在今日上午的圆桌论坛上,财讯传媒集团首席战略官段永朝、腾讯公司副总裁丁珂、VISA公司副董事长兼首席风险官Ellen Richey、中国联通信息化部总经理孙世臻、国家电网公司信息通信部主任王继业,以及中国信息安全评测中心总工程师王军,就“新秩序下的安全之道”这一话题进行了深入的交流探讨。
从以上演讲嘉宾的整容,我们可以看出,圆桌论坛汇集了互联网、金融、通信以及电力几个关系国计民生的行业。这四大领域存在哪些安全挑战和威胁?这几家行业代表采取了哪些安全措施呢?下面让我们一起来看一看。
2017年6月1日,《网络安全法》落地实施,这是我国首部网络安全相关立法。网络安全法》的实施,既是国家网络治理从量变到质变的里程碑事件,也是依法治国、依法治网的标志性事件,有利于在网络空间和通过网络空间实现国家治理体系和治理能力现代化。
在《网络安全法》背景下,网络安全领域、信息安全领域到底面临哪些重要的挑战和威胁?
丁珂表示,网络安全法实施后,在三个方面发生了变化:
首先,用户的隐私正式提到议事日程上来。作为用户对隐私的感知都不是很强烈,我们做产品时能感觉到这块很敏感,但是不会特别费心思。这次从法律高度,把它们明确界定出来,这是一个价值所在。
其次,是企业责任问题。互联网已经影响到人们生活的方方面面,敏感信息不是只在一家企业里面流转,可能在多家的企业产生。这就要求企业保护用户的信息安全。
第三,在有法可依和制度保障上,《网络安全法》给大家的长期合作有一个指导性意义。所以相信,随着这部法律的深化和执行,我们在未来会有更多的收获和惊喜。
◆互联网安全
面对安全新秩序下的挑战,丁柯表示,一方面,腾讯是互联网背景出身,从公司成立之初到现在,腾讯就意识到安全的重要性。“网络带来方便的同时,也带来了风险,一旦网络失控可能带来巨大的危害。因此,我们在成长过程中一直把安全放到发展的前置部分。要想让一件事情健康发展,必须之前先考虑如何界定它的边界。多年的经验和习惯一直驱动我们技术创新,在安全人才储备、安全技术能力、安全大数据方面我们已经有了深厚的积累,我们非常愿意在实际的新问题上分享给大家。”
另一方面,在开放与合作领域里,腾讯与公安、政府、金融机构和运营商等多个领域的多家企业,在欺诈预防等方面达成了良好合作。“未来,我们会深化整个全链条,以技术为驱动、以产业融合为己任,贡献基础建设,也不断去影响用户安全意识。”
◆金融安全
在日益严峻的安全威胁形势下,作为全球最大的网络支付企业,Visa是如何保障广大用户的权益的?采取了哪些安全措施?
Ellen Richey表示,在消费者保护方面,Visa有“零责任”政策,即消费者使用Visa的支付系统,就会受到相关的保护。从技术层面来说,随着移动互联网和物联网的快速发展,数据脱敏变得非常重要。我们需要建立很好的保护策略和方案,并对自身设备进行全网监测,预测犯罪行为,先行一步发现威胁,然后阻止威胁。此外,为了更好的对抗威胁,Visa选择与制造商、研究机构等伙伴合作,避免潜在的网络攻击。
◆通信安全
近两年,随着技术的不断演进,针对电信基础运营商的网络攻击不断在变化或者升级,常见的威胁有:DDoS攻击,流量截取等。尤其在黑色产业链利益的驱使下,利用网络漏洞等手段窃取数据信息的攻击也在不断的上升。
针对这些攻击,作为联通是怎样做的呢?孙世臻表示,联通十分重视这些攻击的防御问题,主要实施了三个方面的安全措施:
第一,对攻击做好跟踪预警。实时关注国内外的网络信息安全动态,然后及时做出一些预警的反应。
第二,不断完善防护手段。作为电信运营商,联通高度重视技术创新,在持续加大研发投入的同时,也与互联网安全企业紧密合作,及时使用业内最新的安全成果,不断地丰富和完善防护的手段和能力。
第三,建立完善的应急处理机制和体系。“我们集团总部、省公司、地市公司三级安全团队,构建了7×24小时的应急体系。一旦出现问题,我们在这么短的时间,按照预案来启动应急处理,尽最大的努力把风险和损害降到最低。”此外,根据形势的变化、条件的变化,联通不断地完善制度体系,主要涵盖了建设、运营和用户数据的保护等。
“尤其在《网络安全法》颁布之后,通过这些制度体系进行了全面的修订,来适应新的监管环境的要求,做好我们的防护。” 孙世臻说。
◆电网安全
电网安全关系公共安全和国计民生,任何时候、任何情况下都不能有丝毫放松和懈怠。作为国家电网公司信息通信部主任,王继业说:“作为一个信息基础设施,和互联网安全最大的不同,就是对于电力监控系统这么一个实时运行的系统,一旦发生被入侵或者管理员帐号被控制的话,有可能引发大面积的停电事故,对于现代社会来讲,这是不可忍受的。”
电力系统是通过一系列控制系统所组成的,以确保大电网连到一起之后,能够实时地实现生产和消费实时的平衡,即负荷有多少,生产端就要生产多少。在电网的安全防护上,中国电力系统也实行的物理隔离,虽然实行物理隔离,总书记提到:“物理隔离也可以被跨网入侵”,它也不是万能的。
王继业认为:“在网络安全防护中,第一,注重体系的防护。即从技术体系上、架构上,进行防范;第二,要强化管理。因为任何物理系统都是由人来控制的,如果人员在系统运行中的行为受到一些不正常影响的话,也有可能造成监控系统被入侵;第三,是技术防护。从技术上要建立一整套完整的防御体系,包括技术监测体系、及时的感知系统,出现问题及时隔离、及时消除故障。”
写在最后
3年前,腾讯跟合作方一起发起了中国互联网安全领袖峰会,提出了很多协作方面的考虑。至今CSS大会已经举办了三届,在新的《网络安全法》大背景下,腾讯与合作伙伴未来还有哪些新的设想和打算呢?
对此,丁柯表示:“我们非常惊喜地看到整个行业在安全领域,不管是民众意识,还是企业合作上都有一些质的改善。未来,腾讯期望:第一,在人才体系培养上有进一步深化的投入与合作。中国网络安全人才缺口非常大,所以我们想后期在产业融合方面有进一步贡献。第二,整体安全防护的体系化规划上,中国规范性、前瞻计划性和总体投入度上,相比一些领先国家存在很大差距,大概只有其他这些国家的20%-30%。因此,我们希望与更多有责任的企业和行业共同把规划和建设投入力度加大。第三,在大数据和技术核心能力合作上,我们将坚持共享和开放,期待在更多的新案例、新领域里扎扎实实解决问题,看到效果。”