谭宪维:以前瞻性思维建立信息安全
梁春丽;王雪玉
【期刊名称】《金融科技时代》
【年(卷),期】2014(000)008
【总页数】5页(P22-26)
【作 者】梁春丽;王雪玉
【作者单位】
【正文语种】中 文
1988年,中国平安保险(集团)股份有限公司(以下简称“中国平安”)在深圳蛇口成立,是中国第一家股份制保险企业,至今已发展成为融保险、银行、投资等金融业务为一体的整合、紧密、多元的综合金融服务集团。
不同于其他金融企业分级管理的模式,中国平安的地方分支机构与总部使用同一套系统,全国联网系统集中管理。如此一来,信息安全部门成为中国平安整个集团的安全风险处理核心,大至整个集团网络体系、小至各子公司的安全服务,皆为该部门的职责范围,是名副其实的集团安全命脉把控者。而随着大数据在企业间的推广应用,集中管理下的数据急增,安全风险也随之升级。在此情形下,中国平安如何应对由于技术进步所带来的信息安全挑战?而在网络互联互通的当下,中国平安对信息安全又有何理念?带着这些疑问,本刊记者专程采访了中国平安信息安全总监谭宪维,深入了解中国平安在移动互联时代的信息安全理念和治理模式。
《金融科技时代》:中国平安旗下拥有多家不同金融业务的子公司,管理的数据比其他的金融企业更多更复杂,请问中国平安如何管理各个子公司的数据,以保证整个集团的信息安全呢?
谭宪维:简单来说,是做到在建设中国平安整个网络系统环境中不存在一个漏洞,建立中国平安信息安全防御的万里长城。中国平安采取的是核心金融集中管理模式,即地方分支机构与总部使用的是同一套系统,全国联网由总部直接集中管理,有别于其他金融企业的分级管理。
主动创造一个完整稳定的网络环境,首先要做到在未发生情况之前,安全覆盖所有的漏洞。而实际上,百分百无漏洞基本不可能,关键在于能否对安全风险保持警惕。中国平安在网络系统建成之后,经常更新升级系统,并且定期检查有无漏洞存在。升级后的系统或许不能完全覆盖旧系统中所有的漏洞,但总的来讲,扼杀了许多漏洞发生情况的可能性。
去年,韩国几间银行受到网络攻击,经我们查究,该攻击是基于一个早已公开知悉的漏洞,而这个漏洞的补丁我们早已打好,因此中国平安未受影响。这都是由很微小的问题引发而来,在这一点上,中国平安不曾松懈,从网络的搭建、安全防护和风险监控,再到日常的安全检查等,将工作一一落实到位,以此形成一个较为完善的安全网络。
《金融科技时代》:韩国这个案例说明一个简单的道理:见微知著。一个完善的安全网络,不能容许任何一个漏洞存在,哪怕只是一个无伤大雅的小漏洞。除了防御整个网络环境的漏洞外,中国平安在防止信息泄露上又是如何实现的呢?
谭宪维:一方面,是防止人为泄密。信息泄露说到底是每一个员工的责任,几乎每个人都知道公司的内部信息,稍不注意就很容易将信息泄露出去。比如朋友之间的聊天,什么该说什么不该说,员工心里理应有一个判断的标准,更要时时刻刻保持这种安全意识。在提高员工安全防范意识上,中国平安多次组织内部人员进行培训,辅以相关案例分析其中利害关系。
另一方面,是从技术上防止信息泄露。微博、电脑、手机、电子邮件等很多通道都有泄露信息的可能,因此我们要建造一个全面防止信息泄露的网络环境,比如电子邮件发送出去,我们会监察是否有敏感信息。当然,现在没有一个工具能百分之百保证监察的准确性,比如同事之间以电子邮件交流工作时,常会有敏感信息出现,这显然不是泄密,而是正常的工作交流。因此,我们制定了一个监察策略,判断其中可能信息泄露的邮件。同时由于工具的判断不是百分之百准确,我们会辅以人工识别,提高判断的准确性。
制定一个合理的策略,既要有效监察那些泄露信息的邮件,又不能一味地把所有含有敏感信息的邮件都归为信息泄露,以免增加人工识别的工作量,影响效率,又阻碍正常的工作交流。
《金融科技时代》:依您所言,这种监察策略不是固定的?
