653
閃銀奇異安全負責人:互金行業安全建設的四個心得
Wecash閃銀是中國首家互聯網信用評估平台,依托數據挖掘分析和機器學習技術,實現快速精準的信用評估。基於該評估結果,幫助個人用戶和機構快速完成交易,享受到更便捷的資金借貸、消費分期等金融服務,以及租車、租房、旅遊、教育等生活服務。
除卻自身發展所麵臨的安全風險,隨著國家對互聯網金融行業在網絡安全方麵的監管力度逐年增加,如何快速高效的完成等級保護服務成為閃銀奇異安全負責人頭疼的問題。
2017年6月,閃銀選擇了阿裏雲提供的一站式等級保護評測服務,實現了高效的雲上等級保護評測與合規改造。而作為閃銀奇異的安全大管家,裴偉偉見證了業務從規模翻五倍之後,安全的壓力和挑戰;也促成了部門和公司從傳統安全,到雲安全的轉型;而他自己,也經曆了從乙方到甲方安全的不同工作模式。
從企業安全管理的角度,閃銀奇異安全負責人分享了他對信息安全崗位,和對雲安全的看法和見解。當法律、合規、信任等關鍵詞,在胡金行業掀起新一波浪花時,企業安全部門應該如何在“浪潮中跳舞”呢?
雖然網絡安全是我的愛好和職業,但自己從一個軟件研發到真正踏足安全行業,其實繞了一圈。與很多聲名鵲起或成績斐然的圈內朋友相比,我直到大學才真正接觸計算機,而第一次對信息安全有體感,是從同學手裏接過一張價值400萬的衛星數據光盤。
那一刻我發現,代碼並不如想象中那麼有價值;未來有價值的,一定是數據;而數據的安全,是其產生價值的基礎。
畢業後的兩年,我在某省電信總公司做數據庫運維工程師的工作,和PL/SQL打交道,對數據庫特別是數據安全有了深入學習和理解,後來才有機會來到北京投身安全行業。
其後在IDF實驗室的三年,體會了乙方的辛苦與難處,也因此磨練了自己在工程師之外的其他能力,比如溝通、統籌、協調、團隊管理。
加入Wecash閃銀奇異之後,我親曆了公司規模翻五倍的成長過程,業務不斷擴大,風險窗口自然也就多了。我從一個人的救火隊員,逐步走到一個安全部門的管理崗位,將自己的安全能力與想法在這裏落地。
在我看來,與其他崗位不同,企業安全的建設極度依賴於運維工作,而我第一天加入的時候甚至隻有一名運維同事,因此在安全工作建設初期既要解決已有的安全問題,同時也要兼顧運維的建設。
在閃銀奇異的安全建設過程中,有一些經驗之談,也希望與各個行業,尤其是互聯網金融的安全同行們分享。
- 安全與業務是互相影響的另一半
甲方的安全同樣是服務,隻不過服務對象主要是業務部門。如何把握好安全和業務的平衡,是每個行業都會遇到的問題。
曾經在落地產品安全開發流程時,我們根據公司產品流程設計的安全開發流程在頒布後,實際並沒有產品經理或項目經理遵守,後來和產品溝通後發現是該流程會嚴重阻礙產品的進度。
因此,在第二版流程設計時和產品經理以及項目經理確認後才得以順利實施。類似的,在安全能力輸出和落地時,一方麵取決於業務部門是否接受,一方麵取決於輸出是否合理,前者需要對方理解和認可,而後者則屬於"紅線",是安全部門必須強推的工作,比如VPN和堡壘機。
業務的發展是第一位的,安全需要順應業務發展的步伐。正因為如此,也更加考驗安全能力。互聯網的安全更需要講究靈活和效率,這也是為什麼我們比較積極地應用雲安全產品和服務的原因。
在業務發展過程中,有少數從安全角度不甚合理的需求,在業務上必須的,這對安全團隊提出了更高的要求,包括對業務發展的支撐能力,安全方案的保障能力,甚至是自動化安全服務和係統開發能力。
