CSO面对面丨中核华辉刘博:应对大型央国企数字化转型道路上必须攻克的安全难题

本文主要是介绍CSO面对面丨中核华辉刘博:应对大型央国企数字化转型道路上必须攻克的安全难题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

“极致”,一直是大型央国企网络安全工作建设追求的目标。随着我国数字化转型全面走深向实,网络安全风险、数据管理、层出不穷的网络攻击,为各领域大型央国企数字化转型带来了更多的挑战。如何充分发挥优势、携手各方构筑网络安全屏障、提升安全保障能力?成为大型央国企数字化转型道路上必须要攻克的首要难题。

本期腾讯安全《CSO面对面》栏目,邀请到中核华辉副总经理刘博,以中核集团为例,分享在当前复杂的经济环境和数字化升级转型逐渐深入的大背景之下,大型央国企网络安全建设的实战经验与前瞻思路。

刘博,中核集团北京中核华辉科技发展有限公司副总经理、信息安全总师、云&安全事业部总经理。

以下为本期《CSO面对面》文字实录。

Q1:对于中核这样的大型国企来说,应用数字化产品的主要场景有哪些?

刘博:中核集团是一个很大的复合体,包含很多成员单位,也包含整个核电建设的全产业链。所以在产业链当中,中核集团相应的各种数字化门类的产品非常多。主要包含了经营管理类的所有业务系统、日常生产的一些信息系统。

每个板块日常生产的系统又都有区别。比如说在核建板块生产的系统ENPower就是核心生产的系统,对核电建设、项目综合管理起到核心作用。其中包含了生产控制系统、生产管理系统这样各种各样的系统。在医疗板块,也有相关的医疗统一管理的系统,所以整体相应信息化的产品的门类是非常非常多的。

Q2:中核如何在整体体系上保证集团数字化的全面安全?

刘博:安全一直是核工业的底线,网络安全一直是核工业的红线。在以前,核工业针对网络安全的管理是做到极致的,但是随着数字化的发展,中核集团整体的业务规模从原有的专用网络侧,逐渐向互联网侧发展,也逐渐向大型专用网络方向发展。在整个过程中,统筹管理、统一进行防护、建立完整的网络安全体制是目前中核集团整个网络安全发展的重点工作。

Q3:在复杂的信息化需求和安全需求下,中核安全建设的关键思路是什么?

刘博:中核集团的能源板块是一个复合体。大家认为中核集团的能源板块主要包含核电,但其实在中核集团的能源板块中,除了核电以外,还包括风力、光伏、新能源的发电体系,也包含水力发电的体系。所以中核集团的能源板块,是一个相当庞大的复合体,能源版图跨过全国所有疆域,北至黑龙江、南至海南、西至新疆。如果依托单一的传统体制来进行整体的安全管理,其实很难达到我们安全管理的目标。

安全管理需要一个非常完整的体系性的管理。而我们在建设过程中,不断引入新的技术,向国内及国际的先进经验进行学习、向国际和国外的互联网安全技术厂商进行学习,逐渐把技术进行融入,与我们传统的网络安全红线进行结合,最后达到整体安全的统一目标。

Q4:互联网公司的技术发展对大型国企的安全建设有怎样的影响或者帮助?

刘博:传统的网络安全建设,在大型的央国企业里,相对(来说)技术方案还是比较传统的,防御的模式主要是集中化的。而随着互联网产业的逐渐发展,像国内的主流互联网厂商,整个覆盖的用户数总量,包含它自有的员工数总量,非常庞大。

随着大型央国企业的业务逐渐向广大民众开放,网络安全的挑战已经发生了变化。互联网厂商网络的安全解决方案更先进,为我们提供更多的选择,也为我们提供很多的最佳实践。随着互联网厂商逐渐向金融化转变,一些新的技术应运而生。在这个过程中其实很多研发成本、很多实验成本都由互联网厂商帮我们实践过了,所以我们在应用的时候,其实有更多的选择空间、也有很多的学习空间。

互联网厂商需要保证广大业务的安全,我们很多企业有十几亿用户跨越全球各个领域、又要符合国内及国际法律法规的要求。在这种情况下,互联网厂商对网络安全发展其实是非常重视的,不管是用户的隐私也好,还是相应支付安全也好,还是业务本身的安全也好,互联网厂商提供了很多的实践,包含了整体的开发体系的控制、整体应用安全体系的控制、员工在全球领域管控的安全的控制,也包含像邮件系统、大型业务系统在互联网侧如何综合保证业务系统安全等等,也为我们完成了前期的探索工作。

Q5:中核华辉在推动中核集团的安全建设与部署中,发挥了哪些“先行者”的作用?

