诸子云｜活动：7.31上海金融网络安全专题研讨

随着业务多元化、办公场所或子公司快速增加，业务与数据的出口变得越来越多；接入终端的类型和位置变得更加难以预知并且复杂性提升，使得企业开放的边界也越来越广，最终导致面临的安全问题日益严重。

与此同时，安全设备之间缺少信息共享与安全联动，没有形成分布层面上的统一安全建设；当前以APT为代表的攻击手段威胁较大，对企业供应链上下游开放边界进行攻击问题严重，都要求我们从安全运营和开发安全等方面进一步思考行之有效的体系建设方法。

基于此，7月31日，由腾讯安全与安在新媒体联合主办的“基金&证券&保险安全专题研讨会”在大家的殷切期待中如期举行。

本次研讨会由安在新媒体创始人张耀疆主持，简单的开场白之后，适时将话筒交给了在场嘉宾。

为了增加趣味性，本次研讨会还专门增设了互动抽奖环节，奖品包括机械键盘、固态硬盘以及运动手表，希望与会的专家们可以在结交朋友、分享交流的同时，不辜负这难得的周末时光。

本次活动有幸邀请国泰君安、海通证券、中银证券、华宝证券、平安证券、中国信托、天安财险、长生人寿、同方全球人寿、中国人寿、太平洋保险、大地保险、保交所、交银康联、诺亚财富、兴业银行、国华人寿企业的安全专家、安全部门负责人和技术骨干的参与。

议题分享

针对当前金融行业安全运营中主要遇到的问题和面临的风险，腾讯安全认为，一个好的安全运营需要具备以下几点能力：

1、安全预防：防患于未然，提升安全水位。

2、事件监测与威胁检测：全面覆盖、统一运营

3、自动化响应处置：高效及时应对安全风险与威胁

4、安全有效性验证：持续评估当前安全防护水位

5、安全可视：直观呈现安全态势与建设成果

面对这些要求，腾讯安全推出了安全大数据分析与安全运营管理平台——腾讯御见安全运营中心，通过对各类安全数据的采集、智能分析与可视化展示，实现客户的安全运营与管理闭环，让安全建设可感知、可运营、可防护。

在安全预防上，腾讯安全通过腾讯御界高级威胁检测系统，以镜像方式采集企业网络边界流量，识别网络攻击及高级威胁（APT）。同时将腾讯天幕旁路部署在互联网出口交换机，不改变企业原有的网络架构，即可旁路阻断威胁入侵。

对于事件监测与威胁检测，腾讯安全采用腾讯安知威胁情报平台（TIP）提供本地威胁情报查询。通过把腾讯安全威胁情报云的能力变成可私有化部署的方式，帮助客户实现威胁情报管理和能力应用。

针对自动化响应处置，腾讯安全通过云原生安全运营中心编排响应机制，可以把云安全配置风险、漏洞和安全事件，分别在预处理层、编排引擎层、动作库和响应剧本库逐步进行相应地处理，实现自动化响应处置与响应报告。

面对当前安全设备之间缺少信息共享与安全联动，单点故障多，效率低下，安全与可用性不可兼得等问题，腾讯安全分别从响应体系和防御体系出发，对已有的安全检测产品进行联动，完成整个安全体系的协同防御，实现安全的统一处置。

然而，我们在安全运营工组中依然会经常收到来自于领导的灵魂拷问：当前的安全投资与人员投入是否带来实际防护能力的提升？

尹思凡表示安全团队需要建立安全有效性验证体系，通过攻击行为模拟，灵活编排测试脚本，环境变化检测，从公司高层、到CISO，再到安全运营中心，让各级人员都能够理解和沟通安全工作的现状，让安全可以被度量。

最终，建立一套从预防、监测、检测、到自动化响应处置、再到有效性验证、安全可视的全生命周期的安全运营体系。

相对于传统物理边界，软件定义边界可以通过网络隐身在事前构筑主动防御，并且能够以身份为核心建立新的边界，对来自互联网、企业员工、合作方进行验证审核，防止恶意访问。

同时，SDP具有“12345”的技术架构和优势，分别是1个安全模型（SDP），2大创新（SDP单包授权、动态端口）、3/4个组件（Client、Controller、Gateway、Connector），以及5层安全性（设备、用户、动态、双向加密、隐藏一对一连接）。

基于SDP安全架构，腾讯推出了T-Sec零信任轻量版解决方案，为企业提供新一代的零信任安全接入能力，是更适用于云和移动时代的安全连接方案。

相比较传统的VPN，T-Sec SDP具有以下几点优势，实现了安全的全面改善和提升：

1、安全增强：有效改善VPN的安全问题

2、加强管理：细粒度动态权限配置

3、部署简便：云原生，弹性扩容

4、灵活扩展：易于对接各种组建或新设备

5、优化体验：链接顺畅，舍弃账密

那么企业应该如何实现零信任的落地，腾讯安全分享了自己的“五步实现零信任”的思路。

首先是业务保护（隐身网关），通过多重安全策略实现安全连接；其次是终端可信接入（轻量化准入），通过腾讯安全大数据，实现设备安全和设备可信；

再者是身份轻量化准入（免密登录），基于移动端的多因素认证，实现日常无密码认证；然后是传输安全(mTLS)，通过通过SDP控制中心及多项服务，确保传输安全；

最后是持续动态验证，基于细粒度的访问控制引擎，实时风险监控日志动态挑战。

开发安全虽然在整个的安全体系建设当中只属于很小的一部分，但如何把开发安全做好，实现与企业内部业务能力相适应，却是一个非常困难的话题。

由于当前现代应用审计风险的提高，漏洞修付成本的增加，现代应用技术开发模式演进中面临的诸多挑战以及政策法规和强监管的持续升级，使得我们必须重新思考开发安全建设体系。

