武连峰:下一代安全护航金融数字化转型

2017-07-27 中国发展网

中国发展网 7月27日 第25届金融展于7月27日至7月30日在北京展览馆与大家再次相见。本届金融展将以“创新驱动 稳健转型 共享金融”为主题,集中展示各类金融机构、金融科技企业的创新发展成果,以及面向企业、“三农”、百姓等推出的普惠金融新服务和金融IT新技术,通过多种形式、多个层次的分享互动,进一步促进金融行业内外的交流与合作,为我国金融业的稳定和可持续发展作出贡献。

IDC副总裁兼首席分析师武连峰出席并发表主旨演讲,以下为演讲全文:

image001

武连峰:尊敬的各位嘉宾,各位领导大家下午好,非常高兴有机会参加金融网络安全的论坛,跟大家分享一下整个在金融方面IT安全的大的趋势。过去两三年IT一直把数字化的转型作为行业发展大的方向,金融科技本身来讲在数字化转型里面走的非常靠前。我们现在谈的数字化转型和以前有很大的区别,以前讲信息化、数字化,包括我们的业务流程,模拟的一些数字化,未来我们谈数字化转型这里也包括业务流程的高效提升,包括用户体验的提升,很重要的一点包括创新的产品和服务以及未来商业模式的变化。

所以今天的数字化转型和以前相比有了很大的提升,我们看到数字化转型如果要很好的走,我们究竟在安全方面应该怎么做?所以我给大家分享下一代安全如何护航金融行业数字化转型。大家都知道,金融行业本身数字化转型核心是双轮驱动,第一个轮我们讲敏捷创新,如何优化业务运营,密切客户沟通及创新产品服务。

随着未来中国普惠金融的发展,能使金融机构迎接全球以及互联网公司的挑战,我想这个是第一个轮。第二个轮金融行业跟其他的行业是把安全合规放到一个很高的高度,金融本身就是管理风险核心,所以如何做到安全运营,如何控制风险,这点整个是这样的,这两个轮是转型的核心。

基于这种核心我们也看到趋于未来行业大的发展趋势,这是我们对于全球和中国行业2017年的10大预测,整个这个行业技术相关的决策,这里我简单解释一下,这个蓝色的圈是代表全球趋势点,红色的圈代表的是中国的趋势点,越往上意味着影响的部门越广,越往右意味着这项技术变成主流所需要的时间越长。

我们这里看到12到24个月,还有一年、两天、三年,圈越大时间越长,投资越困难,这里找出5个点跟本次会议相关的,第一个是用户分析,我们认为2017年网络安全在欺诈和网络攻击检查都会加强用户的行为分析,用户行为分析在金融行业会越来越重要,这是第一个方面。

第二点我们讲区块链和DLT技术,将会被30%的中国的金融机构所采用,我们也知道其实刚才下面我还跟他们在聊,中国在数字货币方面走的比较朝前,一方面是适合金融创新的发展,同时通过区块链也能够使中央央行加强未来的数字货币的监管做一个很好的准备。在这块像招商银行、养老保险中很多机构已经开始用区块链的技术。还有一个第四个点销售支付,应该说这点在中国和全球比应该说很发达,我们认为到2018年,整个销售移动支付会增长30%。

大家都有感受,我们现在自己的钱包信用卡可能已经不带了,带手机就行了,所以移动支付在中国发展的是非常好,好的同时也带来很多隐患。任职计算、机器人处理和自动化和区块链等颠覆性技术到2020年将被中国一半以上的银行采用。2018年以后,中国大多数财富管理和资本市场机构将建立或者允许用机器人理财,或利用人工智能管理基金,有很好的发展前景。

我们现在的车险跟使用还没有挂钩,但物联网技术和互联网结合的时候,未来会根据我们的使用情况和车的运营情况来支付保费,我们认为可能未来会占到10%的市场份额,在2019年,这就把几个重要的点拿出来和大家分享,这就是技术的发展趋势。

有了这些大的趋势,确实刚才也讲到,包括李主任也讲到安全问题在金融行业,所有的行业里面都会严重,所以我们看整个关键词,大家可能很明显的看到整个安全、黑客最热门的关键词及我们再简单的通过一些案例数据跟大家分享,全球在2016年,由于不安全造成的损失,全行业至少是1000亿美元,这还是一个保守的数字。