谭宪维:不是,需要不断优化。中国平安其中一个优化方法是在同一时间段里,将由工具识别出来的信息泄露邮件与人工识别出来的信息泄露邮件进行比对,以此判断工具识别的准确率,清楚策略优化的空间,之后再进行优化。工具是死的,人是活的,附加以人的智能分析来优化工具的功能性,使策略更完善。要注意的是,不能一味依赖监察工具,而要在这套工具的基础之上提出思考,不断优化,使之成为适合自己的工具。
《金融科技时代》:平安集团的信息安全由集团集中管理,同时又有多个不同金融业务的子公司,那是否需要针对这些子公司制定不同的数据防泄露策略?
谭宪维:是的,因为中国平安涵盖了银行、保险、投资等方面,因此所制定的数据防泄露策略机制比其他的金融企业要复杂得多。中国平安在统一的安全监控策略下,依据各业务领域的独特性制定个性化策略,同步实施,重重强化数据防泄露机制。
从制定策略到采用工具进行监察,在这个实施机制之下,不单是数据泄露得到保障,所有人员安全意识也明显提高。这是中国平安采用监察机制的最终目的,如此工具与人工的结合,才能真正达到防止信息泄露的目的。
《金融科技时代》:大数据的发展应用,使企业数据暴增,这是否加大了信息防泄露的难度?中国平安在大数据上有什么研究和应用?
谭宪维:是的,大数据环境下信息泄露的风险比以前更大,因为数据更集中了。
大数据由结构性数据和非结构性数据构成,通过将这些数据搭建成模型,便可进行数据分析,形成精准定位。中国平安在大数据运营上仍是研究阶段,但数据安全是首要目标。信息保护主要针对大数据中的结构性数据(即客户信息)。结构性数据的保密性一定要高,非结构性数据则因其自身来源公开,其保密性低而不是重点的关注对象。
目前,中国平安已针对涉及结构型数据的大数据做一项名为“微度漂白”的安全措施,屏蔽掉这些结构型数据的敏感性信息,只保持其特性及数据间的关联性,即客户个人信息、信用卡号码、银行账号和账户资产交易等已经被漂白。换言之,结构性数据的敏感信息已被模糊化,分析员也不能知悉数据的关连实体。这是出于对客户信息安全的高度负责,体现的是信息安全推动业务发展。
新业务、新产品的产生离不开技术的支持,而技术的实现更需要信息安全的保证,只有系统的安全性足够高,才能避免不断的事后修补,从而减少总支出。
《金融科技时代》:中国平安的信息安全部是在您任职之后带头成立的,是什么理念促使您进行这样的举措?
谭宪维:信息安全部是2007年底我进入中国平安后,根据我的理念成立的独立于IT及业务的一个新部门。
信息安全管理仍是新鲜事物,具体如何实施并没有标准模式,更缺乏可供参考的范本。能做的,不过是将我在香港及全球各地任职时的工作经验积累下来,从IT系统建设、财务审计、IT审计到项目管理等工作,并在信息安全领域实践中步步摸索演变,明确建立信息安全风险管理理念模型,并最终在中国平安得以一体化的创新实现。
越来越多的保险公司开始成立信息安全部,但仍未完全独立于IT之外,较多的是将之作为IT的一部分。实际上,信息安全所体现的是网络互联互通下的前瞻性思维模式,是对移动互联时代,技术、人员、流程三方面同时兼顾的更高层次的安全保障发展形态。可见,行业内对信息安全管理的概念还需继续不断诱发。
《金融科技时代》:信息安全有别于IT安全,在具体的工作职责内想必也有所不同,请问中国平安的信息安全部具体负责什么工作呢?