RSAC2018正式提出“Golden Pipeline”软件流水线实践体系，强调 CI/CD 自动化工具链支撑，包括了AST应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护以及红蓝对抗和SRC等关键工具链技术。

目前腾讯安全在安全体系的探索主要分为SDL服务和SDL工具两个方面，覆盖了从立项、需求、设计、开发、测试、部署到运维的全生命周期，也建立了包括威胁建模工具、漏洞管理工具以及各类资源库的安全管控平台。

腾讯安全认为，DevSecOps体系落地有几个关键点。第一是风险和信任的平衡；第二是不断调整我们策略和手段，拥抱变化是安全建设的基石；第三是人是安全的尺度，所以安全意识和安全编码培训必不可少的；第四是应用内生安全，从内部发现问题，从根源上阻绝因外部规则缺失所带来的安全风险。

对于DevSecOps未来演进的方向，腾讯安全认为主要集中在四点实践上：

1.DevSecOps核心愿景是构建一个信任和弹性的研运一体化环境，使得组织能够敏捷地、安全地、充分地参与到软件供应链建设和保障中去；

2.自动化、敏捷和情景化是DevSecOps建设的技术基础，不仅要求全量及增量检测高精度低误报，还需要具备业务透视及数据协同分析能力；

3.不仅关注应用本身风险，还关注CI/CD管道、容器、API等应用基础设施安全及认为因素引入带来的异常风险；

4.技术驱动从左移（安全前置）到无处不移演进，从云原生安全技术进入更深融合阶段，成为组织上云重点实践要求。

信息安全体系建设其实是一个非常大的话题，而且个人觉得，对我们来说，信息安全体系建设一直在路上，所以对于本次的分享，我就简单从两个小话题出发，和在座的各位一起聊聊天。

第一个话题是“我们期待什么样的安全产品”。站在我自己的角度，我认为主要包括三个要点，分别是安全感、用户思维和拒绝全家桶。

所谓安全感，就是安全产品本身要安全，尤其是近几年的网络安全演练，让我们看到了很多安全产品在安全性上暴露出了很多的问题；所谓用户思维，对于很多厂商来说，他们的安全产品在最初的开发环境里，思路可能其实是很好的，但却没有从用户的角度来考虑用户的需求。

当前有很多安全厂商，会非常强调自身所谓“定制化开发”的特点，可以让客户仅部署自己一家公司的产品，就覆盖网络安全上百个分支的需求。但对于客户来说这其实是不现实的，因为我们不可能只采购某一家安全厂商的产品，本能上就十分抗拒“全家桶”的行为。

所以站在甲方的立场上，我认为当安全厂商在不断纳管自己产品的同时，也应该纳管其他友商的产品，或者开放自己的API让别的产品对接进来。目前市面上还有大量的安全产品亟需整合和关联，将分散的安全产品整合起来其实也是未来信息安全体系建设的一个非常不错的方向。

从目前的安全发展来看，网络安全一定要杜绝封闭，厂商更是如此。想要在封闭的状态下自成体系，通过全家桶的方式将所有的安全细分领域一网打尽，让客户只选择自己那是不可能的，开放才是未来的大势所趋。

第二个话题是“威胁情报在企业当前的应用情况大概是怎样的，可能面临哪些问题”。针对这个话题我做一个简单的总结，那就是整个行业目前对于威胁情报的应用还处在一个非常初级的阶段——虽然几乎所有人都在用，但用的却都没有那么深入。

对于单一厂商来说，威胁情报的来源目前还是比较局限的，主要原因在于我国当前在威胁情报的标准制定上滞后于产业需求。并且在技术层面，如果要通过跨越不同的产品来整合威胁情报，也会面临很多问题，比如不同厂商之间情报质量的高低，相互之间的价值认同以及沟通问题等。

另外在我们提到威胁情报的时候，不可避免要面对威胁情报共享的问题，这当中涉及了非常多的隐私和敏感信息，对于这些敏感信息的使用也缺乏相关的法律政策来约束范围。

虽然整个行业已经在慢慢朝着这个方向努力，并且有一些安全厂商开始自发牵头去做这件事，但很多威胁情报在共享的时候没有经过甲方授权的情况依然存在，对于这当中涉及到的敏感和隐私信息的保护，我认为还需要有很多的工作要做，有很长一段路要走。

花絮