入侵”,它也不是萬能的。
王繼業認為:“在網絡安全防護中,第一,注重體系的防護。即從技術體系上、架構上,進行防範;第二,要強化管理。因為任何實體系統都是由人來控制的,如果人員在系統運作中的行為受到一些不正常影響的話,也有可能造成監控系統被入侵;第三,是技術防護。從技術上要建立一整套完整的防禦體系,包括技術監測體系、及時的感覺系統,出現問題及時隔離、及時消除故障。”
寫在最後
3年前,騰訊跟合作方一起發起了中國網際網路安全領袖峰會,提出了很多協作方面的考慮。至今CSS大會已經舉辦了三屆,在新的《網絡安全法》大背景下,騰訊與合作夥伴未來還有哪些新的設想和打算呢?
對此,丁柯表示:“我們非常驚喜地看到整個行業在安全領域,不管是群眾意識,還是企業合作上都有一些質的改善。未來,騰訊期望:第一,在人才體系培養上有進一步深化的投入與合作。中國網絡安全人才缺口非常大,是以我們想後期在産業融合方面有進一步貢獻。第二,整體安全防護的體系化規劃上,中國規範性、前瞻計劃性和總體投入度上,相比一些領先國家存在很大差距,大概隻有其他這些國家的20%-30%。是以,我們希望與更多有責任的企業和行業共同把規劃和建設投入力度加大。第三,在大資料和技術核心能力合作上,我們将堅持共享和開放,期待在更多的新案例、新領域裡紮紮實實解決問題,看到效果。”
本文作者:杜美潔
來源:51CTO