谭宪维:信息安全管理是通过制度建立、强化意识形态、顾问咨询、审计监察等一系列持续不断的工作来推动企业信息安全的发展。可以说,我们并不是信息安全的实施执行者,而是推动实施执行者进行信息安全工作,提升企业中每位员工安全防护的意识及能力,最终组成“全民皆兵”的防御阵线,保障企业的信息安全。
此外,我们还要保持对周边环境转变、突发事件的灵敏触角性,不断加强及引进新技术,控制驾驭因环境转变而带来的信息安全风险;洞悉外部事件的发生,从而第一时间做好预防性措施,迎战可能发生的安全风险。
不单是内部的网络系统监察,外部的同样重要。例如针对银行的钓鱼网站,如今这些钓鱼网站已由针对单一银行网银网站发展到一次性同时攻击国内十多家银行。这些网站声称可处理国内多家银行信用卡申请,从而讹骗客户输进个人及信用卡资料,骗取银行客户个人敏感信息。
在对钓鱼网站的监察上,中国平安向来不遗余力,从去年年底至今已经主动发现及关闭了三百多个同一诈骗类型的钓鱼网站。经过我们对这些钓鱼网站IP的监察,这些网站大多在美国、香港、越南以及一些不知名的小国家,我们在发现钓鱼网站后,最快能在20分钟内将它关闭,独力粉碎了一次有组织性的大范围、大规模的钓鱼攻击。
《金融科技时代》:在网上申请信用卡的话,一般我们会直接到银行的官方网站,那么这些钓鱼网站是如何被推广开的呢?
谭宪维:有的是通过百度问答。中国平安针对钓鱼网站的监察机制,可以从源头将钓鱼网站的注册过程、钓鱼网站自身和百度问答一次性删掉。很多时候,信息安全人员往往过于关注钓鱼网站本身,而忽略了诱骗人的百度问答,这一点需要特别提醒,毕竟信息安全人员的工作是属于预防性质,要扼杀掉一切有可能诱发风险的因素。
《金融科技时代》:如今政府鼓励国产化,对推动国内信息安全发展同样具有深远影响,那么在可能诱发风险的因素中,您如何看待外国厂商的设备中存在“后门”这一现象?
谭宪维:单纯从商业上考虑,做产品要对客户负责,一旦被发现安装了“后门”,对产品商的声誉影响极大,将大大打击其诚信,其必然难以经营下去。
无论是从自主创新能力还是国家综合实力来讲,鼓励国产化非常必要,问题是当下的国产设备和技术能否满足我们业务的需求。说到底,要真正推动国产化,关键是技术要跟得上国际水平,并且时刻保持进步,做到让国内的客户信任我们自己的产品和技术。现时来说,从产品性能和安全保障上,很多产品仍未满足商业要求,仍需国内厂商和技术开发的同仁们共同努力。
《金融科技时代》:信息安全水平是影响国产化进程速度的重要因素之一,国产化的真正实现理应建立在信息安全高度保障的基础上,您认为国内金融企业在信息安全上能为国产化做些什么呢?
谭宪维:前面说到钓鱼网站已发展到可一次性攻击多家银行,比如“卡宝宝”这个钓鱼网站,经过我们的监控追踪分析,背后极有可能是集团式作业——我们关闭一个,他们可以立刻在美国或者香港重新再开一个。类似这种钓鱼网站,单由中国平安来监控追踪的话,难免有漏网之鱼,如果金融企业之间能联手合作解决这些问题,则效率更高,效果更明显,也能使更多客户免于上当受骗。
如今网络互联互通性很强,金融企业虽各有各的网络系统,但本质上已互为一体,因此常常出现多家企业同时受到同一网络攻击的情况。
如何针对互联网的互通性做好网络防御,不该只停留于做好自家网络系统的安全防御,在整个金融体系中,信息安全并不存在竞争关系,整个互联网环境的安全需要大家一起维护。从合作层面上提升整体互联网环境的信息安全,一是能实现金融企业自身效益的最大化;二是能为客户提供更高效更优质的服务;三是能创造更安全的金融交易环境,推动我国金融业的蓬勃发展,为国产化的实现布下安全屏障。
《谭宪维:以前瞻性思维建立信息安全》相关文档:
2024广东公务员考试申论范文:用前瞻性的思维擘画未来11-13
前瞻性思维在财务管理的价值与应用论文11-26
前瞻性思维12-11
谭宪维:以前瞻性思维建立信息安全01-23
第二节教育创新者应强化前瞻性思维方式02-09
竞争思维 创新思维 前瞻性思维02-25
前瞻性思维心得体会03-29