我们知道很多机构出现安全问题不愿意讲,我们统计每年损失至少100亿美元,5月份爆发的勒索软件并的号有150个国家,50万电脑,损失将近达到100亿美元,这是全球的状态,这还是比较蛮保守的数字。这10大安全事件,细节可以看看这个连接,不再详细跟大家讲,跟我们金融最新相关的SWIFT黑客事件,孟加拉银行直接损失8100万美元,所以金融行业是我们这些数字资产,我们这些货币由于不安全,由于黑客造成的损失会非常直接非常大。

接下来我们再看整个勒索软件病毒其实告诉我们一件事情,自动化和更加复杂的网络威胁在威胁,亚太区上周做了一些统计和分析,我们来看数字及恶意软件是亚太区和中国地区最顶级的攻击类型,排到第一位。新的恶意软件变种数达到357百万,也意味着每一天的就超过100万,这是第二个数字。第三个我们看到勒索软件的数量在2016年增长的及其危险,752%。第四个数字从最初的干扰到发出勒索赎金的时间已经降到只有15分钟时间,跟以前的几天,几个小时已经有一个数量的提升。还有一点,特别是亚泰中国包括中国入侵的天数为520天,是全球的3倍。

所以我们看到亚太区和中国是一个恶意软件的防范区,我们怎么防范就非常重要。刚才讲到金融科技有很好的功能驱动的业务创新,但是整个数字化转型,业务创新的董事也加重的安全鸿沟。很形象的看出我们的网络安全能力和有效性这个曲线增长率比较平缓,我们包括欢迎的复杂,安全类型的复杂,网络犯罪的兴起这个数呈指数性增长,这个就是不断在扩大。

这里一方面企业大量的资产更有价值的资产都会以数据的形式体现,所以数据的资产体现的是最深的,第二个方面引进更深的数字化技术,同时也会进入更多的数字化可能性。第三个方面卓越的客户体验对隐私和安全提出更高的要求,用户体验效率已经跟安全是如何找这个平衡,而我们现在来讲,特别是中国的用户有一点惯坏了,对速度的需要比欧美发达国家更加深,鸿沟会比较大。

我们接下来看如何护航安全,这里我们给出6个举措,第一个点要提升安全地位到一个战略高度,第二个点我们应该说掌握IT安全市场大的发展趋势,第三个方面我们需要评估安全发展阶段和成熟度,尤其是对很多保险机构知己知彼才能百占不胜;接下来我们如何采用合适的安全产品与技术;怎么样建立下一代安全组织架构;最后一点选择合适的技术合作伙伴。

整体来讲我们六个宏观方面的举措保证下一代安全护航金融数字化转型的基石,接下来我们做一个展台,从整个地位角度上来进大家都比较熟悉我们《中华人民共和国网络安全法》第三十三条,保证安全技术措施同步规划,同步建设,同步使用,三个同步。另外7月14号整个金融会议上习总也明确谈到科学防范,早识别、早预警、早发现、早处置,本身来讲安全支持也是非常重要的,所以总国家领导层面对整个金融安全非常的重视。

近来我们再看,人工智能现在是最火的话题,所有人都在谈,人工智能带来大商品的同时带来很大了风险,7月20号刚刚发布,这里不断强调高度重视可能带来的,确保人工智能安全可靠,可控发展,又进一步来重视安全和行业中的地位。同时会带来业务风险、安全风险,还有一些其他的风险,其实提供方面是有这些大的风险。

很重要的一点是我们怎样包括IT安全的投入?我们拿出全球和数据做一个对标,对标发达国家,安全投入相对来讲还很少,比如说2016年全球金融安全市场包括硬件、软件服务有755亿美金,而到2020年增长到1050亿美金,而重要大概只有4.3亿美金,到2020年还不到10亿美金。

大家觉得这两个数字我们怎么判断高还是低音这里我再给大家做一个对比,一方面增长的角度来看全球是8.5%增长,中国是22.6%的增长,所以整个金融的安全,IT安全市场是8.5%,是传统IT的两倍。在座的各位您的安全投资增长率是不是传统的两倍?第二个22.6%的增长也是高于全球,即使这样,我们看到IT安全的投资占整体的投资是多少?全球是3.74%,美国是4.78%,中国知道1.84%,也就是意味着中国的安全投资占IT市场比例1/2左右,中国在安全方面还是需要有一个大的投入。

