新闻频道 > 热点专题 > 第十四届中国保险业信息化峰会 > 正文
圆桌对话以“疏”治“堵” ——数字化时代网络安全的治理哲学
发布时间:2021-06-28 09:11:37 作者: 来源:中国银行保险报网
□记者 谭乐之
6月24日,在由《中国银行保险报》主办,华为、新华三集团、容联云、深信服、水滴公司协办的第十四届中国保险业信息化峰会上,与会嘉宾就数字化时代网络安全问题展开激烈探讨。
当前,数字化已经上升为国家战略。但因为数字化“一切皆可编程、万物均要互联、大数据驱动业务”的三大特征,使得网络安全风险和威胁剧增。保险业数字化转型过程中,网络安全是底线,只有坚持网络安全建设和数字化同步推进,多措并举,筑牢网络安全防线,才能为数字化转型提供坚实的网络安全保障。
业务是“油门”
安全是“刹车”
业务和安全是一对天生的矛盾体,业务就像一辆车的油门,控制着前进的方向;安全就像刹车,需要边走边停。如何把车开好、平衡“油门”和“刹车”的关系,是与会嘉宾探讨的一个主题。
对此,泰康保险集团科技中心安全部总经理李瑞荣开出了一个“方子”——高层重视。一方面,高层重视相当于有了组织保障,而组织保障是制度性保障的前提。“(网络安全防护)工作如何做得更好,我最想说的还是希望有高层的重视。”李瑞荣认为,高层领导要有重新的认识,不该仅仅把科技看做一种工具或手段,而应该把科技视作一种“驱动”、一种“引领”。
同样的,网络安全这方面也类似,不应该只是“听从”于业务要求。李瑞荣认为,科技和业务有很多交互,会考虑很多平衡。通常来说,科技要服务于业务,但是科技部门在服务于业务部门的同时,如果业务部门提出了不太合理的要求,科技部门可能很难做到拒绝,只能是顺从。因此,领导层重视十分重要,只有建立一定组织保障和制度性保障,网络安全才能得到有机制的保障,科技部门在“业务”与“安全”的矛盾中,才能更好地掌握平衡。
另一方面,在机制保障下,网络安全防护有助于KPI(关键绩效指标)化。李瑞荣认为很多业务都是按照KPI导向去达成的,在公司整体保障里,将一些网络安全KPI指标也融入进去,这样公司在做相应业务考察的同时,可以考量业务在网络安全上是否存在风险,由此可以做出一定的控制或规避措施,在满足业务要求的同时,安全底线也不会逾越。
在诠释“业务和安全”这一辩证问题时,中国信保信息技术部网络运营管理处处长侯华伟提出自己的见解:即网络安全保护应向业务“靠拢”,与业务“融合”。
侯华伟表示,在《网络安全法》推进以后,网络安全工作已经从传统的注重边界保护、边界安全、物理安全和传输安全等方面,得到进一步延伸。
“做好网络安全工作,在传统的防护思想下,应该是进一步加强安全向业务的主动靠拢,加强主动和业务融合,争取能够形成安全的架构,对技术和系统架构形成一定的引领,不能总跟着业务和系统的设计后面追,否则长期来看,两者还是会脱节。”侯华伟说。
安全是数字化转型的生命线
如果说,保险业数字化转型是一座金字塔,那么网络安全便是这座金字塔的地基。在与会嘉宾看来,网络安全是保险业数字化转型的底线、红线、生命线。
“数字化转型让保险业享受到红利,也让保险业不得不面临一个新的问题,即网络安全带来的新风险。保险业作为国家的关键金融基础设施,安全是底线,只有坚持网络安全建设与数字化同步发展,筑牢网络安全防线,才能够保障我们的数字化转型成功,防范化解重大金融安全风险。”圆桌论坛主持人银保信科质量与信创部负责人白春雷说。
这样的观点得到了与会嘉宾的认同。但是,重要的不是“是否坚守底线”,而是“怎么确保守住红线”?