- 安全的價值絕不僅僅是“不出事”
安全防範需要未雨綢繆,也需要事件驅動。
很多時候,業務部門猶豫的往往在於安全風險的後果到底有多大,對於這樣的猶豫,一次安全事件的教育意義要遠遠大過苦口婆心的教育。“吃一塹,長一智”依然是至理名言。
然而,安全的價值不僅在於安全,也在於解決公司的問題。例如提升效率,應用新的技術,不斷完善安全管理機製。
在初期的安全建設中,我們花了很多時間在運維相關的工作上,建設和維護了公司除線上係統和應用在內的其他諸如員工統一賬戶的係統,雖然不直接和安全相關,但間接為安全管理提供了更加規範和係統的支持。
依靠技術去鋪的路,會帶來安全管理或流程效率的提升,也會帶來安全事件監控和預警效率的提升。比如SIEM,如果沒有I和E的來源,那麼M則無從談起,而來源不僅僅包括業務應用、係統,也包括內部網絡、係統和應用。
- 用“看得懂”的結果去展現安全的ROI
能夠拿錢解決的問題不是問題,能夠拿技術解決的問題也不是問題。但要考量錢和技術的恰當使用,一方麵評估公司的投入,一方麵評估投入的回報。
無論是第三方服務/產品還是自身安全的投入,如果回報不如投資,那麼無論作為安全管理本身還是公司高層,都是不支持的。
所以安全部門的價值需要用反映業務發展回報的數字說話(不是漏洞有幾個,而是幾個漏洞避免的損失有多大),用公司管理層看得懂的語言展現價值。
- 雲給企業安全帶來的是“效率革命”
作為雲上用戶,使用公有雲最直接的好處是能夠將我們自己從物理、網絡建設和維護中解脫出來,僅關注網絡連接和相應的安全策略即可,從成本和業務持續性角度而言,既是節省,也是便利。
對於我們設計的高可用網絡安全架構,實施成本僅僅是係統、應用及網絡安全策略級別。對於同質化的係統部署和遷移,通過鏡像複製即可完成,這本身就是極大的時間成本的節約。
舉個例子,在安全訪問策略層麵,我們也曆經了從iptables到安全組策略的路子。雲的安全組策略使得即便不懂iptables命令也能夠知曉和合理利用策略限製服務/應用/係統訪問,這種操作的簡化使得安全架構在雲上的實施得以得心應手。在應對接口和服務的安全漏洞時,也僅僅需要通過業務需要的考量便可限製不必要的端口放開,避免攻擊麵的擴大。
但僅僅是雲化的物理和網絡是不夠的,基於此的雲安全產品,諸如漏洞檢測、防病毒產品、日誌檢索,才是錦上添花之作。我們隻用了1-2個人的人工成本便覆蓋了所有主機包括漏洞檢測、防病毒的功能,堡壘機產品能夠完美對接我們的賬戶體係進行係統訪問的二次身份認證和操作預警。
雲安全的回報還在於更高效地合規。對互聯網金融來說,等保合規是整個行業的大趨勢,也是獲得用戶信任的根本。
目前,互聯網金融的等級保護工作是金融辦和網監雙重監管的重點,雲上的安全產品和服務為我們的等保工作的順利開展鋪平了道路。更為難得的是,由於雲產品的特性,產品和服務的反饋能夠快速得到響應,在無論用戶體驗還是安全體係建設方麵,雲上企業的安全工作如虎添翼。
從我的角度來說:安全不存在一勞永逸,也不存在能力的快速提升。它與業務本身的發展一樣,都是一步一個腳印走出來的。而雲上模式,能讓企業在安全這條路上輕裝上陣,走得更快,更遠些,為最終客戶提供更加值得信任的服務。
來源:阿裏雲安全
原文鏈接
最後更新:2017-09-04 20:02:35