安全服务,应该说最近5年左右对软件服务有所提升,而在IT安全的角度来讲,硬件只有不到20%而服务占了44.4%,软件36.3%,美国的比例比较相当。中国硬件占了54.5%,服务只有28.8及软件只有16.7%,所以服务方面应该是一个很重要的因素。第一方面要提升安全地位和战略合作,第二个举措我们看要掌握IT安全市场的发展趋势,这张图是全球IT安全的10大预测,这个图的说明跟前面的比较类似,这个点越大代表越复杂,越往右代表成为主流的时间越长,越往上影响的范围越大。

我拿出几个点,第一个生物特征身份验证,这在整个安全方面很重要的趋势,到2010年全球50%的再现交易将使用用户和可广泛接受的低成本的生物识别认证,所以包括刷脸、虹膜有非常大的发展空间。第二个和消费者个人身份信息,在未来两年,发达国家80%的消费者个人信息将受到安全漏洞的影响,公司失去客户的风险越来越大。整个身份信息来讲是既为重要的,我们都知道欧盟在2016年出的通用数据保护法规规定,应该说2018年5月份实施,不管是中国的金融机构还是传统的厂商,如果想在欧盟地区提供服务必须得符合这个规定。

第五个点是认知安全,到2018年70%的企业网络安全环境将使用认知和人工智能技术来帮助应对网络规模和复杂性的增加,我们都知道完全靠白帽子很难很快的发现问题、解决问题,所以整个人工智能在安全点来讲会越来越多,很多东西靠人工智能实现,我前年参加一个网络安全的会,很多创业公司都开这个创业。

接下来第九个点,我们认为2020年全球超过80%的企业将投资应急实践响应服务。还有一个点是第十点,就是云,可能五年之前云还是有一点炒作,但是目前真的是落地,很多都在使用,所以云安全会变的极为重要,同时你在用安全的时候如何用到语音安全,通过第三方的语音保证你的业务会嗯安全,我们也注意到25%的企业通过托管或者SaaS安全服务来保护其IT系统,这是是五个点给大家做了分享。

我们接下来看究竟投资哪些IT产品,如果投错了方向也可能得不偿失,这里是IT安全产品,不包括服务的,具体的数字就不看了,主要看增长,增长来看的话总体产品增长率是7.4%,在这个里面,安全和漏洞管理是11.8%的增长,所以整个漏洞和入侵是需要加大力度的,我们接下来看到网络安全9.2%的年均增长率,也包括身份和访问管理占了8.3%的增长,所以这三个领域应该是增长最快的,用户的痛点是最大的,这个给大家一个参照。

接下来看安全管理服务,安全管理服务是增长最快的,我们可以看到2020年的时候柱子很大,我们把安全服务主要分这四大类,所以管理服务这块未来会有更大的增长空间及这块我们看到IT安全市场的重大方向,这是第二个举措。

第三个举措需要来评估自己IT发展的阶段,我们整体安全是分成五大阶段,应该说越往右越好,越往左越差。往右的时候可能变成一个前瞻性或者预测性的组织,但是我们在评估整个安全阶段的时候,中国究竟处于一个什么地位,我们接着看我们的研究数据。

美国第一阶段只有12.8%,第二、第三、第四都有蛮大的比例,我们再看整个亚太区就占了42.5%,绝大多数是在第一阶段,三四五阶段很少。我们再看中国第一阶段稍微好一点,因为亚太区还有很大不发达国家,但是局部推广第二阶段占了50%,所以跟发达国家成熟度相比不乐观,所以如何有更好的投入?