刘博:云&安全事业部其实分为四块核心能力,第一块是解决方案的建设能力。包括集团很多的大型项目网络安全,其实我们都在项目中进行了深度的参与,使中核集团整个的技术体系保持领先是我们核心职能之一。

第二,是整个的系统集成能力。各类大型的业务系统,包括各类大型的基础组网,都是由云&安全事业部进行参建的。

第三,是整体的运维保障能力。我们在SLA的等级业务联系性保障等级上,我们会逐年递进,每年会把业务联系性的保障等级进行提高。

最后,是网络安全对抗能力。在每年的重大节庆活动,包括各类演练中,中核华辉的云&安全事业部都是起到核心的保障作用。每年都会与国内及国际的各个安全团队进行对抗,保障集团的网络安全能力。

在技术应用方面,中核华辉自2019年开始启用SDWAN组网,目前已经覆盖全国所有疆域,就是东南西北的所有疆域、各个省市都有我们的组网节点。在零信任整个体系建设上,我们经历了三年的时间,目前已经建成国内相应比较先进的零信任网络安全技术体系。未来,我们将更多的投入信创体系的建设。这个就是我们整体的建设目标。

Q6:未来中核集团的安全建设还有哪些部署和思路?

刘博:其实集团有统一的安全管理的策略,就是在中核集团有了自己的数据中心之后,整体的业务规模会向统一来聚拢。在我们有了完整的算力中心之后,我们会建立新的、覆盖全国的互联网统一安全管理体系,也包含我们所有终端的统一管理体系。在超过十几万用户的情况下,我们的体系一定是需要整齐划一。

在整个建设上,其实我们更多的去讲大一统的概念。在支持这个体系下,我们整体的网络安全通报体系、情报管理体系、网络安全的整体指挥体系、联动体系,都是需要我们后期来进行完整建设。

Q7:中核应用了腾讯安全的很多优秀产品,主要在哪些场景中发挥作用?

刘博:其实在整个建设过程中,我们更多的不是把腾讯当成一个安全产品厂商。我们更多的是向腾讯学习一些先进的解决方案,包括完整的网络安全体系、在互联网侧的网络安全体系。所以在建设过程中,其实我们对腾讯产品的引入包含在我们的各个环节里,所有专业的产品、专项的产品,都会作为我们体系的一部分。

同时我们也会学习腾讯整体的网络安全体系,包含腾讯整体的零信任技术体系,其实在中核集团得到了很好的互联网侧实践。目前整个腾讯的零信任安全体系在中核集团已经运行了三年多,主要覆盖了我们的能源板块。目前全国有4,600多名用户在享受零信任技术体系的安全服务。

在三年中,没有发生网络安全事故,所以也给我们进行全国的零信任技术体系推广,提供了最佳实践及优秀的技术解决方案。

Q8:大型国企建设独立的安全运营中心(SOC)能起到哪些作用?

刘博:网络安全已经被国家放在一个非常高的战略位置,网络安全目前在中核集团也是有一个非常高的定位的。所以打造自己的队伍、形成自己的能力,一直是中核集团网络安全的核心发展方向。目前中核集团其实已经建立了整体的网络安全管理中心,这个中心也已经运行了将近6年的时间。

在整个情报体系管理、统一指挥管理、网络安全能力调度、应急响应等方面,都需要一整套完整的体系来支持。在我们看,建立统一的网络安全管理平台是我们解决情报处理问题的一个根本技术路径。

在我们的响应上,包括大数据的技术响应、人工智能的技术响应、快速的联动处置,都是我们网络安全管理中心一个核心的职能。中核集团整个的业态相对比较复杂,各个板块的信息化能力、网络安全能力,很难实现统一。大型网络安全管理中心、包括技术体系的建设,可以有效地保障中核集团整体网络安全能力水平能快速的拉齐。在主动安全处置能力上、在完整的情报管理能力上、在快速应急响应能力上,网络安全水平及能力一直处于高位运行。

国家对网络安全其实是逐步重视的,每年都有很多的法定法规会进行发布。国家各相关部门对安全、网络安全的管理工作在逐年加强,包括我们每年参与很多大型的演练活动。随着信息化发展,网络安全是这个发展阶段的一个必然条件。所有的企业,不管是大型企业还是中小型企业,在网络安全建设上,目前都已经到了一个核心的发展阶段。

大家也意识到把网络安全交给别人其实是靠不住的,也不能让网络安全成为企业的“卡脖子”工程。自行建设网络安全管理中心,包括建立网络安全管理平台,这个是每个企业迫切的需求。在所有的可控方面,安全的可控是每个企业整体安全的重要组成部分之一。网络安全在最近几年,其实跟生产安全、食品安全提到了相应同等的高度。在以往,我们可能在生产安全或者食品安全当中,不会探讨我们是否需要建立新的中心的问题。而在网络安全建设过程中(就很有必要),这是我们发展到这个阶段的一个必然的结果。

Q9:大型国企数字化过程中,有哪些比较普遍的安全痛点和安全风险?

