深信服信息安全专家李全友:供应链网络安全体系建设
编者按
“十三五”时期是我国贸易发展的重要战略机遇期,物流产业发展迅速,智慧供应链已经成为推动流通大国向流通强国过程中的重要行动。6月2日,由上海市国有资产监督管理委员会、上海市邮政管理局、上海市商务委员会指导,上海市国有资产信息中心、上海市计算机用户协会联合主办,上海市快递行业协会、浦东电子商务行业协会协办,畅享网承办的“2017年物流行业高峰论坛”在上海正式开启。论坛以“开放创新 共建智慧供应链”为主题,参会专家和CIO共同交流新形势下物流行业的创新发展,探讨智慧供应链的应用及实践。
会上深信服信息安全专家李全友作了主题为“供应链网络安全体系建设——‘融合安全、立体保护’信息安全框架”的演讲。很多企业每年在安全方面的投入不少,为何安全事件仍然频发?对此深信服专家给我们进行了详细解答。此外,深信服基于新的安全建设理念,提供一套更容易落地的安全框架,让IT更简单,更安全,更有价值!
以下为演讲实录,畅享网整理。
我是深信服科技股份有限公司的李全友,今天,关于智慧供应链、人工智能、大的技术趋势发展等方面都有所收获,我们在不断发展新技术的同时不能忽略的一个很关键的维度,那就是“安全”。
目前安全治理和管控效果如何?
下面举几个例子:
2013年,Target被黑客从供应商渠道入侵,造成1.1亿用户信息泄露,包括4000万信用卡信息,各项损失高达10亿美元。2014年,Target CEO Gregg Steinhafel因黑客入侵事件引咎辞职,并任命新的CISO。
2011年,黑客通过钓鱼邮件的方式入侵了著名安全公司RSA内网,盗取了4000万份双因素认证SecureID私钥,直接经济损失6600万美元。
2016年,黑客入侵多家银行的资金转账系统SWIFT,通过网络直接盗取孟加拉央行8100万美元,厄瓜多尔银行1200万美元,乌克兰银行1000万美元,越南先锋银行130万美元。
自2017年5月12日起,“WannaCry”勒索病毒突然大面积爆发,影响遍及全球100多个国家,超10万台机器。英国医疗系统、俄罗斯电信公司甚至是国内的中石油公司都已成为受害者,多家知名高校、能源企业、政府机构也受到波及。
很多企业每年在安全方面的投入不少,但是安全事件仍然频发,为什么会出现这种情况呢?为什么一个永恒之蓝导致整个IT界这么大的波动呢?深信服做了以下反思和思考。
1、事前的风险预知,事后的及时发现及止损能力差
现在大部分的企业的安全投入70%都放在防御上,以事中防御为主,投入大量设备。像习大大说的,网络有隐蔽性,谁进来不知道,是敌是友不知道,去了哪里,做了什么不知道。事前缺乏风险预知能力,事后缺乏及时发现及止损能力。
2、业务驱动的整体安全防护能力差
信息安全建设本质上是保证业务安全,而信息安全往往取决于业务保护的最薄弱环节。黑客往往会利用业务安全的薄弱环节作为突破口或跳板。
3、安全设备的推叠安全架构复杂、难落地
现在安全设备的堆叠非常复杂,而且厂商之间的互动联络关系是非常弱的,需要投入大量的安全人员。对于一个企业来说的话,需要培养多少安全人员去面对这些复杂的安全架构?在最终落地的时候会出现一些矛盾。
解决思路:构建更容易落地的安全框架
深信服基于新的安全建设理念,提供一套更容易落地的安全框架。面对诸多的矛盾点不容易落地,最终目的达成可落地有效的框架。框架有三个点,事中、事前、事后形成融合安全管理的维度。第二个是立体保护,立体保护从空间维度上实现端到端的,纵向的深入安全的保护解决方案。另外从部署的角度来讲,面对一个厂商的新技术,我希望把融合安全、立体保护通过简单有效的方案落地下去。
1、融合安全: “事前、事中、事后”风险闭环管理
在风险闭环管理的完整性方面,全面涵盖“事前、事中、事后”,事前预知风险,事中积极防御,事后及时发现及止损。基于产品功能、技术的融合,更好地识别安全风险,通过产品联动更高效解决问题。
2、立体保护:业务驱动安全的整体保护能力
立体保护,就是业务驱动链条。第一个业务接入环节,是非常重要的接入点,还有单位里面的人员PC、手机也是一个接入点。业务接入环境要加强环境安全的投入成本,来增加黑客的攻击成本。边界上,就是业务的边界环境的安全,大部分的用户都做得非常OK。到最核心的业务承载,最终的核心业务平台,这一块的安全可能是要根据现在国家要求的本机保护。再一个就是非常重要的,需要有一个全局把控的机制,从云端去巡视、检视整个IT架构的安全现状,处在什么样的安全阶段。
3、简单有效:安全建设更简单,更容易落地
深信服专注实用安全,所提供的的产品和方案,聚焦客户真正的核心、痛点问题,并能有效解决。秉承安全架构简化的原则,一台设备可以解决的,不用多台设备解决。例如,下一代防火墙产品基于融合安全理念,一台就可以解决边界的安全问题。基于简单易用的理念进行产品开发,符合用户的使用习惯。界面友好,操作简单。
深信服作为安全厂商,随着云计算、大数据、智慧物流等技术不断发展的趋势下,始终致力于为用户提供安全的信息框架,构建安全的网络生态环境。
以上就是我的分享,谢谢大家!
