2019中国金融科技产业峰会丨嘉实远见周明昊：金融科技下的安全管理与挑战

2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上，嘉实远见信息安全科技专家周明昊分享了《金融科技下的安全管理与挑战》。

在准备题目时花了不少时间，我看到的议程前一位嘉宾的主题是安全运营实践，一定是干货满满的题目，那我就讲一些工作中遇到的实际问题、思路以及未来发展趋势。

嘉实远见科技是嘉实基金全资科技子公司，基本是嘉实基金的IT部门独立运作起来。我们负责嘉实的安全管理，嘉实是一个中等规模的金融机构，有1000多名员工，3000多个IP，100多个系统，IT的压力是比较大的。对于券商而言，我们人员可能不算多，但在基金公司里还算规模比较大的，后面我们会聊一下遇到哪些方面的挑战。

先说下外部的情况，大家对安全很关注，但关注在技术怎样、金融机构受攻击了。日内瓦世界经济组织论坛每年讨论世界大事，恐怖袭击、粮食危机、自然气候变化等大问题，我们看看网络安全现在排到什么地位？还是比较靠前的。在可能性上，网络安全已经排到第三位了，在严重性影响利益上，排第一是大规模杀伤武器，第二是极端天气，网络安全排在第六，排在食物安全之前。现在很多人饿着肚子，但网络安全的影响已经排在这个之前了，甚至排在大规模疾病传播之前。所以在世界范围内，目前网络安全提到非常高的政治上的高度。

接下来看看我们面临的外部对手是什么样的，我展示了三张图：第一个图是暴力团体黑社会，想到的是超价、勒索、收保护费；第二个图是非法捕鱼，日本一家寿司店海鲜饭200日元，相当于人民币30块钱，为什么那么便宜？因为它没有捕鱼许可证，非法捕鱼；第三个图片是卖珍珠奶茶。这三个事情都是日本黑社会变化情况，从暴力团体发展成擦边球生意，再到后面珍珠奶茶完全合法，做着表面合法的生意，非常难打击。

我们面临的安全黑产可以类比上面三图的变化看，过去是网络勒索，这很明显是违法事件；后面变成贩卖用户数据，可以包装打着各种旗号，说运营商大数据帮助精准获客，其实是把很多数据拿出来卖；再到后面薅羊毛，这个事不一定说是违法，是灰色的事情。跟我们的对抗中，黑产越来越看起来合法化了，它自身的行为也越来越隐蔽了。我们发现现在是安全很难做的时代，因为我们信息系统越来越复杂，很多新技术、新科技一直在发展，安全要适应这些技术的变化，外部威胁也没有变小。虽然法律越来越严格、网络安全打击越来越严格，但是网络安全犯罪事件数量已经基本排在第一大类了，行为也越来越隐蔽了，目前安全可能是最难的一段时间。

既然提了问题，再说下相关的思考：

为什么安全这么难做？很大程度在于我们的安全风险，我们做了一些措施减缓风险以后发现减缓程度很难量化。我们看到的结果是什么？去年出事了，今年没出事，这是有或者无的区别，但是很难说今年没出事是运气好而没出事还是安全做到99%了。

另外，安全上前期很多工作是铺垫工作、水下工程，真正要表现出来产生结果的是很难量化的一部分。大家知道开车上路需要考驾照、买交强险，出了事故保险公司给你赔，未来我们企业会不会有类似于交强险？保险公司对你的安全状态做评估，安全做得少的保费低一些，差的保费高一些，钱必须交，出了问题这部分钱用来做赔偿。会不会有骗保？这部分钱很大程度上不是赔给企业，是赔给受害的用户，从你机构网站上泄露出去的用户的信息，甚至是交的罚款。这样安全绩效更容易体现出来，安全投入500万，保费降了300万，，这800万就是我的成绩。当然，这是我的想法。

另外，安全成果很依赖于组织内部的配合。安全往往是发现问题的一个部门，但是解决问题、漏洞修复、打补丁、修改口令甚至员工安全意识培训，员工能不能照着你说的去做，很大程度上取决于你组织内部资源跟你能否有效配合。你达到这个目标就需要融入整个IT部门的绩效目标。IT部门的绩效如果有安全的成份在里面，如果你跟IT部门的领导是相同的考核、相同的绩效，在安全这部分来看，安全的事情就比较容易推很多。

另外，用保险的例子来说，我认为安全问题也是个经济问题，就是你的投入和产出是不是能够匹配上。这涉及到我们对安全可能要做预判，因为我们的预算、精力有限，我们目前看到有那么多技术，要做数据防泄密、要看威胁情报、要代码审计等等，那么多事，一年不可能做得完，我做选择、做决定的时候就意味着我接受了另外一部分风险。

刚刚长江证券陈总说安全有时候像做医生，我非常认同这句话。上医治未病，去医院应该有感受，患者来检查，你跟他说建议你去做胃镜，他说没必要，后来病重了再花大力气去治。我们不希望等病重了再治，希望尽早把IT安全管理状态调好。

我们也要做预判，看哪些方面预先去关注，这个预判看两部分：

一部分是看发展趋势，比如今年有护网了以后，很多安全服务商的入侵检测系统、蜜罐系统和演练系统卖得很好，因为护网系统需要大量提前演练，需要捕获外部攻击，这是外面大趋势。安全有时提前做伏笔，跟公司内部沟通，到时候政策真正下来的时候，你的话语权和在公司内认可度会有一定的上升。

第二点是看自身的风险，安全有点像防守一座城池，我们的优势在于有城防图，知道内部地理情况。攻击者的优势在于它可以无成本的长期的攻击你。我们基于自身情况去做选择，也是利用我们的优势去打对方的弱势。

另外，安全在组织内部需要经常跟大家沟通的两句话：第一，安全和短期效率矛盾，和长期效率一致。未来系统不会因为任何软件而系统挂掉、重做，也不会因为泄露了信息而让业务发展倒退5年、10年。我们跟内部组织沟通时，别看你现在麻烦了，但长期来看是划得来的。有同事反映这个事情给他添加了很大负担，我会从这个角度去说，安全与个体利益一般都是冲突的，但是和公司利益是一致的，保障的是公司管理层、股东、用户的利益。这是我们对安全工作上遇到问题的一些思考。

两个今年年初规划的项目：

第一个，是数据防泄密。随着《网络安全法》、随着行业内对数据分期分类指引的出台，我们觉得数据防泄密如果过去没做，现在是很紧迫的位置，所以今年着重做了建设。前期调研时市面有很多方案，归根结底做数据防泄密是两套方案：第一套，进不来+拿不走+跑不掉，这个方案需要你把从准入到DLP应用权限管理、DLP审计这套要全，准入管好了，但是一台外面的电脑接进来，出问题了；权限管理不做，是纯事后的方案。第二套，“用不了+跑不掉”，国内制造业用得比较多，是加密的思路，你要拿就拿，但是拿走以后文件是加密的，你打不开、用不了，而且有对应的审计。我们选择了前面一种思路，宁可把链条做得长一点，用DLP的方案去做。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!