刘博:首先我们需要解决的第一个问题,就是网络安全“卡脖子”的问题。我们很多大型的应用软件目前还是依托国外技术相对比较多,这个是我们首要解决的网络安全问题。

第二,目前应用安全是我们整体的核心痛点。因为很多大型央国企,已经有了很多的业务系统,这些业务系统一部分是自建的,一部分是外来采购的,业务系统的规模非常庞大。但是在自身整体安全能力上,最近这些年还在逐渐加强,还没法把所有的应用安全来统一进行管理,没有达到这样的能力水平。

应用安全,其实目前是大中型企业整体的核心短板。这也是需要完整的体系和大量的资源投入才能解决的问题。在整个建设过程中,其实在整个行业内,应用安全整体能力的建设、整体体系的建设、整个代码质量、安全管理这样完整体系建设,还需要走很长的一段路。

Q10:针对大型关键基础设施型企业的网络攻击应如何应对?

刘博:关键基础设施的网络安全管理是国家非常重视的,不管是从国际形势来看,还是从各个企业实际的自身生产要求也好,关键基础设施的安全保障工作一直是整个网络安全保障的重中之重。在整个保障过程中,很多方面是要远超于普通的管理类业务系统的。关键基础其实是绝对不能中断的,所以在整个技术防御体系上我们既要有传统的防普通网络层的入侵,也需要针对各类的高级攻击、社工的攻击具备一定的防御能力,逐渐筑强我们整体的防御能力。

关键基础设施的保障其实是通过网络安全技术手段和简单的管理手段就能解决的网络安全问题。在整体防御上,需要人、财、物整体的联动,在全员形成关键基础设施网络安全保障意识。之后再通过足够强健的技术手段,来解决我们整体网络安全保障的问题。

关键基础设施的网络安全保障工作,还包含很多防恶意攻击,比如说来自于人的恶意攻击。其实关键基础设施整体的网络安全保障工作,是依托人与人之间的对抗,技术只是我们在整体对抗过程中的一个手段。

栏目简介

当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者,了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。

这篇关于CSO面对面丨中核华辉刘博:应对大型央国企数字化转型道路上必须攻克的安全难题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/373579

相关文章

三国地理揭秘:为何北伐之路如此艰难,为何诸葛亮无法攻克陇右小城?

俗话说:天时不如地利,不是随便说说,诸葛亮六出祁山,连关中陇右的几座小城都攻不下来,行军山高路险,无法携带和建造攻城器械,是最难的,所以在汉中,无论从哪一方进攻,防守方都是一夫当关,万夫莫开;再加上千里运粮,根本不需要打,司马懿只需要坚守城池拼消耗就能不战而屈人之兵。 另一边,洛阳的虎牢关,一旦突破,洛阳就无险可守,这样的进军路线,才是顺势而为的用兵之道。 读历史的时候我们常常看到某一方势

透彻!驯服大型语言模型(LLMs)的五种方法,及具体方法选择思路

引言 随着时间的发展,大型语言模型不再停留在演示阶段而是逐步面向生产系统的应用,随着人们期望的不断增加,目标也发生了巨大的变化。在短短的几个月的时间里,人们对大模型的认识已经从对其zero-shot能力感到惊讶,转变为考虑改进模型质量、提高模型可用性。 「大语言模型(LLMs)其实就是利用高容量的模型架构(例如Transformer)对海量的、多种多样的数据分布进行建模得到,它包含了大量的先验

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u

3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

所谓的协议 协议只是一种规则,你不按规则来就无法和目标方进行你的工作 协议说白了只是人定的规则,任何人都可以定协议 我们不需要太了解细节,这些制定和完善协议的人去做的,我们只需要知道协议的一个大概 HTTPS 协议 1、概述 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据

【小迪安全笔记 V2022 】信息打点9~11

第9天 信息打点-CDN绕过篇&漏洞回链8接口探针&全网扫指&反向件 知识点: 0、CDN知识-工作原理及阻碍 1、CDN配置-域名&区域&类型 2、CDN绕过-靠谱十余种技战法 3、CDN绑定-HOSTS绑定指向访问 CDN 是构建在数据网络上的一种分布式的内容分发网。 CDN的作用是采用流媒体服务器集群技术,克服单机系统输出带宽及并发能力不足的缺点,可极大提升系统支持的并发流数目,减少或避