223
CSS2017中國互聯網安全領袖峰會:新秩序下的安全之道
2017年8月15日,以“安全新秩序、連接新機遇”主題的2017CSS中國互聯網安全領袖峰會在北京國家會議中心正式舉行。大會圍繞大數據及雲安全、安全法治治理、網絡空間威脅態勢感知、基礎設施安全領袖、人工智能與安全倫理、智能硬件與物聯網安全、金融安全、騰訊安全探索等論壇展開,探討全新環境和形勢下網絡安全的新秩序構建、安全連接數字經濟的新發展機遇。
在今日上午的圓桌論壇上,財訊傳媒集團首席戰略官段永朝、騰訊公司副總裁丁珂、VISA公司副董事長兼首席風險官Ellen Richey、中國聯通信息化部總經理孫世臻、國家電網公司信息通信部主任王繼業,以及中國信息安全評測中心總工程師王軍,就“新秩序下的安全之道”這一話題進行了深入的交流探討。
從以上演講嘉賓的整容,我們可以看出,圓桌論壇匯集了互聯網、金融、通信以及電力幾個關係國計民生的行業。這四大領域存在哪些安全挑戰和威脅?這幾家行業代表采取了哪些安全措施呢?下麵讓我們一起來看一看。
2017年6月1日,《網絡安全法》落地實施,這是我國首部網絡安全相關立法。網絡安全法》的實施,既是國家網絡治理從量變到質變的裏程碑事件,也是依法治國、依法治網的標誌性事件,有利於在網絡空間和通過網絡空間實現國家治理體係和治理能力現代化。
在《網絡安全法》背景下,網絡安全領域、信息安全領域到底麵臨哪些重要的挑戰和威脅?
丁珂表示,網絡安全法實施後,在三個方麵發生了變化:
首先,用戶的隱私正式提到議事日程上來。作為用戶對隱私的感知都不是很強烈,我們做產品時能感覺到這塊很敏感,但是不會特別費心思。這次從法律高度,把它們明確界定出來,這是一個價值所在。
其次,是企業責任問題。互聯網已經影響到人們生活的方方麵麵,敏感信息不是隻在一家企業裏麵流轉,可能在多家的企業產生。這就要求企業保護用戶的信息安全。
第三,在有法可依和製度保障上,《網絡安全法》給大家的長期合作有一個指導性意義。所以相信,隨著這部法律的深化和執行,我們在未來會有更多的收獲和驚喜。
◆互聯網安全
麵對安全新秩序下的挑戰,丁柯表示,一方麵,騰訊是互聯網背景出身,從公司成立之初到現在,騰訊就意識到安全的重要性。“網絡帶來方便的同時,也帶來了風險,一旦網絡失控可能帶來巨大的危害。因此,我們在成長過程中一直把安全放到發展的前置部分。要想讓一件事情健康發展,必須之前先考慮如何界定它的邊界。多年的經驗和習慣一直驅動我們技術創新,在安全人才儲備、安全技術能力、安全大數據方麵我們已經有了深厚的積累,我們非常願意在實際的新問題上分享給大家。”
另一方麵,在開放與合作領域裏,騰訊與公安、政府、金融機構和運營商等多個領域的多家企業,在欺詐預防等方麵達成了良好合作。“未來,我們會深化整個全鏈條,以技術為驅動、以產業融合為己任,貢獻基礎建設,也不斷去影響用戶安全意識。”
◆金融安全
在日益嚴峻的安全威脅形勢下,作為全球最大的網絡支付企業,Visa是如何保障廣大用戶的權益的?采取了哪些安全措施?
