金融是国民经济的命脉,其安全性、稳定性将直接关系到社会生产生活能否有序运行,可以说,信息安全是金融行业发展的生命线。12月19日,由深圳市金融科技协会主办的湾区金科(FinTech)沙龙(第六十八期)——信息安全专场圆满举办,来自广州、上海等全国各地金融机构、金融科技企业代表逾80人参加了这场年度收官沙龙,共同带来一场聚焦信息安全新未来的粤港澳大湾区盛典。
深圳市金融科技协会网络与信息安全专委会主任委员、招商银行总行信息技术部副总经理贾俊刚出席活动,鹏华基金信息安全主管许荣达、国投证券科技管理部安全总监李维春、腾讯云安全总经理苏建东、招商银行总行信息技术部高级安全专家崔曦文、平安银行金融科技部安全运营负责人吴永佳等5位行业资深专家分别在会上作主题分享。
腾讯云安全总经理苏建东带来了“攻防演练新常态,安全运营新趋势”的分享。腾讯安全专家指出,随着攻防演练的常态化开展,攻防演练中的TOP攻击技战法不断演变,对攻防两端都产生了深远影响。为了应对这一挑战,企业需要构建高度自动化、敏捷响应的安全运营体系。通过漏洞情报结合暴露面管理,进行持续威胁暴露检测,在攻击方前面发现并解决问题,实现从“治已病”到“治未病”的转变;通过专家人工验证结合系统自动化验证,进行持续的安全防御体系有效性验证,从而发现潜在的安全隐患。同时,安全运营自动化平台的建设也至关重要,它能够提供数据驱动的自动化运营,实现安全事件的快速响应和恢复。此外,随着身份安全对抗的日益加剧,多因素认证、零信任访问和UEBA也越来越重要。
腾讯云安全总经理苏建东
鹏华基金信息安全主管许荣达分享了金融行业攻防演练态势及防守思路。在攻防演习中,金融机构暴露出了诸多安全短板,如互联网暴露面难以收敛、漏洞管理不足、安全防御能力存在短板以及防守人员不足、协同防御难度大等问题。针对这些挑战,他提出了核心防守策略,包括树立合理的网络安全观、实现互联网暴露面最小化收敛、加强社工攻击风险防范、持续完善纵深防御体系等。在数据安全防护方面,他提出了明确接口、应用差异化保护、建立API防护多道防线等策略。在常态化安全运营建设的策略上,包括实现攻击预警、威胁情报、安全通告多维的三级联防联控机制,并协同工作,强化安全防御能力。
鹏华基金信息安全主管许荣达
国投证券科技管理部安全总监李维春则以“常态化演练下的网络安全工作思路”为题,探讨了在当前经济形势下,如何平衡网络安全投入与效益,实现网络安全的转型升级。攻防、窃取、泄露在网络安全领域本就是常态,因此,必须建立相应的防守和应对机制,化危为机。他指出,企业应强化基础安全能力,包括资产管理和漏洞修复,同时加强终端纳管范围基线、生产环境基线以及访问控制。他特别提到了集权系统和敏感数据的检测响应能力,如XDR、SOC、NTA等安全工具的应用。他还分享了国投证券在网络安全工作中的实践经验,如通过运营自动化工具提高效率,利用新工具新服务提升安全质量,并通过一个方案同时解决多个场景问题的方式,提高安全工作的价值。
国投证券科技管理部安全总监李维春
招商银行总行信息技术部高级安全专家崔曦文分享了“招商银行云原生安全建设实践”,详细介绍了招商银行在云原生安全建设方面的探索和实践经验。招商银行近期在其云原生环境中加强了安全建设实践,致力于构建一套全方位的防护体系。该体系涵盖了云应用与云平台两大层面,通过实施安全左移、全生命周期管理、纵深防御及持续审计等措施,全面提升了安全运营能力。在云应用安全方面,招商银行注重镜像防护、应用防护及容器防护,确保从开发到运行的每个环节都符合安全标准。同时,云平台安全建设则聚焦于基线审计、权限管理及资源配置等方面,以降低安全风险。此外,招商银行还计划引入大模型在云安全运营中的场景设计,以进一步提升其安全防护能力。
招商银行总行信息技术部高级安全专家崔曦文
平安银行金融科技部安全运营负责人吴永佳以“多重验证机制助力安全运营闭环实践”为题,探讨了多重验证机制在安全运营中的重要性及其在实际应用中的效果。针对安全运营问题,平安银行建立了多重安全有效性验证机制,通过内部蓝军常态化开展以各场景失陷为前提的安全验证,验证练习防守方纵深防御有效性以及快速应急能力。同时每年联合外部安全厂商开展攻防演习,以及发布漏洞悬赏任务不断发现未知风险。平安银行还打造了自动化检验能力,将日常内外部蓝军攻击过程所使用的工具手法转化为自动化的安全检验能力,常态化验证对象包括告警策略,网络策略、安全事件、以及各失陷场景,对工程化全自动长期运行的安全验证能力进行了可视化、可度量的优化,实时监控安全产品的运行,并定期验证安全能力,确保整套安全纵深防御体系运营机制在出现异常时能第一时间感知。最后介绍借助自动化运维监测能力,监控主机指标、数据库指标、应用指标、大数据等指标来进一步保障安全特殊系统的业务连续性,在多重持续检验循环往复的机制下,不断提升安全水位。
平安银行金融科技部安全运营负责人吴永佳
「免责声明」:以上页面展示信息由第三方发布,目的在于传播更多信息,与本网站立场无关。我们不保证该信息(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担,以上网页呈现的图片均为自发上传,如发生图片侵权行为与我们无关,如有请直接微信联系g1002718958。
