9月25日下午,由中国网络安全大会组委会和北京大学金融信息化研究中心共同发起的第六届金融网络安全沙龙在京举行。沙龙以“合力对抗金融网络安全威胁”为主题,多位金融信息化领域的领导和专家以及多家金融机构信息安全负责人共同参与,聚焦金融网络安全面临的挑战及实践经验,围绕以金融安全为场景的最新解决方案和创新技术做深度讨论。
会上,中国人民银行信息中心安全部袁慧萍主任,北京大学金融信息化研究中心主任陈钟,赛可达实验室主任宋继忠,360攻防产品事业部产品总监陈卓等嘉宾发表演讲。
陈卓以《锤炼金融行业网络攻防的“剑与盾”》为主题,分享了当前国内外安全态势与企业信息安全建设的思考。他谈到当前全球网络攻击事件频发,各国纷纷采取多种措施不断谋求增强网络防御和对抗能力。与之相对,我国关键信息基础设施的网络安全保障体系仍不完善。
360攻防产品事业部产品总监陈卓
面对更加有组织、有目的,更难追踪的网络威胁以及边界愈发模糊的复杂业务环境,企业应当如何应对?
360攻防产品事业部产品总监陈卓
陈卓表示,以往在合规驱动下,应对外在威胁的思维模式是单纯软硬件安全产品的堆砌,传统渗透测试也依赖网络安全专业人员独立完成,测试对象多为应用系统,无法从企业整体角度评价安全水平。因此,面对无行为模式可寻的APT攻击,企业难以抗衡。
“只有通过网络攻防实战演练积累经验、锤炼队伍、培养人才、磨炼技术,才是企业应对未知安全威胁的长久之计。”
陈卓表示,构建企业级网络靶场可通过预置的训练场景实现企业内在安全软实力的全面提升。事前,通过各种控制技术实现安全可控的渗透通道;事中,建立交火的前沿阵地,降低损失的同时充分了解对手,积累知识经验;事后,使用靶场统筹调度实施应急响应、捕获攻击行为并回溯。在战时,可迅速切换成仿真蜜罐,抵御分析,分析溯源。
在他看来,企业信息安全的解决之道为“知”、“立”、“打”三步走战略。“知”即知其然更知其所以然,不机械地照搬标准要求;“立”即立足网络安全实战化;“打”即讲一百遍不如打一遍,只有在接近网络攻防的真实环境下,才能发现问题、补齐短板。
“通过实战攻防演习工作,演习组织单位可以全面评估被检验对象的网络安全防守能力,演习防守单位则可全面扫描自身安全防御系统短板,提高发现攻击、阻止攻击、应急处置等方面的能力,提高安全认知。”陈卓表示。