Ellen Richey表示,在消費者保護方麵,Visa有“零責任”政策,即消費者使用Visa的支付係統,就會受到相關的保護。從技術層麵來說,隨著移動互聯網和物聯網的快速發展,數據脫敏變得非常重要。我們需要建立很好的保護策略和方案,並對自身設備進行全網監測,預測犯罪行為,先行一步發現威脅,然後阻止威脅。此外,為了更好的對抗威脅,Visa選擇與製造商、研究機構等夥伴合作,避免潛在的網絡攻擊。
◆通信安全
近兩年,隨著技術的不斷演進,針對電信基礎運營商的網絡攻擊不斷在變化或者升級,常見的威脅有:DDoS攻擊,流量截取等。尤其在黑色產業鏈利益的驅使下,利用網絡漏洞等手段竊取數據信息的攻擊也在不斷的上升。
針對這些攻擊,作為聯通是怎樣做的呢?孫世臻表示,聯通十分重視這些攻擊的防禦問題,主要實施了三個方麵的安全措施:
第一,對攻擊做好跟蹤預警。實時關注國內外的網絡信息安全動態,然後及時做出一些預警的反應。
第二,不斷完善防護手段。作為電信運營商,聯通高度重視技術創新,在持續加大研發投入的同時,也與互聯網安全企業緊密合作,及時使用業內最新的安全成果,不斷地豐富和完善防護的手段和能力。
第三,建立完善的應急處理機製和體係。“我們集團總部、省公司、地市公司三級安全團隊,構建了7×24小時的應急體係。一旦出現問題,我們在這麼短的時間,按照預案來啟動應急處理,盡最大的努力把風險和損害降到最低。”此外,根據形勢的變化、條件的變化,聯通不斷地完善製度體係,主要涵蓋了建設、運營和用戶數據的保護等。
“尤其在《網絡安全法》頒布之後,通過這些製度體係進行了全麵的修訂,來適應新的監管環境的要求,做好我們的防護。” 孫世臻說。
◆電網安全
電網安全關係公共安全和國計民生,任何時候、任何情況下都不能有絲毫放鬆和懈怠。作為國家電網公司信息通信部主任,王繼業說:“作為一個信息基礎設施,和互聯網安全最大的不同,就是對於電力監控係統這麼一個實時運行的係統,一旦發生被入侵或者管理員帳號被控製的話,有可能引發大麵積的停電事故,對於現代社會來講,這是不可忍受的。”
電力係統是通過一係列控製係統所組成的,以確保大電網連到一起之後,能夠實時地實現生產和消費實時的平衡,即負荷有多少,生產端就要生產多少。在電網的安全防護上,中國電力係統也實行的物理隔離,雖然實行物理隔離,總書記提到:“物理隔離也可以被跨網入侵”,它也不是萬能的。
王繼業認為:“在網絡安全防護中,第一,注重體係的防護。即從技術體係上、架構上,進行防範;第二,要強化管理。因為任何物理係統都是由人來控製的,如果人員在係統運行中的行為受到一些不正常影響的話,也有可能造成監控係統被入侵;第三,是技術防護。從技術上要建立一整套完整的防禦體係,包括技術監測體係、及時的感知係統,出現問題及時隔離、及時消除故障。”
寫在最後
3年前,騰訊跟合作方一起發起了中國互聯網安全領袖峰會,提出了很多協作方麵的考慮。至今CSS大會已經舉辦了三屆,在新的《網絡安全法》大背景下,騰訊與合作夥伴未來還有哪些新的設想和打算呢?
對此,丁柯表示:“我們非常驚喜地看到整個行業在安全領域,不管是民眾意識,還是企業合作上都有一些質的改善。未來,騰訊期望:第一,在人才體係培養上有進一步深化的投入與合作。中國網絡安全人才缺口非常大,所以我們想後期在產業融合方麵有進一步貢獻。第二,整體安全防護的體係化規劃上,中國規範性、前瞻計劃性和總體投入度上,相比一些領先國家存在很大差距,大概隻有其他這些國家的20%-30%。因此,我們希望與更多有責任的企業和行業共同把規劃和建設投入力度加大。第三,在大數據和技術核心能力合作上,我們將堅持共享和開放,期待在更多的新案例、新領域裏紮紮實實解決問題,看到效果。”
本文作者:杜美潔
來源:51CTO
最後更新:2017-11-03 15:35:00