我们在看IT安全成熟度的时候我们在看领先者和中国的特征有什么不一样?我们看这五个角度,你的愿景怎么样?风险管理、人力、流程、安全技术。全球的领先着愿景方面不是特别强,处于中间的位置,风险管理处于中间靠后,人力比较弱,流程方面也还好,但是在技术方面发达市场技术走的很靠前。

我们再看中国的特征,应该说愿景和中国规划很超前,进的很好,但是在风险管理这方面要落后全球,而在整个人力和流程跟全球比比较类似,很重要的一点,中国在安全技术方面跟全球发达市场比还有比较大的差距,对于各个行业来讲比较类似,虽然金融方面比较超前,但是其实我们可以看到怎么样在前面四个基础之上,在安全金融方面有比较高的投入。

接下来第四个举措我们怎么选择合适的举措,这是我们把安全服务做了一些展示,由于时间就不每个都展开,这里我们看到以前在2000年的时候做安全研究的时候发现安全分的非常多,包括一些安全内容管理,可能只分成只4类,目前已经非常细化了,这里包括身份、网络管理、消息安全、外部安全还有一些技术的东西,底下每个子项都很细,企业的环境变的越来越复杂,如果我们整个安全把这个短板提高之后应该照顾到所有的方面,但是产业有很多细分领域。

包括集成、教育培训更多的是安全服务,管理安全服务,这有在企业内部的,包括托管的,很重要的一点是基于云的安全服务未来会有很大的发展空间,当然这些安全服务是跟整个产品相关的,所以基于云的服务会有很大的增长和发展空间。

我们一直在看下一代安全是如何来界定?从下一代安全的标签可能有几个大的方面,云安全这几块来讲可能金融机构里很多机构都在做,这是很重要的一块,一方面我们说你本身很多业务在私有云或者公有云的时候有很大的安全,因为云最大的特点是集中,所以这是第一个。

第二个我们说物联网的安全,特别是未来保险公司如果把你的保险跟车的行驶相关,通过互联网技术的时候如何保证车联网、智能家居,甚至工作控制安全。

第三个区块链,包括电子发票、食品溯源也好,所以安全问题是我们需要考虑的。

第四个数据安全,包括企业云、大数据还有整个企业协同的安全。

第五个是是我们谈到的安全服务,情报安全服务、管理安全服务,还有专门的安全服务,针对供给是也是我们需要重点关注的,这是下一代安全最重要的标签。

通过这几页可以看到金融选择方面咱们走,今年上年做了一个调研,对于首席安全官来进,选择产品的时候哪些是重大的选择,我们看看具体的调研结果,这里第一个就是调研工具,我们把安全分析工具做一个希望选择,这个是对高的,第二个身份和访问,第三个是观点防护,第四个是DDoS,第六个是云安全网关。如何实现漏洞闭环管理,如何做到态势感知?第三个是未知的安全,怎么样对一些未知的工作扔到砂箱里做处理,所以这几个工具里面非常重要的三个方面。

接下来第五个就是我们如何建立下一代安全组织的架构,护航数字化转型,传统来讲安全应该上升到CEO层面,但是我们的CISO,首席安全官,CIO也应该变成一个战略性的CIO,包括COO、CDO、CFO是需要高层都会介入到安全里面来,这样才能保证数字化性顺利进行,所以这是第一个从数字化层面来看。

如果你的公司有CISO,对于CIO来讲我有这么多的钱怎么样考核你,怎么样保证I,那如何建立CISO的KPI就非常重要。第一个28%的用户把解决问题的时候作为KPI,另外如果出现安全问题你的响应时间是否足够快;第三个是保证合规;第四个是提高识别恶意软件的时间;第四个是恶意软件支持安全的业务寻找和保留创新,最后一个是寻找和保留合适的人才。

对金融行业会有差异,对于识别恶意软件的时间占的比例会更高。这个就是第五个如何建立一个安全组织架构,最后一个点,我们怎么样选择基础的合作伙伴,提出几个参考点,包括这家合作伙伴全球视野怎么样,因为一定涉及到全球的。

第二个它的创新能力、技术实力、整合资源能力,一家IT不能提供所有的能力,还有行业经验与用户案例,很多人也认为是本地服务能力。我加了一个点是它的主要劣势是什么?在选择厂商的时候你们公司最在意什么在这个劣质上,所以这是一个很重要的服务点,我选择基础的合作伙伴的时候的参考,基本我跟大家分享的就是这些,下一代安全护航金融行业数字化转型主要是这六个大的举措,后期希望跟大家有更多的交流和探讨,谢谢大家。