人保财险信息科技部安全审计处资深工程师李锐分享了他的方法论。一方面,目前安全防护理念与过去传统方式大相径庭。“新的场景、新的模式、新的技术对安全来说,是一个极大挑战。我们目前的想法是,在改革的过程中,紧跟着架构去做整合,而不是跟在后面走,有问题则告知有问题,在前期多介入,同时展开新兴技术研究,以确保我们在信息科技这一块跟业务去做整合。”
另一方面,人保财险体量较大,也增加了安全防护的难度。“作为一个大型保险公司,安全工作是很难的一项工作……可能很多其他企业面临的这个问题都不是问题,但到了人保财险可能就是较大的问题。”李锐说。
从人保财险的具体实践来看,上述方法论在“护网行动”中,体现在高层重视、技谋结合、如何部署、全员动员四个方面。
李锐介绍,首先要高层重视,即“不是领导喊口号”,而是能够去推动业务部门、引起业务部门的重视。“领导去推,业务部门也会比较配合。”
第二,强化“技”谋结合。“‘技’不是‘诡计’而是‘技术’。”李锐认为,要将“技”与“谋”结合起来,要坚守边界,阻断纵深,坚守核心的策略,利用“攻防演练”结果反馈,提升网络安全防护能力。“我们发现很有效的办法是,我们在事前跟所有的攻击队进行交流,大家都敞开谈,有什么新的想法,哪些可能突破(网络安全)边界,都给我们答复,比如VPN、绕口令、邮件等等,常用突破边界的方法,我们也重点进行防范,互联网应用这么多年一直在加固,正面突破是非常困难的,我们这点跟攻击队短兵相接做大量的斗争。”
第三,如何部署。具体需要收敛边界、收敛访问路径。“其实收敛对人保财险基本没有影响到业务,只是把原来做得不到位的做到位了。”
第四,全员动员。“一方面,IT、运维中心需要和我们一起做大量的工作,包括开发、测试、运维等,全力以赴,做到该做的最大安全。另一方面,要有全员意识,通过培训和宣贯,比如邮件视频宣贯、责任安全书等方式。”李锐说。
“边界治理”转向“疏通治理”
如果把网络信息比作河流,为了保障“河流”安全,通过“堵”住河流来设立边界,无疑是传统网络安全治理的模式。然而当下数字化转型之时,海量信息汹涌澎湃,“边界治理”的已不再适应。
“‘以疏治堵’是个很好的思路,用疏的方法来解决网络安全的一些相关问题。以往,一直以‘堵’的方式来解决安全问题,但是终究有一天信息就像河流一样到一定程度,结果堵不住,与其这样我们还不如利用‘以疏治堵’,来引导大家建立一个网络安全的防护体系。”白春雷说。
转换思维,改变理念,从“边界治理”走向“疏通治理”是一种新思路。“数字化具有一切皆可编程、万物均需互联的特性,这给我们传统的网络安全建设的思路带来了很大挑战。”中再集团信息技术中心高级工程师王姝表示,传统的网络安全防御体系建设的思路,核心是基于边界保护,即在企业边界上扎好篱笆,基本上就可以做到风险可控。“但是在数字化转型的时代下,我们发现篱笆的洞越来越多,同时我们被业务部门、创新部门质疑的声音越来越大,严重影响了业务效率和创新的响应速度。”
出现如此被动的局面,王姝认为是因为在万物皆需互联的大背景下,企业的网络边界已不再清晰,而企业仍以传统的“边界防御”思路去建设网络安全防御体系,这势必会造成冲突。
那么如何转变?答案是“疏通治理”,以疏治堵。王姝介绍了一个概念——零信任。
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
“也许这是我们网络安全防御建设的思路。虽然它现在还没有一套成熟的、可落地的解决方案,但是这值得我们持续探究。”王姝说。
□记者 谭乐之
6月24日,在由《中国银行保险报》主办,华为、新华三集团、容联云、深信服、水滴公司协办的第十四届中国保险业信息化峰会上,与会嘉宾就数字化时代网络安全问题展开激烈探讨。
当前,数字化已经上升为国家战略。但因为数字化“一切皆可编程、万物均要互联、大数据驱动业务”的三大特征,使得网络安全风险和威胁剧增。保险业数字化转型过程中,网络安全是底线,只有坚持网络安全建设和数字化同步推进,多措并举,筑牢网络安全防线,才能为数字化转型提供坚实的网络安全保障。
业务是“油门”
安全是“刹车”
业务和安全是一对天生的矛盾体,业务就像一辆车的油门,控制着前进的方向;安全就像刹车,需要边走边停。如何把车开好、平衡“油门”和“刹车”的关系,是与会嘉宾探讨的一个主题。
对此,泰康保险集团科技中心安全部总经理李瑞荣开出了一个“方子”——高层重视。一方面,高层重视相当于有了组织保障,而组织保障是制度性保障的前提。“(网络安全防护)工作如何做得更好,我最想说的还是希望有高层的重视。”李瑞荣认为,高层领导要有重新的认识,不该仅仅把科技看做一种工具或手段,而应该把科技视作一种“驱动”、一种“引领”。
同样的,网络安全这方面也类似,不应该只是“听从”于业务要求。李瑞荣认为,科技和业务有很多交互,会考虑很多平衡。通常来说,科技要服务于业务,但是科技部门在服务于业务部门的同时,如果业务部门提出了不太合理的要求,科技部门可能很难做到拒绝,只能是顺从。因此,领导层重视十分重要,只有建立一定组织保障和制度性保障,网络安全才能得到有机制的保障,科技部门在“业务”与“安全”的矛盾中,才能更好地掌握平衡。
另一方面,在机制保障下,网络安全防护有助于KPI(关键绩效指标)化。李瑞荣认为很多业务都是按照KPI导向去达成的,在公司整体保障里,将一些网络安全KPI指标也融入进去,这样公司在做相应业务考察的同时,可以考量业务在网络安全上是否存在风险,由此可以做出一定的控制或规避措施,在满足业务要求的同时,安全底线也不会逾越。
在诠释“业务和安全”这一辩证问题时,中国信保信息技术部网络运营管理处处长侯华伟提出自己的见解:即网络安全保护应向业务“靠拢”,与业务“融合”。
侯华伟表示,在《网络安全法》推进以后,网络安全工作已经从传统的注重边界保护、边界安全、物理安全和传输安全等方面,得到进一步延伸。
“做好网络安全工作,在传统的防护思想下,应该是进一步加强安全向业务的主动靠拢,加强主动和业务融合,争取能够形成安全的架构,对技术和系统架构形成一定的引领,不能总跟着业务和系统的设计后面追,否则长期来看,两者还是会脱节。”侯华伟说。
安全是数字化转型的生命线
如果说,保险业数字化转型是一座金字塔,那么网络安全便是这座金字塔的地基。在与会嘉宾看来,网络安全是保险业数字化转型的底线、红线、生命线。
“数字化转型让保险业享受到红利,也让保险业不得不面临一个新的问题,即网络安全带来的新风险。保险业作为国家的关键金融基础设施,安全是底线,只有坚持网络安全建设与数字化同步发展,筑牢网络安全防线,才能够保障我们的数字化转型成功,防范化解重大金融安全风险。”圆桌论坛主持人银保信科质量与信创部负责人白春雷说。
这样的观点得到了与会嘉宾的认同。但是,重要的不是“是否坚守底线”,而是“怎么确保守住红线”?
