隨著信息技術(shù)及業(yè)務(wù)場景的不斷更新，企業(yè)也面臨了更加復(fù)雜多樣的安全威脅，信息安全是一個(gè)系統(tǒng)工程，也是一個(gè)需要長期實(shí)踐并完善的過程，企業(yè)需要依據(jù)業(yè)務(wù)自身的需求建立并完善安全保障體系以確保業(yè)務(wù)的持續(xù)進(jìn)行。那么企業(yè)該如何建設(shè)一套安全可信的企業(yè)信息安全體系呢?

在2016年4月14-15日，由51CTO傳媒主辦的WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會上，搜狐安全經(jīng)理吳建強(qiáng)從技術(shù)、流程、管理等多個(gè)方面來介紹了企業(yè)信息安全體系建設(shè)思路及實(shí)踐，并在現(xiàn)場接受了記者的采訪。

【嘉賓簡介】

[[165333]]

搜狐安全經(jīng)理 吳建強(qiáng)

吳建強(qiáng)，一位熱衷安全技術(shù)自學(xué)成才的安全專家。2004年大學(xué)畢業(yè)后，一直從事安全工作。工作之初，他主要負(fù)責(zé)提供安全測試與安全服務(wù)，為不同的公司做項(xiàng)目，雖然收獲較廣，但是深度不夠。于是，后來十分喜愛安全技術(shù)研究的吳建強(qiáng)選擇進(jìn)入搜狐，塌下心來聚焦核心業(yè)務(wù)，提升個(gè)人技術(shù)能力。從工程師做起一直到現(xiàn)在的安全經(jīng)理，管理整個(gè)安全團(tuán)隊(duì)，處理各種安全事件。

云計(jì)算時(shí)代，運(yùn)維安全發(fā)生的轉(zhuǎn)變

隨著云計(jì)算、大數(shù)據(jù)，移動互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)的安全運(yùn)維工作發(fā)生了改變。吳老師認(rèn)為，從運(yùn)維的角度來看，現(xiàn)在對安全運(yùn)維人員的要求更加偏重于軟件，強(qiáng)調(diào)軟件定義的概念。對于運(yùn)維人員的能力需求，開發(fā)能力是必需，因?yàn)槿绻痪邆溟_發(fā)能力很難去自己定義某個(gè)東西。尤其大型互聯(lián)網(wǎng)公司都有一個(gè)特點(diǎn)，公司中絕大部分的軟件不是開源的就是自己開發(fā)的，或者在開源的基礎(chǔ)架構(gòu)上做，這都需要開發(fā)能力。另外，云計(jì)算時(shí)代，運(yùn)維都是在一個(gè)平臺上工作，工作量變小。

從安全的角度講，給安全防護(hù)工作帶來了一些好處。比如：以前做安全加固服務(wù)時(shí)，需要把客戶現(xiàn)有的操作系統(tǒng)做安全配置，主要做安全策略配置工作。而云計(jì)算時(shí)代，可以通過將安全策略標(biāo)準(zhǔn)化，將安全策略定義，通過SDN的方式下發(fā)，降低運(yùn)維的成本以及復(fù)雜度。

如何保障公司自主研發(fā)產(chǎn)品的安全?

在自主研發(fā)軟件整個(gè)生命周期，無論是代碼開發(fā)，代碼測試還是代碼的發(fā)布環(huán)節(jié)，都需要在安全方面投入很大精力。一款安全的產(chǎn)品才能發(fā)揮它真正的價(jià)值，提供安全的服務(wù)，保障業(yè)務(wù)安全。首先，要對公司的所有涉及重要業(yè)務(wù)的產(chǎn)品進(jìn)行保護(hù)，因?yàn)榘踩\(yùn)維人員可能是有限的，在人員不足的情況下不可能針對每個(gè)產(chǎn)品都投入最大的精力。我們要針對公司關(guān)心的產(chǎn)品和業(yè)務(wù)，做安全開發(fā)流程，分析架構(gòu)是否存在缺陷，考慮產(chǎn)品如何運(yùn)作，功能如何實(shí)現(xiàn)，產(chǎn)品的數(shù)據(jù)流。再次，在整個(gè)代碼開發(fā)周期，需要使用源代碼掃描工具等，對代碼進(jìn)行漏洞檢測。此外，還需要撰寫安全指南，制作安全培訓(xùn)視頻，提高全體員工的安全意識。

企業(yè)應(yīng)如何建立一套比較完整可信的信息安全防護(hù)體系?