人保财险信息科技部安全审计处资深工程师李锐分享了他的方法论。一方面,目前安全防护理念与过去传统方式大相径庭。“新的场景、新的模式、新的技术对安全来说,是一个极大挑战。我们目前的想法是,在改革的过程中,紧跟着架构去做整合,而不是跟在后面走,有问题则告知有问题,在前期多介入,同时展开新兴技术研究,以确保我们在信息科技这一块跟业务去做整合。”
另一方面,人保财险体量较大,也增加了安全防护的难度。“作为一个大型保险公司,安全工作是很难的一项工作……可能很多其他企业面临的这个问题都不是问题,但到了人保财险可能就是较大的问题。”李锐说。
从人保财险的具体实践来看,上述方法论在“护网行动”中,体现在高层重视、技谋结合、如何部署、全员动员四个方面。
李锐介绍,首先要高层重视,即“不是领导喊口号”,而是能够去推动业务部门、引起业务部门的重视。“领导去推,业务部门也会比较配合。”
第二,强化“技”谋结合。“‘技’不是‘诡计’而是‘技术’。”李锐认为,要将“技”与“谋”结合起来,要坚守边界,阻断纵深,坚守核心的策略,利用“攻防演练”结果反馈,提升网络安全防护能力。“我们发现很有效的办法是,我们在事前跟所有的攻击队进行交流,大家都敞开谈,有什么新的想法,哪些可能突破(网络安全)边界,都给我们答复,比如VPN、绕口令、邮件等等,常用突破边界的方法,我们也重点进行防范,互联网应用这么多年一直在加固,正面突破是非常困难的,我们这点跟攻击队短兵相接做大量的斗争。”
第三,如何部署。具体需要收敛边界、收敛访问路径。“其实收敛对人保财险基本没有影响到业务,只是把原来做得不到位的做到位了。”
第四,全员动员。“一方面,IT、运维中心需要和我们一起做大量的工作,包括开发、测试、运维等,全力以赴,做到该做的最大安全。另一方面,要有全员意识,通过培训和宣贯,比如邮件视频宣贯、责任安全书等方式。”李锐说。
“边界治理”转向“疏通治理”
如果把网络信息比作河流,为了保障“河流”安全,通过“堵”住河流来设立边界,无疑是传统网络安全治理的模式。然而当下数字化转型之时,海量信息汹涌澎湃,“边界治理”的已不再适应。
“‘以疏治堵’是个很好的思路,用疏的方法来解决网络安全的一些相关问题。以往,一直以‘堵’的方式来解决安全问题,但是终究有一天信息就像河流一样到一定程度,结果堵不住,与其这样我们还不如利用‘以疏治堵’,来引导大家建立一个网络安全的防护体系。”白春雷说。
转换思维,改变理念,从“边界治理”走向“疏通治理”是一种新思路。“数字化具有一切皆可编程、万物均需互联的特性,这给我们传统的网络安全建设的思路带来了很大挑战。”中再集团信息技术中心高级工程师王姝表示,传统的网络安全防御体系建设的思路,核心是基于边界保护,即在企业边界上扎好篱笆,基本上就可以做到风险可控。“但是在数字化转型的时代下,我们发现篱笆的洞越来越多,同时我们被业务部门、创新部门质疑的声音越来越大,严重影响了业务效率和创新的响应速度。”
出现如此被动的局面,王姝认为是因为在万物皆需互联的大背景下,企业的网络边界已不再清晰,而企业仍以传统的“边界防御”思路去建设网络安全防御体系,这势必会造成冲突。
那么如何转变?答案是“疏通治理”,以疏治堵。王姝介绍了一个概念——零信任。
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
“也许这是我们网络安全防御建设的思路。虽然它现在还没有一套成熟的、可落地的解决方案,但是这值得我们持续探究。”王姝说。