吳老師表示，企業(yè)要想建立一套完整可信的信息安全防護(hù)體系，首先，要做的就是思考自己的企業(yè)是否需要安全。然后就是安全需要聚焦到哪里，即是企業(yè)的那些產(chǎn)品和業(yè)務(wù)對安全的需求較高。再就是人，找到合適的人，組建安全團(tuán)隊(duì)，同時(shí)讓做產(chǎn)品的人明白組建安全團(tuán)隊(duì)的重要性。想要建立企業(yè)信息安全防護(hù)體系，在具備了以上三個(gè)條件之后，第一階段就是對現(xiàn)有技術(shù)架構(gòu)、系統(tǒng)架構(gòu)以及網(wǎng)絡(luò)架構(gòu)進(jìn)行監(jiān)控。找到發(fā)生的安全事件，或正在發(fā)生的攻擊，攻擊者是誰，有多少攻擊者，什么類型的攻擊。還要分析哪些產(chǎn)品容易受到攻擊，采用了哪些攻擊技術(shù)。第二階段，根據(jù)監(jiān)控結(jié)果，思考如何去防御，制定防御方案和監(jiān)控方案。從監(jiān)控出發(fā)，了解企業(yè)的實(shí)際狀況。并根據(jù)監(jiān)控結(jié)果采購安全產(chǎn)品及服務(wù)，讓安全廠商對企業(yè)安全情況進(jìn)行評估，明確企業(yè)面臨的風(fēng)險(xiǎn)。

安全體系建設(shè)思路

那么如何實(shí)現(xiàn)有效的監(jiān)控呢?吳老師認(rèn)為必須要從以下幾個(gè)層次進(jìn)行，第一層是網(wǎng)絡(luò)監(jiān)控，看是否存在拒絕服務(wù)攻擊，是否出現(xiàn)了網(wǎng)絡(luò)流量異?，F(xiàn)象;是否有針對在線Web業(yè)務(wù)和應(yīng)用的攻擊。以上攻擊可通過網(wǎng)絡(luò)分工的技術(shù)做流量分析和協(xié)議還原等方式進(jìn)行分析。第二層是應(yīng)用層監(jiān)控。針對應(yīng)用進(jìn)行用戶追蹤，收集信息。第三層是數(shù)據(jù)，對所有數(shù)據(jù)的增刪改，用戶的登錄情況進(jìn)行全程記錄，方便內(nèi)外威脅的訪問記錄。此外，還應(yīng)對各個(gè)機(jī)房的監(jiān)控。

安全行業(yè)是一個(gè)興趣驅(qū)動的行業(yè)

在采訪最后，記者問到他是在怎樣的機(jī)遇下從事現(xiàn)在的職業(yè)，吳老師說：“安全行業(yè)是一個(gè)興趣驅(qū)動的行業(yè)，里面有很多東西是非常有魔力的。”有很多人從事安全方面的工作，都源于對安全技術(shù)的熱愛，不是單純的認(rèn)為這只是一種職業(yè)，而他就是其中之一。

作為電氣自動化專業(yè)的畢業(yè)生，畢業(yè)后他卻進(jìn)入了網(wǎng)絡(luò)信息安全領(lǐng)域，從事安全工作。說起曾經(jīng)的學(xué)習(xí)經(jīng)歷，他表示只要你從心里喜歡，你就可以為了一個(gè)漏洞不吃不喝，甚至通宵去鉆研它。走上這條路源于一次大學(xué)暑假上網(wǎng)的經(jīng)歷，讓他感受到了網(wǎng)絡(luò)的神奇。于是，自大一開始他就自學(xué)網(wǎng)頁設(shè)計(jì)，做動態(tài)程序、聊天室，學(xué)習(xí)操作系統(tǒng)，研究網(wǎng)絡(luò)協(xié)議。然后在實(shí)踐中接觸到了遠(yuǎn)程登錄，最后慢慢的對網(wǎng)絡(luò)攻擊和漏洞產(chǎn)生了濃厚的興趣，隨之與網(wǎng)絡(luò)安全結(jié)下了不解之緣。